RU2573265C2 - Способ выявления ложных положительных результатов сканирования файлов на вредоносное по - Google Patents

Способ выявления ложных положительных результатов сканирования файлов на вредоносное по Download PDF

Info

Publication number
RU2573265C2
RU2573265C2 RU2011152811/08A RU2011152811A RU2573265C2 RU 2573265 C2 RU2573265 C2 RU 2573265C2 RU 2011152811/08 A RU2011152811/08 A RU 2011152811/08A RU 2011152811 A RU2011152811 A RU 2011152811A RU 2573265 C2 RU2573265 C2 RU 2573265C2
Authority
RU
Russia
Prior art keywords
file
properties
malware
purity
scan
Prior art date
Application number
RU2011152811/08A
Other languages
English (en)
Other versions
RU2011152811A (ru
Inventor
Ярно НИЕМЕЛЯ
Original Assignee
Ф-Секьюэ Корпорейшен
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ф-Секьюэ Корпорейшен filed Critical Ф-Секьюэ Корпорейшен
Publication of RU2011152811A publication Critical patent/RU2011152811A/ru
Application granted granted Critical
Publication of RU2573265C2 publication Critical patent/RU2573265C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к области обнаружения ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения. Техническим результатом является минимизация ложных положительных результатов. Способ сканирования файлов для поиска вредоносного ПО в компьютерной системе содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования файла для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл обладает свойствами, свидетельствующими о его вредоносности, то способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, то производится формирование сигнала ложной тревоги. 3 н. и 2 з.п. ф-лы, 2 ил.

Description

Область техники, к которой относится изобретение
Изобретение относится к обнаружению ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения (ПО), в частности, хотя и необязательно, к обнаружению ложных тревог в системах автоматического анализа на вредоносное ПО.
Уровень техники
Термин «вредоносное ПО» используется для обозначения любых программ, рассчитанных на внедрение в компьютерную систему без согласия владельца компьютерной системы или на ее повреждение. Вредоносное ПО может включать в себя вирусы, вирусов-червей, троянцев, руткиты, рекламное ПО, программы-шпионы и любое другое вредное и нежелательное ПО. Любое вычислительное устройство, такое как настольный или портативный персональный компьютер, электронный секретарь (PDA, Personal Digital Assistant) или мобильный телефон могут быть подвержены риску заражения вредоносным ПО.
Когда происходит заражение устройства вредоносным ПО, пользователь часто замечает нежелательное поведение и ухудшение характеристик системы, так как такое заражение может вызывать нежелательную активность процессора, использование памяти и трафика обмена данными. Заражение также может приводить к проблемам устойчивости и вызывать фатальные сбои работы приложений или нарушения в масштабе всей системы. Пользователь зараженного устройства может ошибочно предположить, что плохие показатели являются результатом изъянов программного обеспечения или проблем в аппаратной части, и предпринять неадекватные действия по исправлению проблем, в то время как фактической причиной является заражение вредоносным ПО, о котором пользователь и не подозревает.
Обнаружение вредоносного ПО - трудная задача, поскольку авторы такого ПО разрабатывают свои программы именно в расчете на трудность обнаружения, часто используя технологии, которые намеренно скрывают присутствие вредоносного ПО в системе, т.е. вредоносная программа может и не появляться в таблицах оперативной системы, в которых приводится перечень протекающих в данный момент времени процессов.
В компьютерных устройствах используются антивирусные программы для обнаружения и возможного устранения вредоносного ПО. В таких антивирусных программах могут использоваться разнообразные способы обнаружения вредоносного ПО, включая сканирование, проверку целостности и эвристический анализ. Из указанных способов сканирование для поиска вредоносного ПО включает в себя анализ файлов антивирусной программой на предмет поиска отпечатков вируса или «сигнатур», которые являются признаком индивидуальной вредоносной программы. В типичном случае это требует того, чтобы антивирусная программа содержала базу данных таких сигнатур. Когда производитель антивирусной программы распознает угрозу нового вредоносного ПО, он подвергает эту угрозу анализу и извлекает сигнатуру. С этого момента данное вредоносное ПО становится «известным», а его сигнатура может быть предоставлена пользователям в обновленной базе данных антивирусной программы.
Чтобы обнаружить вредоносное ПО и генерировать сигнатуры для рассылки на терминалы клиентов, разработчик приложений, предназначенных для обнаружения вредоносного ПО, должен на своей стороне (стороне внутренней обработки или стороне back-end) обработать большое число файлов и образцов кода, применив существенно большие вычислительные мощности, чем те мощности, которыми располагают клиентские терминалы. В некоторых случаях эта работа может включать в себя ручной анализ файлов и образцов кодов на стороне внутренней обработки. Естественно, целью разработчиков таких приложений является максимально возможная автоматизация процесса обнаружения вредоносного ПО на стороне внутренней обработки при одновременной минимизации риска ложных положительных результатов (ложных тревог).
Раскрытие изобретения
Задача настоящего изобретения заключается в создании способа обнаружения ложных тревог для автоматизированной или по меньшей мере частично автоматизированной схемы обнаружения вредоносного ПО. Данная задача решается посредством отбора образцов, подозреваемых в том, что они представляют собой вредоносное ПО или в том, что содержат вредоносное ПО, с целью определения того, в какой мере указанные образцы обладают свойствами или демонстрируют поведение, характерное для чистых файлов или чистого кода.
Согласно настоящему изобретению в его первом аспекте предлагается способ сканирования файлов на предмет поиска вредоносного ПО в компьютерной системе. Способ содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования для поиска вредоносного ПО с целью определения, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл все же проявляет свойства, свидетельствующие о его вредоносности, то тогда способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл проявляет свойства, свидетельствующие о его чистоте, то способ предусматривает формирование сигнала ложной тревоги.
Изобретение делает возможным уменьшить необходимость ручного вмешательства в процесс обнаружения вредоносного ПО и позволяет одновременно предупреждать разработчика сервиса и/или пользователя о потенциальных ложных тревогах. Если речь идет о разработчике сервиса, то изобретение дает ему возможность распространять более надежный продукт или услугу.
Согласно изобретению, компьютерная система может представлять собой сервер или группу серверов, например, управляемых разработчиком сервиса обнаружения вредоносного ПО. С другой стороны, компьютерная система может представлять собой клиентский компьютер, владельцем которого, например, является конечный пользователь.
Если дополнительно рассмотреть этап использования по меньшей мере одного средства сканирования для проверки чистоты с целью выявления, обладает ли файл свойствами, указывающими на его чистоту, то указанный этап может содержать одно или более действий, при которых:
определяют, содержит ли файл код, который производит вызовы интерфейса прикладного программирования,
определяют, содержит ли файл графические и/или звуковые данные,
определяют, содержит ли файл текстовые данные на многих языках человеческого общения,
определяют, содержит ли файл строки чистого текста,
определяют, насколько давно файл известен системе как не содержащий вредоносного ПО.
Естественно, что могут быть определены и другие критерии.
Указанный этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, может содержать операцию, при которой определяют меру чистоты файла, и сравнивают ее с заранее установленным порогом.
Согласно изобретению в его втором аспекте предлагается способ предоставления множеству клиентских компьютеров сервиса сканирования для поиска вредоносного ПО, содержащий этапы, на которых:
осуществляют способ, соответствующий изобретению в его первом аспекте, на сервере или группе серверов стороны внутренней обработки,
для файлов, для которых выработаны сигналы ложной тревоги, выполняют дальнейшую автоматическую или ручную проверку с целью подтверждения, является ли файл вредоносным, и
для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, которые являются признаками вредоносности, но все же обладает и свойствами, которые являются признаками чистоты файла, генерируют сигнатуру сканирования и/или правило сканирования и распространяют сигнатуры/правила по клиентским компьютерам.
Согласно изобретению в его третьем аспекте предлагается компьютерная система, содержащая вход для приема подлежащего сканированию файла, и первый процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для поиска вредоносного ПО, с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на вредоносность. Система также содержит второй процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на его чистоту, если было установлено, что файл все же обладает свойствами, указывающими на его вредоносность, и формирования сигнала ложной тревоги, если установлено, что файл обладает свойствами, свидетельствующими о его чистоте.
Согласно изобретению в его четвертом аспекте предлагается компьютерная программа, вызывающая выполнение компьютером следующих этапов:
прием в систему файла, подлежащего сканированию,
использование по меньшей мере одного средства сканирования для поиска вредоносного ПО с целью определения, обладает ли файл свойствами, свидетельствующими о его вредоносности,
если установлено, что файл все же обладает свойствами, указывающими на его вредоносность, - то использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на его чистоту, и
если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, - то формирование сигнала ложной тревоги.
Согласно изобретению в его пятом аспекте предлагается носитель данных, на котором записана программа, соответствующая изобретению в его четвертом аспекте.
Краткое описание чертежей
Фиг. 1 изображает схему алгоритма, иллюстрирующую процесс обнаружения подозреваемого вредоносного ПО и последующего выявления ложных тревог, и
фиг. 2 схематически изображает компьютер для обнаружения подозреваемого вредоносного ПО и последующего выявления ложных тревог.
Осуществление изобретения
В ходе типичного процесса обнаружения на стороне внутренней обработки, выполняемого разработчиком приложения для обнаружения вредоносного ПО, ежедневно осуществляется прием и анализ сотен и даже тысяч программных файлов (среди которых есть законченные приложения и образцы кодов). Эти файлы могут быть, например, получены средствами «паучкового» поиска в глобальной сети Интернет или могут быть доставлены на сторону внутренней обработки с клиентских терминалов, на которых работают приложения, обнаруживающие вредоносное ПО, созданные указанным разработчиком. Задача обработки на стороне внутренней обработки заключается в быстром обнаружении существующего «в природе» нового вредоносного ПО, чтобы сгенерировать сигнатуру такого ПО и разослать ее на терминалы клиентов, а также, если возможно, сформировать и разослать механизм избавления от заражения. Желательно в возможно большей степени автоматизировать указанные процессы.
Что касается процесса обнаружения вредоносного ПО, то когда на стороне внутренней обработки происходит прием нового файла, работающие там серверы принимают файл и определяют, а) содержит ли данный файл известное вредоносное ПО и/или b) файл демонстрирует поведение или свойства, которые вызывают подозрения, т.е. типичные для вредоносного ПО. Первый из указанных этапов, а), сравнительно легко автоматизировать путем анализа файла на содержание сигнатуры известного вредоносного ПО. Второй этап, b), также можно автоматизировать, применяя правила или «эвристические» процедуры, которые были созданы на основе опыта, накопленного при анализе большого числа известных вирусов. Однако этапу, b), присуща опасность генерирования ложных тревог, поскольку некоторые чистые файлы при применении одной или более эвристических процедур неизбежно дадут положительный результат. Если клиентские терминалы информировать, что чистый файл подозревается в заражении вредоносным ПО, то это вызовет ряд нежелательных последствий, включая разочарование и неудовлетворенность сканирующим приложением, и повышение уровня требований к технической поддержке со стороны разработчика приложения.
В настоящем изобретении предлагается при автоматическом сканировании файлов на предмет вредоносного ПО определение ложных тревог выполнять посредством дополнительного сканирования подозрительных файлов с целью определения показателя «чистоты» (баллов) для каждого файла. Если показатель чистоты подозрительного файла свидетельствует о том, что данный файл может быть чистым, то в отношении файла предпринимают некоторое другое действие с целью подтверждения тем или иным способом, действительно ли файл является зараженным. Например, почти никогда в образцах вредоносного ПО не используются сложные графические и звуковые библиотеки, поэтому, если файл содержит много графического и звукового кода, маловероятно, что такой файл представляет собой вредоносное ПО. Такому файлу может быть присвоен высокий показатель чистоты.
Показатель чистоты может быть установлен путем анализа одного или более свойств файла:
- Анализ кода.
Чистый код содержит кодовые комбинации, существенно отличающиеся от кодовых комбинаций зараженных файлов. Например, чистые приложения, как правило, не выполняют операции записи файлов без диалога с пользователем. Также чистые файлы, как правило, содержат гораздо больше операций с пользовательским интерфейсом (UI operations), приходящихся на строку программы, чем вредоносные файлы.
- Частота обращений к API (интерфейсу прикладного программирования).
Статистическая картина обращения к функциям для чистых приложений обычно отличается от такой же статистики для вредоносных файлов. Например, есть тенденция присутствия в чистых приложениях большего объема кода пользовательского интерфейса (UI code), также существует тенденция, что вредоносные приложения содержат большое число иных операций, чем чистые файлы.
- Деревья вызовов функций (Function call graphs).
Как уже говорилось в отношении анализа кода, функции и порядок вызова функций чистыми приложениями имеют тенденцию отличаться от функций и порядка их вызова вредоносными приложениями. Например, чистые приложения редко отправляют информацию из устройства, не совершив перед этим каких-либо обращений к пользовательскому интерфейсу. То же самое справедливо и для операций с файлами и изменений в регистрах.
- Анализ строк и ресурсов.
Вредоносные приложения почти всегда «упакованы», и поэтому они не содержат большого числа строк чистого текста. Аналогично, ресурсы, используемые вредоносными приложениями (если таковые имеются), предположительно будут запутанными.
- Время существования образца в чистом состоянии.
Т.е. насколько долго файл известен разработчику как файл, не вызывающий проблем.
- Ориентированность на место/регион.
Например, очень немногие вредоносные файлы поддерживают несколько языков.
- Схемы распространения в зависимости от географического местоположения/профиля пользователя.
Вредоносные и чистые файлы могут иметь радикально отличающиеся схемы распространения, зависящие от географического местоположения/профиля пользователя.
- Известность в Google™ и число комментариев по ПО.
Обычно Google™ содержит очень много информации обо всех чистых приложениях. Например, вероятно, что чистое коммерческое приложение будет иметь несколько комментариев, и с нескольких сайтов будет возможность скачивания чистого приложения в свободно распространяемой форме.
- Число сайтов для скачивания,
См. комментарии в Google™.
- Документация.
Очень маловероятно, что вредоносные приложения будут сопровождаться «документацией». Таким образом, может оказаться полезной простая проверка наличия документации в формате СНМ.
Степень чистоты файлов можно также установить, если посмотреть, сколько конечных пользователей сообщают о их зараженности. Необычно большое число таких сообщений может указывать на то, что файл является чистым и широко используется.
Каждой используемой эвристической процедуре может быть присвоен показатель чистоты (в баллах), при этом определение общего показателя чистоты можно выполнять путем сложения результатов с какими-то статистическими весами.
На фиг. 1 изображена схема алгоритма, иллюстрирующая процедуру обнаружения вредоносного ПО в программных файлах. После получения на шаге 100 сканирующим сервером на стороне внутренней обработки файла указанный сервер на шаге 200 выполняет «стандартное» сканирование для поиска вредоносного ПО, используя в типичном случае множество средств («движков») сканирования, обеспечивающих максимальную вероятность обнаружения. Если предположить, что система полностью автоматизирована, то файлы, не попадающие под подозрение на зараженность на шаге 300, в результате сканирования на шаге 400 признают чистыми. Файлы, которые на шаге 300 признаны подозрительными, подвергают дальнейшему сканированию на шаге 500 с целью получения показателя чистоты. На шаге 600 показатель чистоты сравнивают с некоторым установленным порогом. Если показатель чистоты для файла ниже порога, то файл на этапе 700 признают вредоносным (и предпринимают соответствующее действие, например генерируют и распространяют сигнатуры файла по терминалам клиентов). С другой стороны, если показатель чистоты превышает порог, то на шаге 800 тревогу по данному файлу признают ложной. При этом могут быть запущены другие автоматизированные процессы и/или произведено ручное вмешательство.
Хотя и ожидается, что предлагаемый в настоящем изобретении механизм обнаружения ложных тревог должен быть внедрен на стороне внутренней обработки, для работы разработчика приложений, предназначенных для обнаружения вредоносного ПО, естественно, представляется возможным внедрение указанного механизма в качестве дополнительной или альтернативной меры у клиентов на клиентской стороне (стороне front-end), т.е. внедрение данного механизма в программные продукты, поставляемые клиентам/подписчикам. В этом случае факт обнаружения возможной ложной тревоги может вызывать одно или более следующих действий: 1) файл пропускается как «чистый» (только если есть достаточное доверие механизму); 2) пользователю выдается тревожное сообщение; и 3) детали ложной тревоги передаются разработчику на сторону внутренней обработки. Действие 3) может включать в себя постановку файла на «карантин» на терминале клиента до тех пор, пока на стороне внутренней обработки не будет проведен дальнейший анализ файла, и результат возвращен на терминал клиента.
На фиг. 2 схематически изображен компьютер 1, который сконфигурирован для осуществления вышеописанного механизма обнаружения ложных тревог при поиске вредоносного ПО. В рассматриваемом примере компьютер также выполняет начальное сканирование для поиска вредоносного ПО, хотя следует понимать, что эти действия не являются в данном случае обязательными. Данный компьютер может являться сервером на стороне внутренней обработки или клиентским терминалом, таким как PC, портативный компьютер, PDA или мобильный телефон. Он содержит один или несколько центральных процессорных устройств (CPU) и связанную с ними аппаратную часть 2, а также память 3 для хранения инструкций программного обеспечения, файлов, подлежащих сканированию, и связанных с ними данных. Инструкции программного обеспечения выполняют по меньшей мере две вышеописанные основные функции, т.е. функцию 4 сканирования для поиска вредоносного ПО и функцию 5 сканирования для определения показателя чистоты и осуществления действий.
Для специалистов в данной области должно быть понятно, что в форму и детали осуществления изобретения могут быть внесены изменения, не выходящие за границы идеи и объема изобретения.

Claims (5)

1. Способ сканирования файлов для поиска вредоносного программного обеспечения (вредоносного ПО) в компьютерной системе, предоставляющей сервис сканирования для поиска вредоносного ПО для множества клиентских компьютеров, содержащий этапы, выполняемые на сервере или группе серверов стороны внутренней обработки, на которых:
принимают подлежащие сканированию файлы в систему и для каждого
файла:
используют по меньшей мере одно средство сканирования для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, которые являются признаком вредоносного ПО,
если установлено, что файл обладает свойствами, которые являются признаком вредоносного ПО, то используют по меньшей мере одно средство сканирования для определения чистоты файла с целью выявления посредством одной или более эвристических процедур, обладает ли файл свойствами, которые являются признаком его чистоты,
если установлено, что файл обладает свойствами, которые являются признаком его чистоты, то формируют сигнал ложной тревоги;
для файлов, для которых сформированы сигналы ложной тревоги, выполняют дальнейшую автоматическую и/или ручную проверку с целью подтверждения, является ли файл вредоносным; и
для каждого файла с подтвержденной вредоносностью и для каждого файла, обладающего свойствами, которые являются признаком вредоносного ПО, но также обладающего свойствами, которые являются признаками чистоты файла, генерируют сигнатуру сканирования и/или правило сканирования и распространяют эти сигнатуры и/или правила по клиентским компьютерам.
2. Способ по п. 1, отличающийся тем, что этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, содержит одно или более действий, при которых:
определяют, содержит ли файл код, который производит вызовы интерфейса прикладного программирования,
определяют, содержит ли файл графические и/или звуковые данные,
определяют, содержит ли файл текстовые данные на многих языках человеческого общения,
определяют, содержит ли файл строки чистого текста,
определяют, насколько давно файл известен системе как не содержащий вредоносного ПО.
3. Способ по п. 1 или 2, отличающийся тем, что этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, содержит операцию, при которой определяют меру чистоты файла, и сравнивают ее с заранее установленным порогом.
4. Компьютерная система стороны внутренней обработки для предоставления сервиса сканирования для поиска вредоносного ПО для множества клиентских компьютеров, содержащая:
вход для приема подлежащих сканированию файлов,
первый процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для поиска вредоносного программного обеспечения, с целью определения, обладает ли по меньшей мере один из файлов свойствами, указывающими на его вредоносность, и
второй процессор, сконфигурированный с возможностью использования по меньшей мере одного средства сканирования для проверки чистоты с целью определения посредством одной или более эвристических процедур, обладает ли по меньшей мере один из файлов свойствами, указывающими на его чистоту, если было установлено, что файл обладает свойствами, указывающими на его вредоносность, и с возможностью формирования сигнала ложной тревоги, если установлено, что файл обладает свойствами, указывающими на его чистоту;
третий процессор, сконфигурированный с возможностью выполнения для файлов, для которых сформированы сигналы ложной тревоги, дальнейшей автоматической и/или ручной проверки с целью подтверждения, является ли файл вредоносным;
четвертый процессор, сконфигурированный с возможностью генерирования сигнатуры сканирования и/или правила сканирования для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, указывающими на его вредоносность, но также обладает свойствами, указывающими на чистоту файла; и
выход для распространения сигнатур сканирования и/или правил сканирования по клиентским компьютерам.
5. Носитель данных, на который записана компьютерная программа, обеспечивающая выполнение компьютером следующих этапов:
прием в систему файлов, подлежащих сканированию, и для каждого файла:
использование по меньшей мере одного средства сканирования для поиска вредоносного программного обеспечения с целью определения, обладает ли файл свойствами, указывающими на его вредоносность,
если установлено, что файл обладает свойствами, указывающими на его вредоносность, - то использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения посредством одной или более эвристических процедур, обладает ли файл свойствами, указывающими на его чистоту,
если установлено, что файл обладает свойствами, указывающими на его чистоту, - то формирование сигнала ложной тревоги,
выполнение дальнейшей автоматической и/или ручной проверки с целью подтверждения, является ли файл вредоносным, для файлов, для которых выработаны сигналы ложной тревоги, и
генерирование сигнатуры сканирования и/или правила сканирования для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, указывающими на его вредоносность, но также обладает свойствами, указывающими на чистоту файла, и распространение этих сигнатур и/или правил по клиентским компьютерам.
RU2011152811/08A 2009-06-10 2010-05-28 Способ выявления ложных положительных результатов сканирования файлов на вредоносное по RU2573265C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0909954.0 2009-06-10
GB0909954A GB2470928A (en) 2009-06-10 2009-06-10 False alarm identification for malware using clean scanning
PCT/EP2010/057474 WO2010142545A1 (en) 2009-06-10 2010-05-28 False alarm detection for malware scanning

Publications (2)

Publication Number Publication Date
RU2011152811A RU2011152811A (ru) 2013-08-10
RU2573265C2 true RU2573265C2 (ru) 2016-01-20

Family

ID=40937157

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011152811/08A RU2573265C2 (ru) 2009-06-10 2010-05-28 Способ выявления ложных положительных результатов сканирования файлов на вредоносное по

Country Status (7)

Country Link
US (1) US8914889B2 (ru)
EP (1) EP2441025B1 (ru)
JP (1) JP5738283B2 (ru)
BR (1) BRPI1015433A2 (ru)
GB (1) GB2470928A (ru)
RU (1) RU2573265C2 (ru)
WO (1) WO2010142545A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2696236C1 (ru) * 2018-06-29 2019-07-31 Акционерное общество "Лаборатория Касперского" Способ формирования запроса информации о файле при антивирусной проверке с целью исключения ложного срабатывания

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975303B1 (en) * 2005-06-27 2011-07-05 Symantec Corporation Efficient file scanning using input-output hints
US20130111018A1 (en) * 2011-10-28 2013-05-02 International Business Machines Coporation Passive monitoring of virtual systems using agent-less, offline indexing
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US9245120B2 (en) * 2012-07-13 2016-01-26 Cisco Technologies, Inc. Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning
US20140040279A1 (en) * 2012-08-02 2014-02-06 International Business Machines Corporation Automated data exploration
CN105874463A (zh) * 2013-12-30 2016-08-17 诺基亚技术有限公司 用于恶意软件检测的方法和装置
GB2532199B (en) * 2014-11-05 2018-10-03 F Secure Corp Determining malware status of file
US10075454B1 (en) * 2015-03-31 2018-09-11 Symantec Corporation Using telemetry data to detect false positives
CN106295328B (zh) * 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
US9800588B1 (en) * 2015-12-16 2017-10-24 Symantec Corporation Automated analysis pipeline determination in a malware analysis environment
RU2625053C1 (ru) 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Устранение ложных срабатываний антивирусных записей
US10885188B1 (en) 2016-12-30 2021-01-05 Comodo Security Solutions, Inc. Reducing false positive rate of statistical malware detection systems
US11605093B1 (en) * 2017-02-22 2023-03-14 Amazon Technologies, Inc. Security policy enforcement
WO2018179628A1 (ja) * 2017-03-28 2018-10-04 日本電気株式会社 シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体
JP7436567B2 (ja) * 2022-06-16 2024-02-21 株式会社日立製作所 ストレージシステム及び不正アクセス検知方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2221269C2 (ru) * 1996-09-05 2004-01-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
KR100864867B1 (ko) * 2007-12-05 2008-10-23 한국전자통신연구원 휴대용 단말기에서의 악성 파일 탐지 장치 및 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
US7290282B1 (en) * 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
US7519990B1 (en) * 2002-07-19 2009-04-14 Fortinet, Inc. Managing network traffic flow
US7832011B2 (en) * 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
GB2400933B (en) * 2003-04-25 2006-11-22 Messagelabs Ltd A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered
US7257842B2 (en) * 2003-07-21 2007-08-14 Mcafee, Inc. Pre-approval of computer files during a malware detection
US20040172551A1 (en) * 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.
US7908653B2 (en) * 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
WO2006060581A2 (en) * 2004-11-30 2006-06-08 Sensory Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
US8713686B2 (en) * 2006-01-25 2014-04-29 Ca, Inc. System and method for reducing antivirus false positives
JP2007213239A (ja) * 2006-02-08 2007-08-23 Toshiba Corp 医用装置及び医用情報管理装置
GB0605117D0 (en) * 2006-03-14 2006-04-26 Streamshield Networks Ltd A method and apparatus for providing network security
US20090013405A1 (en) * 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
US8621610B2 (en) 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8037536B2 (en) * 2007-11-14 2011-10-11 Bank Of America Corporation Risk scoring system for the prevention of malware
US8028338B1 (en) * 2008-09-30 2011-09-27 Symantec Corporation Modeling goodware characteristics to reduce false positive malware signatures
US8312548B1 (en) * 2009-04-24 2012-11-13 Network Appliance, Inc. Volume metadata update system for antivirus attributes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2221269C2 (ru) * 1996-09-05 2004-01-10 Чейенн Софтвэа Интернэшнл Сэйлс Корп. Антивирусный агент для совместного использования с базами данных и почтовыми серверами
KR100864867B1 (ko) * 2007-12-05 2008-10-23 한국전자통신연구원 휴대용 단말기에서의 악성 파일 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2696236C1 (ru) * 2018-06-29 2019-07-31 Акционерное общество "Лаборатория Касперского" Способ формирования запроса информации о файле при антивирусной проверке с целью исключения ложного срабатывания

Also Published As

Publication number Publication date
RU2011152811A (ru) 2013-08-10
GB0909954D0 (en) 2009-07-22
BRPI1015433A2 (pt) 2016-04-19
US20120084865A1 (en) 2012-04-05
JP2012529690A (ja) 2012-11-22
JP5738283B2 (ja) 2015-06-24
EP2441025B1 (en) 2016-07-20
WO2010142545A1 (en) 2010-12-16
GB2470928A (en) 2010-12-15
US8914889B2 (en) 2014-12-16
EP2441025A1 (en) 2012-04-18

Similar Documents

Publication Publication Date Title
RU2573265C2 (ru) Способ выявления ложных положительных результатов сканирования файлов на вредоносное по
US11677764B2 (en) Automated malware family signature generation
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
US9953162B2 (en) Rapid malware inspection of mobile applications
US11861006B2 (en) High-confidence malware severity classification of reference file set
US8307434B2 (en) Method and system for discrete stateful behavioral analysis
US8925085B2 (en) Dynamic selection and loading of anti-malware signatures
US11916937B2 (en) System and method for information gain for malware detection
JP6711000B2 (ja) 情報処理装置、ウィルス検出方法及びプログラム
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
US20120054870A1 (en) Providing Information to a Security Application
US9787699B2 (en) Malware detection
US11550920B2 (en) Determination apparatus, determination method, and determination program
US8479289B1 (en) Method and system for minimizing the effects of rogue security software
CN115495740A (zh) 一种病毒检测方法和装置
US20140237598A1 (en) Reducing the Spread of Viruses and Errors in Social Networks and Affinity Groups
CN113420302A (zh) 主机漏洞检测方法及装置
CN112948831A (zh) 应用程序风险识别的方法和装置
CN112580038A (zh) 反病毒数据的处理方法、装置及设备
CN112948830B (zh) 文件风险识别的方法和装置
Hinne Into the Gates of Troy: A Comparative Study of Antivirus Solutions for the Detection of Trojan Horse Malware.
CN113568775A (zh) 程序异常捕获方法、装置、设备及可读存储介质