RU2652448C1 - System and method of adapting patterns of dangerous program behavior to users' computer systems - Google Patents

System and method of adapting patterns of dangerous program behavior to users' computer systems Download PDF

Info

Publication number
RU2652448C1
RU2652448C1 RU2017128539A RU2017128539A RU2652448C1 RU 2652448 C1 RU2652448 C1 RU 2652448C1 RU 2017128539 A RU2017128539 A RU 2017128539A RU 2017128539 A RU2017128539 A RU 2017128539A RU 2652448 C1 RU2652448 C1 RU 2652448C1
Authority
RU
Russia
Prior art keywords
computer system
events
monitoring module
pattern
activity monitoring
Prior art date
Application number
RU2017128539A
Other languages
Russian (ru)
Inventor
Михаил Александрович Павлющик
Юрий Геннадьевич Слободянюк
Алексей Владимирович Монастырский
Владислав Валерьевич Мартыненко
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017128539A priority Critical patent/RU2652448C1/en
Application granted granted Critical
Publication of RU2652448C1 publication Critical patent/RU2652448C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

FIELD: information technology.
SUBSTANCE: invention relates to use of patterns of dangerous program behavior with a high level of false detections. System for changing the parameters of a dangerous program behavior pattern for a user of a computer system contains a training module, activity monitoring module.
EFFECT: reducing the number of false threat detections when using a pattern of dangerous program behavior on a user's computer system.
12 cl, 3 dwg

Description

Область техникиTechnical field

Настоящее изобретение относится к эвристическим способам защиты компьютерных систем от вредоносных программ и более конкретно к способам использования шаблонов опасного поведения программ с высоким уровнем ложных обнаружений.The present invention relates to heuristic methods for protecting computer systems from malware, and more particularly to methods for using patterns of dangerous behavior of programs with a high level of false detection.

Уровень техникиState of the art

В современном решении для антивирусной защиты компьютерных систем должно быть предусмотрено несколько слоев защиты. Помимо классической сигнатурной проверки, то есть поиска опасной, уже известной программы по антивирусным базам, антивирусное приложение должно также обладать возможностями поведенческого детектирования - то есть уметь распознавать угрозу по поведению программы. Такой подход позволяет эффективно обнаруживать новые и еще не известные угрозы.In a modern solution for anti-virus protection of computer systems, several layers of protection should be provided. In addition to the classic signature verification, that is, the search for a dangerous, already known program by anti-virus databases, the anti-virus application should also have the capabilities of behavioral detection - that is, be able to recognize a threat by the behavior of the program. This approach allows you to effectively detect new and yet unknown threats.

Модули мониторинга активности являются частью современных антивирусных продуктов и обеспечивают проактивную защиту компьютерных систем. Они следят за всеми программными процессами, сравнивая их поведение с моделями, характерными для вредоносных программ. Обнаруженная подозрительная программа может, к примеру, быть автоматически помещена на карантин. На основе информации, собранной модулем мониторинга, при лечении вредоносных программ может выполняться откат произведенных ими в операционной системе действий. Кроме того, модуль мониторинга активности постоянно контролирует доступ к файлам, а при запросе доступа к ним сохраняет их временные резервные копии. Поэтому, если антивирусный продукт обнаружит попытку зашифровать какие-либо файлы, то наличие временных резервных копий позволит вернуть данные в первоначальный вид.Activity monitoring modules are part of modern antivirus products and provide proactive protection for computer systems. They monitor all software processes by comparing their behavior with malware-specific patterns. A detected suspicious program can, for example, be automatically quarantined. Based on the information collected by the monitoring module, in the treatment of malicious programs, the actions performed by them in the operating system can be rolled back. In addition, the activity monitoring module constantly monitors access to files, and when requesting access to them, it saves their temporary backups. Therefore, if an anti-virus product detects an attempt to encrypt any files, then the presence of temporary backups will allow you to return the data to its original form.

Подобные системы безопасности для обнаружения угроз используют шаблоны опасного поведения программ. Шаблоны зачастую разрабатываются вручную специалистами антивирусных компаний и содержат последовательности действий программ, которые антивирусный продукт классифицирует как опасные. Среди разрабатываемых шаблонов опасного поведения программ есть категория шаблонов, которые в ряде сценариев позволяют эффективно обнаруживать вредоносное поведение, однако при использовании таких шаблонов есть существенный риск появления ложных обнаружений (от англ. False detection или сокращенно FD) в некотором окружении. Однако, несмотря на высокий уровень ложных обнаружений, использование таких шаблонов может существенно повысить качество поведенческого обнаружения антивирусным продуктом вредоносных программ.Such security systems use threat detection patterns to detect threats. Templates are often developed manually by specialists of anti-virus companies and contain sequences of actions of programs that the anti-virus product classifies as dangerous. Among the developed patterns of dangerous behavior of programs, there is a category of patterns that in a number of scenarios can effectively detect malicious behavior, but when using such patterns there is a significant risk of false detection (from the English False detection or abbreviated FD) in some environments. However, despite the high level of false detection, the use of such patterns can significantly improve the quality of behavioral detection of malware by an antivirus product.

Для решения проблемы использования такого рода шаблонов опасного поведения программ были разработаны система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей.To solve the problem of using such kind of patterns of dangerous behavior of programs, a system and method were developed for adapting patterns of dangerous behavior of programs to computer systems of users.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение предназначено для адаптирования шаблона опасного поведения программ под компьютерную систему пользователя.The present invention is intended to adapt a pattern of dangerous program behavior to a user's computer system.

Технический результат настоящего изобретения заключается в уменьшении количества ложных обнаружений угроз при использовании шаблона опасного поведения программ на компьютерной системе пользователя.The technical result of the present invention is to reduce the number of false threat detections when using the pattern of dangerous behavior of programs on the user's computer system.

В одном из вариантов осуществления данного изобретения реализуется способ изменения параметров шаблона опасного поведения программ для компьютерной системы, по которому: (а) при помощи модуля обучения загружают в модуль мониторинга активности шаблон опасного поведения программ и устанавливают для него первый режим использования, при котором модуль мониторинга активности, обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения; (б) в течение заданного первого периода времени:In one embodiment of the present invention, a method for changing the parameters of a pattern of dangerous behavior of programs for a computer system is implemented, according to which: (a) using a training module, a pattern of dangerous behavior of programs is loaded into the activity monitoring module and a first use mode is established for it, in which the monitoring module activity, detects threats on the computer system that match the mentioned pattern, but does not take actions to eliminate them; (b) for a given first period of time:

• обнаруживают при помощи модуля мониторинга активности угрозы, соответствующие упомянутому шаблону, где обнаружение угрозы обусловлено обнаружением событий из упомянутого шаблона;• detect using the monitoring module activity of threats corresponding to the mentioned pattern, where the detection of the threat is due to the detection of events from the said pattern;

• при помощи модуля обучения добавляют параметры в упомянутый шаблон, исключающие из последующего обнаружения те события, для которых при помощи модуля мониторинга активности установлено выполнение следующих условий: события наступили в результате действий пользователя; и события были обнаружены более определенного количества раз в течение заданного второго периода времени;• using the training module, add parameters to the mentioned template that exclude from the subsequent detection those events for which the following conditions have been established using the activity monitoring module: the events occurred as a result of user actions; and events have been detected more than a certain number of times during a given second period of time;

(в) переводят при помощи модуля обучения шаблон опасного поведения программ во второй режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.(c) using the training module, the template of dangerous behavior of programs is transferred to the second mode of use, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template and performs actions to eliminate them.

При этом угрозами являются вредоносные программы.The threats are malware.

В другом варианте осуществления данного изобретения параметрами являются любые из перечисленных и их комбинации: системные вызовы; аргументы системных вызовов; файлы, процессы или данные, их идентифицирующие; запросы вердиктов от любых систем безопасности.In another embodiment of the invention, the parameters are any of those listed and combinations thereof: system calls; system call arguments files, processes or data identifying them; Verdict requests from any security system.

Еще в одном варианте осуществления данного изобретения действиями пользователя являются: взаимодействие с элементом графического интерфейса; использование средства ввода информации.In yet another embodiment of the invention, user actions are: interacting with a graphical interface element; use of information input means.

В другом варианте осуществления данного изобретения второй период времени больше или равен первому периоду времени.In another embodiment of the invention, the second time period is greater than or equal to the first time period.

Еще в одном варианте осуществления данного изобретения действиями для устранения угроз являются: удаление вредоносной программы; восстановление компьютерной системы; запрос действий у пользователя; помещение вредоносной программы на карантин.In yet another embodiment of the invention, actions to eliminate threats are: removal of a malicious program; computer system recovery; request action from the user; quarantining malware.

Еще в одном варианте осуществления данного изобретения реализуется система изменения параметров шаблона опасного поведения программ под пользователя компьютерной системы, содержащая:In another embodiment of the present invention, a system for changing the parameters of a pattern of dangerous program behavior for a user of a computer system is implemented, comprising:

модуль обучения, предназначенный для:training module designed for:

загрузки в модуль мониторинга шаблона опасного поведения программ и установки для него первого режим использования, при котором модуль мониторинга активности, обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения;loading into the monitoring module the template of dangerous behavior of programs and setting the first usage mode for it, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template, but does not take actions to eliminate them;

перевода шаблона опасного поведения программ во второй режим, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения;transferring the pattern of dangerous behavior of programs to the second mode, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned pattern and performs actions to eliminate them;

изменения шаблонов путем добавления параметров, исключающих из последующего обнаружения те события, для которых при помощи модуля мониторинга активности было установлено выполнение следующих условий:changing the templates by adding parameters that exclude from the subsequent detection those events for which the following conditions were established using the activity monitoring module:

события наступили в результате действий пользователя; иevents occurred as a result of user actions; and

события были обнаружены более определенного количества раз в течение заданного второго периода времени;events were detected more than a certain number of times during a given second period of time;

модуль мониторинга активности, предназначенный для:activity monitoring module designed for:

обнаружения угроз на компьютерной системе, соответствующих шаблону, где обнаружение угрозы обусловлено обнаружением событий из упомянутого шаблона;detecting threats on the computer system corresponding to the pattern, where the threat detection is determined by the detection of events from the said pattern;

определения, что события наступили в результате действий пользователя компьютерной системы и события были обнаружены более определенного количества раз в течение заданного второго периода времени.determining that the events occurred as a result of the actions of the user of the computer system and the events were detected more than a certain number of times during a given second period of time.

При этом угрозами являются вредоносные программы.The threats are malware.

В другом варианте осуществления данного изобретения событиями являются системные вызовы в рамках компьютерной системы.In another embodiment of the invention, the events are system calls within a computer system.

Еще в одном варианте осуществления данного изобретения параметрами являются любые из перечисленных и их комбинации: системные функции; аргументы системных функций; файлы, приложения, активные процессы или данные, их идентифицирующие; запросы вердиктов от любых систем безопасности.In yet another embodiment of the invention, the parameters are any of these and combinations thereof: system functions; arguments to system functions; files, applications, active processes or data identifying them; Verdict requests from any security system.

В другом варианте осуществления данного изобретения действиями пользователя являются: взаимодействие с элементом графического интерфейса; использование средства ввода информации.In another embodiment of the present invention, user actions are: interacting with a graphical interface element; use of information input means.

Еще в одном варианте осуществления данного изобретения второй период времени больше или равен первому периоду времени.In yet another embodiment of the invention, the second time period is greater than or equal to the first time period.

В другом варианте осуществления данного изобретения действиями для устранения угроз являются: удаление вредоносной программы; восстановление компьютерной системы; запрос действий у пользователя; помещение вредоносной программы на карантин.In another embodiment of the invention, actions to eliminate threats are: removal of a malicious program; computer system recovery; request action from the user; quarantining malware.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 показывает способ изменения параметров шаблона опасного поведения программ для компьютерной системы пользователя.FIG. 1 shows a method for changing the parameters of a pattern of dangerous program behavior for a user's computer system.

Фиг. 2 показывает систему изменения параметров шаблона опасного поведения программ для компьютерной системы пользователя.FIG. 2 shows a system for changing the parameters of a pattern of dangerous program behavior for a user's computer system.

Фиг. 3 показывает пример компьютерной системы общего назначения.FIG. 3 shows an example of a general purpose computer system.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details necessary to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

Модуль мониторинга активности является частью большинства антивирусных приложений, запущенных на компьютерных системах пользователей. Данный компонент отслеживает активность запущенных программ (процессов) и позволяет в режиме реального времени анализировать их действия. Например, изменился системный реестр, загрузочный сектор или файл был изменен - информация о произошедших событиях записывается в специальную базу данных. Впоследствии эти данные могут быть использованы для восстановления компьютерной системы до исходного состояния. Вместе с тем в состав модуля мониторинга активности входит набор шаблонов опасного поведения программ - моделей поведения, по которым можно вычислить неизвестное вредоносное программное обеспечение. Кроме того, модуль мониторинга активности обменивается информацией с другими компонентами антивирусного программного обеспечения и, запоминая цепочки событий, формирует целостную картину поведения и фиксирует следы каждой отдельной программы и групп программ, а также отслеживает действия программ не только в текущей сессии, но и на протяжении всего жизненного цикла программы. Это значительно повышает точность обнаружения вредоносных программ.The activity monitoring module is part of most anti-virus applications running on users' computer systems. This component monitors the activity of running programs (processes) and allows real-time analysis of their actions. For example, the system registry has changed, the boot sector or the file has been changed - information about the events that have occurred is recorded in a special database. Subsequently, this data can be used to restore the computer system to its original state. At the same time, the activity monitoring module includes a set of patterns of dangerous program behavior - behavior models by which unknown malware can be calculated. In addition, the activity monitoring module exchanges information with other components of anti-virus software and, remembering the chain of events, forms an integral picture of behavior and captures the traces of each individual program and program groups, and also tracks the actions of programs not only in the current session, but throughout program life cycle. This greatly improves the accuracy of malware detection.

Шаблон опасного поведения программ (BSS, от англ. Behavior Stream Signature) содержит набор событий, наступление которых в рамках компьютерной системы обуславливает обнаружение угрозы, соответствующей данному шаблону. Выполнение шаблона предписывает модулю мониторинга активности обнаружить угрозу. Далее по тексту для упрощения шаблон опасного поведения программ будем называть шаблоном. События, перечисленные в шаблоне, могут быть связаны с системными вызовами, посредством которых процессы взаимодействуют с любыми объектами в рамках операционной системы, например, файлами, данными, загруженными в оперативную память, или другими процессами. События могут быть связаны с сетевым трафиком, а именно с выявлением в нем определенных последовательностей данных или с определением его текущих характеристик. Также события могут быть связаны с анализом кода, загруженного в оперативную память, - модуль мониторинга активности может считывать данные из любых участков оперативной памяти и осуществлять их анализ.The Behavior Stream Signature (BSS) pattern of programs contains a set of events whose occurrence within the framework of a computer system determines the detection of a threat that matches this pattern. Running the template instructs the activity monitoring module to detect a threat. Further in the text, to simplify the pattern of dangerous behavior of programs, we will call the template. The events listed in the template can be associated with system calls through which processes interact with any objects within the operating system, for example, files, data loaded into RAM, or other processes. Events can be related to network traffic, namely, the identification of certain data sequences in it or the determination of its current characteristics. Events can also be associated with the analysis of the code loaded into the main memory - the activity monitoring module can read data from any part of the main memory and analyze them.

События, перечисленные в шаблоне, могут быть уточнены посредством указания параметров (параметров событий), которым данное событие должно соответствовать. Этими параметрами могут быть, например, идентификаторы процессов, адреса и диапазоны адресов памяти, файлы, их идентификаторы и директории. Помимо событий в шаблонах также могут быть использованы условные и логические операторы, например, с их помощью в шаблоне могут быть определены временные рамки и очередность наступления событий. Более того, в шаблон могут включаться запросы экспертизы и вердиктов от других систем безопасности, так как модуль мониторинга активности может обмениваться информацией с другими компонентами антивирусного программного обеспечения, как локальными, так и удаленными. Например шаблон может содержать в себе запрос к списку доверенных программ, с целью определения является ли процесс выполняющий действия на компьютерной системе известным и доверенным или же нет.The events listed in the template can be refined by specifying the parameters (event parameters) to which this event should correspond. These parameters can be, for example, process identifiers, addresses and ranges of memory addresses, files, their identifiers and directories. In addition to events in the templates, conditional and logical operators can also be used, for example, with their help, the time frame and the sequence of events can be determined in the template. Moreover, examination and verdict requests from other security systems may be included in the template, since the activity monitoring module can exchange information with other anti-virus software components, both local and remote. For example, a template may contain a request to a list of trusted programs, in order to determine whether a process performing actions on a computer system is known and trusted or not.

Обнаружение угрозы, соответствующей шаблону, осуществляется тогда, когда модулем мониторинга активности были выявлены все события из данного шаблона. Другими словами, в рамках компьютерной системы произошли все события, перечисленные в шаблоне, и факты того, что данные события наступили, были зафиксированы модулем мониторинга активности. Набор событий, перечисленных в шаблоне, характеризует определенный вектор атаки, который позволяет локализовать вредоносный объект на компьютерной системе, при помощи которого реализуются кибератаки, а так же целевые кибератаки. Модуль мониторинга активности отслеживает события в рамках компьютерной системы любым известным из уровня техники способом, например в частном случае реализации для операционных систем семейства Windows отслеживание событий может осуществляться путем установки соответствующих драйвер-фильтров.A threat corresponding to the pattern is detected when the activity monitoring module has detected all events from this pattern. In other words, within the framework of the computer system, all the events listed in the template occurred, and the facts that these events occurred were recorded by the activity monitoring module. The set of events listed in the template characterizes a certain attack vector, which allows you to localize a malicious object on a computer system, through which cyber attacks, as well as targeted cyber attacks, are implemented. The activity monitoring module monitors events within a computer system by any method known in the art, for example, in the particular case of implementation for Windows operating systems, event tracking can be carried out by installing appropriate driver filters.

Угрозами, соответствующими шаблонам, в рамках заявленного изобретения являются вредоносные программы. Вредоносные программы, выявленные при помощи шаблона, идентифицируются по файлам, относящимся к данной вредоносной программе, например по исполняемому файлу, и/или по процессу, то есть активно исполняемой вредоносной программе, загруженной в оперативную память компьютерной системы. К примеру, простейший шаблон для выявления такой угрозы, как программы-шифровальщики - разновидность вредоносных программ-вымогателей, которые осуществляют шифрование важных для пользователя данных на компьютерной системе с целью вымогательства денег, - в исходном виде содержит событие «внесения изменения в файл» и срабатывает на изменение любого файла, инициированного любым процессом. Такой шаблон не может использоваться без адаптирования его к конкретной компьютерной системе в силу того, что данный шаблон слишком широко сформулирован, а событие «внесения изменения в файл» само по себе не является вредоносным, вследствие чего использование данного шаблона приводит к большому количеству ложных обнаружений. Естественно, данный пример приведен лишь для наглядности, и реальный шаблон не описывается настолько широко, а содержит в себе массу параметров, условий и исключений, позволяющих существенно снизить количество ложных обнаружений.Threats corresponding to the patterns in the framework of the claimed invention are malware. Malicious programs detected using the template are identified by files related to this malicious program, for example, by an executable file, and / or by a process, that is, an actively executing malicious program, loaded into the RAM of a computer system. For example, the simplest template for detecting a threat such as ransomware — a type of ransomware that encrypts user-important data on a computer system to extort money — contains the “file modification” event in its original form and fires to modify any file initiated by any process. Such a template cannot be used without adapting it to a specific computer system due to the fact that this template is too broadly worded, and the “make changes to the file” event is not harmful in itself, and as a result, using this template leads to a lot of false positives. Naturally, this example is given only for illustration, and the real template is not described so broadly, but contains a lot of parameters, conditions and exceptions that can significantly reduce the number of false detections.

Ложно обнаруженными угрозами являются доверенные программы, которые идентифицируются как вредоносные соответствующим шаблоном, однако не являются таковыми [вредоносными]. Определение того, является ли обнаруженная при помощи шаблона угроза ложно обнаруженной, осуществляется дополнительными проверками, одна из которых осуществляется при помощи модуля мониторинга активности и подсистемы мониторинга действий пользователя. Данный способ проверки будет описан ниже по тексту. Другим способом определения, была ли обнаруженная угроза ложно обнаруженной, является проверка программ, соответствующих выявленным угрозам, по базам доверенных программ.False threats are trusted programs that are identified as malicious by the corresponding pattern, but are not [malicious]. Determining whether a threat detected by using the template is a false detection is carried out by additional checks, one of which is carried out using the activity monitoring module and the user activity monitoring subsystem. This verification method will be described below. Another way to determine if a detected threat was falsely detected is to check the programs corresponding to the identified threats against the databases of trusted programs.

Как упоминалось выше, шаблоны разрабатываются вручную специалистами антивирусных компаний. Сразу после создания шаблон необходимо протестировать и определить эффективность его работы, для этого шаблон загружается на все компьютерные системы пользователей и запускается в режиме молчания (от англ. Silent mode). Режим молчания (или первый режим) - это такой режим использования шаблона, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Соответственно, режимом применения шаблонов (или вторым режимом) называется такой режим использования шаблонов, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения. В течение определенного периода времени шаблон работает на компьютерных системах пользователей в режиме молчания, при этом на удаленном сервере собирается статистика обнаруженных на компьютерных системах угроз с использованием данного шаблона. Статистика может включать в себя по меньшей мере следующие данные: идентификатор угрозы, идентификатор шаблона, имена и хеш суммы файлов и процессов, относящихся к обнаруженной угрозе. Данная статистика впоследствии анализируется специалистами антивирусной компании, и в шаблон вносятся изменения, повышающие эффективность использования данного шаблона, то есть позволяющие снизить количество ложных обнаружений. В процессе анализа собранной статистики все обнаруженные при помощи шаблона угрозы проверяются на предмет того, являются ли они ложно обнаруженными угрозами. Данная проверка может осуществляться проверкой файлов и процессов, относящихся к обнаруженной угрозе, по спискам доверенных файлов и программ. Обновленный шаблон повторно загружается на компьютерные системы пользователей и запускается опять же в режиме молчания. Описанный цикл ручного обновления шаблона повторяется до тех пор, пока количество ложных обнаружений угроз, соответствующих шаблону, в собранной статистике использования не станет равным нулю или не превысит заданного значения, после чего такие шаблоны переводятся в режим применения. Однако уровень ложных обнаружений угроз для некоторых шаблонов невозможно свести к нулю, как, например, в случае с шаблоном, позволяющим выявлять вредоносные программы, шифрующие данные пользователя. Для таких шаблонов уровень ложных обнаружений может быть лишь доведен до определенного уровня (например, <3%). При таком уровне ложных обнаружений использование шаблона на неопределенном множестве компьютерных систем все еще невозможно, однако такой шаблон можно адаптировать при помощи заявленного изобретения к использованию на каждой конкретной компьютерной системе.As mentioned above, the templates are developed manually by specialists of anti-virus companies. Immediately after creating the template, you need to test and determine the effectiveness of its work, for this the template is downloaded to all computer systems of users and launched in silent mode (from the English Silent mode). Silence mode (or the first mode) is a mode of using a template in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template, but does not take actions to eliminate them. Accordingly, the mode of using templates (or the second mode) is the mode of using templates in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template and performs actions to eliminate them. For a certain period of time, the template works in silent mode on users' computer systems, while statistics on threats detected on computer systems are collected on a remote server using this template. Statistics can include at least the following data: threat identifier, template identifier, names and hash of the sum of files and processes related to the detected threat. These statistics are subsequently analyzed by specialists of an anti-virus company, and changes are made to the template to increase the efficiency of using this template, that is, to reduce the number of false detections. In the process of analyzing the collected statistics, all threats detected using the template are checked for whether they are falsely detected threats. This check can be performed by checking files and processes related to the detected threat against lists of trusted files and programs. The updated template is reloaded onto the users computer systems and is launched again in silent mode. The described cycle for manually updating the template is repeated until the number of false threat detections matching the template in the collected usage statistics becomes zero or exceeds the specified value, after which such templates are transferred to the application mode. However, the level of false threat detections for some patterns cannot be reduced to zero, as, for example, in the case of a pattern that allows the detection of malicious programs that encrypt user data. For such patterns, the level of false detection can only be brought to a certain level (for example, <3%). With this level of false detection, the use of a template on an indefinite number of computer systems is still impossible, however, such a template can be adapted using the claimed invention to be used on each specific computer system.

В рамках заявленного изобретения реализован способ для использования шаблонов, уровень ложных обнаружений которых не равен нулю. Им является изменения параметров шаблона опасного поведения программ для компьютерной системы, при котором в течение заданного периода времени (периода обучения) шаблон используется в режиме молчания на компьютерной системе пользователя. Во время периода обучения в шаблон при помощи модуля обучения добавляются параметры, позволяющие исключить из последующего обнаружения те события, для которых выполняются оба условия: событие наступило в результате действий пользователя; и событие носит регулярный характер, т.е. было зафиксировано при помощи модуля мониторинга активности более заранее заданного количества раз. После этого шаблон переводится в режим применения.In the framework of the claimed invention, a method for using patterns whose false detection rate is not equal to zero is implemented. This is changing the parameters of the pattern of dangerous behavior of programs for a computer system, in which for a specified period of time (training period) the template is used in silent mode on the user's computer system. During the training period, parameters are added to the template using the training module to exclude from the subsequent detection those events for which both conditions are fulfilled: the event occurred as a result of user actions; and the event is regular, i.e. was recorded using the activity monitoring module more than a predetermined number of times. After that, the template is transferred to the application mode.

Для определения того, связано ли какое-либо событие с действиями пользователя, модуль мониторинга активности содержит подсистему мониторинга действий пользователя, которая отслеживает взаимодействия пользователя с графическим интерфейсом операционной системы посредством интерфейсов ввода. Под интерфейсами операционной системы согласно «Словарям» Yandex (http://slovari.yandex.ru) подразумеваются средства и способы взаимодействия пользователей с операционной системой компьютера или программой. В рамках данного изобретения необходимо различать графический интерфейс (взаимодействие с компьютером организуется с помощью пиктограмм, меню, диалоговых окон и пр.) и интерфейсы ввода (средства взаимодействия пользователя с компьютером). Интерфейсами ввода могут быть, например, средства ввода данных, такие как клавиатура, мышь или сенсорные элементы управления, а также средства фото-, видео- и аудиозахвата данных и другие средства. Подсистема мониторинга действий пользователя фиксирует команды, поступающие от интерфейсов ввода в процессе взаимодействия пользователя с графическим интерфейсом пользователя операционной системой, и, таким образом, определяет, какие события в рамках компьютерной системы наступили в результате действий пользователя.To determine whether any event is associated with user actions, the activity monitoring module contains a user activity monitoring subsystem that monitors user interactions with the graphical interface of the operating system through input interfaces. According to Yandex Dictionaries (http://slovari.yandex.ru), operating system interfaces are understood as means and methods of user interaction with the computer’s operating system or program. In the framework of this invention, it is necessary to distinguish between a graphical interface (interaction with a computer is organized using icons, menus, dialog boxes, etc.) and input interfaces (means of user interaction with a computer). Input interfaces can be, for example, data input means, such as a keyboard, mouse, or touch controls, as well as photo, video, and audio data capture means and other means. The subsystem for monitoring user actions captures the commands received from input interfaces during user interaction with the graphical user interface of the operating system, and thus determines what events within the computer system occurred as a result of user actions.

На Фиг. 1 изображена система адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей. В рамках заявленной системы на стороне компьютерной системы пользователя запущено антивирусное приложение 100, которое включает в себя два основных для данного изобретения модуля: модуль мониторинга активности 101 и модуля обучения 102. Также антивирусное приложение 100 включает в себя другие модули {Модули 1, Модуль 2, Модуль N}, с которыми, в частности, может взаимодействовать как модуль мониторинга активности 101 в процессе работы с шаблонами, так и модуль обучения 102. Более того, антивирусное приложение 100 связано с такими элементами инфраструктуры антивирусной компании, как база «нечетких шаблонов» 103, и сервисами 104. База «нечетких шаблонов» 103 содержит те самые упомянутые выше шаблоны, уровень ложных обнаружения которых доведен специалистами антивирусной компании до определенного уровня, но не равен нулю. Под сервисами 104 понимают любые элементы инфраструктуры антивирусной компании, которые используются антивирусным приложением 100 удаленно, то есть находятся на удаленных серверах антивирусной компании.In FIG. 1 shows a system for adapting patterns of dangerous behavior of programs to computer systems of users. Within the framework of the claimed system, an anti-virus application 100 has been launched on the side of the user's computer system, which includes two main modules for this invention: activity monitoring module 101 and training module 102. Also, anti-virus application 100 includes other modules {Modules 1, Module 2, Module N}, with which, in particular, both the activity monitoring module 101 in the process of working with templates and the training module 102 can interact. Moreover, the anti-virus application 100 is associated with such infrastructure elements Virus urs companies like base "fuzzy pattern '103 and services 104. Base" fuzzy pattern' 103 contains the most templates mentioned above, the level of false detection which brought experts antivirus company to a certain level, but not zero. Services 104 are understood to mean any elements of the anti-virus company infrastructure that are used remotely by the anti-virus application 100, that is, they are located on the remote servers of the anti-virus company.

Модуль мониторинга активности 101 предназначен для обнаружения угроз на компьютерной системе пользователя, соответствующих шаблону опасного поведения программ. Также модуль мониторинга активности 101 осуществляет отслеживание событий, происходящих в раках компьютерной системы, и накапливает статистические данные о таких событиях, в том числе формирует журнал событий, который включает в себя перечень событий и их параметров (подробнее о параметрах событий будет описано ниже). Модуль мониторинга активности 101 содержит в себе подсистему мониторинга действий пользователя, которая позволяет определять, наступило ли событие, связанное с шаблоном, в результате действий пользователя компьютерной системы, устанавливая, имело ли место взаимодействие пользователя с элементами графического интерфейса и/или использование пользователем средств ввода информации. Определение упомянутых выше фактов при помощи модуля мониторинга активности 101 в совокупности с повторяющимся характером оцениваемых действий позволяет с высокой вероятностью утверждать, что данные события привели к ложному обнаружению угрозы и должны быть исключены из дальнейшего обнаружения в рамках соответствующего шаблона. Упомянутый повторяющийся характер действий тождественен повторяющемуся характеру событий, наступивших в результате действий пользователя. Таким образом, упомянутый повторяющийся характер в одном из вариантов осуществления данного изобретения может быть установлен по журналу событий, формируемому модулем мониторинга активности 101.Activity monitoring module 101 is designed to detect threats on the user's computer system that match the pattern of dangerous behavior of programs. Also, activity monitoring module 101 monitors events occurring in the cancers of a computer system and accumulates statistics on such events, including generating an event log that includes a list of events and their parameters (more about the parameters of events will be described below). The activity monitoring module 101 includes a subsystem for monitoring user actions, which allows you to determine whether an event associated with a template has occurred as a result of user actions on a computer system, establishing whether there has been a user interaction with graphical interface elements and / or a user’s use of information input tools . The determination of the facts mentioned above using the activity monitoring module 101 in conjunction with the repeating nature of the actions being evaluated allows us to state with high probability that these events led to a false threat detection and should be excluded from further detection within the framework of the corresponding template. The mentioned recurring nature of actions is identical to the recurring nature of events that have occurred as a result of user actions. Thus, the aforementioned recurring nature in one of the embodiments of the present invention can be set according to the event log generated by the activity monitoring module 101.

В другом варианте осуществления данного изобретения модуль мониторинга активности 101 также предназначен для сбора статистики обнаружения угроз (или просто статистики). Статистика может включать в себя по меньшей мере следующие данные: идентификатор угрозы, идентификатор шаблона, имена и хеш суммы файлов и процессов, относящихся к обнаруженной угрозе. Более того, статистика содержит перечень событий, произошедших на компьютерной системе, и их параметров, которые привели [события+параметры] к обнаружению угрозы при помощи шаблона. Если в шаблоне события могут быть описаны широко при помощи масок (от англ. wildcard) и регулярных выражений (от англ. regular expressions), то в статистике содержатся детали о произошедшем на компьютерной системе событии. Например процесс "program.exe" осуществил запись в файл "c:\windows\file" со следующими характеристиками {А1, А2,…, Am}, которые могут включать в себя к примеру значения переменных среды (от англ. environment variable), права доступа, вердикты от других систем безопасности из локального множества {Модуль 1, Модуль N} или от удаленных сервисов 104 и многие другие характеристики. Имя процесса, имя файла, системный вызов и его аргументы, а также характеристики {A1, А2, …Am} - все это параметры события.In another embodiment of the invention, activity monitoring module 101 is also intended to collect threat detection statistics (or simply statistics). Statistics can include at least the following data: threat identifier, template identifier, names and hash of the sum of files and processes related to the detected threat. Moreover, the statistics contains a list of events that occurred on the computer system, and their parameters, which led [events + parameters] to the detection of a threat using a template. If the template events can be described widely using masks (from the English wildcard) and regular expressions (from the English regular expressions), then the statistics contain details about what happened on the computer system of the event. For example, the process "program.exe" wrote to the file "c: \ windows \ file" with the following characteristics {A1, A2, ..., Am}, which may include, for example, the values of environment variables (from the English environment variable), access rights, verdicts from other security systems from the local set {Module 1, Module N} or from remote services 104 and many other characteristics. The process name, file name, system call and its arguments, as well as the characteristics of {A1, A2, ... Am} - these are all event parameters.

Модуль обучения 102, предназначен для запуска шаблона опасного поведения программ в первом режиме (режим молчания), при котором модуль мониторинга активности 101, обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Под запуском шаблона опасного поведения программ подразумевается загрузка при помощи модуля обучения 102 в модуль мониторинга активности 101 шаблона опасного поведения программ и установка для него упомянутого режима использования. При этом модуль обучения 102 может осуществлять перевод шаблона опасного поведения программ во второй режим (режим применения шаблона), при котором модуль мониторинга активности 101 обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения. Также модуль обучения 102 осуществляет адаптирование шаблонов путем добавления в них параметров, исключающих из последующего обнаружения те события, для которых при помощи модуля мониторинга активности 101 было установлено выполнение упомянутых выше условий:Training module 102, is designed to run a template of dangerous behavior of programs in the first mode (silent mode), in which the activity monitoring module 101 detects threats on the computer system that correspond to the mentioned template, but does not perform actions to eliminate them. Running a program dangerous behavior template means loading, with the help of the training module 102, into the activity monitoring module 101 a template of dangerous behavior of programs and setting the mentioned usage mode for it. In this case, the training module 102 can translate the pattern of dangerous behavior of the programs into the second mode (pattern application mode), in which the activity monitoring module 101 detects threats on the computer system that correspond to the mentioned pattern and performs actions to eliminate them. The training module 102 also adapts the templates by adding parameters to them that exclude from the subsequent detection those events for which, using the activity monitoring module 101, the above conditions were established:

события наступили в результате действий пользователя; иevents occurred as a result of user actions; and

события были обнаружены более определенного количества раз в течение заданного второго периода времени.events were detected more than a certain number of times during a given second period of time.

Параметрами, исключающими из последующего обнаружения события могут быть любые из перечисленных параметров и их комбинации: системные вызовы; аргументы системных вызовов; файлы, приложения, процессы или данные, их идентифицирующие; запросы вердиктов от любых систем безопасности; логические операции.Parameters excluding events from subsequent detection can be any of the listed parameters and their combinations: system calls; system call arguments files, applications, processes or data identifying them; Verdict requests from any security systems logical operations.

В другом варианте осуществления модуль обучения 102 может осуществлять анализ статистики, накопленной модулем мониторинга активности 101 при использовании шаблона (шаблонов) на компьютерной системе. В ходе анализа накопленной статистики осуществляется подсчет количества ложных обнаружений угроз для шаблона. Угрозами являются вредоносные программы, а ложно обнаруженными угрозами являются доверенные программы. Определение того, что обнаруженная угроза является ложно обнаруженной угрозой, осуществляется при помощи модуля обучения 102, проверкой программ, соответствующих выявленным угрозам, по базам доверенных программ после истечения заданного периода времени. По результатам анализа модуль обучения 102 может осуществлять внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз на данной компьютерной системе в качестве исключений.In another embodiment, the training module 102 may analyze statistics accumulated by the activity monitoring module 101 when using a template (s) on a computer system. During the analysis of accumulated statistics, the number of false threat detections for the template is calculated. Threats are malware, and fake threats are trusted programs. Determining that a detected threat is a falsely detected threat is carried out using the training module 102, checking the programs corresponding to the identified threats against the databases of trusted programs after a specified period of time. According to the results of the analysis, the training module 102 can implement the inclusion of all falsely detected threats on this computer system as an exception to the dangerous behavior template of the program.

Упомянутое выше внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений, может быть осуществлено разными способами. В одном из вариантов осуществления данного изобретения для того, чтобы исключить из последующего обнаружения при помощи шаблона ложно обнаруженную угрозу (доверенную программу) в шаблон при помощи модуля обучения 102 вносятся изменения. В частности, в шаблон частично или полностью добавляются параметры событий (из статистики), произошедших на компьютерной системе, которые привели к ложному обнаружению угрозы и фильтры или условные операторы - процедуры проверки параметров событий, позволяющие исключить из шаблона действия с соответствующими параметрами. Например в рамках шаблона будут рассматриваться все действия «внесения процессом изменений в файл», кроме случая, когда имя процесса «programl.exe» и имя файла «c:\program files\file_1».The introduction of all falsely detected threats corresponding to a specific computer system into the dangerous behavior pattern of programs mentioned above, as exceptions, can be implemented in various ways. In one of the embodiments of the present invention, in order to exclude from the subsequent detection with the help of the template a false detected threat (trusted program), the template is modified using the training module 102. In particular, the parameters of events (from statistics) that occurred on the computer system that led to the false detection of threats and filters or conditional statements — procedures for checking event parameters that allow excluding actions with the corresponding parameters from the template — are partially or completely added to the template. For example, within the framework of the template, all actions of “making changes to the file by the process” will be considered, except when the process name is “programl.exe” and the file name is “c: \ program files \ file_1”.

В другом варианте осуществления данного изобретения модуль обучения может осуществлять, как упоминалось выше, добавление в шаблон опасного поведения программ по меньшей мери части параметров событий (из статистики), произошедших на компьютерной системе и фильтры или условные операторы - процедуры проверки параметров событий, позволяющие исключить из шаблона события с соответствующими параметрами, если данные события удовлетворяют по меньшей мере двум из трех перечисленных ниже условий. Первое условие: события являются действиями программы, признанной модулем мониторинга активности 101 ложно обнаруженной угрозой с использованием упомянутого шаблона, где определение того, что программа является ложно обнаруженной угрозой, осуществляется при помощи модуля обучения 102, проверкой программы по базам доверенных программ после истечения заданного периода времени (например того же периода обучения). Двумя другими являются условия, выполнение которых определяется модулем мониторинга активности 101 (и при помощи подсистемы мониторинга действий пользователя), а именно: события наступили в результате действий пользователя; и события были обнаружены более определенного количества раз в течение заданного второго периода времени. Второй период времени может быть больше или равен периоду обучения (больше или равен периоду, отсчитываемому от момента начала периода обучения), так как модуль мониторинга активности 101 (как и подсистема мониторинга действий пользователя) отслеживает события, происходящие в рамках компьютерной системы, постоянно и формирует журнал событий, о котором упоминалось выше. И процесс формирования данного журнала не привязан к моменту начала периода обучения шаблона.In another embodiment of the invention, the training module can carry out, as mentioned above, adding at least a part of the parameters of events (from statistics) that have occurred on the computer system and filters or conditional statements — procedures for checking the parameters of events that exclude from the an event template with appropriate parameters if these events satisfy at least two of the three conditions listed below. The first condition: events are actions of a program recognized by the activity monitoring module 101 as a false-detected threat using the aforementioned template, where the determination that the program is a false-detected threat is carried out using the training module 102, checking the program against the databases of trusted programs after a specified period of time (for example, the same training period). Two other conditions are those whose fulfillment is determined by activity monitoring module 101 (and using the user activity monitoring subsystem), namely: events occurred as a result of user actions; and events were detected more than a certain number of times during a given second period of time. The second time period can be greater than or equal to the training period (greater than or equal to the period counted from the start of the training period), since the activity monitoring module 101 (as well as the user activity monitoring subsystem) monitors events occurring within the computer system, constantly and generates the event log mentioned above. And the process of forming this journal is not tied to the moment the training period begins.

В другом варианте осуществления для того, чтобы исключить из последующего обнаружения программу, признанную при помощи шаблона ложно обнаруженной угрозой, программу при помощи модуля обучения 102 вносят в список доверенных программ, например расположенный локально на компьютерной системе, а в шаблон добавляют процедуру проверки по данному списку. Если программа содержится в списке, то действия, связанные с ней, не попадают под шаблон.In another embodiment, in order to exclude from the subsequent detection a program recognized by a template as a false-detected threat, the program using the training module 102 is added to the list of trusted programs, for example, located locally on a computer system, and the check procedure for this list is added to the template . If the program is listed, then the actions associated with it do not fall under the template.

На Фиг. 2 приведена блок-схема способа изменения параметров шаблона опасного поведения программ для компьютерной системы. Согласно данному способу на этапе 201 при помощи модуля обучения загружают в модуль мониторинга активности шаблон опасного поведения программ и устанавливают для него первый режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения. Далее в течение заданного первого периода времени (периода обучения), установленного на этапе 202, выполняют цикл 203-206, согласно которому на этапе 204 обнаруживают при помощи модуля мониторинга активности угрозы, соответствующие упомянутому шаблону, где обнаружение угрозы обусловлено обнаружением событий из упомянутого шаблона, и при помощи модуля обучения на этапе 207 добавляют параметры в упомянутый шаблон, исключающие из последующего обнаружения те события, для которых при помощи модуля мониторинга активности установлено выполнение следующих условий на этапах 205 и 206, а именно: события наступили в результате действий пользователя (этап 205); и события были обнаружены более определенного количества раз в течение заданного второго периода времени (этап 206). По истечению на этапе 203 заданного первого периода времени на этапе 208 переводят при помощи модуля обучения шаблон опасного поведения программ во второй режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону и выполняет действий для их устранения.In FIG. 2 is a flowchart of a method for changing the parameters of a pattern of dangerous behavior of programs for a computer system. According to this method, at step 201, with the help of the training module, a dangerous program behavior template is loaded into the activity monitoring module and the first use mode is established for it, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template, but does not perform actions to eliminate them. Next, for a predetermined first period of time (training period) set in step 202, a cycle 203-206 is performed, according to which, in step 204, threats are detected using the monitoring module of the activity corresponding to the pattern, where the detection of the threat is caused by the detection of events from the pattern, and using the training module, at step 207, add parameters to the template, excluding from the subsequent detection those events for which, using the activity monitoring module, conditions in steps 205 and 206, namely: the events occurred as a result of user actions (step 205); and events have been detected more than a certain number of times during a given second period of time (step 206). After the specified first period of time has passed at step 203, at step 208, the dangerous program behavior pattern is transferred to the second use mode by the training module, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned pattern and performs actions to eliminate them.

На Фиг. 3 представлен пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.In FIG. 3 shows an example of a general-purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any A prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.

Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM , DVD-ROM and other optical storage media. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35, additional software applications 37, other software modules 38, and program data 39 are stored. The user is able to enter commands and information into the personal computer 20 via input devices (keyboard 40, mouse pad) 42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which, in turn, is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB) . A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, and the like.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 4. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of the present invention defined by the claims.

Claims (48)

1. Способ изменения параметров шаблона опасного поведения программ для компьютерной системы, по которому:1. A method for changing the parameters of a pattern of dangerous behavior of programs for a computer system, according to which: а) при помощи модуля обучения загружают в модуль мониторинга активности шаблон опасного поведения программ и устанавливают для него первый режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения;a) with the help of the training module, a template for dangerous behavior of programs is loaded into the activity monitoring module and the first use mode is established for it, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template, but does not take actions to eliminate them; б) в течение заданного первого периода времени:b) during a given first period of time: обнаруживают при помощи модуля мониторинга активности угрозы, соответствующие упомянутому шаблону, где обнаружение угрозы обусловлено обнаружением событий из упомянутого шаблона;detect using the activity monitoring module a threat corresponding to said pattern, where the threat detection is caused by the detection of events from said pattern; при помощи модуля обучения добавляют параметры в упомянутый шаблон, исключающие из последующего обнаружения те события, для которых при помощи модуля мониторинга активности установлено выполнение следующих условий:using the training module, add parameters to the mentioned template that exclude from the subsequent detection those events for which the following conditions are established using the activity monitoring module: события наступили в результате действий пользователя; иevents occurred as a result of user actions; and события были обнаружены более определенного количества раз в течение заданного второго периода времени;events were detected more than a certain number of times during a given second period of time; в) переводят при помощи модуля обучения шаблон опасного поведения программ во второй режим использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения.c) using the training module, they transfer the pattern of dangerous behavior of programs into the second mode of use, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned pattern and performs actions to eliminate them. 2. Способ по п. 1, где угрозами являются вредоносные программы.2. The method of claim 1, wherein the threats are malware. 3. Способ по п. 1, где параметрами являются любые из перечисленных и их комбинации:3. The method according to p. 1, where the parameters are any of the listed and their combinations: - системные вызовы;- system calls; - аргументы системных вызовов;- arguments to system calls; - файлы, активные процессы или данные, их идентифицирующие;- files, active processes or data identifying them; - запросы вердиктов от любых систем безопасности.- Verdict requests from any security systems. 4. Способ по п. 1, где действиями пользователя являются:4. The method according to claim 1, where the user actions are: - взаимодействие с элементом графического интерфейса;- interaction with a graphical interface element; - использование средства ввода информации.- use of information input means. 5. Способ по п. 1, где второй период времени больше или равен первому периоду времени.5. The method of claim 1, wherein the second time period is greater than or equal to the first time period. 6. Способ по п. 1, где действиями для устранения угроз являются:6. The method according to p. 1, where the actions to eliminate threats are: - удаление вредоносной программы;- removal of malware; - восстановление компьютерной системы;- computer system recovery; - запрос действий у пользователя;- request for action from the user; - помещение вредоносной программы на карантин.- quarantine malware. 7. Система изменения параметров шаблона опасного поведения программ под пользователя компьютерной системы, содержащая:7. A system for changing the parameters of a pattern of dangerous behavior of programs for a user of a computer system, comprising: модуль обучения, предназначенный для:training module designed for: загрузки в модуль мониторинга шаблона опасного поведения программ и установки для него первого режима использования, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, но не выполняет действий для их устранения;loading into the monitoring module a template of dangerous behavior of programs and setting the first use mode for it, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned template, but does not take actions to eliminate them; перевода шаблона опасного поведения программ во второй режим, при котором модуль мониторинга активности обнаруживает на компьютерной системе угрозы, соответствующие упомянутому шаблону, и выполняет действия для их устранения;transferring the pattern of dangerous behavior of programs to the second mode, in which the activity monitoring module detects threats on the computer system that correspond to the mentioned pattern and performs actions to eliminate them; изменения шаблонов путем добавления параметров, исключающих из последующего обнаружения те события, для которых при помощи модуля мониторинга активности было установлено выполнение следующих условий:changing the templates by adding parameters that exclude from the subsequent detection those events for which the following conditions were established using the activity monitoring module: события наступили в результате действий пользователя; иevents occurred as a result of user actions; and события были обнаружены более определенного количества раз в течение заданного второго периода времени;events were detected more than a certain number of times during a given second period of time; модуль мониторинга активности, предназначенный для:activity monitoring module designed for: обнаружения угроз на компьютерной системе, соответствующих шаблону, где обнаружение угрозы обусловлено обнаружением событий из упомянутого шаблона;detecting threats on the computer system corresponding to the pattern, where the threat detection is determined by the detection of events from the said pattern; определения, что события наступили в результате действий пользователя компьютерной системы и события были обнаружены более определенного количества раз в течение заданного второго периода времени.determining that the events occurred as a result of the actions of the user of the computer system and the events were detected more than a certain number of times during a given second period of time. 8. Система по п. 7, где угрозами являются вредоносные программы.8. The system of claim 7, wherein the threats are malware. 9. Система по п. 7, где параметрами являются любые из перечисленных и их комбинации:9. The system according to claim 7, where the parameters are any of the listed and their combinations: - системные функции;- system functions; - аргументы системных функций;- arguments to system functions; - файлы, приложения, активные процессы или данные, их идентифицирующие;- files, applications, active processes or data identifying them; - запросы вердиктов от любых систем безопасности.- Verdict requests from any security systems. 10. Система по п. 7, где действиями пользователя являются:10. The system of claim 7, wherein the user actions are: - взаимодействие с элементом графического интерфейса;- interaction with a graphical interface element; - использование средства ввода информации.- use of information input means. 11. Система по п. 7, где второй период времени больше или равен первому периоду времени.11. The system of claim 7, wherein the second time period is greater than or equal to the first time period. 12. Система по п. 7, где действиями для устранения угроз являются:12. The system according to claim 7, where the actions to eliminate threats are: - удаление вредоносной программы;- removal of malware; - восстановление компьютерной системы;- computer system recovery; - запрос действий у пользователя;- request for action from the user; - помещение вредоносной программы на карантин.- quarantine malware.
RU2017128539A 2017-08-10 2017-08-10 System and method of adapting patterns of dangerous program behavior to users' computer systems RU2652448C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017128539A RU2652448C1 (en) 2017-08-10 2017-08-10 System and method of adapting patterns of dangerous program behavior to users' computer systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017128539A RU2652448C1 (en) 2017-08-10 2017-08-10 System and method of adapting patterns of dangerous program behavior to users' computer systems

Publications (1)

Publication Number Publication Date
RU2652448C1 true RU2652448C1 (en) 2018-04-26

Family

ID=62045603

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017128539A RU2652448C1 (en) 2017-08-10 2017-08-10 System and method of adapting patterns of dangerous program behavior to users' computer systems

Country Status (1)

Country Link
RU (1) RU2652448C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU91202U1 (en) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" UNKNOWN Malicious Software Detection System
RU2430411C1 (en) * 2010-03-02 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting malware
US20140090061A1 (en) * 2012-09-26 2014-03-27 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
RU2514140C1 (en) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for improving quality of detecting malicious objects using rules and priorities
US8978141B2 (en) * 2013-06-28 2015-03-10 Kaspersky Lab Zao System and method for detecting malicious software using malware trigger scenarios

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU91202U1 (en) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" UNKNOWN Malicious Software Detection System
RU2430411C1 (en) * 2010-03-02 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting malware
US20140090061A1 (en) * 2012-09-26 2014-03-27 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
RU2514140C1 (en) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for improving quality of detecting malicious objects using rules and priorities
US8978141B2 (en) * 2013-06-28 2015-03-10 Kaspersky Lab Zao System and method for detecting malicious software using malware trigger scenarios

Similar Documents

Publication Publication Date Title
RU2454705C1 (en) System and method of protecting computing device from malicious objects using complex infection schemes
JP6636096B2 (en) System and method for machine learning of malware detection model
RU2486588C1 (en) System and method for efficient treatment of computer from malware and effects of its work
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
RU2514140C1 (en) System and method for improving quality of detecting malicious objects using rules and priorities
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
JP6726706B2 (en) System and method for detecting anomalous events based on the popularity of convolution
RU2617654C2 (en) System and method of formation of anti-virus records used to detect malicious files on user&#39;s computer
RU2739865C2 (en) System and method of detecting a malicious file
RU2624552C2 (en) Method of malicious files detecting, executed by means of the stack-based virtual machine
JP2019079493A (en) System and method for detecting malicious files using machine learning
JP2019091435A (en) System and method for detecting malicious files using trained machine learning model
RU2697954C2 (en) System and method of creating antivirus record
RU2634181C1 (en) System and method for detecting harmful computer systems
CN108369541B (en) System and method for threat risk scoring of security threats
KR20110088042A (en) Apparatus and method for automatically discriminating malicious code
RU2587429C2 (en) System and method for evaluation of reliability of categorisation rules
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
Shahzad et al. Tstructdroid: Realtime malware detection using in-execution dynamic analysis of kernel process control blocks on android
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
US10880316B2 (en) Method and system for determining initial execution of an attack
RU2587424C1 (en) Method of controlling applications
RU2708355C1 (en) Method of detecting malicious files that counteract analysis in isolated environment
RU2665909C1 (en) Method of selective use of patterns of dangerous program behavior
TWI640891B (en) Method and apparatus for detecting malware