RU2776926C1 - Method for changing the malware detection rule - Google Patents

Method for changing the malware detection rule Download PDF

Info

Publication number
RU2776926C1
RU2776926C1 RU2021106654A RU2021106654A RU2776926C1 RU 2776926 C1 RU2776926 C1 RU 2776926C1 RU 2021106654 A RU2021106654 A RU 2021106654A RU 2021106654 A RU2021106654 A RU 2021106654A RU 2776926 C1 RU2776926 C1 RU 2776926C1
Authority
RU
Russia
Prior art keywords
detection rule
error
malicious code
rule
conditions
Prior art date
Application number
RU2021106654A
Other languages
Russian (ru)
Inventor
Евгений Игоревич Лопатин
Original Assignee
Акционерное общество "Лаборатория Касперского"
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to US17/447,206 priority Critical patent/US20220292198A1/en
Priority to EP21209738.0A priority patent/EP4060534A1/en
Application granted granted Critical
Publication of RU2776926C1 publication Critical patent/RU2776926C1/en

Links

Images

Abstract

FIELD: information security.
SUBSTANCE: method for changing the malware detection rule includes the stages of: using and storing at least one malware detection rule in the form of a set of conditions, wherein the analysed object is considered malware-containing when complying to said set of conditions; collecting data on the use of the stored malware detection rule; identifying the presence of a type I or II error when using the malware detection rule by means of the error detection rules based on the collected data; if an error is identified when using the malware detection rule, making a in the used malware detection rule by changing at least one condition from the set of conditions of the used malware detection rule in accordance with the identified error.
EFFECT: ensured information security due to the change in the set of conditions of the malware detection rule when detecting an error while using the malware detection rule.
8 cl, 3 dwg

Description

Область техникиTechnical field

Изобретение относится к области информационной безопасности, а более конкретно к способу изменения правил обнаружения вредоносного кода.The invention relates to the field of information security, and more specifically to a method for changing the rules for detecting malicious code.

Уровень техникиState of the art

Бурное развитие компьютерных технологий в последнее десятилетие и широкое распространение компьютерных систем (персональных компьютеров, ноутбуков, планшетов, смартфонов и т.д.) стали мощным стимулом для использования упомянутых устройств в разнообразных сферах деятельности и для выполнения огромного количества задач (от интернет-серфинга до банковских переводов и ведения электронного документооборота). Параллельно с ростом количества компьютерных систем и программного обеспечения быстрыми темпами растет и количество вредоносных программ.The rapid development of computer technology in the last decade and the widespread use of computer systems (personal computers, laptops, tablets, smartphones, etc.) have become a powerful incentive for the use of these devices in various fields of activity and for performing a huge number of tasks (from Internet surfing to bank transfers and electronic document management). In parallel with the growth in the number of computer systems and software, the number of malicious programs is also growing at a rapid pace.

В настоящий момент существует огромное количество разновидностей вредоносных программ. Одни крадут с устройств пользователей их персональные и конфиденциальные данные (например, логины и пароли, банковские реквизиты, электронные документы). Другие формируют из устройств пользователей так называемые бот-сети (англ. botnet), которые используют для организации атак на стороннюю компьютерную систему, целью которых является доведение до отказа в обслуживании (англ. DDoS − Distributed Denial of Service) или перебор паролей методом грубой силы (англ. brute force). Третьи предлагают пользователям платный контент через навязчивую рекламу, отправку SMS-сообщений на платные номера и т.д.At the moment, there are a huge number of varieties of malicious programs. Some steal from users' devices their personal and confidential data (for example, logins and passwords, bank details, electronic documents). Others form so-called botnets from user devices, which are used to organize attacks on a third-party computer system, the purpose of which is to bring to a denial of service (Eng. DDoS - Distributed Denial of Service) or brute force password brute force (English brute force). Still others offer users paid content through intrusive advertising, sending SMS messages to paid numbers, etc.

Для обнаружения приложений, содержащих вредоносный код, используют различные технологии и методы, такие как: статический анализ, поведенческий анализ, анализ и сравнение баз данных доверенных приложений и приложений, содержащих вредоносный код, и т.д. Каждая технология подразумевает использование сигнатур или наборов условий для того, чтобы обнаружить наличие вредоносного кода. Упомянутые технологии или методы обладают своими плюсами и минусами, которые влияют на появление ошибок первого и второго рода при обнаружении вредоносных приложений (так называемую эффективность обнаружения или detection rate) и на использование вычислительных ресурсов для обнаружения вредоносных приложений (так называемую производительность). В свою очередь вредоносные приложения эволюционируют вслед за средствами их обнаружения и становятся более сложными для обнаружения. To detect applications containing malicious code, various technologies and methods are used, such as: static analysis, behavioral analysis, analysis and comparison of databases of trusted applications and applications containing malicious code, etc. Each technology involves the use of signatures or sets of conditions in order to detect the presence of malicious code. The mentioned technologies or methods have their pros and cons, which affect the appearance of errors of the first and second kind when detecting malicious applications (the so-called detection efficiency or detection rate) and the use of computing resources for the detection of malicious applications (the so-called performance). In turn, malicious applications evolve with the means of detection and become more difficult to detect.

В настоящее время существуют решения, предназначенные для анализа эффективности обнаружения вредоносного кода по той или иной технологии, а именно проверки корректности работы сигнатур, используемых в технологии. Например, в публикации US8819835B2 представлена система, в которой выполняют выявление сигнатур, работающих некорректно, путем использования скрытых сигнатур. Правила, построенные на статистике срабатываний сигнатур, позволяют определить качество работы сигнатуры. Если сигнатура работает корректно, то ее переводят в активное состояние, в противном случае - отменяют ее использование. Хотя описанный выше метод работы частично успешно справляется с выявлением некорректно работающей сигнатуры, но он не подразумевает выполнения анализа ошибки, к которой приводит использование сигнатуры, и возможности внесения изменений в сигнатуру, что может способствовать изменению эффективности обнаружения вредоносного кода при использовании упомянутой сигнатуры. Настоящее изобретение позволяет решать эту задачу.Currently, there are solutions designed to analyze the effectiveness of detecting malicious code using a particular technology, namely, checking the correct operation of the signatures used in the technology. For example, US8819835B2 presents a system that detects signatures that do not work correctly by using hidden signatures. Rules built on the statistics of signature triggering allow you to determine the quality of the signature. If the signature works correctly, then it is transferred to the active state, otherwise, its use is canceled. Although the method of operation described above is partially successful in detecting a signature that does not work correctly, it does not involve analyzing the error that the use of the signature leads to and the possibility of making changes to the signature, which can change the efficiency of detecting malicious code when using the mentioned signature. The present invention solves this problem.

Раскрытие изобретенияDisclosure of invention

Изобретение относится к области информационной безопасности, а более конкретно к способам управления правилами обнаружения вредоносного кода. Изобретение предназначено для изменения правила обнаружения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении защиты информационной безопасности путем поддержания правил обнаружения вредоносного кода в актуальном состоянии за счет выявления ошибки при использовании правила обнаружения вредоносного кода и его изменения.The invention relates to the field of information security, and more specifically to methods for managing malicious code detection rules. The invention is intended to change the rule for detecting malicious code. The technical result of the present invention is to provide information security protection by keeping the malicious code detection rules up to date by detecting an error when using the malicious code detection rule and changing it.

В одном из вариантов реализации предоставляют способ изменения правила обнаружения вредоносного кода, содержащий этапы, на которых: собирают данные об использовании правила обнаружения вредоносного кода; выявляют наличие ошибки при использовании правила обнаружения вредоносного кода при помощи правил определения ошибки; при выявлении ошибки при использовании правила обнаружения вредоносного кода вносят изменение в использованное правило обнаружения вредоносного кода.In one embodiment, a method for modifying a malware detection rule is provided, comprising the steps of: collecting data on usage of the malware detection rule; detecting the presence of an error when using the malicious code detection rule using the error detection rules; if an error is detected when using the malicious code detection rule, a change is made to the used malware detection rule.

В другом варианте реализации способа правилом обнаружения вредоносного кода понимают набор условий, при выполнении которых, анализируемый объект считают содержащим вредоносный код.In another embodiment of the method, a malicious code detection rule is understood as a set of conditions under which the analyzed object is considered to contain malicious code.

Еще в одном варианте реализации способа под данными об использовании правила обнаружения вредоносного кода понимают следующие данные: время использования правила обнаружения вредоносного кода; дату создания правила обнаружения вредоносного кода; результат работы правила обнаружения вредоносного кода; данные об объекте анализа; настройки антивирусной программы, которая использовала правило обнаружения вредоносного кода; данные о программном обеспечении компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; данные об оборудования компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; данные о политике безопасности, примененной на компьютерной системе, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; реакцию пользователя на результат использования правила.In another embodiment of the method, the data on the use of the malicious code detection rule is understood to mean the following data: the time of using the malicious code detection rule; date of creation of the malicious code detection rule; the result of the malicious code detection rule; data about the object of analysis; settings of the anti-virus program that used the malicious code detection rule; data about the software of the computer system on which the anti-virus program is active, which used the malicious code detection rule; data about the hardware of the computer system on which the anti-virus program is active, which used the malware detection rule; data about the security policy applied on the computer system on which the anti-virus program is active, which used the malicious code detection rule; the user's reaction to the result of using the rule.

Еще в другом варианте реализации способа выявляют ошибку первого рода.In yet another embodiment of the method, a Type I error is detected.

В одном из вариантов реализации способа выявляют ошибку второго рода.In one of the embodiments of the method, an error of the second kind is detected.

В другом варианте реализации способа при выявлении ошибки изменяют значение по крайней мере одного из условий, использованных в правиле обнаружения вредоносного кода.In another embodiment of the method, when an error is detected, the value of at least one of the conditions used in the malicious code detection rule is changed.

Еще в одном варианте реализации способа при выявлении ошибки изменяют перечень условий использованного правила обнаружения вредоносного кода.In another embodiment of the method, when an error is detected, the list of conditions of the used malware detection rule is changed.

Еще в другом варианте реализации способа хранят правила определения ошибки в базе данных правил. In yet another embodiment of the method, the error determination rules are stored in a rule database.

В одном варианте реализации способа хранят правила обнаружения вредоносного кода в базе данных эвристических правил.In one embodiment of the method, the rules for detecting malicious code are stored in a database of heuristic rules.

Краткое описание чертежейBrief description of the drawings

Фиг. 1 иллюстрирует структуру системы изменения правила обнаружения вредоносного кода. Fig. 1 illustrates the structure of a malware detection rule change system.

Фиг. 2 иллюстрирует способ изменения правила обнаружения вредоносного кода. Fig. 2 illustrates a method for modifying a malicious code detection rule.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер. Fig. 3 represents an example of a general purpose computer system, a personal computer or a server.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a particular embodiment thereof. On the contrary, the purpose of the description is to cover all changes, modifications, included in the scope of this invention, as defined by the attached claims.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведённая в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but the specific details necessary to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined within the scope of the appended claims.

Антивирусная программа в ходе анализа наличия вредоносного кода использует методы, применение которых подразумевает использование правил обнаружения вредоносного кода.When analyzing the presence of malicious code, the anti-virus program uses methods that involve the use of rules for detecting malicious code.

В общем виде эвристический анализатор в антивирусной программе представляет собой определенный набор правил. Упомянутый анализатор использует правила, чтобы на основе получаемых при анализе данных вынести решение о том, содержит ли анализируемое приложение вредоносный код (https://xakep.ru/static/re-malware/18_avresearch.pdf). Правило обнаружения вредоносного кода – набор условий, при выполнении которых анализируемый объект считают содержащим вредоносный код. В зависимости от объекта анализа выделяют различные виды условий, на основе которых формируют правила. Например, вредоносный код в объектах типа файл может быть обнаружен при помощи эвристики, построенной на основе анализа известного файла, содержащего вредоносный код. Упомянутая эвристика является частным случаем правила обнаружения вредоносного кода (http://dspace.nbuv.gov.ua/bitstream/handle/123456789/6920/10-Ruvinskaya.pdf?sequence=1). В качестве условий могут быть использованы условия и признаки, характерные для файлов, например: части файла в виде файловой сигнатуры, содержащиеся в файле команды, уникальные строки, тип файла, размер файла, структура файла. Помимо этого, вредоносный код в файлах может быть обнаружен при помощи поведенческой сигнатуры (Ю. М. Туманов, «ОБНАРУЖЕНИЕ ВРЕДОНОСНЫХ СЦЕНАРИЕВ JAVASCRIPT НА ОСНОВЕ ПОВЕДЕНЧЕСКИХ СИГНАТУР», https://bit.mephi.ru/index.php/bit/article/download/828/818). В этом случае в качестве условий могут выступать действия приложения по отношению к другим программам, к оборудованию компьютерной системы, к операционной системе и т.д. In general, a heuristic analyzer in an antivirus program is a specific set of rules. The mentioned analyzer uses rules to decide on the basis of the data received during the analysis whether the analyzed application contains malicious code (https://xakep.ru/static/re-malware/18_avresearch.pdf). A malicious code detection rule is a set of conditions under which the analyzed object is considered to contain malicious code. Depending on the object of analysis, different types of conditions are distinguished, on the basis of which rules are formed. For example, malicious code in file type objects can be detected using heuristics based on the analysis of a known file containing malicious code. The mentioned heuristic is a special case of the malicious code detection rule (http://dspace.nbuv.gov.ua/bitstream/handle/123456789/6920/10-Ruvinskaya.pdf?sequence=1). As conditions, conditions and features specific to files can be used, for example: parts of a file in the form of a file signature, commands contained in the file, unique lines, file type, file size, file structure. In addition, malicious code in files can be detected using a behavioral signature (Yu. M. Tumanov, "DETECTION OF MALICIOUS JAVASCRIPT SCENARIOS BASED ON BEHAVIOR SIGNATURES", https://bit.mephi.ru/index.php/bit/article/ download/828/818). In this case, the actions of the application in relation to other programs, to the hardware of the computer system, to the operating system, etc., can act as conditions.

Объектом анализа может быть не только файл, но и, например, сообщение, отправленное по электронной почте. В этом случае частным случаем правил является спам эвристика, в качестве условий выступают параметры и признаки, характерные для сообщения, отправленного по электронной почте, например: текст темы сообщения, заголовок текста тела сообщения, язык текста сообщения и т.д.The object of analysis can be not only a file, but also, for example, a message sent by e-mail. In this case, spam heuristics is a special case of the rules, the conditions are the parameters and features specific to the message sent by e-mail, for example: the subject text of the message, the title of the message body text, the language of the message text, etc.

В ходе анализа одного объекта могут быть использованы различные правила обнаружения вредоносного кода. В ходе использования правила определяют, с какой вероятностью анализируемый объект содержит вредоносный код. При превышении предельного значения вероятности объект может быть причислен к объектам, содержащим вредоносный код. Если предельное значение вероятности не превышено, объект может быть причислен к объектам, не содержащим вредоносный код. В том или другом случае существует вероятность возникновения ошибки. Ошибкой первого рода или ложноположительным срабатыванием считают ситуацию, когда объект, который в действительности не является вредоносным, после использования правила признан объектом, содержащим вредоносный код. Ошибкой второго рода считают ситуацию, когда объект, который в действительности является вредоносным приложением, после использования правила признан объектом, не содержащим вредоносный код. Ошибки первого и второго рода необходимо выявлять и использовать данные об ошибках для изменения соответствующих правил обнаружения вредоносного кода. Для этого используют систему изменения правила обнаружения вредоносного кода.During the analysis of one object, different rules for detecting malicious code can be used. In the course of using the rules, they determine with what probability the analyzed object contains malicious code. If the probability limit value is exceeded, an object can be classified as an object containing malicious code. If the probability limit is not exceeded, the object can be classified as an object that does not contain malicious code. In either case, there is a possibility of an error occurring. A Type I error or a false positive is considered to be a situation where an object that is not actually malicious is recognized as an object containing malicious code after using the rule. A type 2 error is a situation where an object that is actually a malicious application is recognized as an object that does not contain malicious code after using the rule. Errors of the first and second types must be detected and error data used to change the corresponding rules for detecting malicious code. To do this, use a system for changing the rule for detecting malicious code.

Фиг 1. иллюстрирует структуру системы изменения правила обнаружения вредоносного кода, которая включает в себя антивирусную программу 110, средство сбора 120, средство выявления 130, средство изменения 140, базу данных правил 150, базу данных эвристических правил 160. FIG. 1 illustrates the structure of a malware detection rule change system that includes an antivirus program 110 , a collection tool 120 , a detection tool 130 , a changer 140 , a rule database 150 , a heuristic rule database 160 .

Антивирусная программа 110 выполняет поиск и обнаружение вредоносного кода на компьютерных системах пользователей известными из уровня техники методами и технологиями с использованием правил обнаружения вредоносного кода из базы данных эвристических правил 160.The antivirus program 110 searches for and detects malicious code on users' computer systems using methods and technologies known in the art using malware detection rules from the heuristic rule database 160 .

Средство сбора 120 предназначено для сбора данных об использовании правила обнаружения вредоносного кода из базы данных эвристических правил 160. В момент, когда антивирусная программа 110 в ходе анализа объектов использовала правило обнаружения вредоносного кода базы данных эвристических правил 160, средство сбора 120 выполняет сбор данных об использовании правила обнаружения вредоносного кода, а именно по меньшей мере одного из: Collection medium120 designed to collect data on the use of a malicious code detection rule from a database of heuristic rules160. When the antivirus program110 during the analysis of objects used the malware detection rule of the heuristic rules database160, remedy collection120collects data on the use of a malicious code detection rule, namely at least one of:

• время использования правила обнаружения вредоносного кода; • the time when the malicious code detection rule was used;

• дата создания правила обнаружения вредоносного кода;• date of creation of the malicious code detection rule;

• результат работы правила обнаружения вредоносного кода – решение о признании объекта анализа содержащим или не содержащим вредоносный код после использования правила обнаружения вредоносного кода;• the result of the operation of the malicious code detection rule – the decision to recognize the object of analysis as containing or not containing malicious code after using the malicious code detection rule;

• данные об объекте анализа, например, в случае, если объектом является файл, то могут быть получены следующие данные:• data about the object of analysis, for example, if the object is a file, then the following data can be obtained:

- имя,- name,

- размер,- the size,

- расширение,- extension,

- контрольная сумма участка кода,- checksum of the code section,

- контрольная сумма секции и т.д.;- section checksum, etc.;

• настройки антивирусной программы 110, которая использовала правило обнаружения вредоносного кода, например, глубина эмуляции, время и дата последнего обновления антивирусных баз, частота обновления антивирусных баз, набор файлов для проверки и т.д.;• settings of the anti-virus program 110 that used the malicious code detection rule, for example, emulation depth, time and date of the last update of anti-virus databases, frequency of anti-virus database updates, set of files to be scanned, etc.;

• данные о программном обеспечении компьютерной системы и ее настройки, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список установленных программ, название программы, данные о разработчике программы, версия программы, период времени использования программы и т.д.;• data about the software of the computer system and its settings on which the anti-virus program 110 is active, which used the malware detection rule, for example, the list of installed programs, the name of the program, information about the program developer, the version of the program, the period of time the program was used, etc. .;

• данные об оборудовании компьютерной системы и ее настройках, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список установленного оборудования, модель процессора, модель материнской платы, модель сетевой карты;• data about the hardware of the computer system and its settings on which the anti-virus program 110 is active, which used the malicious code detection rule, for example, the list of installed hardware, processor model, motherboard model, network card model;

• данные о политике безопасности, примененной на компьютерной системе, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список пользователей и их роли, разрешения на использование программного обеспечения, разрешения на использование оборудования и т.д.;• data about the security policy applied on the computer system on which the anti-virus program 110 is active that used the malware detection rule, such as the list of users and their roles, software permissions, hardware permissions, etc.;

• реакция пользователя на результат использования правила – это действие пользователя над объектом анализа после использования правил обнаружения вредоносного кода.• The user's reaction to the result of using the rule is the user's action on the object of analysis after using the rules for detecting malicious code.

Помимо этого, средство сбора 120 предназначено для передачи данных об использовании правила обнаружения вредоносного кода средству выявления 130.In addition, the collector 120 is configured to report the usage of the malicious code detection rule to the detection engine 130 .

Средство выявления 130 предназначено для выявления наличия ошибки при использовании правила обнаружения вредоносного кода при помощи правил определения ошибки.The detecting tool 130 is designed to detect the presence of an error when using the malicious code detection rule using the error detection rules.

Выявление наличия ошибки выполняют при помощи правил определения ошибки из базы данных правил 150. Правило определения ошибки — это набор условий, при выполнении которых средство выявления 130 определяет коэффициент наличия ошибки после использования правила обнаружения вредоносного кода. Предельное значение коэффициента ошибки, при превышении которого считают ошибку выявленной, может быть определено эмпирически, статистически, и изменяться в соответствии с обнаружением новых объектов анализа, содержащих вредоносный код.The detection of the presence of an error is performed using the error detection rules from the rule database 150 . An error detection rule is a set of conditions under which the detection engine 130 determines the presence of an error rate after using a malicious code detection rule. The limiting value of the error rate, when exceeded, an error is considered detected, can be determined empirically, statistically, and change in accordance with the detection of new objects of analysis containing malicious code.

Примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа содержит вредоносный код, отмена 10 разными пользователями результата использования правила обнаружения вредоносного кода при анализе одного и того же объекта, политика безопасности, оборудование и программное обеспечение компьютерных систем, на которых был отменено правило, совпадают на 80 процентов, период времени использования правила – 7 дней. При выполнении этих условий считают коэффициент наличия ошибки первого рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.An example of one of the error detection rules can be the following set of conditions: result of using a malicious code detection rule - the object of analysis contains malicious code, cancellation by 10 different users of the result of using a malicious code detection rule when analyzing the same object, security policy, hardware and software of computer systems on which the rule was canceled match 80 percent, the time period for using the rule is 7 days. When these conditions are met, the coefficient of presence of a type I error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.

Другим примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа содержит вредоносный код, во время использования правила список оборудования сократился на одно устройство, объект анализа обнаружен на 10 компьютерных системах, список оборудования и ПО которых совпадает на 80 процентов, список оборудования упомянутых устройств так же сократился на одно устройство, упомянутое ранее. При выполнении этих условий считают коэффициент наличия ошибки первого рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.Another example of one of the rules for detecting an error can be the following set of conditions: the result of using a malicious code detection rule is that the object of analysis contains malicious code, while using the rule, the list of equipment was reduced by one device, the object of analysis was detected on 10 computer systems, the list of equipment and software of which matches by 80 percent, the list of equipment of the mentioned devices has also been reduced by one device mentioned earlier. When these conditions are met, the coefficient of presence of a type I error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.

Другим примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа не содержит вредоносный код, объект анализа схож с ранее известным объектом анализа, содержащим вредоносный код на 80 процентов, дата создания правила обнаружения вредоносного кода больше 90 дней, настройки антивирусной программы, которая использовала правило обнаружения вредоносного кода, совпадают на 90 процентов. При выполнении этих условий считают коэффициент наличия ошибки второго рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода.Another example of one of the error detection rules can be the following set of conditions: the result of using a malicious code detection rule is that the object of analysis does not contain malicious code, the object of analysis is similar to the previously known object of analysis containing malicious code by 80 percent, the date of creation of the malicious code detection rule is greater than 90 days, the settings of the antivirus program that used the malware detection rule match 90 percent. When these conditions are met, the coefficient of the presence of a type 2 error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type 2 error has been detected.

Ещё одним примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа не содержит вредоносный код, результат использования правила обнаружения вредоносного кода подтвержден на 10 компьютерных системах, объект анализа извлечен из архива объектов, содержащих вредоносный код. При выполнении этих условий считают коэффициент наличия ошибки второго рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода.Another example of one of the error detection rules can be the following set of conditions: the result of using the malicious code detection rule is that the object of analysis does not contain malicious code, the result of using the malicious code detection rule was confirmed on 10 computer systems, the analysis object was extracted from the archive of objects containing malicious code . When these conditions are met, the coefficient of the presence of a type 2 error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type 2 error has been detected.

Пример 1 реализации правил определения ошибки первого рода при анализе файла поведенческой сигнатурой. Под условиями понимают следующие условия: Example 1 of the implementation of the rules for determining an error of the first kind when analyzing a file with a behavioral signature. Conditions mean the following conditions:

• файл 1, выявленный поведенческой эвристикой 1, содержит вредоносный код (a);• file 1 detected by behavioral heuristic 1 contains malicious code (a);

• за последние 2 часа количество пользователей, добавивших файл 1 в исключения, превысило значение 1 (b).• in the last 2 hours, the number of users who added file 1 to exceptions exceeded the value 1 (b).

При выполнении этих условий считают коэффициент наличия ошибки первого рода равным Y, где Y = f(a, b). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.When these conditions are met, the coefficient of presence of an error of the first kind is considered equal to Y, where Y = f(a, b). In this case, the coefficient of presence of a type I error is 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.

Пример 2 реализации правил определения ошибки первого рода при анализе файла поведенческой сигнатурой. Используют следующие условия:Example 2 of implementing the rules for detecting an error of the first kind when analyzing a file with a behavioral signature. The following conditions are used:

• файл, выявленный поведенческой эвристикой 1, содержит вредоносный код (a);• the file identified by behavioral heuristic 1 contains malicious code (a);

• поведенческая сигнатура выпущена в тестовом режиме менее 2 часов назад (c).• Behavioral signature released in test mode less than 2 hours ago (c).

При выполнении этих условий считают коэффициент наличия ошибки первого рода равным Y, где Y = f(a, c). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.When these conditions are met, the coefficient of presence of an error of the first kind is considered equal to Y, where Y = f(a, c). In this case, the coefficient of presence of a type I error is 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.

Пример 1 реализации правила определения ошибки второго рода при анализе файла поведенческой эвристикой. Используют следующие условия:Example 1 of the implementation of the rule for determining an error of the second kind when analyzing a file by behavioral heuristics. The following conditions are used:

файл 2, проверенный поведенческой эвристикой 2, содержит вредоносный код (p);file 2 checked by behavioral heuristic 2 contains malicious code (p);

файл 2, проверенный поведенческой эвристикой 2, выполняет 3 действия с операционной системой (ОС) таким же образом, что и известный файл, содержащий вредоносный код (q);file 2, tested by behavioral heuristic 2, performs 3 actions with the operating system (OS) in the same way as a known file containing malicious code (q);

файл 2, проверенный поведенческой эвристикой 2, использует родительский процесс запуска таким же образом, что и известный файл, содержащий вредоносный код (r);file 2, tested by behavioral heuristic 2, uses the parent startup process in the same way as a known file containing malicious code (r);

источник распространения файла 2 является таким же, что и источник распространения известного файла, содержащего вредоносный код(s).the distribution source of file 2 is the same as the distribution source of the known file containing the malicious code(s).

При выполнении этих условий считают коэффициент наличия ошибки второго рода равным Y, где Y = f(p, q, r, s). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода. When these conditions are met, the coefficient of presence of an error of the second kind is considered equal to Y, where Y = f(p, q, r, s). In this case, the coefficient of presence of the error of the first kind is equal to 9. If the limit value of the coefficient is determined as 9, it is considered that the error of the second kind is detected.

Если одно из условий не выполняется, то коэффициент наличия ошибки снижается в зависимости от влияния условия на определение ошибки. Если одно из условий имеет высокое влияние на определение ошибки дополнительно, то коэффициент наличия ошибки увеличивается. Коэффициент влияния условия может быть вычислен эмпирически, статистически или путем использования машинного обучения.If one of the conditions is not met, then the error presence rate decreases depending on the influence of the condition on the error determination. If one of the conditions has a high influence on the determination of the error further, then the error presence rate is increased. The influence factor of a condition can be calculated empirically, statistically, or by using machine learning.

Помимо этого, средство выявления 130 предназначено для передачи данных о выявленной ошибке при использовании правила обнаружения вредоносного кода средству изменения 140.In addition, the detection engine 130 is designed to report the detected error when using the malicious code detection rule to the changer 140 .

Средство изменения 140 предназначено для внесения изменения в использованное правило обнаружения вредоносного кода при выявлении ошибки при использовании правила обнаружения вредоносного кода.The modification tool 140 is adapted to modify the used malware detection rule when an error is detected while using the malicious code detection rule.

При выявлении ошибки первого рода использованное правило обнаружения вредоносного кода изменяют. В одном из вариантов реализации в зависимости от объекта анализа подвергают изменению перечень условий, из которых состоит правило, а именно увеличивают их количество. Например, правило 1 содержало 3 условия. После использования правила 1 и выявления ошибки первого рода, правило 1 изменяют путем добавления по меньшей мере одного дополнительного условия. В итоге измененное правило 1 содержит уже 4 условия, что приведет к снижению вероятности появления ошибки первого рода.When an error of the first kind is detected, the used malware detection rule is changed. In one of the implementation options, depending on the object of analysis, the list of conditions that make up the rule is changed, namely, their number is increased. For example, rule 1 contained 3 conditions. After using rule 1 and detecting a Type I error, rule 1 is modified by adding at least one additional condition. As a result, the modified rule 1 already contains 4 conditions, which will lead to a decrease in the probability of a Type I error.

В другом варианте реализации в зависимости от объекта анализа подвергают изменению значение по меньшей мере одного из условий, из которых состоит правило, а именно сокращают или уменьшают его значение. Например, правило 1 содержало 3 условия, одно условие имело диапазон значений 10-20 единиц. После использования правила и выявления ошибки первого рода правило изменяют путем сокращения диапазона значений условия до 10 единиц. В итоге измененное правило 1 содержит 3 условия, одно условие уже имеет значение 10, что приведет к снижению вероятности появления ошибки первого рода.In another embodiment, depending on the object of analysis, the value of at least one of the conditions that make up the rule is changed, namely, reduce or reduce its value. For example, rule 1 contained 3 conditions, one condition had a value range of 10-20 units. After using the rule and detecting an error of the first kind, the rule is changed by reducing the range of condition values to 10 units. As a result, the modified rule 1 contains 3 conditions, one condition already has a value of 10, which will lead to a decrease in the probability of a type 1 error.

При появлении ошибки второго рода использованное правило обнаружения вредоносного кода подвергают изменению. В одном из вариантов реализации в зависимости от объекта анализа подвергают изменению перечень условий, из которых состоит правило, а именно сокращают их количество. Например, правило 3 содержало 4 условия. После использования правила и выявления ошибки второго рода правило 3 изменяют путем сокращения по меньшей мере одного дополнительного условия высокой важности. В итоге измененное правило 3 содержит уже 3 условия, что приведет к снижению вероятности появления ошибки второго рода.When an error of the second kind occurs, the used malware detection rule is changed. In one of the implementation options, depending on the object of analysis, the list of conditions that make up the rule is changed, namely, their number is reduced. For example, rule 3 contained 4 conditions. After using the rule and detecting a type 2 error, rule 3 is modified by reducing at least one additional condition of high importance. As a result, the modified rule 3 already contains 3 conditions, which will lead to a decrease in the probability of an error of the second kind.

В другом варианте реализации в зависимости от объекта анализа подвергают изменению значение по меньшей мере одного из условий, из которых состоит правило, а именно увеличивают или добавляют его значение. Например, правило 4 содержало 3 условия, одно условие имело диапазон значений 5-10 единиц. После использования правила 4 и выявления ошибки второго рода правило изменяют путем увеличения значения условия до 10 единиц. В итоге измененное правило 4 содержит 3 условия, одно условие уже имеет значение 10, что приведет к снижению вероятности появления ошибки второго рода.In another embodiment, depending on the object of analysis, the value of at least one of the conditions that make up the rule is changed, namely, its value is increased or added. For example, rule 4 contained 3 conditions, one condition had a value range of 5-10 units. After using rule 4 and detecting a type 2 error, the rule is changed by increasing the value of the condition to 10 units. As a result, the modified rule 4 contains 3 conditions, one condition already has a value of 10, which will lead to a decrease in the probability of a type 2 error.

База данных правил 150 предназначена для хранения правил определения ошибки. База данных эвристических правил 160 предназначена для хранения правил обнаружения вредоносного кода. Для хранения и обработки данных могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Сronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The rule database 150 is designed to store the error definition rules. The heuristic rules database 160 is designed to store rules for detecting malicious code. Various types of databases can be used to store and process data, namely: hierarchical (IMS, TDMS, System 2000), network (Cerebrum, Сronospro, DBVist), relational (DB2, Informix, Microsoft SQL Server), object-oriented ( Jasmine, Versant, POET), object-relational (Oracle Database, PostgreSQL, FirstSQL / J, functional, etc. Rules can be created using machine learning algorithms and automated processing of large data sets.

Фиг. 2 иллюстрирует способ изменения правила обнаружения вредоносного кода. Fig. 2 illustrates a method for modifying a malicious code detection rule.

На этапе 211 средство сбора 120 осуществляет сбор данных об использовании правила обнаружения вредоносного кода из базы данных эвристических правил 160 и передает собранные данные средству выявления 130. In step 211 , collector 120 collects data on the use of a malicious code detection rule from a database of heuristic rules 160 and passes the collected data to detection engine 130 .

На этапах 212 и 213 средство выявления 130 выполняет проверку того, возникли ли ошибки в ходе использования правила обнаружения вредоносного кода при помощи правил определения ошибки из базы данных правил 150. Далее средство выявления 130 передает данные о выявленной ошибке средству изменения 140. At steps 212 and 213 , the detection engine 130 checks whether errors occurred during the use of the malicious code detection rule using the error detection rules from the rule database 150 . Next, the detecting means 130 transmits the detected error data to the modifying means 140 .

При выявлении ошибки в работе правила обнаружения вредоносного кода на этапе 214 средство изменения 140 вносит изменения в использованное правило выявления вредоносного кода. При отсутствии ошибок на этапе 215 система завершает работу.If an error is detected in the operation of the malware detection rule, at step 214 , the changer 140 makes changes to the used malware detection rule. If there are no errors at step 215 , the system terminates.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24. Fig. 3 shows an example of a general purpose computer system, a personal computer or a server 20 ', comprising a central processing unit 21 ', system memory 22 ', and a system bus 23 ', which contains various system components including memory associated with the central processing unit 21 '. The system bus 23 is implemented as any bus structure known in the art, comprising in turn a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. The system memory contains read only memory (ROM) 24 , random access memory (RAM) 25 . The main input/output system (BIOS) 26 contains the main procedures that ensure the transfer of information between the elements of a personal computer 20 , for example, at the time of booting the operating system using ROM 24 .

Персональный компьютер 20 в свою очередь содержит жёсткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жёсткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жёсткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20. The personal computer 20 , in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31 , such as CD-ROM, DVD -ROM and other optical storage media. The hard disk 27 , the magnetic disk drive 28 , the optical drive 30 are connected to the system bus 23 via the hard disk interface 32 , the magnetic disk interface 33 , and the optical drive interface 34 , respectively. Drives and related computer storage media are non-volatile means of storing computer instructions, data structures, program modules, and other personal computer data 20 .

Настоящее описание раскрывает реализацию системы, которая использует жёсткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27 , a removable magnetic disk 29 and a removable optical disk 31 , but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer-readable form (solid-state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55 .

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединён к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединён к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащён другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.The computer 20 has a file system 36 that stores the recorded operating system 35 as well as additional software applications 37 , other program modules 38 and program data 39 . The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40 , mouse 42 ). Other input devices (not shown) may be used: microphone, joystick, game console, scanner, etc. Such input devices are normally connected to the computer system 20 via a serial port 46 , which in turn is connected to the system bus, but may be connected in other ways, such as through a parallel port, game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48 '. In addition to the monitor 47 , the personal computer may be equipped with other peripheral output devices (not shown), such as speakers, a printer, etc.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удалёнными компьютерами 49. Удалённый компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы. The personal computer 20 is capable of operating in a networked environment using a network connection to another or more remote computers 49 . The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the nature of the personal computer 20 shown in FIG. 3 . Other devices may also be present in the computer network, such as routers, network stations, peer-to-peer devices, or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключён к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключён к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections may form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local network 50 via a network adapter or network interface 51 . When using networks, personal computer 20 may use a modem 54 or other means to communicate with a wide area network, such as the Internet. The modem 54 , which is an internal or external device, is connected to the system bus 23 via the serial port 46 . It should be clarified that the network connections are only indicative and are not required to represent the exact network configuration, i.e. in fact, there are other ways to establish a connection by technical means of communication from one computer to another.

В заключение следует отметить, что приведённые в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определённого формулой.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention defined by the formula.

Claims (21)

1. Способ изменения правила обнаружения вредоносного кода, содержащий этапы, на которых:1. A method for modifying a malicious code detection rule, comprising the steps of: а) используют и хранят по крайней мере одно правило обнаружения вредоносного кода в виде набора условий, при выполнении которого анализируемый объект считают содержащим вредоносный код;a) use and store at least one malicious code detection rule as a set of conditions under which the analyzed object is considered to contain malicious code; б) собирают данные об использовании хранимого правила обнаружения вредоносного кода;b) collect data on the use of the stored malicious code detection rule; в) выявляют наличие ошибки первого рода или ошибки второго рода при использовании правила обнаружения вредоносного кода при помощи правил определения ошибки на основании собранных данных;c) detecting the presence of an error of the first type or an error of the second type when using the malicious code detection rule using the error detection rules based on the collected data; г) при выявлении ошибки при использовании правила обнаружения вредоносного кода вносят изменение в использованное правило обнаружения вредоносного кода путем по крайней мере изменения одного условия из набора условий использованного правила обнаружения вредоносного кода в соответствии с выявленной ошибкой.d) if an error is detected when using the malicious code detection rule, a change is made to the used malware detection rule by changing at least one condition from the set of conditions of the used malware detection rule in accordance with the detected error. 2. Способ по п. 1, в котором под данными об использовании правила обнаружения вредоносного кода понимают следующие данные: 2. The method according to claim 1, in which the following data is understood as data on the use of a malicious code detection rule: • время использования правила обнаружения вредоносного кода; • the time when the malicious code detection rule was used; • дату создания правила обнаружения вредоносного кода;• date of creation of the malicious code detection rule; • результат работы правила обнаружения вредоносного кода;• result of operation of the malicious code detection rule; • данные об объекте анализа;• data about the object of analysis; • настройки антивирусной программы, которая использовала правило обнаружения вредоносного кода;• settings of the anti-virus program that used the malicious code detection rule; • данные о программном обеспечении компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода;• data about the software of the computer system on which the anti-virus program is active, which used the malicious code detection rule; • данные об оборудования компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода;• data about the hardware of the computer system on which the anti-virus program is active, which used the malicious code detection rule; • данные о политике безопасности, примененной на компьютерной системе, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода;• data about the security policy applied on the computer system on which the anti-virus program is active, which used the malicious code detection rule; • реакцию пользователя на результат использования правила.• the user's reaction to the result of using the rule. 3. Способ по п. 1, в котором под правилом определения ошибки понимают набор условий, при выполнении которых определяют коэффициент наличия ошибки после использования правила обнаружения вредоносного кода.3. The method according to claim 1, in which the error detection rule is understood as a set of conditions under which the error presence coefficient is determined after using the malicious code detection rule. 4. Способ по п. 3, в котором определяют предельное значение коэффициента ошибки, при превышении которого считают ошибку первого или второго рода выявленной.4. The method according to claim 3, in which the limit value of the error coefficient is determined, when exceeded, an error of the first or second kind is considered detected. 5. Способ по п. 1, в котором при выявлении ошибки сокращают диапазон значений по крайней мере одного условия из набора условий использованного правила обнаружения вредоносного кода.5. The method according to claim 1, in which, upon detection of an error, the range of values of at least one condition from the set of conditions of the used malware detection rule is reduced. 6. Способ по п. 1, в котором при выявлении ошибки расширяют диапазон значений по крайней мере одного условия из набора условий использованного правила обнаружения вредоносного кода.6. The method according to claim 1, in which, upon detection of an error, the range of values of at least one condition from the set of conditions of the used malware detection rule is expanded. 7. Способ по п. 1, в котором при выявлении ошибки добавляют по меньшей мере одно дополнительное условие в набор условий использованного правила обнаружения вредоносного кода.7. The method according to claim. 1, in which, when an error is detected, at least one additional condition is added to the set of conditions of the used malware detection rule. 8. Способ по п. 1, в котором при выявлении ошибки удаляют по меньшей мере одно условие из набора условий использованного правила обнаружения вредоносного кода.8. The method according to claim. 1, in which, upon detection of an error, at least one condition is removed from the set of conditions of the used malware detection rule.
RU2021106654A 2021-03-15 2021-03-15 Method for changing the malware detection rule RU2776926C1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US17/447,206 US20220292198A1 (en) 2021-03-15 2021-09-09 Systems and methods for modifying a malicious code detection rule
EP21209738.0A EP4060534A1 (en) 2021-03-15 2021-11-23 Systems and methods for modifying a malicious code detection rule

Publications (1)

Publication Number Publication Date
RU2776926C1 true RU2776926C1 (en) 2022-07-28

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007117635A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware modeling detection system and method for mobile platforms
US20110173698A1 (en) * 2010-01-08 2011-07-14 Microsoft Corporation Mitigating false positives in malware detection
RU111920U1 (en) * 2011-03-28 2011-12-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS
RU2481633C2 (en) * 2011-08-04 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for automatic investigation of safety incidents
RU2487405C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for correcting antivirus records
RU2625053C1 (en) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Elimination of false activation of anti-virus records

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007117635A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware modeling detection system and method for mobile platforms
US20110173698A1 (en) * 2010-01-08 2011-07-14 Microsoft Corporation Mitigating false positives in malware detection
RU111920U1 (en) * 2011-03-28 2011-12-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS
RU2481633C2 (en) * 2011-08-04 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for automatic investigation of safety incidents
RU2487405C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for correcting antivirus records
RU2625053C1 (en) * 2016-07-29 2017-07-11 Акционерное общество "Лаборатория Касперского" Elimination of false activation of anti-virus records

Similar Documents

Publication Publication Date Title
Arshad et al. SAMADroid: a novel 3-level hybrid malware detection model for android operating system
RU2679785C1 (en) System and method of classification of objects
Lanzi et al. Accessminer: using system-centric models for malware protection
RU2444056C1 (en) System and method of speeding up problem solving by accumulating statistical information
RU2739865C2 (en) System and method of detecting a malicious file
RU2659737C1 (en) System and method of managing computing resources for detecting malicious files
EP2310974B1 (en) Intelligent hashes for centralized malware detection
US8239944B1 (en) Reducing malware signature set size through server-side processing
US8955133B2 (en) Applying antimalware logic without revealing the antimalware logic to adversaries
US20110041179A1 (en) Malware detection
US20190114420A1 (en) System and method of detecting malicious files using a trained machine learning model
CN111382430A (en) System and method for classifying objects of a computer system
JP2019079493A (en) System and method for detecting malicious files using machine learning
RU2624552C2 (en) Method of malicious files detecting, executed by means of the stack-based virtual machine
Chen et al. A categorization framework for common computer vulnerabilities and exposures
RU2739830C1 (en) System and method of selecting means of detecting malicious files
Gascon et al. Mining attributed graphs for threat intelligence
JP2010182019A (en) Abnormality detector and program
CN109948335B (en) System and method for detecting malicious activity in a computer system
RU2697958C1 (en) System and method for detecting malicious activity on a computer system
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
RU2747514C2 (en) System and method for categorizing application on computing device
RU2716735C1 (en) System and method of deferred authorization of a user on a computing device
RU2776926C1 (en) Method for changing the malware detection rule
US20220292198A1 (en) Systems and methods for modifying a malicious code detection rule