RU2776926C1 - Method for changing the malware detection rule - Google Patents
Method for changing the malware detection rule Download PDFInfo
- Publication number
- RU2776926C1 RU2776926C1 RU2021106654A RU2021106654A RU2776926C1 RU 2776926 C1 RU2776926 C1 RU 2776926C1 RU 2021106654 A RU2021106654 A RU 2021106654A RU 2021106654 A RU2021106654 A RU 2021106654A RU 2776926 C1 RU2776926 C1 RU 2776926C1
- Authority
- RU
- Russia
- Prior art keywords
- detection rule
- error
- malicious code
- rule
- conditions
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 114
- 230000002155 anti-virotic Effects 0.000 claims description 20
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 230000003542 behavioural Effects 0.000 description 11
- 230000003287 optical Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006011 modification reaction Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000002093 peripheral Effects 0.000 description 2
- 230000003068 static Effects 0.000 description 2
- 210000004720 Cerebrum Anatomy 0.000 description 1
- 235000010254 Jasminum officinale Nutrition 0.000 description 1
- 240000005385 Jasminum sambac Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000875 corresponding Effects 0.000 description 1
Images
Abstract
Description
Область техникиTechnical field
Изобретение относится к области информационной безопасности, а более конкретно к способу изменения правил обнаружения вредоносного кода.The invention relates to the field of information security, and more specifically to a method for changing the rules for detecting malicious code.
Уровень техникиState of the art
Бурное развитие компьютерных технологий в последнее десятилетие и широкое распространение компьютерных систем (персональных компьютеров, ноутбуков, планшетов, смартфонов и т.д.) стали мощным стимулом для использования упомянутых устройств в разнообразных сферах деятельности и для выполнения огромного количества задач (от интернет-серфинга до банковских переводов и ведения электронного документооборота). Параллельно с ростом количества компьютерных систем и программного обеспечения быстрыми темпами растет и количество вредоносных программ.The rapid development of computer technology in the last decade and the widespread use of computer systems (personal computers, laptops, tablets, smartphones, etc.) have become a powerful incentive for the use of these devices in various fields of activity and for performing a huge number of tasks (from Internet surfing to bank transfers and electronic document management). In parallel with the growth in the number of computer systems and software, the number of malicious programs is also growing at a rapid pace.
В настоящий момент существует огромное количество разновидностей вредоносных программ. Одни крадут с устройств пользователей их персональные и конфиденциальные данные (например, логины и пароли, банковские реквизиты, электронные документы). Другие формируют из устройств пользователей так называемые бот-сети (англ. botnet), которые используют для организации атак на стороннюю компьютерную систему, целью которых является доведение до отказа в обслуживании (англ. DDoS − Distributed Denial of Service) или перебор паролей методом грубой силы (англ. brute force). Третьи предлагают пользователям платный контент через навязчивую рекламу, отправку SMS-сообщений на платные номера и т.д.At the moment, there are a huge number of varieties of malicious programs. Some steal from users' devices their personal and confidential data (for example, logins and passwords, bank details, electronic documents). Others form so-called botnets from user devices, which are used to organize attacks on a third-party computer system, the purpose of which is to bring to a denial of service (Eng. DDoS - Distributed Denial of Service) or brute force password brute force (English brute force). Still others offer users paid content through intrusive advertising, sending SMS messages to paid numbers, etc.
Для обнаружения приложений, содержащих вредоносный код, используют различные технологии и методы, такие как: статический анализ, поведенческий анализ, анализ и сравнение баз данных доверенных приложений и приложений, содержащих вредоносный код, и т.д. Каждая технология подразумевает использование сигнатур или наборов условий для того, чтобы обнаружить наличие вредоносного кода. Упомянутые технологии или методы обладают своими плюсами и минусами, которые влияют на появление ошибок первого и второго рода при обнаружении вредоносных приложений (так называемую эффективность обнаружения или detection rate) и на использование вычислительных ресурсов для обнаружения вредоносных приложений (так называемую производительность). В свою очередь вредоносные приложения эволюционируют вслед за средствами их обнаружения и становятся более сложными для обнаружения. To detect applications containing malicious code, various technologies and methods are used, such as: static analysis, behavioral analysis, analysis and comparison of databases of trusted applications and applications containing malicious code, etc. Each technology involves the use of signatures or sets of conditions in order to detect the presence of malicious code. The mentioned technologies or methods have their pros and cons, which affect the appearance of errors of the first and second kind when detecting malicious applications (the so-called detection efficiency or detection rate) and the use of computing resources for the detection of malicious applications (the so-called performance). In turn, malicious applications evolve with the means of detection and become more difficult to detect.
В настоящее время существуют решения, предназначенные для анализа эффективности обнаружения вредоносного кода по той или иной технологии, а именно проверки корректности работы сигнатур, используемых в технологии. Например, в публикации US8819835B2 представлена система, в которой выполняют выявление сигнатур, работающих некорректно, путем использования скрытых сигнатур. Правила, построенные на статистике срабатываний сигнатур, позволяют определить качество работы сигнатуры. Если сигнатура работает корректно, то ее переводят в активное состояние, в противном случае - отменяют ее использование. Хотя описанный выше метод работы частично успешно справляется с выявлением некорректно работающей сигнатуры, но он не подразумевает выполнения анализа ошибки, к которой приводит использование сигнатуры, и возможности внесения изменений в сигнатуру, что может способствовать изменению эффективности обнаружения вредоносного кода при использовании упомянутой сигнатуры. Настоящее изобретение позволяет решать эту задачу.Currently, there are solutions designed to analyze the effectiveness of detecting malicious code using a particular technology, namely, checking the correct operation of the signatures used in the technology. For example, US8819835B2 presents a system that detects signatures that do not work correctly by using hidden signatures. Rules built on the statistics of signature triggering allow you to determine the quality of the signature. If the signature works correctly, then it is transferred to the active state, otherwise, its use is canceled. Although the method of operation described above is partially successful in detecting a signature that does not work correctly, it does not involve analyzing the error that the use of the signature leads to and the possibility of making changes to the signature, which can change the efficiency of detecting malicious code when using the mentioned signature. The present invention solves this problem.
Раскрытие изобретенияDisclosure of invention
Изобретение относится к области информационной безопасности, а более конкретно к способам управления правилами обнаружения вредоносного кода. Изобретение предназначено для изменения правила обнаружения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении защиты информационной безопасности путем поддержания правил обнаружения вредоносного кода в актуальном состоянии за счет выявления ошибки при использовании правила обнаружения вредоносного кода и его изменения.The invention relates to the field of information security, and more specifically to methods for managing malicious code detection rules. The invention is intended to change the rule for detecting malicious code. The technical result of the present invention is to provide information security protection by keeping the malicious code detection rules up to date by detecting an error when using the malicious code detection rule and changing it.
В одном из вариантов реализации предоставляют способ изменения правила обнаружения вредоносного кода, содержащий этапы, на которых: собирают данные об использовании правила обнаружения вредоносного кода; выявляют наличие ошибки при использовании правила обнаружения вредоносного кода при помощи правил определения ошибки; при выявлении ошибки при использовании правила обнаружения вредоносного кода вносят изменение в использованное правило обнаружения вредоносного кода.In one embodiment, a method for modifying a malware detection rule is provided, comprising the steps of: collecting data on usage of the malware detection rule; detecting the presence of an error when using the malicious code detection rule using the error detection rules; if an error is detected when using the malicious code detection rule, a change is made to the used malware detection rule.
В другом варианте реализации способа правилом обнаружения вредоносного кода понимают набор условий, при выполнении которых, анализируемый объект считают содержащим вредоносный код.In another embodiment of the method, a malicious code detection rule is understood as a set of conditions under which the analyzed object is considered to contain malicious code.
Еще в одном варианте реализации способа под данными об использовании правила обнаружения вредоносного кода понимают следующие данные: время использования правила обнаружения вредоносного кода; дату создания правила обнаружения вредоносного кода; результат работы правила обнаружения вредоносного кода; данные об объекте анализа; настройки антивирусной программы, которая использовала правило обнаружения вредоносного кода; данные о программном обеспечении компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; данные об оборудования компьютерной системы, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; данные о политике безопасности, примененной на компьютерной системе, на которой активна антивирусная программа, которая использовала правило обнаружения вредоносного кода; реакцию пользователя на результат использования правила.In another embodiment of the method, the data on the use of the malicious code detection rule is understood to mean the following data: the time of using the malicious code detection rule; date of creation of the malicious code detection rule; the result of the malicious code detection rule; data about the object of analysis; settings of the anti-virus program that used the malicious code detection rule; data about the software of the computer system on which the anti-virus program is active, which used the malicious code detection rule; data about the hardware of the computer system on which the anti-virus program is active, which used the malware detection rule; data about the security policy applied on the computer system on which the anti-virus program is active, which used the malicious code detection rule; the user's reaction to the result of using the rule.
Еще в другом варианте реализации способа выявляют ошибку первого рода.In yet another embodiment of the method, a Type I error is detected.
В одном из вариантов реализации способа выявляют ошибку второго рода.In one of the embodiments of the method, an error of the second kind is detected.
В другом варианте реализации способа при выявлении ошибки изменяют значение по крайней мере одного из условий, использованных в правиле обнаружения вредоносного кода.In another embodiment of the method, when an error is detected, the value of at least one of the conditions used in the malicious code detection rule is changed.
Еще в одном варианте реализации способа при выявлении ошибки изменяют перечень условий использованного правила обнаружения вредоносного кода.In another embodiment of the method, when an error is detected, the list of conditions of the used malware detection rule is changed.
Еще в другом варианте реализации способа хранят правила определения ошибки в базе данных правил. In yet another embodiment of the method, the error determination rules are stored in a rule database.
В одном варианте реализации способа хранят правила обнаружения вредоносного кода в базе данных эвристических правил.In one embodiment of the method, the rules for detecting malicious code are stored in a database of heuristic rules.
Краткое описание чертежейBrief description of the drawings
Фиг. 1 иллюстрирует структуру системы изменения правила обнаружения вредоносного кода. Fig. 1 illustrates the structure of a malware detection rule change system.
Фиг. 2 иллюстрирует способ изменения правила обнаружения вредоносного кода. Fig. 2 illustrates a method for modifying a malicious code detection rule.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер. Fig. 3 represents an example of a general purpose computer system, a personal computer or a server.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a particular embodiment thereof. On the contrary, the purpose of the description is to cover all changes, modifications, included in the scope of this invention, as defined by the attached claims.
Описание вариантов осуществления изобретенияDescription of embodiments of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведённая в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but the specific details necessary to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined within the scope of the appended claims.
Антивирусная программа в ходе анализа наличия вредоносного кода использует методы, применение которых подразумевает использование правил обнаружения вредоносного кода.When analyzing the presence of malicious code, the anti-virus program uses methods that involve the use of rules for detecting malicious code.
В общем виде эвристический анализатор в антивирусной программе представляет собой определенный набор правил. Упомянутый анализатор использует правила, чтобы на основе получаемых при анализе данных вынести решение о том, содержит ли анализируемое приложение вредоносный код (https://xakep.ru/static/re-malware/18_avresearch.pdf). Правило обнаружения вредоносного кода – набор условий, при выполнении которых анализируемый объект считают содержащим вредоносный код. В зависимости от объекта анализа выделяют различные виды условий, на основе которых формируют правила. Например, вредоносный код в объектах типа файл может быть обнаружен при помощи эвристики, построенной на основе анализа известного файла, содержащего вредоносный код. Упомянутая эвристика является частным случаем правила обнаружения вредоносного кода (http://dspace.nbuv.gov.ua/bitstream/handle/123456789/6920/10-Ruvinskaya.pdf?sequence=1). В качестве условий могут быть использованы условия и признаки, характерные для файлов, например: части файла в виде файловой сигнатуры, содержащиеся в файле команды, уникальные строки, тип файла, размер файла, структура файла. Помимо этого, вредоносный код в файлах может быть обнаружен при помощи поведенческой сигнатуры (Ю. М. Туманов, «ОБНАРУЖЕНИЕ ВРЕДОНОСНЫХ СЦЕНАРИЕВ JAVASCRIPT НА ОСНОВЕ ПОВЕДЕНЧЕСКИХ СИГНАТУР», https://bit.mephi.ru/index.php/bit/article/download/828/818). В этом случае в качестве условий могут выступать действия приложения по отношению к другим программам, к оборудованию компьютерной системы, к операционной системе и т.д. In general, a heuristic analyzer in an antivirus program is a specific set of rules. The mentioned analyzer uses rules to decide on the basis of the data received during the analysis whether the analyzed application contains malicious code (https://xakep.ru/static/re-malware/18_avresearch.pdf). A malicious code detection rule is a set of conditions under which the analyzed object is considered to contain malicious code. Depending on the object of analysis, different types of conditions are distinguished, on the basis of which rules are formed. For example, malicious code in file type objects can be detected using heuristics based on the analysis of a known file containing malicious code. The mentioned heuristic is a special case of the malicious code detection rule (http://dspace.nbuv.gov.ua/bitstream/handle/123456789/6920/10-Ruvinskaya.pdf?sequence=1). As conditions, conditions and features specific to files can be used, for example: parts of a file in the form of a file signature, commands contained in the file, unique lines, file type, file size, file structure. In addition, malicious code in files can be detected using a behavioral signature (Yu. M. Tumanov, "DETECTION OF MALICIOUS JAVASCRIPT SCENARIOS BASED ON BEHAVIOR SIGNATURES", https://bit.mephi.ru/index.php/bit/article/ download/828/818). In this case, the actions of the application in relation to other programs, to the hardware of the computer system, to the operating system, etc., can act as conditions.
Объектом анализа может быть не только файл, но и, например, сообщение, отправленное по электронной почте. В этом случае частным случаем правил является спам эвристика, в качестве условий выступают параметры и признаки, характерные для сообщения, отправленного по электронной почте, например: текст темы сообщения, заголовок текста тела сообщения, язык текста сообщения и т.д.The object of analysis can be not only a file, but also, for example, a message sent by e-mail. In this case, spam heuristics is a special case of the rules, the conditions are the parameters and features specific to the message sent by e-mail, for example: the subject text of the message, the title of the message body text, the language of the message text, etc.
В ходе анализа одного объекта могут быть использованы различные правила обнаружения вредоносного кода. В ходе использования правила определяют, с какой вероятностью анализируемый объект содержит вредоносный код. При превышении предельного значения вероятности объект может быть причислен к объектам, содержащим вредоносный код. Если предельное значение вероятности не превышено, объект может быть причислен к объектам, не содержащим вредоносный код. В том или другом случае существует вероятность возникновения ошибки. Ошибкой первого рода или ложноположительным срабатыванием считают ситуацию, когда объект, который в действительности не является вредоносным, после использования правила признан объектом, содержащим вредоносный код. Ошибкой второго рода считают ситуацию, когда объект, который в действительности является вредоносным приложением, после использования правила признан объектом, не содержащим вредоносный код. Ошибки первого и второго рода необходимо выявлять и использовать данные об ошибках для изменения соответствующих правил обнаружения вредоносного кода. Для этого используют систему изменения правила обнаружения вредоносного кода.During the analysis of one object, different rules for detecting malicious code can be used. In the course of using the rules, they determine with what probability the analyzed object contains malicious code. If the probability limit value is exceeded, an object can be classified as an object containing malicious code. If the probability limit is not exceeded, the object can be classified as an object that does not contain malicious code. In either case, there is a possibility of an error occurring. A Type I error or a false positive is considered to be a situation where an object that is not actually malicious is recognized as an object containing malicious code after using the rule. A type 2 error is a situation where an object that is actually a malicious application is recognized as an object that does not contain malicious code after using the rule. Errors of the first and second types must be detected and error data used to change the corresponding rules for detecting malicious code. To do this, use a system for changing the rule for detecting malicious code.
Фиг 1. иллюстрирует структуру системы изменения правила обнаружения вредоносного кода, которая включает в себя антивирусную программу 110, средство сбора 120, средство выявления 130, средство изменения 140, базу данных правил 150, базу данных эвристических правил 160. FIG. 1 illustrates the structure of a malware detection rule change system that includes an
Антивирусная программа 110 выполняет поиск и обнаружение вредоносного кода на компьютерных системах пользователей известными из уровня техники методами и технологиями с использованием правил обнаружения вредоносного кода из базы данных эвристических правил 160.The
Средство сбора 120 предназначено для сбора данных об использовании правила обнаружения вредоносного кода из базы данных эвристических правил 160. В момент, когда антивирусная программа 110 в ходе анализа объектов использовала правило обнаружения вредоносного кода базы данных эвристических правил 160, средство сбора 120 выполняет сбор данных об использовании правила обнаружения вредоносного кода, а именно по меньшей мере одного из: Collection medium120 designed to collect data on the use of a malicious code detection rule from a database of heuristic rules160. When the antivirus program110 during the analysis of objects used the malware detection rule of the heuristic rules database160, remedy collection120collects data on the use of a malicious code detection rule, namely at least one of:
• время использования правила обнаружения вредоносного кода; • the time when the malicious code detection rule was used;
• дата создания правила обнаружения вредоносного кода;• date of creation of the malicious code detection rule;
• результат работы правила обнаружения вредоносного кода – решение о признании объекта анализа содержащим или не содержащим вредоносный код после использования правила обнаружения вредоносного кода;• the result of the operation of the malicious code detection rule – the decision to recognize the object of analysis as containing or not containing malicious code after using the malicious code detection rule;
• данные об объекте анализа, например, в случае, если объектом является файл, то могут быть получены следующие данные:• data about the object of analysis, for example, if the object is a file, then the following data can be obtained:
- имя,- name,
- размер,- the size,
- расширение,- extension,
- контрольная сумма участка кода,- checksum of the code section,
- контрольная сумма секции и т.д.;- section checksum, etc.;
• настройки антивирусной программы 110, которая использовала правило обнаружения вредоносного кода, например, глубина эмуляции, время и дата последнего обновления антивирусных баз, частота обновления антивирусных баз, набор файлов для проверки и т.д.;• settings of the
• данные о программном обеспечении компьютерной системы и ее настройки, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список установленных программ, название программы, данные о разработчике программы, версия программы, период времени использования программы и т.д.;• data about the software of the computer system and its settings on which the
• данные об оборудовании компьютерной системы и ее настройках, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список установленного оборудования, модель процессора, модель материнской платы, модель сетевой карты;• data about the hardware of the computer system and its settings on which the
• данные о политике безопасности, примененной на компьютерной системе, на которой активна антивирусная программа 110, которая использовала правило обнаружения вредоносного кода, например, список пользователей и их роли, разрешения на использование программного обеспечения, разрешения на использование оборудования и т.д.;• data about the security policy applied on the computer system on which the
• реакция пользователя на результат использования правила – это действие пользователя над объектом анализа после использования правил обнаружения вредоносного кода.• The user's reaction to the result of using the rule is the user's action on the object of analysis after using the rules for detecting malicious code.
Помимо этого, средство сбора 120 предназначено для передачи данных об использовании правила обнаружения вредоносного кода средству выявления 130.In addition, the
Средство выявления 130 предназначено для выявления наличия ошибки при использовании правила обнаружения вредоносного кода при помощи правил определения ошибки.The detecting
Выявление наличия ошибки выполняют при помощи правил определения ошибки из базы данных правил 150. Правило определения ошибки — это набор условий, при выполнении которых средство выявления 130 определяет коэффициент наличия ошибки после использования правила обнаружения вредоносного кода. Предельное значение коэффициента ошибки, при превышении которого считают ошибку выявленной, может быть определено эмпирически, статистически, и изменяться в соответствии с обнаружением новых объектов анализа, содержащих вредоносный код.The detection of the presence of an error is performed using the error detection rules from the
Примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа содержит вредоносный код, отмена 10 разными пользователями результата использования правила обнаружения вредоносного кода при анализе одного и того же объекта, политика безопасности, оборудование и программное обеспечение компьютерных систем, на которых был отменено правило, совпадают на 80 процентов, период времени использования правила – 7 дней. При выполнении этих условий считают коэффициент наличия ошибки первого рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.An example of one of the error detection rules can be the following set of conditions: result of using a malicious code detection rule - the object of analysis contains malicious code, cancellation by 10 different users of the result of using a malicious code detection rule when analyzing the same object, security policy, hardware and software of computer systems on which the rule was canceled match 80 percent, the time period for using the rule is 7 days. When these conditions are met, the coefficient of presence of a type I error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.
Другим примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа содержит вредоносный код, во время использования правила список оборудования сократился на одно устройство, объект анализа обнаружен на 10 компьютерных системах, список оборудования и ПО которых совпадает на 80 процентов, список оборудования упомянутых устройств так же сократился на одно устройство, упомянутое ранее. При выполнении этих условий считают коэффициент наличия ошибки первого рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.Another example of one of the rules for detecting an error can be the following set of conditions: the result of using a malicious code detection rule is that the object of analysis contains malicious code, while using the rule, the list of equipment was reduced by one device, the object of analysis was detected on 10 computer systems, the list of equipment and software of which matches by 80 percent, the list of equipment of the mentioned devices has also been reduced by one device mentioned earlier. When these conditions are met, the coefficient of presence of a type I error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.
Другим примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа не содержит вредоносный код, объект анализа схож с ранее известным объектом анализа, содержащим вредоносный код на 80 процентов, дата создания правила обнаружения вредоносного кода больше 90 дней, настройки антивирусной программы, которая использовала правило обнаружения вредоносного кода, совпадают на 90 процентов. При выполнении этих условий считают коэффициент наличия ошибки второго рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода.Another example of one of the error detection rules can be the following set of conditions: the result of using a malicious code detection rule is that the object of analysis does not contain malicious code, the object of analysis is similar to the previously known object of analysis containing malicious code by 80 percent, the date of creation of the malicious code detection rule is greater than 90 days, the settings of the antivirus program that used the malware detection rule match 90 percent. When these conditions are met, the coefficient of the presence of a type 2 error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type 2 error has been detected.
Ещё одним примером одного из правил определения ошибки может быть следующий набор условий: результат использования правила обнаружения вредоносного кода – объект анализа не содержит вредоносный код, результат использования правила обнаружения вредоносного кода подтвержден на 10 компьютерных системах, объект анализа извлечен из архива объектов, содержащих вредоносный код. При выполнении этих условий считают коэффициент наличия ошибки второго рода равным 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода.Another example of one of the error detection rules can be the following set of conditions: the result of using the malicious code detection rule is that the object of analysis does not contain malicious code, the result of using the malicious code detection rule was confirmed on 10 computer systems, the analysis object was extracted from the archive of objects containing malicious code . When these conditions are met, the coefficient of the presence of a type 2 error is considered to be 9. If the limit value of the coefficient is defined as 9, it is considered that a type 2 error has been detected.
Пример 1 реализации правил определения ошибки первого рода при анализе файла поведенческой сигнатурой. Под условиями понимают следующие условия: Example 1 of the implementation of the rules for determining an error of the first kind when analyzing a file with a behavioral signature. Conditions mean the following conditions:
• файл 1, выявленный поведенческой эвристикой 1, содержит вредоносный код (a);• file 1 detected by behavioral heuristic 1 contains malicious code (a);
• за последние 2 часа количество пользователей, добавивших файл 1 в исключения, превысило значение 1 (b).• in the last 2 hours, the number of users who added file 1 to exceptions exceeded the value 1 (b).
При выполнении этих условий считают коэффициент наличия ошибки первого рода равным Y, где Y = f(a, b). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.When these conditions are met, the coefficient of presence of an error of the first kind is considered equal to Y, where Y = f(a, b). In this case, the coefficient of presence of a type I error is 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.
Пример 2 реализации правил определения ошибки первого рода при анализе файла поведенческой сигнатурой. Используют следующие условия:Example 2 of implementing the rules for detecting an error of the first kind when analyzing a file with a behavioral signature. The following conditions are used:
• файл, выявленный поведенческой эвристикой 1, содержит вредоносный код (a);• the file identified by behavioral heuristic 1 contains malicious code (a);
• поведенческая сигнатура выпущена в тестовом режиме менее 2 часов назад (c).• Behavioral signature released in test mode less than 2 hours ago (c).
При выполнении этих условий считают коэффициент наличия ошибки первого рода равным Y, где Y = f(a, c). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка первого рода.When these conditions are met, the coefficient of presence of an error of the first kind is considered equal to Y, where Y = f(a, c). In this case, the coefficient of presence of a type I error is 9. If the limit value of the coefficient is defined as 9, it is considered that a type I error has been detected.
Пример 1 реализации правила определения ошибки второго рода при анализе файла поведенческой эвристикой. Используют следующие условия:Example 1 of the implementation of the rule for determining an error of the second kind when analyzing a file by behavioral heuristics. The following conditions are used:
файл 2, проверенный поведенческой эвристикой 2, содержит вредоносный код (p);file 2 checked by behavioral heuristic 2 contains malicious code (p);
файл 2, проверенный поведенческой эвристикой 2, выполняет 3 действия с операционной системой (ОС) таким же образом, что и известный файл, содержащий вредоносный код (q);file 2, tested by behavioral heuristic 2, performs 3 actions with the operating system (OS) in the same way as a known file containing malicious code (q);
файл 2, проверенный поведенческой эвристикой 2, использует родительский процесс запуска таким же образом, что и известный файл, содержащий вредоносный код (r);file 2, tested by behavioral heuristic 2, uses the parent startup process in the same way as a known file containing malicious code (r);
источник распространения файла 2 является таким же, что и источник распространения известного файла, содержащего вредоносный код(s).the distribution source of file 2 is the same as the distribution source of the known file containing the malicious code(s).
При выполнении этих условий считают коэффициент наличия ошибки второго рода равным Y, где Y = f(p, q, r, s). В данном случае коэффициент наличия ошибки первого рода равен 9. В случае если предельное значение коэффициента определено как 9, считают, что выявлена ошибка второго рода. When these conditions are met, the coefficient of presence of an error of the second kind is considered equal to Y, where Y = f(p, q, r, s). In this case, the coefficient of presence of the error of the first kind is equal to 9. If the limit value of the coefficient is determined as 9, it is considered that the error of the second kind is detected.
Если одно из условий не выполняется, то коэффициент наличия ошибки снижается в зависимости от влияния условия на определение ошибки. Если одно из условий имеет высокое влияние на определение ошибки дополнительно, то коэффициент наличия ошибки увеличивается. Коэффициент влияния условия может быть вычислен эмпирически, статистически или путем использования машинного обучения.If one of the conditions is not met, then the error presence rate decreases depending on the influence of the condition on the error determination. If one of the conditions has a high influence on the determination of the error further, then the error presence rate is increased. The influence factor of a condition can be calculated empirically, statistically, or by using machine learning.
Помимо этого, средство выявления 130 предназначено для передачи данных о выявленной ошибке при использовании правила обнаружения вредоносного кода средству изменения 140.In addition, the
Средство изменения 140 предназначено для внесения изменения в использованное правило обнаружения вредоносного кода при выявлении ошибки при использовании правила обнаружения вредоносного кода.The
При выявлении ошибки первого рода использованное правило обнаружения вредоносного кода изменяют. В одном из вариантов реализации в зависимости от объекта анализа подвергают изменению перечень условий, из которых состоит правило, а именно увеличивают их количество. Например, правило 1 содержало 3 условия. После использования правила 1 и выявления ошибки первого рода, правило 1 изменяют путем добавления по меньшей мере одного дополнительного условия. В итоге измененное правило 1 содержит уже 4 условия, что приведет к снижению вероятности появления ошибки первого рода.When an error of the first kind is detected, the used malware detection rule is changed. In one of the implementation options, depending on the object of analysis, the list of conditions that make up the rule is changed, namely, their number is increased. For example, rule 1 contained 3 conditions. After using rule 1 and detecting a Type I error, rule 1 is modified by adding at least one additional condition. As a result, the modified rule 1 already contains 4 conditions, which will lead to a decrease in the probability of a Type I error.
В другом варианте реализации в зависимости от объекта анализа подвергают изменению значение по меньшей мере одного из условий, из которых состоит правило, а именно сокращают или уменьшают его значение. Например, правило 1 содержало 3 условия, одно условие имело диапазон значений 10-20 единиц. После использования правила и выявления ошибки первого рода правило изменяют путем сокращения диапазона значений условия до 10 единиц. В итоге измененное правило 1 содержит 3 условия, одно условие уже имеет значение 10, что приведет к снижению вероятности появления ошибки первого рода.In another embodiment, depending on the object of analysis, the value of at least one of the conditions that make up the rule is changed, namely, reduce or reduce its value. For example, rule 1 contained 3 conditions, one condition had a value range of 10-20 units. After using the rule and detecting an error of the first kind, the rule is changed by reducing the range of condition values to 10 units. As a result, the modified rule 1 contains 3 conditions, one condition already has a value of 10, which will lead to a decrease in the probability of a type 1 error.
При появлении ошибки второго рода использованное правило обнаружения вредоносного кода подвергают изменению. В одном из вариантов реализации в зависимости от объекта анализа подвергают изменению перечень условий, из которых состоит правило, а именно сокращают их количество. Например, правило 3 содержало 4 условия. После использования правила и выявления ошибки второго рода правило 3 изменяют путем сокращения по меньшей мере одного дополнительного условия высокой важности. В итоге измененное правило 3 содержит уже 3 условия, что приведет к снижению вероятности появления ошибки второго рода.When an error of the second kind occurs, the used malware detection rule is changed. In one of the implementation options, depending on the object of analysis, the list of conditions that make up the rule is changed, namely, their number is reduced. For example, rule 3 contained 4 conditions. After using the rule and detecting a type 2 error, rule 3 is modified by reducing at least one additional condition of high importance. As a result, the modified rule 3 already contains 3 conditions, which will lead to a decrease in the probability of an error of the second kind.
В другом варианте реализации в зависимости от объекта анализа подвергают изменению значение по меньшей мере одного из условий, из которых состоит правило, а именно увеличивают или добавляют его значение. Например, правило 4 содержало 3 условия, одно условие имело диапазон значений 5-10 единиц. После использования правила 4 и выявления ошибки второго рода правило изменяют путем увеличения значения условия до 10 единиц. В итоге измененное правило 4 содержит 3 условия, одно условие уже имеет значение 10, что приведет к снижению вероятности появления ошибки второго рода.In another embodiment, depending on the object of analysis, the value of at least one of the conditions that make up the rule is changed, namely, its value is increased or added. For example, rule 4 contained 3 conditions, one condition had a value range of 5-10 units. After using rule 4 and detecting a type 2 error, the rule is changed by increasing the value of the condition to 10 units. As a result, the modified rule 4 contains 3 conditions, one condition already has a value of 10, which will lead to a decrease in the probability of a type 2 error.
База данных правил 150 предназначена для хранения правил определения ошибки. База данных эвристических правил 160 предназначена для хранения правил обнаружения вредоносного кода. Для хранения и обработки данных могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Сronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The
Фиг. 2 иллюстрирует способ изменения правила обнаружения вредоносного кода. Fig. 2 illustrates a method for modifying a malicious code detection rule.
На этапе 211 средство сбора 120 осуществляет сбор данных об использовании правила обнаружения вредоносного кода из базы данных эвристических правил 160 и передает собранные данные средству выявления 130. In
На этапах 212 и 213 средство выявления 130 выполняет проверку того, возникли ли ошибки в ходе использования правила обнаружения вредоносного кода при помощи правил определения ошибки из базы данных правил 150. Далее средство выявления 130 передает данные о выявленной ошибке средству изменения 140. At
При выявлении ошибки в работе правила обнаружения вредоносного кода на этапе 214 средство изменения 140 вносит изменения в использованное правило выявления вредоносного кода. При отсутствии ошибок на этапе 215 система завершает работу.If an error is detected in the operation of the malware detection rule, at
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24. Fig. 3 shows an example of a general purpose computer system, a personal computer or a server 20 ', comprising a central processing unit 21 ', system memory 22 ', and a system bus 23 ', which contains various system components including memory associated with the central processing unit 21 '. The system bus 23 is implemented as any bus structure known in the art, comprising in turn a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. The system memory contains read only memory (ROM) 24 , random access memory (RAM) 25 . The main input/output system (BIOS) 26 contains the main procedures that ensure the transfer of information between the elements of a
Персональный компьютер 20 в свою очередь содержит жёсткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жёсткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жёсткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20. The
Настоящее описание раскрывает реализацию системы, которая использует жёсткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединён к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединён к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащён другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.The
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удалёнными компьютерами 49. Удалённый компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы. The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключён к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключён к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections may form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the
В заключение следует отметить, что приведённые в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определённого формулой.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention defined by the formula.
Claims (21)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/447,206 US20220292198A1 (en) | 2021-03-15 | 2021-09-09 | Systems and methods for modifying a malicious code detection rule |
EP21209738.0A EP4060534A1 (en) | 2021-03-15 | 2021-11-23 | Systems and methods for modifying a malicious code detection rule |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2776926C1 true RU2776926C1 (en) | 2022-07-28 |
Family
ID=
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007117635A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware modeling detection system and method for mobile platforms |
US20110173698A1 (en) * | 2010-01-08 | 2011-07-14 | Microsoft Corporation | Mitigating false positives in malware detection |
RU111920U1 (en) * | 2011-03-28 | 2011-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS |
RU2481633C2 (en) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for automatic investigation of safety incidents |
RU2487405C1 (en) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for correcting antivirus records |
RU2625053C1 (en) * | 2016-07-29 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Elimination of false activation of anti-virus records |
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007117635A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware modeling detection system and method for mobile platforms |
US20110173698A1 (en) * | 2010-01-08 | 2011-07-14 | Microsoft Corporation | Mitigating false positives in malware detection |
RU111920U1 (en) * | 2011-03-28 | 2011-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | SYSTEM OF AUTOMATIC TESTING OF THE RULES FOR DETERMINING MALICIOUS OBJECTS |
RU2481633C2 (en) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for automatic investigation of safety incidents |
RU2487405C1 (en) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for correcting antivirus records |
RU2625053C1 (en) * | 2016-07-29 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Elimination of false activation of anti-virus records |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
RU2679785C1 (en) | System and method of classification of objects | |
Lanzi et al. | Accessminer: using system-centric models for malware protection | |
RU2444056C1 (en) | System and method of speeding up problem solving by accumulating statistical information | |
RU2739865C2 (en) | System and method of detecting a malicious file | |
RU2659737C1 (en) | System and method of managing computing resources for detecting malicious files | |
EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
US8239944B1 (en) | Reducing malware signature set size through server-side processing | |
US8955133B2 (en) | Applying antimalware logic without revealing the antimalware logic to adversaries | |
US20110041179A1 (en) | Malware detection | |
US20190114420A1 (en) | System and method of detecting malicious files using a trained machine learning model | |
CN111382430A (en) | System and method for classifying objects of a computer system | |
JP2019079493A (en) | System and method for detecting malicious files using machine learning | |
RU2624552C2 (en) | Method of malicious files detecting, executed by means of the stack-based virtual machine | |
Chen et al. | A categorization framework for common computer vulnerabilities and exposures | |
RU2739830C1 (en) | System and method of selecting means of detecting malicious files | |
Gascon et al. | Mining attributed graphs for threat intelligence | |
JP2010182019A (en) | Abnormality detector and program | |
CN109948335B (en) | System and method for detecting malicious activity in a computer system | |
RU2697958C1 (en) | System and method for detecting malicious activity on a computer system | |
RU2510530C1 (en) | Method for automatic generation of heuristic algorithms for searching for malicious objects | |
RU2747514C2 (en) | System and method for categorizing application on computing device | |
RU2716735C1 (en) | System and method of deferred authorization of a user on a computing device | |
RU2776926C1 (en) | Method for changing the malware detection rule | |
US20220292198A1 (en) | Systems and methods for modifying a malicious code detection rule |