RU91202U1 - Система обнаружения неизвестных вредоносных программ - Google Patents

Система обнаружения неизвестных вредоносных программ Download PDF

Info

Publication number
RU91202U1
RU91202U1 RU2009136233/22U RU2009136233U RU91202U1 RU 91202 U1 RU91202 U1 RU 91202U1 RU 2009136233/22 U RU2009136233/22 U RU 2009136233/22U RU 2009136233 U RU2009136233 U RU 2009136233U RU 91202 U1 RU91202 U1 RU 91202U1
Authority
RU
Russia
Prior art keywords
information
objects
file
collection
malicious
Prior art date
Application number
RU2009136233/22U
Other languages
English (en)
Inventor
Юрий Вячеславович Машевский
Юрий Викторович Наместников
Николай Владимирович Денищенко
Павел Анатольевич Зеленский
Original Assignee
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского"
Priority to RU2009136233/22U priority Critical patent/RU91202U1/ru
Application granted granted Critical
Publication of RU91202U1 publication Critical patent/RU91202U1/ru

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

1. Система обнаружения неизвестных вредоносных программ, которая включает средство сбора информации об объектах, которые необходимо исследовать; средство обработки, предназначенное для фильтрации, а также первичного анализа полученных от средства сбора информации данных в режиме реального времени; средство предварительного анализа, предназначенное для получения отфильтрованной обработанной информации от средства обработки и ее корректировки; средство хранения коллекции известных чистых объектов, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству обработки об известных чистых объектах; средство хранения коллекции известных вредоносных программ, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству сбора информации об известных вредоносных объектах; средство обнаружения, предназначенное для получения информации от средства обработки, определения уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятия решения о вредоносности на основе результатов анализа. ! 2. Система по п.1, в которой неизвестными вредоносными объектами могут быть вредоносные программы; потенциально-нежелательные программы; вредоносные веб-сайты; мошеннические веб-сайты; сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них; остальные виды компьютер�

Description

Область техники
Полезная модель относится к антивирусной защите, в частности, системам обнаружения неизвестных угроз.
Уровень техники
В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а также увеличивается и вред, который данное ПО приносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще и чаще, и становятся необходимыми методы распознавания неизвестных угроз.
В антивирусной индустрии приняты следующие устройства обнаружения вредоносных программ: (1) неизвестные файлы сравниваются по строкам с коллекцией известных файлов (сигнатурные методы); (2) неизвестные файлы проверяются на наличие известного вредоносного функционала (эвристические методы).
В патенте US 6,338,141 раскрывается устройство, который может представлять собой обычный компьютер, так и на сетевой компьютер. Устройство использует коллекцию связанных данных для обнаружения вредоносных программ среди файлов компьютера. Данная коллекция состоит из различных сигнатурных объектов, созданных вредоносными программами. Файлы на компьютере подвергаются следующей проверке на вредоносность: они запускаются, затем собирается информация обо всех сигнатурных объектах, которые создаются во время работы процесса, затем данные объекты сравниваются с коллекцией сигнатурных объектов, связанных уже известными вредоносными программами и в зависимости от результатов сравнения принимается решение о вредоносном характере проверяемого файла.
В патенте US 6,789,088 известно устройство, которое использует сбор информации по событиям и отношениям между узлами (объектами) и строится граф «родитель-потомок».
В патентной заявке WO 2008021585 известно устройство, которое использует построение графа сетевой активности с последующим определением значимых событий. Предлагается отслеживать активность и выделять из событий наиболее "интересные" для определения сетевой атаки по шаблонам. Для этого применяются различные критерии (параметров: опасность, активность, значимость) для оценки узлов.
В заявке US 20080196099 описывается устройство, которое использует как белый, так и черный список для определения, а также фильтрации URL-адресов.
В заявке WO 2008091982 описывается устройство, которое ведет наблюдение за уже найденными источниками аномального поведения (рассылка спама, нахождение вредоносных программ и т.д.), оценивается связи с другими узлами для определения репутации для каждого источника (узла).
В заявке US 20040102923 описано устройство оценки и обновления риска для компьютерной системы, например, при добавлении новых компонент. Данная заявка может служить прямой аналогией для идеи оценки и обновления рисков при добавлении новых компонент в систему. Аналогичной может быть заявка WO 2004051407.
Таким образом, возникает необходимость в создании системы, способной автоматически определять неизвестные подозрительные объекты компьютерной системы (файлы, программы, ссылки, и т.д.) как чистые или вредоносные.
Раскрытие полезной модели
Настоящая полезная модель предназначена для обеспечения мер противодействия распространения вредоносных программ и увеличения скорости распознавания неизвестных вредоносных программ.
Технический результат, заключающийся в увеличении скорости детектирования неизвестных программ, достигается за счет создания системы, анализирующей файлы на компьютерных системах и обрабатывающей статистическую информацию о событиях и файлах.
Согласно одному объекту заявленной полезной модели система обнаружения неизвестных вредоносных программ, которая включает:
средство сбора информации об объектах, которые необходимо исследовать;
средство обработки, предназначенное для фильтрации, а также первичного анализа полученных от средства сбора информации данных в режиме реального времени;
средство предварительного анализа, предназначенное для получения отфильтрованной обработанной информации от средства обработки и ее корректировки;
средство хранения коллекции известных чистых объектов, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству обработки об известных чистых объектах;
средство хранения коллекции известных вредоносных программ, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству сбора информации об известных вредоносных объектах;
средство обнаружения, предназначенное для получения информации от средства обработки, определения уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятия решения о вредоносности на основе результатов анализа.
В частности неизвестными вредоносными объектами могут быть
вредоносные программы;
потенциально-нежелательные программы;
вредоносные веб-сайты;
мошеннические веб-сайты;
сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них;
остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры, или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).
В частности средство сбора информации получает информацию о событии и служебные данные о файлах от удаленного компьютера.
В частности информацией о событии являются статистические данные, ассоциируемые с событием, такие как стабильности имени источника объекта, стабильность IP-адреса источника объекта и активность объекта.
В частности служебными данными о файле могут быть: имя файла, расширение файла, связи между файлами, наличие у файла электронно-цифровой подписи, факт загрузки файла из сети Интернет, факт упаковки файла, источник файла, частота вызовов файла, путь к файлу, URL-источник файла, а также порт, с которого скачан файл.
В частности первичный анализ включает в себя построение иерархии «родитель-потомок», представляющую из себя последовательность вызовов файлов, где степень риска родителя зависит от степени риска потомков, и затем сравнение объектов иерархии с известными объектами из средств хранения коллекций.
В частности если средства хранения коллекций не содержат информацию об объектах в иерархии «родитель-потомок», то средство обработки передает неизвестные объекты средству предварительного анализа.
В частности средство предварительного анализа дополняет информацию об объектах, которых нет в средствах хранения коллекций, и отправляет скорректированные данные средству обработки.
В частности средство обработки отправляет скорректированные данные о неизвестных объектах средству обнаружения.
В частности средство обнаружения проводит анализ и оценку риска, а именно вычисляет уровень опасности неизвестных объектов путем расчета параметров значимости события, опасности объекта и активности объекта, строит граф на основе иерархии «родитель-потомок», рассчитывает суммарную степень риска объекта с учетом степени риска потомков объекта, выносит решение о вредоносности объекта.
В частности активность события рассчитывается на основе данных о количестве скачивания или запуска объекта.
В частности опасность события рассчитывается на основе дерева весовых коэффициентов, которое динамически меняется в зависимости от накопленной информации в средствах хранения коллекций.
В частности значимостью события является функция, учитывающая значения активности и опасности события.
В частности средство обнаружения представляет собой автоматическую обработку данных либо обработку данных с помощью эксперта.
В частности средство обнаружения создает записи, которые передает средству хранения коллекции вредоносных объектов для исправления коллекций.
В частности средство обнаружения передает информацию об обнаружениях средству предварительного анализа для корректировки параметров построения дерева весовых коэффициентов.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 показывает примерный вариант реализации блок-схемы обнаружения неизвестных вредоносных программ.
Фиг.2 показывает примерный вариант реализации DS-графа, созданного для идентификации типа неизвестной угрозы.
Фиг.3 показывает примерный вариант реализации дерева весовых коэффициентов, созданного на основе обработки по различным критериям.
Фиг.4 показывает примерный вариант реализации схемы вычисления суммарного весового коэффициента.
Фиг.5 показывает примерный вариант реализации добавления нового критерия в дерево весовых коэффициентов для подсчета суммарного весового коэффициента.
Фиг.6 показывает систему распознавания неизвестных вредоносных программ.
Описание вариантов осуществления полезной модели
Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели, а также способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.
Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).
Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.
Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.
Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.
Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows™ 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT™ File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).
Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.
Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.
Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.
Настоящая полезная модель предназначена для обнаружения неизвестных объектов. Такими объектами могут быть:
- вредоносные программы;
- потенциально-нежелательные программы;
- вредоносные веб-сайты;
- мошеннические веб-сайты;
- сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них;
- остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры, или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).
Система удаленно проверяет файлы, вызванные различными приложениями, исполняемыми на пользовательском компьютере для того, чтобы проверить исполняемые файлы на наличие вредоносного поведения, и таким образом устраняет те недостатки текущего уровня техники, которые были описаны выше.
В одном из вариантов реализации предполагается, что вся информация будет идти от удаленных компьютеров к средству сбора информации. Информация о событиях описывает тип события, которое произошло на удаленном компьютере, например, загрузка объекта, линковка к файлу, вызов файлов, и т.д. Информация о событии может также включать статистические данные, связанные с этим событием, например, стабильность сервера имен, стабильность IP-адреса, активность объекта и другие информационные шаблоны объектов, связанных с событием. Информация об объекте может содержать служебные данные, описывающие файл, такие как имя файла, расширение файла, размер, статус линковки, подписан ли файл ЭЦП, исполняемый ли файл, загружен ли файл или выгружен из архива, источник, частота вызовов других файлов, путь к файлу, ссылка на файл в интернете, порт, с которого он доступен. В соответствии с собранной информацией создаются базы знаний (или средство хранения коллекции) чистых приложений (WhiteList или WL), т.е. тех, чье поведение не наносит вреда компьютерной системе. Также создается база знаний вредоносных программ (BlackList или BL), т.е. уже известных вредоносных программ. Средство сбора информации затем передает информацию о событиях и объектах средству обработки.
Также система защищает пользователей от ссылок на вредоносные сайты, которые передаются пользователям через системы мгновенных сообщений. Основываясь на данных средства хранения коллекций BL и WL, система может отнести к недоверенным те контакты, которые рассылают сообщения с подозрительными ссылками. Эти сообщения будут проанализированы системой, которая решит, является ли ссылка вредоносной или нет, и если является, то добавит их в список вредоносных объектов BL.
На Фиг.1 показана общая блок-схема, описывающая принцип получения информации от пользователей. На этапе 101 входящая информация, относящаяся к различным событиями и служебным данным, полученная с помощью средства сбора информации, фильтруется и сопоставляется либо со средством хранения коллекции чистых объектов WL, либо со средством хранения коллекции вредоносных объектов BL. Принцип фильтрации основан на том, что фильтруются только известные объекты, а неизвестные объекты оставляют на дальнейшее рассмотрение.
Оставшаяся информация обрабатывается средством обработки, которое использует анализ и оценку риска к оставшейся информации о событии и оставшейся служебной информации, а затем принимает решение о том, является ли событие и файл похожим на вредоносное. Анализ и оценка риска проводятся в реальном времени на этапе 102. Анализ и оценка риска используют различные критерии и технологии для выявления решения о рисках (например, факторам оценки являются анализ URL или размера файла). Анализ и оценка риска на основе суммарных анализов различных параметров решают, является ли риск высоким, средним или низким. Такими параметрами являются Активность, Опасность и Значимость. Именно эти параметры используются для составления связей Загрузчик-Родитель (Downloader-Starter или DS) в DS-графе на этапе 103.
На основе анализа DS-графа, система решает вредоносное ли событие или объект были обнаружены. Если был обнаружен вредоносный объект или была выявлена высокая степень риска, то средство хранения коллекции вредоносных объектов BL дополняется новой информацией на этапе 105А. Однако если информация о событии или объекте считается не содержащей вредоносный характер, то обновляется информация в средстве хранения коллекции чистых файлов WL на этапе 105Б.
На Фиг.2 изображен этап 103 Фиг.1. В течение последних нескольких лет вредоносные программы типа Троян-сбрасыватель (Trojan-Dropper) и загрузчик программ Троянов (Trojan-Downloader) встречаются все чаще. Трояны-сбрасыватели используются для установки других вредоносных программ на компьютере так, что пользователь не замечает этих действий. Сбрасыватели устанавливают свои загрузчики также незаметно для пользователя без каких-либо предупреждений и разрешений пользователя. Новая вредоносная программа устанавливается в специально месте на локальном диске и затем запускается. Функциональность сбрасывателя заключается в установке и запуске всех своих файлов. Загрузчик же скачивает и устанавливает новое вредоносное программное обеспечение на компьютер пользователя. После установки загрузчик прописывает вредоносную программу в автозагрузку. Все эти действия происходят также без участия пользователя.
В соответствии с примером, когда пользователь запускает браузер и загружает исполняемый файл Tubecodec934.exe, это событие средство сбора информации передает средству обработки. Перед исполнением Tubecodec934.exe загружает несколько других файлов, и эти события также передаются средству обработки. В этом случае Tubecodec934.exe является «родителем» для пяти файлов: Svch0st.exe, Ntkrnl.dll, Calc.exe, l.exe и Hosts.vbs, называемых «потомками». Средство обработки проводит анализ и оценку риска, основанную на построении иерархии «родитель-потомок», основанной на последовательности вызовов файлов. Подсчет риска файла-родителя основан на риске файлов-потомков. Если средства хранения коллекций WL и BL не имеют никакой информации о первых трех данных объектах, средство обработки передает эти данные средству предварительного анализа, которое вычисляет уровень опасности для этих файлов. Для определения степени опасности и выявления вредоносности или чистоты файлов-родителей и файлов-потомков средство предварительного анализа строит граф, изображенный на Фиг.2
Узлами графа являются объекты: «родители» и «потомки». На Фиг.2 часть элементов графа уже детектируется, и на основе этой информации можно сделать вывод, что еще не детектируемые файлы, которые имеют высокий рейтинг опасности, также являются вредоносными программами.
Для всех «родителей» система рассчитывает Х-фактор, определяющий опасность того или иного приложения основываясь на данных о «потомках». Очевидно, что через explorer.exe, запускается сравнительно больше чистых файлов, чем вредоносных. Т.е. Х-фактор показывает, к какому типу программ может принадлежать объект: к файловым менеджерам или к сбрасывателям, к браузерам и легальным программам-загрузчикам или к троянам-загрузчикам.
Для каждого элемента графа рассчитывается активность, опасность и значимость. Параметр «Значимость» является функцией, учитывающей значения активности и опасности события. Таким образом, в одном из вариантов реализации настоящей полезной модели Значимость=(Активность*Опасность). Параметр «Активность» рассчитывается на основе данных о количестве скачивания или запуска того или иного объекта. Для приведения активности к удобному для анализа виду используется следующий механизм. Активность объектов посредством механизма автоматического преобразователя приводится к определенному виду распределения вероятностей. Это позволяет понижать активность давно прошедших событий и выявить тренды изменения параметра.
Активность=Hits*F(Δt), где Hits - количество скачивании, Δt - время, прошедшее с момента наступления последнего события. Однако высокая активность программы не обязательно означает, что программа вредоносная. Необходимо учитывать также изменение тренда (как в примере ниже). Пример вычисления активности изображен на таблице 1.
Таблица 1.
Вычисление активности и анализ тренда
# Всего Hits Увеличение Δt, мин Активность Тренд
1 10 10 0 10 Поднимается
2 25 15 15 27,5 Поднимается
3 80 55 15 68,75 Поднимается
4 165 85 15 129,38 Поднимается
5 245 80 15 138,69 Стабильно
6 316 71 15 140 Стабильно
7 336 20 15 92,7 Падает
8 351 15 15 61,4 Падает
9 352 1 105 19 Падает
10 353 1 175 1,73 Падает
Параметр «Опасность» рассчитывается на основе дерева весовых коэффициентов, большая часть из которых динамически меняется в зависимости от накопленной информации в средствах хранения коллекций. Таким образом, между данными в потоке событий и средством предварительного анализа всегда поддерживается обратная связь.
Подробные примеры вычисления Опасности приведены ниже.
Пример 1.
Данный пример изображен на Фиг.3. На вход системы приходит уведомление о закачке исполняемого файла http://soho.com.server911.ch/us/usl.exe.jpg с хеш-значением MD5=0x12A91C1CB575D154BAA9AAD1759F6EC8.
При его обработке будет построено дерево решений на основе множества критериев, каждый из которых реализует определенную логику. Например, критерий из группы проверок имени хоста, определяющий наличие маскировки наберет максимальный вес 100, т.к. в имени используется хост из белого списка . Критерий проверки двойных расширений наберет вес 92, т.к. исполняемый файл имеет два расширения, ехе и jpg, и маскируется под популярный формат изображения (максимум мог бы быть при наличии пробелов между двумя расширениями).
Опасность объекта численно равна суммарному весу дерева решений.
Пример 2.
На вход системы приходит уведомление о закачке исполняемого файла. Если это первое уведомление об объекте, то в системе будет построено дерево решений.
Система строит ветку критериев, отвечающих за анализ URL. Поле пакета URL=«http://soho.com.server911.ch/us/us^;2.exe.jpg». Для каждой части строки URL (домен, хост, имя файла, порт и т.д.) работают свои критерии.
Разбирая имя хоста () система определит наличие маскировки под домен из белого списка . И критерий 3.1.1.1 наберет вес 80.
Строка Server911.ch не созвучна с известными доменами, поэтому вес критерия «Сходство по SoundEX-алгоритмам» будет равен 0.
Результирующий вес критерия «Маскирующее имя» W3.1.1=F(W3.1.1.1, W3.1.1.2)=0,80.
Получив информацию от службы Whois, система сможет определить, что за все время существования домена (6 дней) nameserver и ip менялись 3 раза. Это поведение характерное для вредоносных сайтов и поэтому критерии «Стабильность сервера имен» и «Стабильность IР» наберут веса 70 и 75.
Результирующий вес критерия «Whois информация» равен W3.1.1=F(W3.1.2, W3.1.2)=87. Далее системой рассчитывается суммарный вес «Имя хоста» W3.1=F(W3.1.1, W3.1.2)=93
Имя файла «us^;2» не является популярным, ни среди вредоносных программ, ни среди чистых файлов. Вследствие чего критерий (3.1.1.2) не внесет какой-либо вклад в суммарный вес.
Наличие последовательности символов «^;» в имени не типично для чистых объектов и говорит о случайной генерации имени файла. Критерий 3.2.2 наберет вес 43.
Критерии проверки маскирующих расширений (3.2.3.1.1 и 3.2.3.1.2) в сумме наберут вес 92. проверяемый файл является исполняемым и имеет два расширения (3.2.3.1.1). Кто тому же второе расширение jpg, говорит о попытке замаскироваться под файл-изображение. (Максимум можно достичь при наличии пробелов между двумя расширениями). У объекта есть расширение - вес критерия «Отсутствующее расширение» равен 0.
Суммарный вес критериев, оценивающих имя файла W3.2=95
Порт не указан, следовательно, используется стандартный для протокола http, что не является подозрительным. Weight3.3 «Порт»=0.
Вес критерия «Анализ строки URL» W3=F(W3.1, W3.2, W3.3)=98 говорит о том, что с вероятностью 0,98, что по данной ссылке размещен вредоносный объект.
Пример 3.
На вход системы приходит уведомление о загрузке детектируемого файла, такого как исполняемого файла с домена из списка чистых объектов WL. Для разрешения конфликта в системе строится дерево решений.
Рассмотрим более подробно ветку критериев, отвечающих за анализ URL. Поле пакета URL=«http://www.nokia.com/files/support/nseries/phones/software/Nokia_Lifeblog_2_5_224_en_uk.exe». Для каждой части строки URL (домен, хост, имя файла, порт и т.д.) работают свои критерии.
Разбирая имя хоста (http://www.nokia.com) система определит отсутствие какой-либо маскировки под домен из белого списка. Критерии 3.1.1.1 и 3.1.1.2 наберут вес 0.
Результирующий вес критерия «Маскирующее имя» W3.1.1=F(W3.1.1.1, W3.1.1.2)=0.
Получив информацию от службы Whois, система сможет определить, что за все время существования домена (18 лет) имя сервера nameserver не менялось, a ip изменился 1 раз за последние четыре года. Это поведение характерно для чистых сайтов и поэтому критерии «Стабильность сервера имен» и «Стабильность IP» наберут веса 0 и 1 соответственно.
Результирующий вес критерия «Whois информация» равен W3.1.1=F(W3.1.2, W3.1.2)=1. Далее системой рассчитывается суммарный вес «Имя хоста» W3.1=F(W3.1.1, W3.1.2)=1
Имя файла «Nokia_Lifeblog_2_5_224_en_uk» не является популярным среди вредоносных программ. Вследствие чего критерий (3.1.1.2) не внесет какой-либо вклад в суммарный вес.
Символы, формирующие имя файла, не вызывают подозрений. Слова, из которых составлено имя, имеют значение и встречаются у чистых программ. Критерий 3.2.2 наберет вес 0.
Критерии проверки маскирующих расширений (3.2.3.1.1 и 3.2.3.1.2) в сумме наберут вес 0, т.к. проверяемый файл является исполняемым и имеет одно типичное расширение - «ехе» (3.2.3.1.1). У объекта есть расширение, и соответственно вес критерия «Отсутствующее расширение» будет равен 0.
Суммарный вес критериев, оценивающих имя файла W3.2=0
Порт не указан и, следовательно, используется стандартный для протокола http, что не является подозрительным (Weight3.3 «Порт»=0).
Вес критерия «Анализ строки URL» W3=F(W3.1, W3.2, W3.3)=1 говорит о том, что вероятность, размещения по данной ссылке URL вредоносного объекта мала.
Очевидно, что остальные критерии дерева решений, также наберут минимальный вес. Ситуация будет расценена, как ложное срабатывание и система автоматически исправит антивирусные базы.
Дерево критериев можно легко расширять, добавляя новые критерии, что увеличивает адекватность принимаемых системой решений. Это показано на следующем примере.
Пример 4.
После обновления системы сбора статистики на обработку стала поступать новая информация о поведении объектов в системе, что позволило расширить класс поведенческих критериев. Добавление следующих двух критериев: «Установка драйверов» и «Прямая запись на диск» приведет к изменению дерева решений, изображенному на Фиг.5.
После изменения подобного изменения дерева максимальный вес критерия 5.3 не изменится, но станет более информативным и точным, что в свою очередь положительно скажется на качестве принимаемых решений.
Далее приведено несколько примеров критериев, которые система использует для анализа входной информации:
1) Отношение чистых объектов к вредоносным объектам, упакованных определенным упаковщиком.
Например, через поток уведомлений прошла информация о 200 зараженных и 5 чистых файлах, сжатых упаковщиком X. Подсистема поддержки принятия решений (DSS, Decision Support System) делает заключение, что с помощью X чаще всего пакуются вредоносные файлы. И чем больше зараженных и упакованных X объектов будет проходить в потоке, тем большую степень опасности представляют файлы, сжатые данным упаковщиком. Причем это справедливо и для файлов, которые на текущий момент еще не детектируются системой.
2) Оценка встречаемости слов в именах файловых объектов. Система выделяет из имен файлов слова, чаще всего встречающиеся у вредоносных объектов. Если такое слово встретится в имени какого-либо файла, критерий достигнет соответствующего веса.
3) Файл имеет несколько расширений, одно из которых начинается с шаблона неисполняемого, но популярного расширения и оканчивается чередой пробелов, второе же является действительным расширением файла. Пример имени, когда критерий достигнет максимального веса: «Sex_Girls.avi.ехе».
4) Эффективным критерием является выявление вредоносных программ по присутствию в системе одного и того же файла под множеством различных имен. Это типично для вредоносных программ, попадающих в систему со случайно сгенерированным именем. При этом из выборки отсекаются временные файлы, поскольку это поведение характерно и для них. Для отсечения временных файлов используется дата линковки и создания файла на компьютере пользователя:
- если файл не во временной директории и часто имеет разные имена, то данное поведение является подозрительным;
- неважно, в какой директории находится файл, но время линковки «только что», это также подозрительно.
5) Файл является исполняемым, но имеет «маскирующее» расширение или не имеет его вообще. Множество вредоносных программ выложено на различных хостингах с расширениями неисполняемых файлов, например jpg, bmp, avi, mp3, doc, xls, txt, css или без расширения. Даже если у пользователя включен файрволл он не заподозрит ничего опасного в скачивании какой-либо программой картинки или музыки. Этот подход предпринимается для обхода запрета выкладывать исполняемые файлы на некоторых хостингах.
6) Объект имеет имя системного файла Windows (explorer.exe), но был запущен не из той папки, откуда должен был и где он должен быть расположен в операционной системе.
Аналогичные критерии разработаны для других типов анализируемых объектов. Все обнаруженные опасные события передаются детектирующей системе, которая использует дерево решений для принятия решения об автоматическом детектировании объекта.
Информация о событиях с высокой активностью, но с низкой опасностью отправляются на анализ WL сервису с целью пополнения коллекции чистых объектов.
Решения DS регулярно обрабатываются в многомерной базе данных для оценки эффективности каждого из критериев (каким решениям можно доверять больше, в какие статические весовые коэффициенты требуется внести изменения и т.д.). Также в этой базе данных генерируется дополнительная информация, используемая в сложных критериях, например, для упреждающего поиска вредоносных интернет ресурсов.
Обработка входящих данных происходит с участием компонент, изображенных на Фиг.6. Входящие данные 602 переходят от средства сбора информации 601 к средству обработки 603. Средство обработки 603 сравнивает входящие данные 602 со средство хранения коллекции чистых объектов 610 и со средство хранения коллекции вредоносных объектов 615 и отфильтровывает неизвестные объекты. Затем отфильтрованная статистическая информация 605 отправляется средству предварительного анализа 604. Средство предварительного анализа 604 возвращает дополнительную информацию после применения к входным данным критериев 606 и скорректированные данные 607 средству обработки 603.
Также на Фиг.6 существует двунаправленный поток с информацией о чистых объектах (потоки 608 и 609) между средством обработки 603 и средством хранения коллекции чистых объектов 610. Информация о неизвестных вредоносных объектах 613 отправляется средству обнаружения 612, которое автоматически обрабатывает полученную информацию или использует экспертные знания специалиста для обработки данной информации. Результатом обработки является список вредоносных объектов 611, который возвращается средству предварительного анализа 604 для его возможного улучшения и доработки. Средство обнаружения 612 отправляет записи 614 об обнаруженных угрозах средству хранения коллекции вредоносных объектов 615. Антивирусные записи 616 отправляются средству сбора информации 601. Ошибочные срабатывания полученных критериев передаются системе для ее улучшения.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

Claims (16)

1. Система обнаружения неизвестных вредоносных программ, которая включает средство сбора информации об объектах, которые необходимо исследовать; средство обработки, предназначенное для фильтрации, а также первичного анализа полученных от средства сбора информации данных в режиме реального времени; средство предварительного анализа, предназначенное для получения отфильтрованной обработанной информации от средства обработки и ее корректировки; средство хранения коллекции известных чистых объектов, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству обработки об известных чистых объектах; средство хранения коллекции известных вредоносных программ, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству сбора информации об известных вредоносных объектах; средство обнаружения, предназначенное для получения информации от средства обработки, определения уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятия решения о вредоносности на основе результатов анализа.
2. Система по п.1, в которой неизвестными вредоносными объектами могут быть вредоносные программы; потенциально-нежелательные программы; вредоносные веб-сайты; мошеннические веб-сайты; сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них; остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).
3. Система по п.1, в которой средство сбора информации получает информацию о событии и служебные данные о файлах от удаленного компьютера.
4. Система по п.3, в которой информацией о событии являются статистические данные, ассоциируемые с событием, такие, как стабильности имени источника объекта, стабильность IP-адреса источника объекта и активность объекта.
5. Система по п.3, в которой служебными данными о файле могут быть: имя файла, расширение файла, связи между файлами, наличие у файла электронно-цифровой подписи, факт загрузки файла из сети Интернет, факт упаковки файла, источник файла, частота вызовов файла, путь к файлу, URL-источник файла, а также порт, с которого скачан файл.
6. Система по п.1, в которой первичный анализ включает в себя построение иерархии «родитель - потомок», представляющей из себя последовательность вызовов файлов, где степень риска родителя зависит от степени риска потомков, и затем сравнение объектов иерархии с известными объектами из средств хранения коллекций.
7. Система по п.6, в которой если средства хранения коллекций не содержат информацию об объектах в иерархии «родитель-потомок», то средство обработки передает неизвестные объекты средству предварительного анализа.
8. Система по п.7, в которой средство предварительного анализа дополняет информацию об объектах, которых нет в средствах хранения коллекций, и отправляет скорректированные данные средству обработки.
9. Система по п.8, в которой средство обработки отправляет скорректированные данные о неизвестных объектах средству обнаружения.
10. Система по п.9, в которой средство обнаружения проводит анализ и оценку риска, а именно вычисляет уровень опасности неизвестных объектов путем расчета параметров значимости события, опасности объекта и активности объекта, строит граф на основе иерархии «родитель - потомок», рассчитывает суммарную степень риска объекта с учетом степени риска потомков объекта, выносит решение о вредоносности объекта.
11. Система по п.10, в которой активность события рассчитывается на основе данных о количестве скачивания или запуска объекта.
12. Система по п.10, в которой опасность события рассчитывается на основе дерева весовых коэффициентов, которое динамически меняется в зависимости от накопленной информации в средствах хранения коллекций.
13. Система по пп.10-12, в которой значимостью события является функция, учитывающая значения активности и опасности события.
14. Система по п.10, в которой средство обнаружения представляет собой автоматическую обработку данных либо обработку данных с помощью эксперта.
15. Система по п.10, в которой средство обнаружения создает записи, которые передает средству хранения коллекции вредоносных объектов для исправления коллекций.
16. Система по п.10, в которой средство обнаружения передает информацию об обнаружениях средству предварительного анализа для корректировки параметров построения дерева весовых коэффициентов.
Figure 00000001
RU2009136233/22U 2009-10-01 2009-10-01 Система обнаружения неизвестных вредоносных программ RU91202U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2009136233/22U RU91202U1 (ru) 2009-10-01 2009-10-01 Система обнаружения неизвестных вредоносных программ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2009136233/22U RU91202U1 (ru) 2009-10-01 2009-10-01 Система обнаружения неизвестных вредоносных программ

Publications (1)

Publication Number Publication Date
RU91202U1 true RU91202U1 (ru) 2010-01-27

Family

ID=42122582

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009136233/22U RU91202U1 (ru) 2009-10-01 2009-10-01 Система обнаружения неизвестных вредоносных программ

Country Status (1)

Country Link
RU (1) RU91202U1 (ru)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
RU2491615C1 (ru) * 2012-02-24 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования записей для обнаружения программного обеспечения
RU2494453C2 (ru) * 2011-11-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Способ распределенного выполнения задач компьютерной безопасности
RU2523114C2 (ru) * 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
RU2587426C2 (ru) * 2013-12-27 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения направленных атак на корпоративную инфраструктуру
RU2613535C1 (ru) * 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
RU2652448C1 (ru) * 2017-08-10 2018-04-26 Акционерное общество "Лаборатория Касперского" Система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей
RU2665909C1 (ru) * 2017-08-10 2018-09-04 Акционерное общество "Лаборатория Касперского" Способ избирательного использования шаблонов опасного поведения программ

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов
CN102592079A (zh) * 2010-12-30 2012-07-18 卡巴斯基实验室封闭式股份公司 用于检测未知恶意软件的系统和方法
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
RU2494453C2 (ru) * 2011-11-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Способ распределенного выполнения задач компьютерной безопасности
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
RU2491615C1 (ru) * 2012-02-24 2013-08-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования записей для обнаружения программного обеспечения
RU2523114C2 (ru) * 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
RU2587426C2 (ru) * 2013-12-27 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения направленных атак на корпоративную инфраструктуру
RU2613535C1 (ru) * 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
WO2017086837A1 (ru) * 2015-11-20 2017-05-26 РАБИНОВИЧ, Илья Самуилович Способ обнаружения вредоносных программ и элементов
RU2652448C1 (ru) * 2017-08-10 2018-04-26 Акционерное общество "Лаборатория Касперского" Система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей
RU2665909C1 (ru) * 2017-08-10 2018-09-04 Акционерное общество "Лаборатория Касперского" Способ избирательного использования шаблонов опасного поведения программ

Similar Documents

Publication Publication Date Title
RU91202U1 (ru) Система обнаружения неизвестных вредоносных программ
US8572740B2 (en) Method and system for detection of previously unknown malware
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US11343280B2 (en) System and method for identifying and controlling polymorphic malware
RU2444056C1 (ru) Система и способ ускорения решения проблем за счет накопления статистической информации
US8239944B1 (en) Reducing malware signature set size through server-side processing
AU2010336989B2 (en) Malware detection via reputation system
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
RU2750628C2 (ru) Система и способ определения уровня доверия файла
US9239907B1 (en) Techniques for identifying misleading applications
RU2587424C1 (ru) Способ контроля приложений
RU101224U1 (ru) Система выявления и минимизации риска ложных срабатываний
CN112149126B (zh) 确定文件的信任级别的系统和方法
CN112149126A (zh) 确定文件的信任级别的系统和方法