RU92551U1 - SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION - Google Patents

SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION Download PDF

Info

Publication number
RU92551U1
RU92551U1 RU2009142888/22U RU2009142888U RU92551U1 RU 92551 U1 RU92551 U1 RU 92551U1 RU 2009142888/22 U RU2009142888/22 U RU 2009142888/22U RU 2009142888 U RU2009142888 U RU 2009142888U RU 92551 U1 RU92551 U1 RU 92551U1
Authority
RU
Russia
Prior art keywords
database
test
virus protection
user
virus
Prior art date
Application number
RU2009142888/22U
Other languages
Russian (ru)
Inventor
Денис Александрович Назаров
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2009142888/22U priority Critical patent/RU92551U1/en
Application granted granted Critical
Publication of RU92551U1 publication Critical patent/RU92551U1/en

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

1. Система обновления антивирусных баз данных, которая содержит средство антивирусной защиты, расположенное на стороне пользователя, которое связано с соответствующей базой данных, предназначенной для хранения текущих и тестовых записей; средство обработки ложных срабатываний на стороне пользователя, которое предназначено для обработки ложных срабатываний при работе средства антивирусной защиты с тестовыми записями в соответствующей базе данных средства антивирусной защиты; средство исправления ложных срабатываний на стороне сервера, которое предназначено для коррекции тестовых записей, полученных от средства обработки ложных срабатываний на стороне пользователя, в базе данных средства антивирусной защиты на стороне сервера, которая предназначена для хранения текущих и тестовых записей; средство пополнения текущих и тестовых записей в базе данных средства антивирусной защиты на стороне сервера, которое предназначено для добавления новых текущих и тестовых записей в базу данных средства антивирусной защиты; средство обновления базы данных средства антивирусной защиты на стороне пользователя, которое предназначено для обновления текущих и тестовых записей базы данных средства антивирусной защиты на стороне пользователя, путем скачивания обновления для текущих и тестовых записей базы данных средства антивирусной защиты на стороне сервера. ! 2. Система по п.1, в которой средство исправления ложных срабатываний на стороне сервера после коррекции тестовых записей в базе данных средства антивирусной защиты на стороне сервера дополнительно предназначено для корректировки тестовых записей в базе1. The anti-virus database update system, which contains an anti-virus protection tool located on the user’s side, which is associated with a corresponding database intended for storing current and test records; means of processing false positives on the user side, which is designed to handle false positives when the anti-virus protection tool works with test records in the corresponding database of the anti-virus protection tool; means of correcting false positives on the server side, which is designed to correct test records received from the means of processing false positives on the user side, in the database of the anti-virus protection on the server side, which is designed to store current and test records; means for updating current and test entries in the server-side anti-virus protection database, which is designed to add new current and test entries to the anti-virus protection database; user-side anti-virus protection database update tool that is designed to update current and test user-side anti-virus protection database records by downloading an update for current and test server-side anti-virus protection database records. ! 2. The system according to claim 1, in which the means of correcting false alarms on the server side after the correction of test records in the database of the anti-virus protection on the server side is additionally designed to correct test records in the database

Description

Область техникиTechnical field

Полезная модель относится к системам снижения риска ложных срабатываний антивирусных баз данных.The utility model relates to systems for reducing the risk of false positives of anti-virus databases.

Уровень техникиState of the art

В настоящее время одной из самых актуальных задач антивирусной индустрии является проблема поддержания антивирусных баз в актуальном состоянии. Ведь даже за то небольшое время, когда вредоносная программа пока еще не обнаружена ведущими антивирусными экспертами и компаниями, она может быть скачана сотни тысяч раз различными пользователям и сможет заразить большое количество компьютеров. Для борьбы с неизвестными программами современные антивирусные компании используют методы эвристического обнаружения, исполнение неизвестных программ в защищенной среде вроде песочницы (sandbox, honeypot) с использованием виртуализации, а также различные способы ограничения функционала программ на основе анализа их активности (HIPS).Currently, one of the most urgent tasks of the antivirus industry is the problem of keeping the antivirus databases up to date. Indeed, even in that short time when the malware has not yet been detected by leading anti-virus experts and companies, it can be downloaded hundreds of thousands of times to various users and can infect a large number of computers. To combat unknown programs, modern anti-virus companies use heuristic detection methods, execute unknown programs in a secure environment like sandboxes (sandbox, honeypot) using virtualization, as well as various ways to limit the functionality of programs based on analysis of their activity (HIPS).

Тем не менее нельзя полностью полагаться на все вышеперечисленные методики, так как все они обладают определенными недостатками, связанные как с особенностью их работы, так и их использованием в современных антивирусных приложениях, в которых пользователь вправе выставить настройки, которые не дадут использовать эти технологии в полной мере, так как они могут отнимать заметное количество времени, например, при старте неизвестных программ. До окончания проверки неизвестных программ, пользователь может отключить, например, их исполнение в защищенной среде вроде песочницы или же уменьшить время, которое отводиться на эмуляцию.Nevertheless, one cannot fully rely on all of the above methods, since all of them have certain disadvantages associated with both the peculiarity of their work and their use in modern anti-virus applications, in which the user has the right to set settings that prevent them from using these technologies in full least, since they can take a noticeable amount of time, for example, when starting unknown programs. Until the end of the verification of unknown programs, the user can disable, for example, their execution in a protected environment like a sandbox or reduce the time that is allocated to emulation.

Поэтому антивирусные компании продолжают обновлять базы сигнатур вредоносных программ, помимо этого также создавая и базы программного обеспечения проверенных или надежных программ (или их исполняемых файлов), так называемые “белые списки” (whitelist), которые становятся все более популярными в виду постоянного роста количества вредоносных программ. Подобные списки можно составлять исходя из многих факторов: наличия электронной цифровой подписи или иных данных производителя, данных об источнике (откуда программа была получена), данных о связях программы (отношения родитель-ребенок), данных о версии программы (например, программу можно считать проверенной исходя из того, что прошлая версия также была в списке проверенных программ), данных о переменных окружения (операционная система, параметры запуска) и т.д. Перед каждым выпуском обновлений сигнатур для антивирусных баз они должны быть проверены на предмет коллизий, например, с “белым списком”. Тестирование также может занять продолжительное время, за которое вредоносные программы успеют причинить непоправимый вред на многих компьютерах.Therefore, antivirus companies continue to update malware signature databases, in addition to creating software databases of verified or reliable programs (or their executable files), the so-called whitelists, which are becoming more and more popular due to the constant increase in the number of malware programs. Such lists can be compiled on the basis of many factors: the availability of an electronic digital signature or other data of the manufacturer, data on the source (where the program was received from), data on the program's relationships (parent-child relationship), data on the program version (for example, the program can be considered verified based on the fact that the previous version was also in the list of checked programs), data on environment variables (operating system, startup parameters), etc. Before each release of signature updates for anti-virus databases, they should be checked for collisions, for example, with a “white list”. Testing can also take a long time, during which malware can do irreparable harm on many computers.

Соответственно, еще одной важной задачей является сокращение времени тестирования еще не вышедших антивирусных баз для того, чтобы как можно быстрее доставить их пользователям.Accordingly, another important task is to reduce the testing time of antivirus databases that have not yet been released in order to deliver them to users as quickly as possible.

В патенте US 7185332 описывается система, в которой можно загружать пользователям различные обновления, например, как те, которые уже были проверены разработчиком программного обеспечения, так и самые последние из имеющихся, но которые разработчик еще не успел полностью проверить и оттестировать. Но в этом патенте не описывается возможность исправления тех обновлений, которые попали к пользователям и содержали необнаруженные ошибки.US Pat. No. 7,185,332 describes a system in which various updates can be downloaded to users, for example, those that have already been verified by the software developer, as well as the most recent ones that the developer has not yet had time to fully verify and test. But this patent does not describe the possibility of fixing those updates that came to users and contained undetected errors.

В патенте US 7231637 описывается система тестирования антивирусных сигнатур, во время тестирования которых может происходить подсчет неудачных срабатываний антивирусных сигнатур и последующее их исправление для выпуска уже финальной версии антивирусных сигнатур. Однако в этом патенте не говорится о том, что пользователи могут быть обеспокоены частым срабатыванием антивирусного приложения при обычной работе, что может быть обусловлено несовершенством тестовых антивирусных сигнатур.US Pat. No. 7,231,637 describes a system for testing antivirus signatures, during testing of which there may be a count of unsuccessful responses of antivirus signatures and their subsequent correction to release the final version of antivirus signatures. However, this patent does not say that users may be concerned about the frequent operation of the antivirus application during normal operation, which may be due to the imperfection of the test antivirus signatures.

Возможность автоматического отката к предыдущим версиям программного обеспечения раскрывается в заявке US 20040060044, где предлагается система тестирования обновлений компонент программного обеспечения, при обнаружении ошибок в работе которой происходит откат к более ранней и стабильной версии. Однако в этой заявке также не раскрывается возможность минимизации последствий проявления ошибок после обновления.The possibility of automatic rollback to previous versions of software is disclosed in the application US 20040060044, which proposes a system for testing updates to software components, upon detection of errors in which it rolls back to an earlier and stable version. However, this application also does not disclose the possibility of minimizing the consequences of errors after updating.

Еще один вариант системы тестирования обновлений программного обеспечения предлагается в патенте US 7334005. Сначала обновления рассылаются узкому списку подписчиков, затем, если проблем не было найдено, список подписчиков расширяется. Таким образом решается задача предварительного тестирования. В качестве выборки выступает случайно сгенерированное число, которое может быть сгенерировано по времени в зависимости от настроек пользователя (в том числе от настроек по рискам безопасности). Также на стороне сервера можно принять решение о загрузке пользователю (подписчику) только части обновлений (в рамках снижения риска).Another version of the software update testing system is proposed in US 7334005. First, the updates are sent to a narrow list of subscribers, then, if no problems were found, the list of subscribers is expanded. Thus, the problem of preliminary testing is solved. A randomly generated number acts as a sample, which can be generated in time depending on the user's settings (including settings for security risks). Also on the server side, you can decide to download only part of the updates to the user (subscriber) (as part of the risk reduction).

Можно отметить, что при анализе предшествующего уровня техники и возможностей предлагается переложить задачу тестирования новых версий (или обновлений) программного обеспечения на плечи конечных пользователей (или их части), однако остается проблема, связанная с тем, что есть пользователи, у которых после обновления произошло, например, срабатывание антивирусного программного обеспечения на программное обеспечение из “белого списка” (т.е. коллизия) или же операционная система просто зависла. В таком случае пользователи остаются недовольны сервисом и могут потребовать отключить подобные обновления или же могут вообще отказаться от антивирусного программного обеспечения. Соответственно требуется предложить решение, которое решало бы задачу ложных срабатываний заранее, не оповещая об этом пользователей.It can be noted that when analyzing the prior art and capabilities it is proposed to shift the task of testing new versions (or updates) of software to the shoulders of end users (or parts thereof), however, there remains a problem associated with the fact that there are users who have experienced an update , for example, antivirus software triggering software from the “white list” (ie, a collision) or the operating system simply crashed. In this case, users are unsatisfied with the service and may demand to disable such updates or may opt out of antivirus software altogether. Accordingly, it is required to propose a solution that would solve the problem of false positives in advance, without notifying users about this.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяет получить новый результат, который заключается в снижении риска ложных срабатываний антивирусных баз данных, путем использования тестовых антивирусных баз данных, которые не будут оповещать пользователя при возможных ложных срабатываниях.An analysis of the prior art and the possibilities that arise when combining them in one system allows you to get a new result, which is to reduce the risk of false positives of anti-virus databases, by using test anti-virus databases that will not notify the user in case of possible false positives.

Сущность полезной моделиUtility Model Essence

Настоящая полезная модель предназначена для тестирования и исправления баз данных средств антивирусной системы.This useful model is intended for testing and fixing databases of anti-virus system tools.

Технический результат настоящей полезной модели заключается в уменьшении числа ложных срабатываний антивирусных баз данных, путем использования тестовых антивирусных баз данных, которые не будут оповещать пользователя при возможных ложных срабатываниях.The technical result of this utility model is to reduce the number of false positives of anti-virus databases by using test anti-virus databases that will not notify the user in case of possible false positives.

Система обновления антивирусных баз данных, которая содержит: средство антивирусной защиты, расположенное на стороне пользователя, которое связано с соответствующей базой данных, предназначенной для хранения текущих и тестовых записей; средство обработки ложных срабатываний на стороне пользователя, которое предназначено для обработки ложных срабатываний при работе средства антивирусной защиты с тестовыми записями в соответствующей базе данных средства антивирусной защиты; средство исправления ложных срабатываний на стороне сервера, которое предназначено для коррекции тестовых записей, полученных от средства обработки ложных срабатываний на стороне пользователя, в базе данных средства антивирусной защиты на стороне сервера, которая предназначена для хранения текущих и тестовых записей; средство пополнения текущих и тестовых записей в базе данных средства антивирусной защиты на стороне сервера, которое предназначено для добавления новых текущих и тестовых записей в базу данных средства антивирусной защиты; средство обновления базы данных средства антивирусной защиты на стороне пользователя, которое предназначено для обновления текущих и тестовых записей базы данных средства антивирусной защиты на стороне пользователя, путем скачивания обновления для текущих и тестовых записей базы данных средства антивирусной защиты на стороне сервера.A system for updating anti-virus databases, which contains: an anti-virus protection tool located on the user’s side, which is associated with a corresponding database for storing current and test records; means of processing false positives on the user side, which is designed to handle false positives when the anti-virus protection tool works with test records in the corresponding database of the anti-virus protection tool; means of correcting false positives on the server side, which is designed to correct test records received from the means of processing false positives on the user side, in the database of the anti-virus protection on the server side, which is designed to store current and test records; means for updating current and test records in the server-side anti-virus protection database, which is designed to add new current and test entries to the anti-virus protection database; user-side anti-virus protection database update tool that is designed to update current and test user-side anti-virus protection database records by downloading an update for current and test server-side anti-virus protection database records.

В частном варианте реализации средство исправления ложных срабатываний на стороне сервера после коррекции тестовых записей в базе данных средства антивирусной защиты на стороне сервера, дополнительно предназначено для корректировки тестовых записей в базе данных средства антивирусной защиты на стороне пользователя.In a particular embodiment, the server side error correction tool after correcting test records in the server-side anti-virus protection database is additionally designed to correct test records in the user-side anti-virus protection database.

В частном варианте реализации средством антивирусной защиты являются: эмулятор и модуль проактивной защиты; модуль сигнатурной проверки; модуль контроля приложений; модуль родительского контроля.In a particular embodiment, the antivirus protection means are: an emulator and a proactive defense module; signature verification module; application control module; parental control module.

В частном варианте реализации средство обработки ложных срабатываний на стороне пользователя дополнительно собирает информацию из журнала событий средства антивирусной защиты на стороне пользователя, которая необходима средству исправления ложных срабатываний на стороне сервера.In a particular embodiment, the user-side false positive processing tool further collects information from the user-side anti-virus protection tool event log, which is necessary for the server-side false positive correction tool.

В частном варианте реализации средством пополнения текущих и тестовых записей в базе данных средства антивирусной защиты на стороне сервера являются средства обнаружения вредоносных программ в антивирусных лабораториях, а также люди-эксперты.In a particular embodiment, the means of updating current and test entries in the database of the anti-virus protection tool on the server side are malware detection tools in anti-virus laboratories, as well as expert people.

В частном варианте реализации базы данных с текущими и тестовыми записями на стороне пользователя и сервера переписывают тестовые записи на место текущих спустя заданный промежуток времени при отсутствии ложных срабатываний от средства обработки ложных срабатываний на стороне пользователя.In a particular embodiment of the database with current and test records on the user and server side, the test records are rewritten to the current records after a specified period of time in the absence of false positives from the means of processing false positives on the user side.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present utility model will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:

Фиг.1 иллюстрирует упрощенное представление РЕ-формата файла.Figure 1 illustrates a simplified representation of the PE file format.

Фиг.2 иллюстрирует схему обнаружения ложных срабатываний для сигнатур файлов.Figure 2 illustrates a false positive detection scheme for file signatures.

Фиг.3 иллюстрирует схему отключения сигнатуры файла у пользователей при наличии ложного срабатывания.Figure 3 illustrates a scheme for disabling a file signature for users in the presence of a false positive.

Фиг.4 иллюстрирует схему обнаружения ложных срабатываний для эвристик.Figure 4 illustrates a false positive detection scheme for heuristics.

Фиг.5 иллюстрирует схему работы с неизвестными файлами.5 illustrates a scheme for working with unknown files.

Фиг.6 иллюстрирует схему обнаружения ложных срабатываний для родительского контроля.6 illustrates a false positive detection scheme for parental control.

Фиг.7 иллюстрирует схему системы в соответствии с одним из вариантов реализации настоящей полезной модели.Fig. 7 illustrates a system diagram in accordance with one embodiment of the present utility model.

Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model

Далее будут описаны предпочтительные варианты реализации настоящей полезной модели, примеры которой показаны на сопровождающих чертежах.Next, preferred embodiments of the present utility model will be described, examples of which are shown in the accompanying drawings.

Согласно полезной модели предоставляется система для уменьшения числа ложных срабатываний антивирусных баз данных, путем использования тестовых антивирусных баз данных, которые не будут оповещать пользователя при возможных ложных срабатываниях.According to the utility model, a system is provided for reducing the number of false positives of anti-virus databases by using test anti-virus databases that will not notify the user in case of possible false positives.

Все исследуемые неизвестные исполняемые файлы являются так называемыми РЕ-файлами (Portable Executable) и имеют РЕ-формат (для семейства операционных систем Windows, под которые пишется большая часть вредоносного программного обеспечения). На фиг.1 представлено упрощенное представление данного формата, благодаря чему мы видим, что РЕ-файл представлен в виде заголовка 105, некоторого количества секций 110 (которые составляют образ исполняемой программы) и оверлея 115 (т.е. сегмент программы, подгружаемый при необходимости во время ее выполнения). Здесь мы намерено опускаем многие детали представления, включая упоминание про MZ-заголовок и более подробное описание секций.All unknown unknown executable files under study are the so-called PE-files (Portable Executable) and have a PE-format (for the Windows operating system family, under which most malicious software is written). Figure 1 shows a simplified representation of this format, due to which we see that the PE file is presented in the form of a header 105, a certain number of sections 110 (which make up the image of the executable program) and overlay 115 (i.e., a program segment loaded if necessary during its execution). Here we intend to omit many details of the presentation, including a reference to the MZ header and a more detailed description of the sections.

В настоящий момент для того, чтобы создать сигнатуру файла вычисляют его хеш (например, используя алгоритм MD5). Так как вычисление хеша от больших по размеру файлов занимает продолжительное время, то для ускорения его вычисления можно не использовать весь файл целиком в алгоритме хеширования, а только его части, например, заголовок 105, некоторые из секций 110, а также оверлей (если он есть) 115.Currently, in order to create a file signature, its hash is calculated (for example, using the MD5 algorithm). Since the calculation of the hash from large files takes a long time, to speed up its calculation, you can not use the entire file as a whole in the hashing algorithm, but only its parts, for example, heading 105, some of sections 110, as well as overlay (if there is one ) 115.

Соответственно, чем меньше частей файла используется для алгоритма хеширования, тем больше вероятность того, что при работе антивирусной системы хеш, взятый от приложения из “белого списка” (например, редактор Notepad), может совпасть с хешем вредоносного приложения, который находится в базе данных антивирусной системы.Accordingly, the fewer parts of the file are used for the hashing algorithm, the greater the likelihood that when the anti-virus system operates, the hash taken from the application from the “white list” (for example, the Notepad editor) may coincide with the hash of the malicious application that is in the database antivirus system.

Еще одним встречающейся проблемой при пополнении антивирусных баз является человеческий фактор, когда эксперт может по ошибке занести приложение из "белого списка" в список вредоносных приложений. В результате пользователи будут очень недовольны тем, что известное им приложение антивирусная система стала определять как вредоносное программное обеспечение.Another common problem when replenishing anti-virus databases is the human factor, when an expert can mistakenly add an application from the "white list" to the list of malicious applications. As a result, users will be very unhappy that the antivirus system they began to identify as an application known as malware.

Один из вариантов реализации настоящей полезной модели описан на фиг.7. Антивирусная компания располагает средствами пополнения баз данных 770 (сигнатур, эвристик, средства родительского контроля и др.), которые она может выпускать в виде двух типов баз - как уже проверенные обновления 725а, так и тестовые записи 725б, которые можно проверить на компьютерах пользователей в тестовом режиме. Эти записи передаются на средство обновления 720, которое присутствует в каждой антивирусной системе у пользователя. Антивирусная система имеет соответственно собственные базы 715 - как текущую 715а, так и базу с тестовыми записями 715б. Эти базы может использовать одно из средств антивирусной системы 710 - это может быть средство сигнатурной проверки, эмулятор, средство эвристической проверки и др. В том случае, если средство 710 сработало, то перед тем как предпринять действия и оповестить пользователя, на этапе 730 уточняется, являются ли сработавшие на средстве 710 записи (или настройки средства антивирусной системы) тестовыми. Если записи были текущими записями 715б, то в таком случае средство сработает (например, сигнатурная проверка предупредит, что обнаружена вредоносная программа) и произойдет оповещение пользователя 740. Если же записи были тестовыми, то в этом случае пользователь не будет оповещен, а средство обработки ложных срабатываний 750 проверит событие на предмет ложных срабатываний (например, приложение из “белого списка” было ошибочно обнаружено как вредоносная программа). В таком случае средство обработки ложных срабатываний 750 зарегистрирует ложное срабатывание и отошлет на средство исправления ложных срабатываний 760 все нужную информацию, которая необходима для исправления базы 725б. Также эта информация попадет и в средство пополнения баз данных 770, к которому могут иметь доступ люди-эксперты для исправления неточностей и ошибок, которые возникли при создании тестовых записей 725б.One embodiment of the present utility model is described in FIG. 7. The anti-virus company has the means of replenishing 770 databases (signatures, heuristics, parental controls, etc.), which it can release in the form of two types of databases - both already tested updates 725a and test records 725b, which can be checked on users' computers in test mode. These entries are transferred to the 720 updater, which is present on every user’s anti-virus system. The anti-virus system has its own databases 715, respectively - both the current 715a and the database with test records 715b. These databases can be used by one of the tools of the anti-virus system 710 — it can be a signature verification tool, an emulator, a heuristic scan tool, etc. If the tool 710 works, then before taking action and notifying the user, it is specified at step 730, whether the entries (or the settings of the anti-virus system tool) that worked on the tool 710 are test ones. If the records were current records 715b, then in this case the tool will work (for example, a signature check will warn that a malicious program has been detected) and the user will be notified 740. If the records were test, then the user will not be notified, and the means of processing false positives 750 checks the event for false positives (for example, an application from the “white list” was erroneously detected as a malicious program). In this case, the means for processing false alarms 750 will register a false positive and send to the means for correcting false alarms 760 all the necessary information that is necessary to fix the database 725b. Also, this information will fall into the database replenishment tool 770, which can be accessed by expert people to correct inaccuracies and errors that occurred during the creation of test records 725b.

Также необходимо отметить и механизм изменений, который может быть использован для обновления текущей базы данных 715а у пользователей. Для того, чтобы сэкономить трафик, который будет использован для скачивания новых баз 725 с сайта антивирусной компании, для обновления могут быть использованы и тестовые записи 715б, которые можно переписать на место текущих записей 715а по истечении определенного времени, если не было обнаружено ложных срабатываний при работе тестовых записей.It is also necessary to note the change mechanism, which can be used to update the current database 715a for users. In order to save traffic that will be used to download new 725 databases from the antivirus company’s website, test records 715b can also be used for updating, which can be rewritten to replace current records 715a after a certain time if there were no false positives during the work of test records.

Фиг.2 иллюстрирует схему обнаружения ложных срабатываний для сигнатур файлов. В соответствии с одним из вариантов реализации на этапе 210 происходит выпуск тестовой сигнатуры для файла с помощью средств пополнения баз данных 770. Необходимо отметить, что здесь и далее описывается работа полезной модели с одной тестовой записью в базе, но надо понимать, что антивирусная компания может выпускать их в составе пакетов обновлений, тестируя таким образом множество тестовых сигнатур для различных средств антивирусной системы 710. Далее на этапе 220 идет сбор данных по срабатываниям тестовой сигнатуры. В том случае если сразу накапливается большое количество ложных срабатываний, которые были обнаружены с помощью средства обработки ложных срабатываний 750 (например, происходит обнаружение программ из “белого списка” вместо вредоносных), и их число превышает определенный порог на этапе 230, то сигнатура отключается у всех пользователей на этапе 240 для того, чтобы исключить подобные ошибки в будущем. Подобные случаи могут иметь место, когда вместо вредоносного файла в антивирусной компании была неверно определена программа из “белого списка”.Figure 2 illustrates a false positive detection scheme for file signatures. In accordance with one implementation option, at step 210, a test signature for the file is released using the database replenishment tools 770. It should be noted that the utility model with one test record in the database is described hereinafter, but it should be understood that an antivirus company may release them as part of service packs, thus testing a lot of test signatures for various anti-virus system 710 tools. Next, at step 220, data is collected on the response of the test signature. In the event that a large number of false positives are immediately accumulated that were detected using the false positive processing tool 750 (for example, programs from the “white list” are detected instead of malicious ones) and their number exceeds a certain threshold at step 230, then the signature is disabled for all users at step 240 in order to eliminate similar errors in the future. Such cases may occur when, instead of a malicious file, the program from the “white list” was incorrectly defined in the anti-virus company.

Если же количество ложных срабатываний невелико, то спустя некоторое время происходит анализ полученных от пользователей данных на этапе 250 и определяется количество ложных срабатываний на этапе 260. В том случае если ложных срабатываний не было найдено, то тестовая сигнатура переводится в действующую на этапе 270. Однако, если ложные срабатывания были найдены, то сигнатура отправляется для дальнейшего анализа на этапе 280 с помощью средства исправления ложных срабатываний 760 и антивирусная компания должна будет исправить собственную базу сигнатур (или “белые списки”) перед тем, как выпустить обновление пользователям.If the number of false positives is small, then after some time the data received from users is analyzed at step 250 and the number of false positives is determined at step 260. In the event that no false positives were found, the test signature is translated into the valid one at step 270. However, if false positives were found, then the signature is sent for further analysis at step 280 using the 760 false positive fixer and the anti-virus company will have to fix its own database with Ignatur (or “white lists”) before releasing an update to users.

Фиг.3 иллюстрирует схему отключения сигнатуры файла у пользователей при наличии ложного срабатывания. На данной фигуре изображен другой способ обработки ложных срабатываний для сигнатур файлов при котором тестовая сигнатура отключается сразу же при первом ложном срабатывании. На этапе 310 происходит выпуск тестовой сигнатуры с помощью средств пополнения баз данных 770, после чего ведется статистика ее срабатывания на этапе 320. В том случае, если на этапе 330 было обнаружено ложное срабатывание, которое было обнаружено с помощью средства обработки ложных срабатываний 750, то сигнатура немедленно отключается на этапе 350, а данные, полученные при ложном срабатывании могут быть отосланы антивирусной компании на этапе 360 для дальнейшей правки с помощью средства исправления ложных срабатываний 760. Если же ложного срабатывания так и не произошло за время, отведенное для тестирования тестовой сигнатуры, то тогда она переводится в действующую на этапе 340.Figure 3 illustrates a scheme for disabling a file signature for users in the presence of a false positive. This figure depicts another method for processing false positives for file signatures in which the test signature is disabled immediately upon the first false positive. At step 310, a test signature is released using the database replenishment means 770, and then its response statistics are maintained at step 320. In the event that a false response was detected at step 330, which was detected using the false positive processing tool 750, then the signature is immediately turned off at step 350, and the data obtained in case of a false positive can be sent to the antivirus company at 360 for further editing with the help of the correction tool for false positives 760. If the false positive Since the process didn’t happen during the time allotted for testing the test signature, then it is transferred to the current one at step 340.

Стоит отметить, что при работе системы как это изображено на фиг.2 и 3, не происходит оповещение пользователя, так как сигнатура является тестовой и вполне могла быть ошибочно добавлена в базы данных антивирусной системы. Таким образом удается решить две задачи - сократить количество ложных срабатываний у пользователя и оптимизировать процесс тестирования у антивирусной компании. Также можно отметить, что схема приведенная на фиг.2 хорошо подходит для тестирования тех данных, которые антивирусная компания получила совсем недавно и требуется дополнительное время на анализ, но в то же время компания хочет предоставить защиту своим пользователям уже сейчас. Схема же приведенная на фиг.3 хорошо подходит для тестирования тех данных, которые были тщательно обработаны и готовы для их использования у пользователей, но для того, что исключить возможные ошибки, можно выпускать их как тестовые с возможностью сразу же отключить те сигнатуры, которые выдают ложные срабатывания у пользователей.It is worth noting that during the operation of the system as shown in FIGS. 2 and 3, the user is not notified, since the signature is a test one and could very well be mistakenly added to the databases of the anti-virus system. Thus, two problems can be solved - to reduce the number of false positives for the user and to optimize the testing process for the antivirus company. It can also be noted that the circuit shown in Fig. 2 is well suited for testing the data that the antivirus company has received recently and requires additional analysis time, but at the same time, the company wants to provide protection for its users now. The diagram shown in Fig. 3 is well suited for testing the data that has been carefully processed and ready for users to use, but in order to exclude possible errors, you can release them as test ones with the ability to immediately disable the signatures that issue false positives for users.

Помимо использования тестовых сигнатур, есть возможность использовать так же тестовые эвристики, т.е. методы эвристического сканирования. На фиг.4 изображена схема тестирования новых эвристик, которая начинается с того, что на этапе 410 антивирусная компания выпускает тестовую эвристику, которая была разработана с помощью средств пополнения баз данных 770, с целью проверить ее работу в реальных условиях. На этапе 420 происходит сбор данных по ее срабатываниям. Так как сами методы эвристического сканирования могут вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам, то использование тестовой эвристики не будет отображено у пользователя. После сбора данных на этапе 420 можно проверить количество ложных срабатываний на этапе 430, которые могут быть обнаружены с помощью средства обработки ложных срабатываний 750. В том случае, если тестовая эвристика показывает хорошие результаты обнаружения неизвестных вредоносных программ, то ее переводят в действующую на этапе 440. Однако если тестовая эвристика обнаруживает большое количество приложений из “белого списка”, то тогда требуется ее отключение у пользователей на этапе 450 и дальнейшая доработка на этапе 460 с помощью средства исправления ложных срабатываний 760. После доработки эвристики можно снова передавать ее пользователям на этап 410. Можно также помимо записей и выпускать тестовые настройки для эмулятора программного обеспечения, для того, чтобы подобрать их оптимальное сочетание, например, во время вирусных эпидемий.In addition to using test signatures, it is possible to use test heuristics as well, i.e. heuristic scanning methods. Figure 4 shows a test scheme for new heuristics, which begins with the fact that at step 410 the antivirus company releases a test heuristic that was developed using database replenishment tools 770 in order to verify its operation in real conditions. At 420, data is collected on its responses. Since the heuristic scanning methods themselves can cause false positives if there are fragments of code in the program that performs actions and / or sequences, including those characteristic of some viruses, the use of the test heuristic will not be displayed to the user. After collecting data at step 420, you can check the number of false positives at step 430, which can be detected using the false positive processing tool 750. In the event that the test heuristic shows good detection results for unknown malicious programs, then it is transferred to the active one at step 440 However, if the test heuristic detects a large number of applications from the “white list”, then it is required to disconnect it from users at step 450 and further refinement at step 460 using the false positives 760. After the heuristic has been finalized, you can transfer it to users again to step 410. In addition to the records, you can also issue test settings for the software emulator in order to select their optimal combination, for example, during virus outbreaks.

Возможны случаи, когда ни сигнатурная проверка, ни эвристический анализ не могут дать точного ответа на вопрос, является ли неизвестное приложение (исполняемый файл) вредоносным программным обеспечением. В таком случае можно использовать различные методы проактивной защиты, например, HIPS (способ ограничения функционала программ на основе анализа их активности). Еще одним фактором будет являться количество запусков неизвестного приложения пользователями, т.е. при большом количестве запусков можно предполагать начало так называемой вирусной эпидемии. В таком случае для антивирусной компании понадобиться получить экземпляр вредоносной программы как можно раньше. На фиг.5 показан алгоритм работы полезной модели при работе с неизвестными файлами. На этапе 510 пользователь пытается запустить неизвестный исполняемый файл и на этапе 520 антивирусная система проверяет этот файл всеми доступными методами. В том случае если файл содержит вредоносный функционал или же наоборот, находится в “белом списке”, то на этапе 530 антивирусная система может разрешить или запретить запуск файла. Если антивирусная система не может точно определить тип файла (вредоносный он или нет), то тогда используются различные проактивные методы защиты, а также ведется статистика запуска этого файла пользователями на этапе 540. Если количество запусков растет быстро, то это может служить сигналом для антивирусной компании, что появилась новая вредоносная программа или приложение (исполняемый файл) из “белого списка”, которую следует загрузить на этапе 550, отправить на дальнейший анализ на этапе 560 и внести новые изменения в базы данных антивирусной системы на этапе 570 с помощью средств пополнения баз данных 770.There may be cases where neither signature verification nor heuristic analysis can give an exact answer to the question of whether an unknown application (executable file) is malicious software. In this case, you can use various methods of proactive defense, for example, HIPS (a way to limit the functionality of programs based on the analysis of their activity). Another factor will be the number of starts of an unknown application by users, i.e. with a large number of launches, we can assume the onset of the so-called viral epidemic. In this case, the antivirus company will need to obtain a copy of the malware as early as possible. Figure 5 shows the algorithm of the utility model when working with unknown files. At step 510, the user tries to run an unknown executable file, and at step 520, the anti-virus system checks this file with all available methods. If the file contains malicious functionality, or vice versa, is in the “white list”, then at step 530, the anti-virus system can enable or disable the launch of the file. If the anti-virus system cannot accurately determine the type of file (whether it is malicious or not), then various proactive protection methods are used, and statistics on the launch of this file by users at step 540 are kept. If the number of launches grows rapidly, this can serve as a signal for the anti-virus company that there is a new malicious program or application (executable file) from the “white list” that should be downloaded at step 550, sent for further analysis at step 560 and make new changes to the antivirus databases system at step 570 using the means of replenishment of databases 770.

На фиг.6 изображена схема обнаружения ложных срабатываний для родительского контроля. На этапе 610 происходит срабатывание родительского контроля (политика для которого была изначально разработана с помощью средств пополнения баз данных 770), например, была обнаружена попытка зайти на сайт, где было обнаружены слова “винтовка” и “оружие”. Однако это может быть ситуация, когда ребенок попытался зайти на сайт детских игрушек, а там среди товаров могут быть найдены слова “пластиковая винтовка”, так и "игрушечное оружие". Если этот сайт находится в списке заблокированных (проверка на этапе 620), то в таком случае он будет заблокирован на этапе 630. Если сайта нет в подобном списке не обнаружено, то ребенок будет допущен на сайт на этапе 640, а данные по этому сайту будут отправлены на анализ на этапе 650 (т.е. это было ложное срабатывание, которое было обнаружено с помощью средства обработки ложных срабатываний 750). В результате анализа в политику родительского контроля будут внесены изменения (например, обновлено правило по блокировке слов “винтовка” и “оружие”) на этапе 660 с помощью средства исправления ложных срабатываний 760.Figure 6 shows a scheme for detecting false positives for parental control. At step 610, parental control is triggered (the policy for which was originally developed using the database replenishment tools 770), for example, an attempt was made to go to a site where the words “rifle” and “weapon” were found. However, this may be a situation when a child tried to access the site of children's toys, and there among the goods the words “plastic rifle” and “toy weapon” can be found. If this site is in the list of blocked (verification at step 620), then in this case it will be blocked at step 630. If the site is not in such a list, the child will be allowed to enter the site at step 640, and the data for this site will be sent for analysis at step 650 (i.e., it was a false positive that was detected using the false positive processing tool 750). As a result of the analysis, changes will be made to the parental control policy (for example, the rule to block the words “rifle” and “weapon” has been updated) at step 660 using the 760 false positive correction tool.

В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of this utility model defined by the formula. The person skilled in the art will understand that there may be other options for implementing this utility model, consistent with the nature and scope of this utility model.

Claims (6)

1. Система обновления антивирусных баз данных, которая содержит средство антивирусной защиты, расположенное на стороне пользователя, которое связано с соответствующей базой данных, предназначенной для хранения текущих и тестовых записей; средство обработки ложных срабатываний на стороне пользователя, которое предназначено для обработки ложных срабатываний при работе средства антивирусной защиты с тестовыми записями в соответствующей базе данных средства антивирусной защиты; средство исправления ложных срабатываний на стороне сервера, которое предназначено для коррекции тестовых записей, полученных от средства обработки ложных срабатываний на стороне пользователя, в базе данных средства антивирусной защиты на стороне сервера, которая предназначена для хранения текущих и тестовых записей; средство пополнения текущих и тестовых записей в базе данных средства антивирусной защиты на стороне сервера, которое предназначено для добавления новых текущих и тестовых записей в базу данных средства антивирусной защиты; средство обновления базы данных средства антивирусной защиты на стороне пользователя, которое предназначено для обновления текущих и тестовых записей базы данных средства антивирусной защиты на стороне пользователя, путем скачивания обновления для текущих и тестовых записей базы данных средства антивирусной защиты на стороне сервера.1. The anti-virus database update system, which contains an anti-virus protection tool located on the user’s side, which is associated with a corresponding database intended for storing current and test records; means of processing false positives on the user side, which is designed to handle false positives when the anti-virus protection tool works with test records in the corresponding database of the anti-virus protection tool; means of correcting false positives on the server side, which is designed to correct test records received from the means of processing false positives on the user side, in the database of the anti-virus protection on the server side, which is designed to store current and test records; means for updating current and test records in the server-side anti-virus protection database, which is designed to add new current and test entries to the anti-virus protection database; user-side anti-virus protection database update tool that is designed to update current and test user-side anti-virus protection database records by downloading an update for current and test server-side anti-virus protection database records. 2. Система по п.1, в которой средство исправления ложных срабатываний на стороне сервера после коррекции тестовых записей в базе данных средства антивирусной защиты на стороне сервера дополнительно предназначено для корректировки тестовых записей в базе данных средства антивирусной защиты на стороне пользователя.2. The system according to claim 1, in which the means of correcting false alarms on the server side after the correction of test records in the database of the anti-virus protection on the server is additionally intended to correct the test records in the database of the anti-virus protection on the user side. 3. Система по п.1, в которой средством антивирусной защиты являются эмулятор и модуль проактивной защиты; модуль сигнатурной проверки; модуль контроля приложений; модуль родительского контроля.3. The system according to claim 1, in which the antivirus protection is an emulator and a proactive defense module; signature verification module; application control module; parental control module. 4. Система по п.1, в которой средство обработки ложных срабатываний на стороне пользователя дополнительно собирает информацию из журнала событий средства антивирусной защиты на стороне пользователя, которая необходима средству исправления ложных срабатываний на стороне сервера.4. The system of claim 1, wherein the user-side false positive processing tool further collects information from the user-side anti-virus protection tool event log, which is necessary for the server-side false positive correction tool. 5. Система по п.1, в которой средством пополнения текущих и тестовых записей в базе данных средства антивирусной защиты на стороне сервера являются средства обнаружения вредоносных программ в антивирусных лабораториях, а также люди-эксперты.5. The system according to claim 1, in which the means of updating current and test entries in the database of the anti-virus protection tool on the server side are malware detection tools in anti-virus laboratories, as well as human experts. 6. Система по п.1, в которой базы данных с текущими и тестовыми записями на стороне пользователя и сервера переписывают тестовые записи на место текущих, спустя заданный промежуток времени при отсутствии ложных срабатываний от средства обработки ложных срабатываний на стороне пользователя.
Figure 00000001
6. The system according to claim 1, in which databases with current and test records on the user and server side rewrite test records to the current ones, after a specified period of time in the absence of false positives from the means of processing false positives on the user side.
Figure 00000001
RU2009142888/22U 2009-11-23 2009-11-23 SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION RU92551U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2009142888/22U RU92551U1 (en) 2009-11-23 2009-11-23 SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2009142888/22U RU92551U1 (en) 2009-11-23 2009-11-23 SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION

Publications (1)

Publication Number Publication Date
RU92551U1 true RU92551U1 (en) 2010-03-20

Family

ID=42137812

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009142888/22U RU92551U1 (en) 2009-11-23 2009-11-23 SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION

Country Status (1)

Country Link
RU (1) RU92551U1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2487405C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for correcting antivirus records
RU2535506C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" System and method for creating application behaviour model scripts
RU2568285C2 (en) * 2013-09-30 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Method and system for analysing operation of software detection rules
RU2602369C2 (en) * 2015-03-31 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of reducing number of determination of legitimate file as malware
US9582335B2 (en) 2011-11-24 2017-02-28 AO Kaspersky Lab System and method for distributing processing of computer security tasks

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2487405C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for correcting antivirus records
US9582335B2 (en) 2011-11-24 2017-02-28 AO Kaspersky Lab System and method for distributing processing of computer security tasks
RU2535506C2 (en) * 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" System and method for creating application behaviour model scripts
RU2568285C2 (en) * 2013-09-30 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Method and system for analysing operation of software detection rules
RU2602369C2 (en) * 2015-03-31 2016-11-20 Закрытое акционерное общество "Лаборатория Касперского" System and method of reducing number of determination of legitimate file as malware

Similar Documents

Publication Publication Date Title
RU2514140C1 (en) System and method for improving quality of detecting malicious objects using rules and priorities
RU2531861C1 (en) System and method of assessment of harmfullness of code executed in addressing space of confidential process
RU2698776C2 (en) Method of maintaining database and corresponding server
RU2487405C1 (en) System and method for correcting antivirus records
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
CN101479709B (en) Identifying malware in a boot environment
US20090038011A1 (en) System and method of identifying and removing malware on a computer system
US20180032726A1 (en) Elimination of false positives in antivirus records
CN106326737B (en) System and method for detecting the harmful file that can be executed on virtual stack machine
CN107203717B (en) System and method for performing antivirus scanning of files on virtual machines
RU92551U1 (en) SYSTEM OF TESTING AND CORRECTION OF TEST DATABASES OF ANTI-VIRUS APPLICATION
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
RU2701842C1 (en) Method of generating a request for information on a file for performing antivirus checking and a system for realizing the method (versions)
US9740865B2 (en) System and method for configuring antivirus scans
RU101233U1 (en) SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
RU96267U1 (en) SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS
JP6861196B2 (en) Systems and methods to adapt the dangerous behavior patterns of a program to the user's computer system
EP2584484A1 (en) System and method for protecting a computer system from the activity of malicious objects
RU2665909C1 (en) Method of selective use of patterns of dangerous program behavior
RU101232U1 (en) SYSTEM FOR AUTOMATIC CREATION OF MEANS FOR COUNTERING A SPECIFIC TYPE OF MALICIOUS APPLICATIONS
RU2468427C1 (en) System and method to protect computer system against activity of harmful objects
RU2638735C2 (en) System and method of optimizing anti-virus testing of inactive operating systems
RU2652448C1 (en) System and method of adapting patterns of dangerous program behavior to users' computer systems
SudalaiMuthu Volatile Kernel Rootkit Hidden Process Detection in Cloud Computing

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20171124