Система выявления и минимизации риска ложных срабатываний

Полезная модель относится к антивирусной защите, в частности к системам обнаружения и минимизации ложных срабатываний при антивирусной проверке. Технический результат заключается в уменьшении количества ложных срабатываний, возникающих при поиске вредоносных программ, что достигается за счет исправления коллизий, возникающих при использовании коллекций чистых и вредоносных объектов. Система содержит: средство сбора и хранения информации, предназначенное для сбора и хранения статистической информации об обнаруженных вредоносных и чистых объектах, средство обнаружения, предназначенное для сравнения информации об исследуемых объектах с данными от средства хранения известных чистых объектов и средства хранения известных вредоносных объектов для обнаружения коллизий, средство хранения известных чистых объектов, средство хранения известных вредоносных программ, средство исправления, предназначенное для уменьшения количества ложных срабатываний в ходе дальнейшего поиска вредоносных объектов, средство хранения критериев, которые определяют степень вредоносности объектов.

Область техники

Полезная модель относится к антивирусным технологиям, в частности, системам обнаружения и минимизации ложных срабатываний в ходе поиска вредоносных объектов.

Уровень техники

В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а также увеличивается и вред, который данное ПО приносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще, и становятся необходимыми методы распознавания неизвестных угроз. С ростом коммуникационных сетей, таких как Интернет, увеличивается потребность в обмене данными, включая все более растущее использование почтовых сообщений. Поэтому заражение компьютеров посредством передачи данных через коммуникационные каналы или обмен файлами - это важная задача, которую следует решать. Заражения могут принимать различные формы, но в основном они бывают в виде компьютерных вирусов, троянских программ, и других форм вредоносного кода.

События, связанные с почтовыми атаками, имеют большие последствия как для поставщиков интернет-услуг (ISP), так и для множества компаний. Поэтому необходимо улучшать стратегии обнаружения вредоносных атак.

С одной стороны, для обнаружения вредоносных программ применяется сигнатурное детектирование. Системы сигнатурного детектирования используют шаблоны кода, которые были получены из известных вредоносных программ, и подозреваемые объекты сканируются на наличие в коде данных шаблонов. Одним из недостатков систем сигнатурного детектирования является то, что такие системы могут обнаружить только известные вредоносные программы. Все вредоносные программы, которые не были идентифицированы ранее как вредоносные, а также вредоносные программы, созданные после обновления сигнатурных баз, не будут распознаны данной системой.

С другой стороны, существует технология проверки целостности информации. Системы проверки целостности информации используют код уже известных доверенных (чистых) программ и создается на их основе экземпляр чистого кода программы. Данный экземпляр хранится вместе с информацией о программном файле, такой как заголовок программы и длина файла, дата и время создания экземпляра чистого кода. Через определенные промежутки времени программа сравнивается с хранящимся экземпляром, находящимся в базе данных компьютера для выявления факта модификации программы.

Системы проверки целостности информации обычно создают длинные списки модифицированных файлов после обновлений операционной системы, когда устанавливается много обновлений программ. Основной недостаток систем проверки целостности заключается в том, что система реагирует на все изменения в программе, хотя эти изменения могут быть и не вредоносными. Также пользователю сложно решить, является ли то или иное изменение атакой на компьютерную систему.

Системы наблюдения контрольной суммы обнаруживают вредоносные программы с помощью генерации значения циклического кода избыточности (CRC) для каждого программного файла. Модификации программного файла будут обнаружены, если изменится значение CRC. Системы наблюдения контрольной суммы вместе с применением систем проверки целостности улучшают устойчивость общей системы. Тем не менее, системы наблюдения контрольной суммы имеют те же недостатки, как и системы проверки целостности, связанные с большим количеством ложных предупреждений при малейших изменениях программы.

Одной из целей представленной полезной модели является использование списков известных доверенных объектов, которые далее будут представлены как чистые объекты. Объектами могут быть программные компоненты, ссылки, библиотеки, и т.д. Для сравнения подозреваемых объектов со списком чистых объектов могут использоваться значения хешей. Такая система, используя значение хешей, раскрывается в патентной заявке WO/2007066333, где список чистых объектов состоит из хешей известных приложений. Сравнение же происходит по контрольным суммам.

Для увеличения эффективности использования списка чистых объектов, они постоянно обновляются, как, например, описано в заявке US 2008/0168558, где для обновления используется поставщика интернет-услуг (ISP). В заявке US 2007/0083757 определяется, нужно ли скорректировать список чистых объектов или последняя версия локального списка является корректной.

При использовании списков чистых объектов неизбежно возникают ложные срабатывания, которые необходимо обнаруживать, т.к. они могут принести вред не меньший, чем вредоносные программы. Например, если чистая программа распознана антивирусной системой как вредоносная, то это может испортить репутацию компании-разработчика антивирусных программ, а также вызвать потерю времени для многих пользователей. Возможен случай, когда вредоносная программа ошибочно распознается как чистая, и после этого она беспрепятственно может причинять вред на компьютерной системе. В настоящее время обнаружение и исправление ложных срабатываний производится вручную. На обнаружение ложных срабатываний тратится большое количество времени, а также аналитическая работа людей, необходимая для проверки правильности обнаружения.

Обнаружения ложных срабатываний описываются в заявке US 2008/0168558, где ложные срабатывания обнаруживаются с помощью сравнений различных отчетов об обнаруженных угрозах. Система безопасности, в которой учитываются ложные срабатывания, также раскрыта в заявке WO/03077071.

Системы известного уровня техники не обеспечивают эффективного обновления списков чистых объектов, используя данные об обнаруженных ложных срабатываниях. В заявке WO/9909507 используются нейронные сети (а также другие системы принятия решений) для уменьшения ложных срабатываний, однако там не описаны системы корректировки списка чистых объектов.

В заявке US 2006/0206935 описывается система уменьшения ложных срабатываний. В заявке US2007/0220043 описывается система, использующая имя компании издателя, названии и версии продукта, которые могут быть параметрами для системы определения подозрительных сущностей.

В некоторых системах используются электронно-цифровые подписи (ЭЦП) для помещения объекта в список вредоносных или чистых объектов. Например, в заявке WO/2007143394 для составления списка чистых объектов используется ЭЦП. Однако в этой заявке не описывается решение по корректировке и обновлению списка чистых объектов.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно исправление обнаруженных коллизий между коллекциями чистых и вредоносных объектов для минимизации ложных срабатываний в ходе поиска вредоносных объектов.

Раскрытие полезной модели

Технический результат заключается в уменьшении количества ложных срабатываний, возникающих при поиске вредоносных программ, что достигается за счет исправления коллизий, возникающих при использовании коллекций чистых и вредоносных объектов.

Согласно одному из вариантов реализации предоставляется система уменьшения количества ложных срабатываний в ходе дальнейшего поиска вредоносных программ, которая включает в себя: средство сбора и хранения информации, предназначенное для сбора и хранения статистических данных об обнаруженных вредоносных и чистых объектах, связанное со средством обнаружения; упомянутое средство обнаружения предназначено для получения данных об исследуемых объектах от средства сбора и хранения информации и ее сравнения с имеющимися данных в средстве хранения известных чистых объектов для обнаружения коллизий, при этом средство обнаружения связано со средством исправления; упомянутое средство хранения известных чистых объектов предназначено для хранения и выдачи данных о чистых объектах средству обнаружения; упомянутое средство исправления предназначено для уменьшения количества ложных срабатываний в ходе дальнейшего поиска вредоносных программ путем получения данных о коллизиях от средства обнаружения и присвоения полученным данным по каждому из критериев соответствующего весового коэффициента, а затем вынесения решения о том, является ли исследуемый объект чистым или вредоносным, на основе суммарного весового коэффициента по всем критериям, и корректировки данных в средстве хранения известных чистых объектов или в средстве хранения известных вредоносных объектов, а также для корректировки весовых коэффициентов критериев, связанных с ложным срабатыванием в средстве хранения критериев, при этом средство исправления связано со средством хранения критериев и средством хранения известных вредоносных объектов; упомянутое средство хранения критериев предназначено для хранения критериев, которые определяют степень вредоносности объектов и сопоставленных этим критериям весовых коэффициентов и предоставления данных о критериях и соответствующих им весовых коэффициентах средству исправления; при этом упомянутое средство хранения известных вредоносных объектов предназначено также для получения исправленных данных от средства исправления в случае нахождения ошибок средством обнаружения и для передачи обновленных данных средству сбора и хранения информации.

В одном из частных вариантов реализации средство сбора и хранения информации, предназначено для хранения данных обо всех подозрительных объектах и обо всех чистых объектах, которые следует добавить, соответственно, в средство хранения известных вредоносных объектов и средство хранения известных чистых объектов.

В одном из частных вариантов реализации средство хранения критериев предназначено для хранения критериев весовых коэффициентов, которые могут быть числом в диапазоне от 0 до 100, показывающим является объект чистым или вредоносным.

В одном из частных вариантов реализации средство обнаружения предназначено для сравнения объекта от средства сбора и хранения информации, который нужно добавить в средство хранения известных чистых объектов, с данными от средства хранения известных вредоносных объектов, с целью обнаружения коллизии.

В одном из частных вариантов реализации средство обнаружения предназначено для сравнения объекта от средства сбора и хранения информации, который нужно добавить в средство хранения известных вредоносных объектов, с данными от средства хранения известных чистых объектов, с целью обнаружения коллизии.

В одном из частных вариантов реализации средство исправления предназначено для исправления данных в средстве хранения известных вредоносных объектов, если суммарный весовой коэффициент меньше заранее определенного значения.

В одном из частных вариантов реализации средство исправления предназначены для исправления данных в средстве хранения известных чистых объектов, если суммарный весовой коэффициент больше или равен заранее определенному значению.

В одном из частных вариантов реализации средство сбора и хранения информации предназначено для сбора данных следующего типа: файл; URL; учетная запись систем мгновенного обмена сообщениями; имя хоста; IP адрес; доменное имя; электронное сообщение.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 показывает примерный вариант реализации блок-схемы списка критериев для добавления объекта в коллекцию чистых объектов.

Фиг.2 показывает примерный вариант реализации блок-схемы системы, которая анализирует контекст объекта.

Фиг.3 показывает возможность возникновения коллизий между различными объектами системы.

Фиг.4 показывает систему обнаружения вредоносных программ в соответствии с вариантом реализации.

Фиг.5 показывает примерный вариант реализации блок-схемы обнаружения ложных срабатываний.

Фиг.5А отображает схему корректировки эффективности критериев, используемых средством исправления ложных срабатываний.

Фиг.6А показывает примерный вариант реализации минимизации ложных срабатываний в коллекции чистых объектов.

Фиг.6Б показывает примерный вариант реализации минимизации ложных срабатываний в коллекции вредоносных объектов.

Фиг.7А показывает примерный вариант реализации исправления коллекции вредоносных или чистых объектов в случае ложного срабатывания для вредоносного объекта.

Фиг.7Б показывает примерный вариант реализации исправления коллекции вредоносных или чистых объектов в случае ложного срабатывания для чистого объекта.

Фиг.8 показывает примерный вариант реализации дерева весовых коэффициентов.

Фиг.9 показывает примерный вариант реализации дерева весовых коэффициентов, созданного на основе обработки по различным критериям.

Описание вариантов осуществления полезной модели

Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели, а также способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.

Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).

Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.

Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.

Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.

Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).

Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.

Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.

Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.

Настоящая полезная модель описывает систему обнаружения и минимизации ложных срабатываний. На данный момент в антивирусной индустрии для сравнения неизвестных вредоносных программ с уже известными программами используются две разные коллекции: список чистых объектов (WhiteList или WL) и список вредоносных объектов (BlackList или BL). Объектами в данных списках могут быть программы, ссылки, текстовые файлы, и т.д. Однако в процессе работы могут возникнуть ложные срабатывания, когда объект одновременно помещается и в WL, и в BL. При обнаружении ложных срабатываниях возможны два варианта ситуаций:

- ложное срабатывание обнаружено до появления новых антивирусных баз;

- ложное срабатывание обнаружено после появления антивирусных баз (в этом случае, возможно, потребуется исправление уже вышедших баз).

При этом оценивается вес полученного системой решения (вероятность детектирования потенциальной вредоносной программы) и в зависимости от него принимается решение о правке либо белых списков, либо антивирусных баз.

В одном варианте реализации предлагается система, которая создает список чистых объектов. В другом варианте реализации предлагается система, которая добавляет приложения в список чистых объектов, основываясь на различных параметрах. В соответствии с вариантом реализации создается список чистых объектов с помощью хешей, лицензионных соглашений приложения, ЭЦП, контекстов объектов, и др.

Предполагается, что уже есть некоторый список чистых объектов, созданный с помощью нескольких методов, например, в виде простой схемы, в которой для каждого объекта из списка чистых объектов сопоставляется хеш-сумма.

Список чистых объектов создается для файлов, ссылок, сообщений электронной почты, а также учетных записей пользователей систем мгновенного обмена сообщениями, журналов обмена сообщениями, IP адресов, имен хостов, имен доменов, идентификаторов рекламных компаний (например, Google AdSense, Яндекс Директ). Список данных объектов изображен на фиг.1. Однако представленный метод не может охватить всю информацию о чистых объектах из-за его обширности.

В частности сложно проанализировать приложение по его значению хеш-функции 110, если для него вышла новая версия. Следует также отметить, что обычно хеш-функции вычисляются с помощью алгоритма MD5, но они также могут вычисляться с помощью любых других хеш-функций, например, MD4, SHA1, SHA2, SHA256 и т.д.

Пользовательская статистика 150 может также дополнить список чистых объектов. Например, если неизвестный объект 100 (приложение или исполняемая программа) был отмечен достаточно большим количеством пользователей как чистый, то он может быть добавлен в список чистых объектов.

Объект может быть добавлен в список чистых объектов с учетом его поведения 160. Например, когда файл «photoshop.exe» открывается на исполнение из папки «C:\ProgramFiles\Adobe Photoshop» и затем создает соединение с целью обновления с сервером из URL в списке чистых объектов и не проявляет никаких вредоносных признаков поведения (например, изменяет в системной папке записи, изменяет/считывает данные из реестра и т.д.), то система может добавить его в список чистых объектов.

Объект может быть добавлен в список чистых объектов по его контексту 120, изображенному на фиг.2. Объект (программа) может быть добавлен в белый список, если известно его имя 210, компания 220, выпустившая его, или версия объекта 230. Операционная система 240 и переменные окружения 250 также могут быть приняты во внимание при вынесении решения 260 о занесении объекта в список чистых объектов. Обычно для принятия решения 260 принимается во внимание весь контекст 120.

Например, после выхода новой версии браузера MS Internet Explorer, его можно поместить в список чистых объектов при условии, что предыдущая версия при прочих равных условиях также находится в списке чистых объектов.

Другим примером использования контекста является занесение программ в список чистых объектов на основе информации об источнике распространения. Прежде всего, это относится к программам, загружаемым с доверенных узлов сети Интернет (URL White List). Доверенными узлами называется список Интернет-адресов, попавших в список чистых (не вредоносных) объектов.

Все возможные коллизии между различными объектами списка вредоносных и чистых объектов изображены на фиг.3. Коллизии могут возникать между различными типами объектов, такими как файлы, ссылки, почтовые сообщения, и т.д. Коллизии возникают, когда происходит пересечение между списками вредоносных и чистых объектов. Например, если объект, обнаруженный как вредоносный, находится в списке чистых объектов. Если потом окажется, что он был помещен в список чистых объектов преждевременно или по ошибке, то это событие считается ложным срабатыванием.

На фиг.4 изображена система защиты от вредоносного ПО в соответствии с вариантом реализации. В приведенном варианте изображено средство сбора и хранения информации, а именно защитные модули 410, которые могут заблокировать объект 400. В то же время система обнаружения ложных срабатываний 420 может обнаружить коллизию, если выносит решение о том, что объект 400 является чистым. Система обнаружения ложных срабатываний 420 принимает решение в зависимости от данных об объекте 425. При этом может применяться HIPS-политика (т.е. политика ограничений приложений) 430, основываясь на решении модуля списков чистых объектов.

В соответствии с вариантом реализации возможны два вида конфликтов - до и после выпуска детектирующих записей (баз данных антивирусного продукта со списками вредоносных объектов). Таким образом, записи о ложных срабатываниях могут быть созданы, а затем и скорректированы как для списка чистых объектов, так и для списка вредоносных объектов. Обнаружение выпущенных записей о ложных срабатываниях производится в процессе обработки данных в поступающих потоках статистики. Пересечение создания записей о ложных срабатываниях производится при каждой попытке аналитика добавить новую запись в список чистых или вредоносных объектов.

Система для обнаружения и создания записей о ложных срабатываниях изображена на фиг.5. При работе защитных модулей 410 антивирусного продукта, собирается статистическая информация. Для выявления и исправления ложных срабатываний из статистических данных выделяется множество записей о детектируемых объектах, которое хранится в базе данных 520. В общем варианте реализации защитные модули 410 и база данных 520 являются средством сбора и хранения информации 510. Затем множество записей о детектируемых объектах поступает средству обнаружения, которым является средство обнаружения ложных срабатываний 530, где с помощью различных алгоритмов происходит сравнение записей об объектах из списков чистых объектов 540 и списка вредоносных объектов 560, с целью выявления коллизий. В данном случае коллизией является факт присутствия детектируемого объекта в списке чистых объектов 540.

Все выявленные таким образом объекты (или метаданные объектов) и соответствующие им антивирусные записи передаются средству исправления, которому соответствует средство исправления ложных срабатываний 550. В средстве 550 оценивается вероятность ошибки детектирующей системой решения и вероятность попадания в список чистых объектов вредоносного объекта, используя критерии 580, которым ставятся в соответствие весовые коэффициенты для построения дерева решений (более подробно описано на фиг.8 и 9). После сравнения этих данных система делает вывод о том, что надо исправлять - списки чистых объектов 540 или антивирусные базы (списки вредоносных объектов) 560. В пограничных случаях в работу средства могут вмешиваться аналитики 570 для исправления ложных срабатываний и корректировки используемых алгоритмов. Исправления ложных срабатываний или записей о чистых файлах автоматически попадают соответственно в антивирусные базы 560 или списки чистых объектов 540.

Также хочется отметить тот факт, что система на фиг.5 может улучшать качество исправления ложных срабатываний путем изменения весовых коэффициентов для критериев 580. Вполне возможна ситуация, когда новые вредоносные программы, которые могут быть обнаружены с помощью защитных модулей 410, также могут находится и в списке чистых объектов 540. В то же время средство исправления ложных срабатываний 550 не может исправить белые списки из-за недостаточности весовых коэффициентов для критериев 580, поэтому вредоносные программы считаются чистыми. На фиг.5А отображена схема корректировки эффективности критериев, используемых средством исправления ложных срабатываний. На этапе 501 происходит обнаружение коллизии, после чего на этапе 502 записываются все критерии 580, которые были использованы для исправления ложного срабатывания. На этапе 503 отыскивают похожие случаи ложных срабатываний с таким же набором критериев (набор может не совпадать полностью), чтобы затем на этапе 504 провести анализ их эффективности. Если один из критериев постоянно встречается при определенных ложных срабатываний, то на этапе 505 происходит изменение его весового коэффициента в зависимости от типа ложных срабатываний с целью уменьшения их количества.

Для минимизации возможности создания ложных срабатываний используется система их выявления и исправления на этапе добавления записи в базы, которая изображена на фиг.6А.

Записи, сгенерированные системой обнаружения 610, в которую могут входить автоматические системы, аналитики и любые другие модули, передаются средству обнаружения ложных срабатываний 530. Алгоритм работы аналогичен описанному выше. Все выявленные таким образом объекты (или метаданные объектов) и соответствующие им антивирусные записи 560 передаются средству исправления ложных срабатываний 550. В средстве 550 рассчитывается вероятность ошибки системы 610 обнаружения и вероятность попадания вредоносного объекта в список чистых объектов. После сравнения этих данных система делает вывод о том, что надо исправлять - списки чистых объектов или антивирусные базы. В пограничных случаях в работу средства могут вмешиваться аналитики для исправления ложных срабатываний и корректировки используемых алгоритмов. Записи, не признанные ложными срабатываниями, и исправления записей о чистых файлах автоматически попадают, соответственно, в антивирусные базы или списки чистых объектов.

На фиг.6Б изображен похожий процесс, отличающийся тем, что в нем исправляются антивирусные базы (список вредоносных объектов), а не списки чистых объектов.

Возможность совершения ошибки системой обнаружения 610, а также возможность включения вредоносного объекта в список чистых объектов 540 вычисляются средством исправления ложных срабатываний 550. Затем средство исправления ложных срабатываний 550 принимает решение о том, что надо исправлять - списки чистых объектов 540 или антивирусные базы 560. В некоторых случаях мнение эксперта (аналитика) влияет на принимаемое решение.

На фиг.7А изображена работа средства исправления списков чистых и вредоносных объектов в соответствии с вариантом реализации. Статистическая информация собирается на шаге 710. На шаге 720 создается новая антивирусная запись. Данные, полученные на шагах 710 и 720, сравниваются со списком чистых объектов на шаге 730. Затем на шаге 740 обнаруживаются коллизии. Если на шаге 750 принимается решение о том, что обнаруженная коллизия - не ложное срабатывание, то исправляется список чистых объектов на шаге 760. Иначе, исправляются антивирусные записи (т.е. список вредоносных объектов) на шаге 770.

На фиг.7Б изображен похожий процесс, предназначенный для исправления списков чистых и вредоносных объектов, где изначально предпринимается попытка исправить список чистых объектов.

В соответствии с вариантом реализации при обнаружении коллизии система строит дерево решений, изображенное на фиг.8, и в зависимости от суммарного веса, принимает решение об исправлении либо антивирусных записей, либо списка чистых объектов.

Для каждого ложного срабатывания строится свое дерево решений на основе множества критериев, каждый из которых реализует определенную логику и в котором учитывается вся доступная информация по объекту. Вес - это число в диапазоне от 0 до 100, показывающее является файл вредоносным или чистым.

Когда файл признается чистым, исправляются антивирусные базы, иначе - списки чистых объектов. В пограничных случаях (если вес равен 50), когда система не может принять однозначное решение, в работу включаются аналитики.

На фиг.9 изображено дерево решений, сгенерированное системой. В представленном дереве вес 3 относится к анализу URL-адреса, вычисляемый как сумма весов имени хоста (3.1), имени файла (3.2) и порта (3.3). Вес 3.1 основан на вычислении веса имени маски (3.1.1) и информации Whois (3.1.2). В свою очередь имя маски (3.1.1) зависит от веса доменного имени (3.1.1.1) и похожести soundEX алгоритмов (3.1.1.2).

Информация Whois (3.1.2) вычисляется на основе информации о стабильности сервера (3.1.2.2) и информации о стабильности IP (3.1.2.3). Имя файла (3.2) зависит от популярности имени файла (3.2.1), синтаксического анализа имени файла (3.2.2), а также расширения файла (3.2.3). Расширение файла (3.2.3) вычисляется как сумма веса маскируемых расширений (3.2.3.1) и веса пропущенных расширений (3.2.3.2). В свою очередь вес маскируемых расширений (3.2.3.1) вычисляется как сумма веса двойного (тройного и т.д.) расширения (3.2.3.1.1) и веса расширения неисполняемого файла для исполняемого (3.2.3.1.2).

Вес порта (3.3) вычисляется на основе информации о нестандартном использовании порта для протокола (3.3.1). Таким образом, суммарный вес вычисляется как сумма всех возможных критериев. Фиг.9 является примером для фиг.8.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

1. Система уменьшения количества ложных срабатываний в ходе дальнейшего поиска вредоносных программ, которая включает в себя: средство сбора и хранения информации, предназначенное для сбора и хранения статистических данных об обнаруженных вредоносных и чистых объектах, связанное со средством обнаружения; упомянутое средство обнаружения предназначено для получения данных об исследуемых объектах от средства сбора и хранения информации и ее сравнения с имеющимися данными в средстве хранения известных чистых объектов для обнаружения коллизий, при этом средство обнаружения связано со средством исправления; упомянутое средство хранения известных чистых объектов предназначено для хранения и выдачи данных о чистых объектах средству обнаружения; упомянутое средство исправления предназначено для уменьшения количества ложных срабатываний в ходе дальнейшего поиска вредоносных программ путем получения данных о коллизиях от средства обнаружения и присвоения полученным данным по каждому из критериев соответствующего весового коэффициента, а затем вынесения решения о том, является ли исследуемый объект чистым или вредоносным, на основе суммарного весового коэффициента по всем критериям, и корректировки данных в средстве хранения известных чистых объектов или в средстве хранения известных вредоносных объектов, а также для корректировки весовых коэффициентов критериев, связанных с ложным срабатыванием в средстве хранения критериев, при этом средство исправления связано со средством хранения критериев и средством хранения известных вредоносных объектов; упомянутое средство хранения критериев предназначено для хранения критериев, которые определяют степень вредоносности объектов и сопоставленных этим критериям весовых коэффициентов и предоставления данных о критериях и соответствующих им весовых коэффициентах средству исправления; при этом упомянутое средство хранения известных вредоносных объектов предназначено также для получения исправленных данных от средства исправления в случае нахождения ошибок средством обнаружения и для передачи обновленных данных средству сбора и хранения информации.

2. Система по п.1, в которой средство сбора и хранения информации, предназначено для хранения данных обо всех подозрительных объектах и обо всех чистых объектах, которые следует добавить соответственно в средство хранения известных вредоносных объектов и средство хранения известных чистых объектов.

3. Система по п.1, в которой средство хранения критериев предназначено для хранения критериев весовых коэффициентов, которые могут быть числом в диапазоне от 0 до 100, показывающим является объект чистым или вредоносным.

4. Система по п.1, в которой средство обнаружения предназначено для сравнения объекта от средства сбора и хранения информации, который нужно добавить в средство хранения известных чистых объектов, с данными от средства хранения известных вредоносных объектов, с целью обнаружения коллизии.

5. Система по п.1, в которой средство обнаружения предназначено для сравнения объекта от средства сбора и хранения информации, который нужно добавить в средство хранения известных вредоносных объектов, с данными от средства хранения известных чистых объектов, с целью обнаружения коллизии.

6. Система по п.1, в которой средство исправления предназначено для исправления данных в средстве хранения известных вредоносных объектов, если суммарный весовой коэффициент меньше заранее определенного значения.

7. Система по п.1, в которой средство исправления предназначено для исправления данных в средстве хранения известных чистых объектов, если суммарный весовой коэффициент больше или равен заранее определенному значению.

8. Система по п.1, в которой средство сбора и хранения информации предназначено для сбора данных следующего типа: файл; URL; учетная запись систем мгновенного обмена сообщениями; имя хоста; IP адрес; доменное имя; электронное сообщение.