Система уменьшения количества ложных срабатываний антивирусной системы

Авторы патента:

G06F21 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Настоящая полезная модель относится к системам уменьшения количества ложных срабатываний антивирусной системы, использующих рейтинг процессов для определения потенциально вредоносных объектов. Техническим результатом данной полезной модели является уменьшение количества ложных срабатываний антивирусной системы, что достигается за счет корректировки правил обнаружения вредоносных объектов с помощью корректирующих коэффициентов.

Область техники

Полезная модель относится к системам уменьшения количества ложных срабатываний антивирусных систем, использующих рейтинги процессов для определения вредоносных объектов.

Уровень техники

В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.

В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.

Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект, содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.

Эвристический анализ позволяет определить присутствие данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.

Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, пользуясь преимуществами каждого способа и компенсируя их недостатки.

Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US 7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемую API-функцию (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценку опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.

Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.

В любой антивирусной системе есть вероятность возникновения ошибок при работе. Ошибки делятся на так называемые ошибки первого рода и ошибки второго рода. Ошибки первого рода появляются в том случае, когда антивирусная система обнаруживает вредоносный объект, хотя на самом деле объект не представляет никакой угрозы. Другими словами возникает ложное срабатывание системы. Ошибки второго рода в отношении антивирусных систем связаны с той ситуацией, когда при наличии вируса или другого вредоносного объекта система его не обнаруживает.

Прежние системы могли допускать как ошибки первого рода, то есть вызывать ложные срабатывания, так и ошибки второго рода, то есть пропускать и не обнаруживать объекты, представляющие опасность для персонального компьютера. Для повышения качества работы антивирусной системы возникает необходимость снижать вероятность появления ошибок первого и второго рода.

Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет уменьшить количество ложных срабатываний антивирусной системы при обнаружении вредоносных объектов.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяет получить новый результат, а именно систему уменьшения количества ложных срабатываний антивирусных систем, использующих рейтинги процессов для определения вредоносных объектов.

Сущность полезной модели

Техническим результатом полезной модели является уменьшение количества ложных срабатываний антивирусной системы, что достигается за счет корректировки правил обнаружения вредоносных объектов с помощью корректирующих коэффициентов.

Настоящая полезная модель представляет собой систему анализа ложных срабатываний антивирусной системы, включающую антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:

а) антивирусное средство, связанное со следующими средствами:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне персонального компьютера пользователя;

- средством формирования отчетов на антивирусном сервере;

при этом упомянутое антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;

б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне антивирусного сервера; при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством и предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;

в) базу правил на стороне персонального компьютера пользователя, которая содержит набор правил для обнаружения вредоносных объектов;

г) базу корректирующих коэффициентов на стороне персонального компьютера пользователя, которая содержит набор корректирующих коэффициентов для правил из базы правил;

при этом антивирусный сервер включает:

I) средство формирования отчетов, связанное со средством хранения данных, при этом упомянутое средство формирования отчетов выполнено с возможностью получения данных от антивирусного средства на компьютере пользователя и на основании полученных данных формирования отчетов;

II) средство хранения данных, связанное со средством анализа ложных срабатываний, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;

III) средство анализа ложных срабатываний, связанное со следующими средствами:

- средством хранения черного списка;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

- базой правил на стороне антивирусного сервера;

при этом упомянутое средство анализа ложных срабатываний предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов и базы правил на основе проведенного анализа, что позволяет уменьшить количество ложных срабатываний антивирусной системы;

IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;

V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:

- базой правил на стороне антивирусного сервера;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

при этом упомянутое средство обновления на стороне антивирусного сервера выполнено с возможностью отправки новой версии базы правил на стороне антивирусного сервера и базы корректирующих коэффициентов на стороне антивирусного сервера при запросе средства обновления на стороне персонального компьютера пользователя.

VI) упомянутую базу правил на стороне антивирусного сервера, содержащую набор правил, обновленных в результате работы средства анализа ложных срабатываний;

VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, содержащую набор корректирующих коэффициентов для правил из упомянутой базы правил, обновленных в результате работы средства анализа ложных срабатываний;

В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму найденного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.

В частном варианте исполнения проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.

В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.

В частном варианте исполнения база корректирующих коэффициентов и база правил упомянутой системы выполнены с возможностью независимого обновления.

В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении данного вредоносного объекта.

В частном варианте исполнения упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения оперативного анализа для формирования базы корректирующих коэффициентов на стороне антивирусного сервера.

В частном варианте исполнения упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения общего анализа для формирования базы правил на стороне антивирусного сервера.

Краткое описание чертежей

Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.

Фиг.1 отображает структуру компьютера пользователя, входящего в систему уменьшения количества ложных срабатываний.

Фиг.2 иллюстрирует структуру антивирусного сервера, входящего в систему уменьшения количества ложных срабатываний.

Фиг.3 показывает структуру средства хранения данных.

Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.

Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.

Фиг.6 отображает алгоритм работы антивирусного сервера.

Фиг.7 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.

Описание вариантов осуществления

На Фиг.1 показана структура компьютера пользователя, входящего в систему уменьшения количества ложных срабатываний. В одном из вариантов система уменьшения количества ложных срабатываний антивирусной системы состоит, по крайней мере, из персонального компьютера пользователя и антивирусного сервера.

На персональном компьютере пользователя 100 установлено антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. При проверке процессов используется набор правил 132 из базы правил 130 на стороне персонального компьютера пользователя. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил на стороне персонального компьютера пользователя 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила.

Кроме базы правил на персональном компьютере пользователя хранится база корректирующих коэффициентов 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Более подробно процесс определения вредоносных объектов будет рассмотрен при описании Фиг.4. Каждому правилу 132 из базы правил на стороне персонального компьютера пользователя 130 соответствует один коэффициент 122 из базы коэффициентов на стороне персонального компьютера пользователя 120, который имеет номер 121, соответствующий номеру правила 131.

База правил и база коэффициентов на стороне компьютера пользователя могут обновляться. Обновление осуществляется за счет средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 270, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 270 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 270 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне персонального компьютера 120 и база правил на стороне персонального компьютера 130 обновляются независимо друг от друга.

База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как в случае частого обновления базы правил. Следовательно, использование механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.

Антивирусное средство 110 связывается с антивирусным сервером 160, если им был обнаружен опасный процесс и соответствующий объект, вызвавший данный процесс. При обнаружении вредоносного объекта антивирусное средство 110 прекращает опасный процесс.

Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму вредоносного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно определить вредоносный объект. Далее антивирусное средство 110 передает контрольную сумму вместе с информацией о сработавшем правиле и выставленном рейтинге антивирусному серверу 160.

Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация обо всех обнаруженных вредоносных объектах с персонального компьютера пользователя 100. Вся информация поступает на средство формирования отчетов 210, которое обрабатывает, поступающую информацию и помещает ее в средство хранения данных 220. Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из контрольной суммы вредоносного объекта 221, рейтинга процесса 222, номеров сработавших правил 223 и выставленных каждым правилом рейтингов 224.

Средство анализа ложных срабатываний 230 обрабатывает накопленные данные, полученные от антивирусного средства и находящиеся в средстве хранения данных. При обработке проводится поиск безопасных объектов по контрольным суммам 221. При этом используется средство хранения черного списка 240, в котором хранятся контрольные суммы вредоносных объектов. Средство анализа ложных срабатываний 230 ищет те контрольные суммы, которые находятся в средстве хранения данных 220, но отсутствуют в средстве хранения черного списка. Объект, контрольная сумма которого отсутствует в средстве хранения черного списка, является безопасным, поэтому если его контрольная сумма найдена среди контрольных сумм обнаруженных вредоносных объектов в средстве хранения данных, это будет свидетельствовать о ложном срабатывании антивирусной системы.

После того, как все безопасные объекты найдены, средство анализа ложных срабатываний 230 проводит анализ правил, которые повлияли на появление ложных срабатываний при антивирусной проверке. В ходе анализа устанавливаются номера правил 223, которые сработали на безопасном объекте, учитывается общий рейтинг процесса 222, связанного с объектом, который показывает, насколько превышено пороговое значение, также учитывается рейтинг 224, выставленный каждым правилом при формировании общего рейтинга.

Работу средства анализа ложных срабатываний 230 можно разделить на две стадии: проведение оперативного анализа ложных срабатываний и проведение общего анализа ложных срабатываний. Оперативный анализ производится с небольшой периодичностью, и исследуются данные, накопленные за небольшой временной интервал, например, несколько часов.

В результате оперативного анализа формируется база корректирующих коэффициентов на стороне антивирусного сервера 250 для правил, которые вложили вклад в появление ложных срабатываний. В базу входят только коэффициенты, отличные от единицы, что позволяет уменьшить размер базы. Таким образом, базу можно представить в виде номеров правил 251 и корректирующих коэффициентов для них 252. После формирования базы корректирующих коэффициентов на стороне антивирусного сервера 250, база доступна персональным компьютерам пользователей для обновления. В окончательном виде база имеет небольшой размер порядка 500 байт что облегчает процесс частого обновления базы. С помощью корректирующих коэффициентов вклад в формирование рейтинга процесса изменяется, что в будущем не приведет к появлению ложного срабатывания на безопасных объектах.

Общий анализ ложных срабатываний производится реже, чем оперативный анализ. При проведении общего анализа средство анализа ложных срабатываний 230 производит обработку данных, собранных за большой период времени, например, за неделю. В результате общего анализа средство анализа ложных срабатываний формирует базу правил на стороне антивирусного сервера 260. База правил содержит в себе номера правил 261 и измененные правила 262, которые ранее вносили вклад в появление ложных срабатываний. Изменению подвергается базовый коэффициент, который непосредственно влияет на выставленный правилом рейтинг при обнаружении вредоносных объектов. Изменения могут коснуться также самой структуры правила, в этом случае необходимо привлечение эксперта, данная процедура проводится в полуавтоматическом режиме.

После того как база правил на стороне антивирусного сервера 260 сформирована, средство анализа 230 производит сброс корректирующих коэффициентов, присваивая измененным правилам единичный коэффициент. Таким образом, корректирующий коэффициент для измененных правил равен единице, он может быть скорректирован по результатам работы измененных правил с помощью базы корректирующих коэффициентов. После формирования базы правил на стороне антивирусного сервера, она доступна персональным компьютерам пользователей для обновления.

Обновление баз производится с участием средства обновления на стороне антивирусного сервера 270, которое получает запрос от персонального компьютера пользователя и в том случае, если базы на персональном компьютере пользователя устарели, отправляет новую версию баз на персональный компьютер.

В частном варианте реализации сброс корректирующих коэффициентов может не производиться средством анализа 230. Обновление базы корректирующих коэффициентов проводится часто, что позволит автоматически в кратчайшие сроки скорректировать коэффициенты по результатам работы измененных правил.

Если по каким - либо причинам база корректирующих коэффициентов и база правил не может быть обновлена компьютером пользователя, то антивирусное средство использует последнюю загруженную версию баз.

На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120. При анализе процесса могут сработать несколько правил 401-403. Каждое правило имеет базовый коэффициент p_i (i=1n, где n - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже, чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты 404-406, которые помогают оперативно изменить рейтинг конкретного правила.

Для одного процесса может сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента р и корректирующего коэффициента k. Вклады от каждого правила суммируются и образуют общий рейтинг процесса 407. Если общий рейтинг превышает пороговый рейтинг опасности, то процесс признается опасным, а соответствующий объект - вредоносным. Если пороговый рейтинг не достигается, то объект признается безопасным.

С помощью корректирующих коэффициентов 404-406 меняется рейтинг, выставляемый правилом, поэтому, если правило часто определяет безопасные объекты в качестве вредоносных, то его коэффициент можно понизить, и, следовательно, вклад от такого правила уменьшится. Такое правило будет давать меньший вклад в конечный рейтинг процесса 407 и количество ложных срабатываний с участием данного правило будет снижено. При использовании корректирующих коэффициентов для всего набора правил снизится общее количество ложных срабатываний антивирусной системы.

Количество ложных срабатываний уменьшается также при обновлении базы правил, когда изменяется базовый коэффициент или структура правила. В этом случае выставляемый правилом рейтинг р будет скорректирован так, чтобы правило не вызывало ложных срабатываний на безвредных объектах.

На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.

На этапе 501 происходит обновление базы коэффициентов на стороне персонального компьютера пользователя 120 и базы правил на стороне персонального компьютера пользователя 130. Обновление производится с помощью средства обновления на стороне персонального компьютера пользователя 150 и средства обновления на стороне антивирусного сервера 270. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 формирует общий рейтинг безопасности на основе базы правил и базы коэффициентов на этапе 503. Рейтинг безопасности необходим для получения вывода о том, является ли объект, вызвавший исследуемый процесс, вредоносным. После того, как рейтинг сформирован, на этапе 504 проводится проверка превышения порога безопасности имеющимся рейтингом. Если порог превышен, то антивирусное средство прекращает опасный процесс на этапе 505. Далее на шаге 506 антивирусное средство отправляет данные об объекте, вызвавшем опасный процесс, о сработавших правилах и выставленных ими рейтингах, а также общий рейтинг для данного процесса на антивирусный сервер 160.

Если полученный общий рейтинг процесса не превысил порогового значения, то антивирусное средство позволяет продолжить выполнение данного процесса 507, при этом производится обновление общего рейтинга и сравнение его с пороговым значением.

На Фиг.6 показан алгоритм работы антивирусного сервера.

На этапе 601 антивирусный сервер получает данные об обнаруженных объектах от антивирусного средства 110. На шаге 602 Полученные данные обрабатываются и структурируются в виде, удобном для хранения и дальнейшего анализа в средстве хранения данных 220. 0бработанные данные накапливаются в средстве хранения данных на шаге 603. С небольшой периодичностью, например, один раз в несколько часов, средство анализа ложных срабатываний проводит оперативный анализ накопленных данных на шаге 604, после этого формируется база корректирующих коэффициентов на стороне антивирусного сервера на шаге 605.

Средство анализа ложных срабатываний 230 на этапе 606 проводит общий анализ данных о срабатываниях, накопленных за большой промежуток времени, например, за неделю. В результате общего анализа ложных срабатываний формируется база правил на стороне антивирусного сервера на шаге 607. После этого база корректирующих коэффициентов и база правил доступны для загрузки и обновления.

В результате работы системы проводится сбор данных об обнаруженных вредоносных объектах, сработавших правилах и выставленных рейтингах, поступающих от компьютера пользователя. Проводится подготовка баз корректирующих коэффициентов и правил на основе этих данных для тех правил, которые повлекли ложные срабатывания на безвредных объектах. За счет применения базы корректирующих коэффициентов, а также за счет изменения правил, достигается снижение количества ложных срабатываний системы на безвредных объектах при антивирусной проверке.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.

1. Система для анализа ложных срабатываний антивирусной системы, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:

а) антивирусное средство, связанное со следующими средствами:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне персонального компьютера пользователя;

- средством формирования отчетов на антивирусном сервере;

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне антивирусного сервера;

при этом упомянутое средство обновления на стороне персонального компьютера пользователя выполнено с возможностью запуска антивирусным средством и предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;

при этом антивирусный сервер включает:

III) средство анализа ложных срабатываний, связанное со следующими средствами:

- средством хранения черного списка;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

- базой правил на стороне антивирусного сервера;

V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:

- базой правил на стороне антивирусного сервера;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

2. Система по п.1, в которой антивирусное средство выполнено с возможностью передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму найденного объекта, на котором сработало правило, номер сработавшего правила, рейтинг процесса, выставленный правилом, и общий рейтинг процесса.

3. Система по п.1, в которой проверяемые процессы являются процессами, вызываемыми при запуске объектов в операционной системе персонального компьютера пользователя.

4. Система по п.1, в которой вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.

5. Система по п.1, в которой база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.

6. Система по п.1, в которой антивирусное средство выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении данного вредоносного объекта.

7. Система по п.1, в которой упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения оперативного анализа для формирования базы корректирующих коэффициентов на стороне антивирусного сервера.

8. Система по п.1, в которой упомянутое средство анализа ложных срабатываний выполнено с возможностью проведения общего анализа для формирования базы правил на стороне антивирусного сервера.