Система автоматического тестирования правил определения вредоносных объектов

 

Настоящая полезная модель относится к системам автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов. Техническим результатом данной полезной модели является автоматизация тестирования новых правил, использующихся при проверке антивирусной системой, что достигается за счет добавления новых правил с нулевыми корректирующими коэффициентами в базу правил, которая содержит проверенные правила, и последующего анализа результатов работы новых правил.

Полезная модель относится к системам автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов.

Уровень техники

В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с защитой от вредоносных объектов, которые поступают на компьютеры пользователей.

В настоящее время применяется множество систем для решения данной проблемы. Антивирусные системы используют разные подходы при выполнении своей работы: сигнатурная проверка, эвристический анализ, поведенческий анализ.

Сигнатурный анализ является классическим методом для поиска вирусов и других вредоносных объектов. Суть данного подхода заключается в применении образцов программного кода, полученных при анализе известного вредоносного кода. Образцы носят название сигнатуры. Поиск вирусов происходит в процессе сканирования потенциально опасного программного кода. Если в процессе сканирования встречается код, который совпадает с шаблоном кода сигнатуры, то объект (например, исполняемый файл), содержащий такой код, классифицируется как вредоносный. Сигнатурный анализ гарантирует обнаружение вредоносных объектов, которые описаны сигнатурами, но не способен обнаружить неизвестные вирусы.

Эвристический анализ позволяет определить присутствие данных, способных принести вред, до запуска самого объекта. Поведенческий анализ заключается в слежении за всеми процессами, запущенными различными объектами. При подозрительном поведении процесса, которое определяется в рамках правил, антивирусная система принимает меры защиты. Данный способ обладает недостатком: при поведенческом анализе антивирусная система может пропустить некоторые известные вирусы.

Современные антивирусные системы успешно используют сразу несколько подходов для повышения эффективности борьбы с вредоносными объектами, сочетая преимущества каждого способа и взаимно компенсируя их недостатки.

Система, которая использует технологию, базирующуюся на изучении запускаемых исполняемых файлов и оценке поведения на основании системы правил, описана в патенте US7530106 и предназначена для обнаружения вирусов и других типов вредоносных объектов, используя рейтинги безопасности компьютерных процессов, рассчитанных по системе правил. Сами правила формируются на основании анализа изученных вредоносных объектов и поведения процессов, связанных с вредоносными объектами. Каждое правило имеет определенную структуру: идентификатор правила, вызываемая API-функция (Application Programming Interface, API - набор готовых классов, функций, структур и констант, предоставляемых операционной системой для использования во внешних программных приложениях), условия для аргументов, оценка опасности. То есть правило сработает в том случае, если процесс вызовет API-функцию с соответствующими параметрами, и в таком случае рейтинг процесса будет увеличен в соответствии с оценкой правила.

Правила хранятся в обновляемых базах. Поскольку непрерывно появляются новые компьютерные вирусы, система правил должна периодически уточняться, пересматриваться, дополняться.

Процесс создания новых правил является трудоемким, поэтому для исключения ошибок в правилах на этапе формирования новых правил немаловажная роль отводится проверке корректности работы новых правил. Новое правило может содержать как технические ошибки, связанные например, с неверным программным кодом, так и ошибки, возникающие при непосредственной работе антивирусной системы с правилом при проведении антивирусной проверки, в этом случае возможна неправильная работа системы или появление правил с нулевой эффективностью. Правила с нулевой эффективностью - это правила, которые существуют в базе правил, но по тем или иным причинам никогда не срабатывают и не участвуют в процессе обнаружения вредоносных объектов.

Правила с нулевой эффективностью не срабатывают на вредоносных объектах при проведении проверки на вирусы, что может быть связано с рядом факторов, к примеру, с чересчур жесткими заданными параметрами правила, с ошибками или тем, что подпадающие под действие правила процессы не встречаются в современных вредоносных объектах. Антивирусная система проводит проверку объектов, используя полный набор правил из антивирусной базы, поэтому если среди работоспособных правил оказываются правила с нулевой эффективностью, не влияющие на общий рейтинг, а проверка по ним все же проводится, то снижается эффективность работы системы. Кроме того, правила с нулевой эффективностью занимают место в антивирусной базе данных, что приводит к увеличению ее размера и делает более неудобной для частого обновления.

Таким образом, чем более качественно будет произведена проверка новых правил, тем меньше будет возникать ошибок при его работе и, следовательно, при работе системы в целом.

У прежней системы, использующей правила для проведения антивирусной проверки, отсутствует возможность проводить автоматическое тестирование новых правил, что усложняло ввод новых правил.

Предлагаемая система имеет преимущество по сравнению с запатентованной системой. Она позволяет проводить тестирование новых правил в автоматическом режиме, получать результаты тестирования и по полученным результатам принимать решение о целесообразности включения правила в базы, а также изменять и уточнять новые правила перед началом их использования.

Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных программных объектов.

Сущность полезной модели

Техническим результатом данной полезной модели является автоматизация тестирования правил, используемых при проверке антивирусной системой, что достигается за счет добавления правил, требующих тестирования, с нулевыми корректирующими коэффициентами в базу правил, которая содержит проверенные правила, применяющиеся для антивирусной проверки, и последующего анализа результатов работы тестируемых правил.

Настоящая полезная модель представляет собой систему автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:

а) антивирусное средство, связанное со следующими модулями:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством формирования отчетов на антивирусном сервере;

при этом антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;

б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне антивирусного сервера;

при этом упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;

в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов, состоящий из проверенных правил и тестируемых правил;

г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам;

при этом упомянутый антивирусный сервер включает:

I) средство формирования отчетов, которое связано со средством хранения данных, при этом упомянутое средство формирования отчетов получает данные от антивирусного средства на компьютере пользователя и на основании полученных данных формирует отчеты;

II) средство хранения данных, связанное со средством анализа, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;

III) средство анализа, связанное со следующими средствами:

- средством хранения черного списка;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

- базой правил на стороне антивирусного сервера;

- базой некорректных правил;

- средством обновления на стороне антивирусного сервера;

при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов, базы правил и базы некорректных правил на основе проведенного анализа, что позволяет осуществить автоматическое тестирование новых правил;

IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;

V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:

- базой правил на стороне антивирусного сервера;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

при этом упомянутое средство обновления на стороне антивирусного сервера запускается средством анализа и предназначено для отправки новой версии базы правил и базы корректирующих коэффициентов средству обновления на стороне персонального компьютера пользователя;

VI) упомянутую базу правил на стороне антивирусного сервера, которая содержит набор правил, состоящий из проверенных правил и тестируемых правил;

VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, которая содержит коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам.

VIII) упомянутую базу некорректных правил, которая содержит правила, не прошедшие проверку.

В частном варианте исполнения средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, на соответствие условиям достоверного определения правилом вредоносных процессов и объектов, их вызвавших, и отсутствия срабатываний правила на безопасных объектах.

В частном варианте исполнения антивирусное средство упомянутой системы предназначено для передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму объекта, на котором сработало правило, и номер сработавшего правила.

В частном варианте исполнения проверяемыми процессами являются процессы, которые вызываются при запуске объектов в операционной системе персонального компьютера пользователя.

В частном варианте исполнения средство анализа упомянутой системы предназначено для удаления правил, не прошедших проверку, из базы правил и размещения их в базе некорректных правил.

В частном варианте исполнения средство анализа упомянутой системы предназначено для удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам, не прошедшим проверку.

В частном варианте исполнения средство анализа упомянутой системы предназначено для установки ненулевого корректирующего коэффициента в базе корректирующих коэффициентов для тех правил, которые прошли проверку.

В частном варианте исполнения средство анализа упомянутой системы выполнено с возможностью удаления правил с нулевой эффективностью из базы правил и размещения их в базе некорректных правил.

В частном варианте исполнения правилами с нулевой эффективностью являются те правила, которые не срабатывают при проверке вредоносных объектов.

В частном варианте исполнения средство анализа упомянутой системы выполнено с возможностью удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам с нулевой эффективностью.

В частном варианте исполнения база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.

В частном варианте исполнения антивирусное средство упомянутой системы выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.

В частном варианте исполнения вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.

Краткое описание чертежей

Сопровождающие чертежи предназначены для лучшего понимания заявленной полезной модели, составляют часть данного описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.

Фиг.1 отображает структуру компьютера пользователя, входящего в систему автоматического тестирования правил.

Фиг.2 иллюстрирует структуру антивирусного сервера в системе автоматического тестирования правил.

Фиг.3 показывает структуру средства хранения данных.

Фиг.4 показывает процесс формирования рейтингов при антивирусной проверке.

Фиг.5 иллюстрирует алгоритм проведения антивирусной проверки на персональном компьютере пользователя.

Фиг.6 отображает алгоритм работы антивирусного сервера.

Фиг.7 показывает пример компьютерной системы общего назначения, на которой может быть реализована данная полезная модель.

Описание вариантов осуществления

В качестве одного из вариантов осуществления полезной модели рассматривается система, состоящая, по крайней мере, из персонального компьютера пользователя 100 и антивирусного сервера 160.

На Фиг.1 показана структура компьютера пользователя, входящего в систему автоматического тестирования правил. Персональный компьютер пользователя 100 содержит антивирусное средство 110, которое производит поиск вредоносных объектов. В качестве объекта может быть рассмотрен, например, исполняемый файл, при запуске которого происходит запуск процесса в операционной системе. Для обнаружения вредоносных объектов антивирусное средство проводит проверку процессов 140, вызванных объектами. При проведении проверки процессов используется набор правил 132 из базы правил на стороне персонального компьютера пользователя 130. Правила представляют собой набор описаний процессов, которые могут представлять угрозу для компьютера. Все правила хранятся на компьютере пользователя в виде базы правил 130. У каждого правила есть свой номер 131, который присваивается ему на все время использования правила. Номер правила уникален и служит для однозначной идентификации определенного правила. База правил условно разделена на две части: проверенные правила 133, которые не нуждаются в тестировании, и тестируемые правила 134.

Кроме базы правил, на персональном компьютере пользователя хранится база корректирующих коэффициентов на стороне персонального компьютера пользователя 120. Корректирующие коэффициенты также используются антивирусным средством в процессе определения вредоносных объектов. Каждому правилу 132 из базы правил на стороне персонального компьютера пользователя 130 соответствует один коэффициент 122 из базы коэффициентов на стороне персонального компьютера пользователя 120, который имеет номер 121, совпадающий с номером правила 131. Соответственно, по аналогии с базой правил базу коэффициентов можно условно разделить на две части: первую часть 123, содержащую коэффициенты, которые соответствуют проверенным правилам, и вторую часть 124, содержащую коэффициенты, которые относятся к тестируемым правилам. При этом коэффициенты 124 равны нулю по причине того, что тестируемые правила не должны оказывать влияния на работу антивирусной системы.

База правил и база коэффициентов на стороне компьютера пользователя могут обновляться с использованием средства обновления на стороне персонального компьютера 150. Антивирусное средство 110 перед началом процесса поиска вредоносных объектов запускает средство обновления, которое связывается со средством обновления на стороне антивирусного сервера 280, передает информацию о версии баз. Средство обновления на стороне антивирусного сервера 280 получает информацию о версии баз и сравнивает с версией доступных баз на антивирусном сервере. Если средство обновления на стороне антивирусного сервера 280 устанавливает, что доступна более новая версия баз, чем та, которая находится на персональном компьютере пользователя, то средство обновления на стороне антивирусного сервера передает новую версию баз средству обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера 150 пользователя получает обновленную версию баз и заменяет старые базы. При этом база коэффициентов на стороне компьютера пользователя 120 и база правил на стороне компьютера пользователя 130 обновляются независимо друг от друга.

База коэффициентов 120 имеет размер, много меньший по сравнению с базой правил 130, что позволяет производить частые обновления базы коэффициентов, и использование сетевых ресурсов увеличится не так значительно, как если бы была необходимость частого обновления базы правил. Следовательно, применение механизма раздельного обновления базы коэффициентов и базы правил позволяет сократить использование сетевых ресурсов при частом обновлении базы коэффициентов 120.

Антивирусное средство 110 связывается с антивирусным сервером 160, если при анализе процесса вызванного объектом проверки сработало, по крайней мере, одно тестируемое правило.

Используя один из известных криптографических алгоритмов, таких как MD5, MD4, SHA1, SHA256 или CRC32, антивирусное средство 110 создает контрольную сумму вредоносного объекта, вызвавшего обнаруженный процесс, которая позволяет однозначно определить вредоносный объект. Далее антивирусное средство 110 передает контрольную сумму вместе с номером сработавшего тестируемого правила антивирусному серверу 160.

Антивирусный сервер изображен на Фиг.2. На антивирусный сервер 160 поступает информация о сработавших тестируемых правилах и обнаруженных вредоносных объектах с персонального компьютера пользователя 100.

Изначально правила, которые используются при проведении антивирусной проверки, создаются при участии эксперта. Новые правила, требующие тестирования, помещаются в базу правил на стороне антивирусного сервера 260. База правил содержит в себе кроме новых правил 264, которые подлежат тестированию, те правила 263, которые уже прошли этап тестирования и используются антивирусным средством при проведении антивирусной проверки. У каждого правила есть свой номер 261, по которому производится идентификация правила. База правил на стороне антивирусного сервера 260, дополненная новыми правилами, требующими тестирования, загружается на персональный компьютер 100, где используется антивирусным средством 110 в процессе антивирусной проверки.

На антивирусном сервере 160 также хранится база коэффициентов 250, которая состоит из набора коэффициентов 252, каждый из коэффициентов имеет номер 251, совпадающий с номером правила из базы правил на стороне антивирусного сервера 260, которому данный коэффициент соответствует. Корректирующие коэффициенты позволяют оперативно менять рейтинг, выставляемый правилом для процесса, при проведении антивирусной проверки.

База коэффициентов также разделяется на две части: коэффициенты 253, соответствующие правилам, прошедшим тестирование, и коэффициенты 254, относящиеся к новым правилам, требующим тестирования. Новые правила не должны влиять на процесс проведения антивирусной проверки, поэтому они не должны давать вклад в формирование рейтинга процесса, что достигается при помощи корректирующих коэффициентов. Достаточно сделать коэффициенты, соответствующие тестируемым правилам, равными нулю, и правило не будет давать вклад в формирование общего рейтинга. Поэтому все коэффициенты 254 базы коэффициентов 250 равны нулю, они соответствуют тестируемым правилам 264 из базы правил 260.

После того, как сформирована база правил и база коэффициентов, они становятся доступными для обновления. Средство анализа запускает средство обновления на стороне антивирусного сервера 280, которое передает сформированные базы на средство обновления на стороне персонального компьютера пользователя 150.

Далее базы используются антивирусным средством 110 для проведения антивирусной проверки, результаты которой передаются на антивирусный сервер и используются для анализа работы тестируемых правил. При проведении антивирусной проверки антивирусное средство 110 использует все правила, содержащиеся в базе правил 130, но тестируемые правила не влияют на результаты работы антивирусного средства, поскольку имеют нулевые корректирующие коэффициенты. Однако данные о факте срабатывания тестируемых правил (номер правил и контрольная сумма объекта, на котором сработали правила) передается на антивирусный сервер для дальнейшего анализа.

Все данные от персонального компьютера 100 о сработавших тестируемых правилах поступают на средство формирования отчетов 210, которое обрабатывает поступающую информацию и помещает ее в средство хранения данных 220. Средство хранения данных 220 представляет собой базу данных. Более детально средство хранения данных показано на Фиг.3. Данные в средстве хранения данных структурированы в виде таблицы. Каждая строка содержит информацию об обнаруженном объекте. Средство хранения данных содержит информацию, полученную от антивирусного средства, которая состоит, по крайней мере, из номера сработавшего тестируемого правила 221 и контрольной суммы обнаруженного объекта 222.

Средство анализа 230 обрабатывает накопленную информацию, полученную от антивирусного средства и находящуюся в средстве хранения данных. При обработке проводится поиск контрольных сумм 222 обнаруженных объектов, на которых сработало тестируемое правило. После того, как контрольные суммы найдены, проводится их сравнение с черным списком контрольных сумм, находящемся в средстве хранения черного списка 240. В черном списке хранятся контрольные суммы известных вредоносных объектов. Средство анализа 230 ищет те контрольные суммы, которые находятся как в средстве хранения данных 220, так и в средстве хранения черного списка контрольных сумм. Если контрольная сумма находится в средстве хранения данных и в средстве хранения черного списка контрольных сумм, то тестируемое правило обнаружило вредоносный объект, то есть сработало безошибочно. В противном случае, если контрольная сумма из средства хранения данных отсутствует в средстве хранения черного списка контрольных сумм 240, то тестируемое правило сработало на безопасном объекте, что означает некорректную работу данного правила.

Новые правила тестируются на соответствие условиям корректной работы, под этими условиями понимается правильное определение правилом вредоносных процессов и объектов, их вызвавших, и отсутствие срабатываний правила на безопасных объектах.

Средство анализа 230, помимо обработки контрольных сумм объектов, обнаруженных тестируемыми правилами, проводит поиск правил с нулевой эффективностью, которые не сработали в результате антивирусной проверки. Для поиска таких правил применяется база правил 260, которая хранится на антивирусном сервере. Средство анализа при этом производит сравнение номеров правил 221, находящихся в средстве хранения данных 220, с номерами правил 261, которые содержатся в базе правил 260. Интерес представляют те правила, номера которых отсутствуют в средстве хранения данных, это означает, что правило с таким номером ни разу не сработало, другими словами, правило является правилом с нулевой эффективностью. Таким образом, предлагаемая система позволяет проводить тестирование новых правил и выявлять те, которые работают некорректно или не срабатывают при проверке вредоносных объектов.

Если результат тестирования правила показал, что правило работает корректно, то есть безошибочно срабатывает на вредоносных объектах, то по результатам работы правила средство анализа 230 устанавливает ненулевой коэффициент в базе корректирующих коэффициентов на стороне антивирусного сервера 250 для данного правила. Таким образом, правило переходит из группы тестируемых правил 264, в группу правил 263, пошедших тестирование. Далее при последующем обновлении базы коэффициентов 250 данное правило будет использоваться антивирусным средством при проведении антивирусной проверки, и оно будет вносить свой вклад в общий рейтинг.

Правила, не прошедшие проверку по какой-либо причине, например, из-за того, что правило сработало на безопасных объектах, контрольные суммы которых отсутствуют в средстве хранения черного списка контрольных сумм 240, или правило не сработало вовсе, будут удалены средством анализа из базы правил 260 и помещены в отдельную базу некорректных правил 270. Пополнившие базу правила 272 могут быть пересмотрены экспертом и исправлены, после чего будут заново помещены в базу правил 260 для повторного тестирования.

На Фиг.4 показан процесс формирования рейтингов при антивирусной проверке. Антивирусная проверка производится антивирусным средством 110 на компьютере пользователя. Антивирусное средство проверяет запущенные процессы, чтобы установить уровень их опасности и сделать вывод о том, являются ли объекты, запустившие процессы, вредоносными. В процессе проверки используется база правил 130 и база коэффициентов 120. При анализе могут сработать несколько правил 401-406, в том числе и тестируемые правила 404-406. Каждое правило имеет базовый коэффициент pi(i=1m, где m - номер последнего правила), который может измениться только при изменении самого правила после обновления базы правил. Базовый коэффициент, заложенный в правило, влияет на выставляемый правилом рейтинг. Однако база правил 130 обновляется реже, чем база корректирующих коэффициентов 120. При формировании итогового рейтинга учитываются также корректирующие коэффициенты k i(i=1m) 407-412, которые помогают оперативно изменить рейтинг конкретного правила. Корректирующие коэффициенты для тестируемых правил равны нулю, в данном случае для тестируемых правил 404-406 равны нулю корректирующие коэффициенты 410-412.

Для одного процесса могут сработать сразу несколько правил. Каждое правило дает вклад в формирование конечного вывода о том, является ли данный процесс опасным. Вклад от каждого правила складывается из двух составляющих: базового коэффициента pi и корректирующего коэффициента ki. После вклады от каждого правила суммируются и образуют общий рейтинг процесса 413. Если общий рейтинг 413 превышает рейтинг опасности, то процесс признается опасным, а соответствующий объект - вредоносным.

Поскольку для тестируемых правил 404-406 корректирующие коэффициенты 410-412 равны нулю, то от них нет никакого вклада в образование общего рейтинга. Несмотря на то, что тестируемые правила не вносят вклад в образование общего рейтинга, они используются антивирусным средством наравне с другими правилами из базы правил, поэтому тестируемые правила также срабатывают при анализе объектов. Информация о сработавших тестируемых правилах и об объектах, на которых тестируемые правила сработали, передается на антивирусный сервер.

Далее будут подробно рассмотрен алгоритм проведения антивирусной проверки с участием тестируемых правил на компьютере пользователя и алгоритм работы антивирусного сервера.

На Фиг.5 изображен алгоритм проведения антивирусной проверки на персональном компьютере пользователя.

На этапе 501 происходит обновление базы коэффициентов 120 и базы правил 130. Обновление производится с помощью средства обновления на стороне персонального компьютера 150 и средства обновления со стороны антивирусного сервера 280. Средство обновления на стороне антивирусного сервера 280 отправляет базу правил и базу корректирующих коэффициентов, которые были подготовлены средством анализа 230, на средство обновления на стороне персонального компьютера пользователя 150. Средство обновления на стороне персонального компьютера пользователя обновляет базы, находящиеся на персональном компьютере. Так новые правила, требующие проведения процесса тестирования, попадают на персональный компьютер. При этом база корректирующих коэффициентов и база правил могут обновляться независимо друг от друга. После обновления баз запускается процесс на шаге 502, и антивирусное средство 110 начинает его проверку на шаге 503 с использованием всех правил из базы правил, в том числе с использованием тестируемых правил. Если срабатывает одно из тестируемых правил, антивирусное средство фиксирует данное событие на шаге 504 и на этапе 505 отправляет на антивирусный сервер данные, содержащие номер сработавшего правила и контрольную сумму объекта, на котором сработало правило.

Если ни одно тестируемое правило не сработало при антивирусной проверке, то антивирусное средство позволяет продолжить выполнение данного процесса 506, при этом антивирусное средство продолжает следить за появлением сработавших тестируемых правил.

На Фиг.6 показан алгоритм работы антивирусного сервера. На этапе 601 производится добавление новых правил, которые подлежат тестированию, в базу правил 260. Добавление новых правил происходит при участии эксперта. После, на этапе 602, средство анализа 230 пополняет базу корректирующих коэффициентов 250, добавляя нулевые коэффициенты, которые соответствуют новым правилам. Далее сформированные базы служат для обновления баз на компьютерах пользователя при участии средства обновления 150. На компьютере пользователя проводится антивирусная проверка с участием тестируемых правил, по результатам которой антивирусный сервер 160 получает данные, необходимые для формирования вывода о корректности работы новых правил на этапе 603. Чем больше поступит данных от разных компьютеров, тем более точно будет оценена работоспособность правила. Полученные данные обрабатываются средством формирования отчетов 210 на шаге 604 для дальнейшего помещения в средство хранения данных 220, где происходит накопление данных на этапе 605. Данные обо всех сработавших тестируемых правилах поступают и сохраняются в средстве хранения данных. По мере накопления данных на шаге 606 проводится анализ накопленных данных средством анализа 230. Средство анализа определяет корректность работы тестируемого правила на этапе 607. В том случае, если по результатам анализа тестируемое правило работает корректно, то средство анализа на стадии 608 устанавливает для этого правила ненулевой коэффициент в базе корректирующих коэффициентов.

Выявленные в результате анализа некорректно работающие правила удаляются средством анализа из базы правил на шаге 609, после чего они помещаются в отдельную базу некорректных правил 270 на этапе 611. Также удаляются корректирующие коэффициенты из базы корректирующих коэффициентов, соответствующие правилам, не прошедшим проверку, на шаге 610. Правила, помещенные в базу некорректных правил, будут пересмотрены и исправлены экспертом на шаге 612, после чего вновь добавлены в базу правил в качестве новых правил, нуждающихся в тестировании.

В результате работы системы проводится автоматическое тестирование правил с целью проверки корректности их работы. Для этого проводится сбор данных, поступающих от компьютера пользователя, о сработавших тестируемых правилах и объектах, на которых правила сработали. Проводится анализ работы правил по полученным данным. По результатам анализа принимается решение о возможности использования новых правил при антивирусной проверке.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS), содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).

Компьютер 20 имеет файловую систему 36, где хранится Записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонки, принтер и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

Следует отметить, что приведенные в описании примеры являются поясняющими и не предназначены для ограничения объема и сущности заявленной полезной модели, которые установлены в прилагаемой формуле.

1. Система автоматического тестирования правил, которые используются антивирусными системами для обнаружения вредоносных объектов, включающая антивирусный сервер, связанный, по крайней мере, с одним персональным компьютером пользователя, при этом персональный компьютер пользователя включает:

а) антивирусное средство, связанное со следующими модулями:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством формирования отчетов на антивирусном сервере;

при этом антивирусное средство предназначено для проведения проверки процессов, вызываемых при запуске объектов, используя базу правил и базу корректирующих коэффициентов;

б) средство обновления на стороне персонального компьютера пользователя, связанное со следующими средствами:

- базой правил на стороне персонального компьютера пользователя;

- базой корректирующих коэффициентов на стороне персонального компьютера пользователя;

- средством обновления на стороне антивирусного сервера;

при этом упомянутое средство обновления предназначено для проведения обновления базы правил и базы корректирующих коэффициентов, полученных от средства обновления на стороне антивирусного сервера;

в) упомянутую базу правил на стороне персонального компьютера пользователя, содержащую набор правил для обнаружения вредоносных объектов, состоящий из проверенных правил и тестируемых правил;

г) упомянутую базу корректирующих коэффициентов на стороне персонального компьютера пользователя, содержащую коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам;

при этом упомянутый антивирусный сервер включает:

I) средство формирования отчетов, которое связано со средством хранения данных, при этом упомянутое средство формирования отчетов получает данные от антивирусного средства на компьютере пользователя и на основании полученных данных формирует отчеты;

II) средство хранения данных, связанное со средством анализа, при этом упомянутое средство хранения данных предназначено для хранения отчетов, полученных от средства формирования отчетов;

III) средство анализа, связанное со следующими средствами:

- средством хранения черного списка;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

- базой правил на стороне антивирусного сервера;

- базой некорректных правил;

- средством обновления на стороне антивирусного сервера;

при этом упомянутое средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, используя при анализе контрольные суммы, находящиеся в средстве хранения черного списка, также предназначено для формирования базы корректирующих коэффициентов, базы правил и базы некорректных правил на основе проведенного анализа, что позволяет осуществить автоматическое тестирование новых правил;

IV) упомянутое средство хранения черного списка, содержащее контрольные суммы известных вредоносных объектов;

V) средство обновления на стороне антивирусного сервера, связанное со следующими средствами:

- базой правил на стороне антивирусного сервера;

- базой корректирующих коэффициентов на стороне антивирусного сервера;

при этом упомянутое средство обновления на стороне антивирусного сервера запускается средством анализа и предназначено для отправки новой версии базы правил и базы корректирующих коэффициентов средству обновления на стороне персонального компьютера пользователя;

VI) упомянутую базу правил на стороне антивирусного сервера, которая содержит набор правил, состоящий из проверенных правил и тестируемых правил;

VII) упомянутую базу корректирующих коэффициентов на стороне антивирусного сервера, которая содержит коэффициенты, относящиеся к проверенным правилам, а также содержит коэффициенты, относящиеся к тестируемым правилам;

VIII) упомянутую базу некорректных правил, которая содержит правила, не прошедшие проверку.

2. Система по п.1, в которой средство анализа предназначено для проведения анализа данных, содержащихся в средстве хранения данных, на соответствие условиям достоверного определения правилом вредоносных процессов и объектов, их вызвавших, и отсутствия срабатываний правила на безопасных объектах.

3. Система по п.1, в которой антивирусное средство предназначено для передачи средству формирования отчетов данных, содержащих, по крайней мере, контрольную сумму объекта, на котором сработало правило, и номер сработавшего правила.

4. Система по п.1, в которой проверяемыми процессами являются процессы, которые вызываются при запуске объектов в операционной системе персонального компьютера пользователя.

5. Система по п.1, в которой средство анализа предназначено для удаления правил, не прошедших проверку, из базы правил и размещения их в базе некорректных правил.

6. Система по п.5, в которой средство анализа предназначено для удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам, не прошедшим проверку.

7. Система по п.1, в которой средство анализа предназначено для установки ненулевого корректирующего коэффициента в базе корректирующих коэффициентов для тех правил, которые прошли проверку.

8. Система по п.1, в которой средство анализа выполнено с возможностью удаления правил с нулевой эффективностью из базы правил и размещения их в базе некорректных правил.

9. Система по п.8, в которой правилами с нулевой эффективностью являются те правила, которые не срабатывают при проверке вредоносных объектов.

10. Система по п.8, в которой средство анализа выполнено с возможностью удаления корректирующих коэффициентов из базы корректирующих коэффициентов, соответствующих правилам с нулевой эффективностью.

11. Система по п.1, в которой база корректирующих коэффициентов и база правил выполнены с возможностью независимого обновления.

12. Система по п.1, в которой антивирусное средство выполнено с возможностью завершения процесса, вызванного вредоносным объектом, при обнаружении этого вредоносного объекта.

13. Система по п.1, в которой вредоносным объектом является тот объект, который вызвал процесс, получивший в результате проверки антивирусным средством рейтинг, больший рейтинга опасности.



 

Похожие патенты:

Полезная модель относится к устройствам, предназначенным для улучшения качества приема сигналов радиосвязи в широком диапазоне частот
Наверх