Система обнаружения неизвестных вредоносных программ

Авторы патента:

Полезная модель относится к антивирусной защите, в частности к системам обнаружения неизвестных угроз и предназначено для обеспечения мер по противодействию распространению вредоносных программ и увеличения скорости распознавания неизвестных вредоносных программ. Технический результат, заключающийся в увеличении скорости детектирования неизвестных программ, достигается за счет создания системы, анализирующей файлы на компьютерных системах и обрабатывающей статистическую информацию о событиях и файлах.

Область техники

Полезная модель относится к антивирусной защите, в частности, системам обнаружения неизвестных угроз.

Уровень техники

В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а также увеличивается и вред, который данное ПО приносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении уже известных угроз. Однако новые угрозы появляются все чаще и чаще, и становятся необходимыми методы распознавания неизвестных угроз.

В антивирусной индустрии приняты следующие устройства обнаружения вредоносных программ: (1) неизвестные файлы сравниваются по строкам с коллекцией известных файлов (сигнатурные методы); (2) неизвестные файлы проверяются на наличие известного вредоносного функционала (эвристические методы).

В патенте US 6,338,141 раскрывается устройство, который может представлять собой обычный компьютер, так и на сетевой компьютер. Устройство использует коллекцию связанных данных для обнаружения вредоносных программ среди файлов компьютера. Данная коллекция состоит из различных сигнатурных объектов, созданных вредоносными программами. Файлы на компьютере подвергаются следующей проверке на вредоносность: они запускаются, затем собирается информация обо всех сигнатурных объектах, которые создаются во время работы процесса, затем данные объекты сравниваются с коллекцией сигнатурных объектов, связанных уже известными вредоносными программами и в зависимости от результатов сравнения принимается решение о вредоносном характере проверяемого файла.

В патенте US 6,789,088 известно устройство, которое использует сбор информации по событиям и отношениям между узлами (объектами) и строится граф «родитель-потомок».

В патентной заявке WO 2008021585 известно устройство, которое использует построение графа сетевой активности с последующим определением значимых событий. Предлагается отслеживать активность и выделять из событий наиболее "интересные" для определения сетевой атаки по шаблонам. Для этого применяются различные критерии (параметров: опасность, активность, значимость) для оценки узлов.

В заявке US 20080196099 описывается устройство, которое использует как белый, так и черный список для определения, а также фильтрации URL-адресов.

В заявке WO 2008091982 описывается устройство, которое ведет наблюдение за уже найденными источниками аномального поведения (рассылка спама, нахождение вредоносных программ и т.д.), оценивается связи с другими узлами для определения репутации для каждого источника (узла).

В заявке US 20040102923 описано устройство оценки и обновления риска для компьютерной системы, например, при добавлении новых компонент. Данная заявка может служить прямой аналогией для идеи оценки и обновления рисков при добавлении новых компонент в систему. Аналогичной может быть заявка WO 2004051407.

Таким образом, возникает необходимость в создании системы, способной автоматически определять неизвестные подозрительные объекты компьютерной системы (файлы, программы, ссылки, и т.д.) как чистые или вредоносные.

Раскрытие полезной модели

Настоящая полезная модель предназначена для обеспечения мер противодействия распространения вредоносных программ и увеличения скорости распознавания неизвестных вредоносных программ.

Технический результат, заключающийся в увеличении скорости детектирования неизвестных программ, достигается за счет создания системы, анализирующей файлы на компьютерных системах и обрабатывающей статистическую информацию о событиях и файлах.

Согласно одному объекту заявленной полезной модели система обнаружения неизвестных вредоносных программ, которая включает:

средство сбора информации об объектах, которые необходимо исследовать;

средство обработки, предназначенное для фильтрации, а также первичного анализа полученных от средства сбора информации данных в режиме реального времени;

средство предварительного анализа, предназначенное для получения отфильтрованной обработанной информации от средства обработки и ее корректировки;

средство хранения коллекции известных чистых объектов, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству обработки об известных чистых объектах;

средство хранения коллекции известных вредоносных программ, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству сбора информации об известных вредоносных объектах;

средство обнаружения, предназначенное для получения информации от средства обработки, определения уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятия решения о вредоносности на основе результатов анализа.

В частности неизвестными вредоносными объектами могут быть

вредоносные программы;

потенциально-нежелательные программы;

вредоносные веб-сайты;

мошеннические веб-сайты;

сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них;

остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры, или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).

В частности средство сбора информации получает информацию о событии и служебные данные о файлах от удаленного компьютера.

В частности информацией о событии являются статистические данные, ассоциируемые с событием, такие как стабильности имени источника объекта, стабильность IP-адреса источника объекта и активность объекта.

В частности служебными данными о файле могут быть: имя файла, расширение файла, связи между файлами, наличие у файла электронно-цифровой подписи, факт загрузки файла из сети Интернет, факт упаковки файла, источник файла, частота вызовов файла, путь к файлу, URL-источник файла, а также порт, с которого скачан файл.

В частности первичный анализ включает в себя построение иерархии «родитель-потомок», представляющую из себя последовательность вызовов файлов, где степень риска родителя зависит от степени риска потомков, и затем сравнение объектов иерархии с известными объектами из средств хранения коллекций.

В частности если средства хранения коллекций не содержат информацию об объектах в иерархии «родитель-потомок», то средство обработки передает неизвестные объекты средству предварительного анализа.

В частности средство предварительного анализа дополняет информацию об объектах, которых нет в средствах хранения коллекций, и отправляет скорректированные данные средству обработки.

В частности средство обработки отправляет скорректированные данные о неизвестных объектах средству обнаружения.

В частности средство обнаружения проводит анализ и оценку риска, а именно вычисляет уровень опасности неизвестных объектов путем расчета параметров значимости события, опасности объекта и активности объекта, строит граф на основе иерархии «родитель-потомок», рассчитывает суммарную степень риска объекта с учетом степени риска потомков объекта, выносит решение о вредоносности объекта.

В частности активность события рассчитывается на основе данных о количестве скачивания или запуска объекта.

В частности опасность события рассчитывается на основе дерева весовых коэффициентов, которое динамически меняется в зависимости от накопленной информации в средствах хранения коллекций.

В частности значимостью события является функция, учитывающая значения активности и опасности события.

В частности средство обнаружения представляет собой автоматическую обработку данных либо обработку данных с помощью эксперта.

В частности средство обнаружения создает записи, которые передает средству хранения коллекции вредоносных объектов для исправления коллекций.

В частности средство обнаружения передает информацию об обнаружениях средству предварительного анализа для корректировки параметров построения дерева весовых коэффициентов.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 показывает примерный вариант реализации блок-схемы обнаружения неизвестных вредоносных программ.

Фиг.2 показывает примерный вариант реализации DS-графа, созданного для идентификации типа неизвестной угрозы.

Фиг.3 показывает примерный вариант реализации дерева весовых коэффициентов, созданного на основе обработки по различным критериям.

Фиг.4 показывает примерный вариант реализации схемы вычисления суммарного весового коэффициента.

Фиг.5 показывает примерный вариант реализации добавления нового критерия в дерево весовых коэффициентов для подсчета суммарного весового коэффициента.

Фиг.6 показывает систему распознавания неизвестных вредоносных программ.

Описание вариантов осуществления полезной модели

Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели, а также способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.

Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).

Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.

Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.

Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.

Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).

Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.

Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.

Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.

Настоящая полезная модель предназначена для обнаружения неизвестных объектов. Такими объектами могут быть:

- вредоносные программы;

- потенциально-нежелательные программы;

- вредоносные веб-сайты;

- мошеннические веб-сайты;

- сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них;

- остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры, или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).

Система удаленно проверяет файлы, вызванные различными приложениями, исполняемыми на пользовательском компьютере для того, чтобы проверить исполняемые файлы на наличие вредоносного поведения, и таким образом устраняет те недостатки текущего уровня техники, которые были описаны выше.

В одном из вариантов реализации предполагается, что вся информация будет идти от удаленных компьютеров к средству сбора информации. Информация о событиях описывает тип события, которое произошло на удаленном компьютере, например, загрузка объекта, линковка к файлу, вызов файлов, и т.д. Информация о событии может также включать статистические данные, связанные с этим событием, например, стабильность сервера имен, стабильность IP-адреса, активность объекта и другие информационные шаблоны объектов, связанных с событием. Информация об объекте может содержать служебные данные, описывающие файл, такие как имя файла, расширение файла, размер, статус линковки, подписан ли файл ЭЦП, исполняемый ли файл, загружен ли файл или выгружен из архива, источник, частота вызовов других файлов, путь к файлу, ссылка на файл в интернете, порт, с которого он доступен. В соответствии с собранной информацией создаются базы знаний (или средство хранения коллекции) чистых приложений (WhiteList или WL), т.е. тех, чье поведение не наносит вреда компьютерной системе. Также создается база знаний вредоносных программ (BlackList или BL), т.е. уже известных вредоносных программ. Средство сбора информации затем передает информацию о событиях и объектах средству обработки.

Также система защищает пользователей от ссылок на вредоносные сайты, которые передаются пользователям через системы мгновенных сообщений. Основываясь на данных средства хранения коллекций BL и WL, система может отнести к недоверенным те контакты, которые рассылают сообщения с подозрительными ссылками. Эти сообщения будут проанализированы системой, которая решит, является ли ссылка вредоносной или нет, и если является, то добавит их в список вредоносных объектов BL.

На Фиг.1 показана общая блок-схема, описывающая принцип получения информации от пользователей. На этапе 101 входящая информация, относящаяся к различным событиями и служебным данным, полученная с помощью средства сбора информации, фильтруется и сопоставляется либо со средством хранения коллекции чистых объектов WL, либо со средством хранения коллекции вредоносных объектов BL. Принцип фильтрации основан на том, что фильтруются только известные объекты, а неизвестные объекты оставляют на дальнейшее рассмотрение.

Оставшаяся информация обрабатывается средством обработки, которое использует анализ и оценку риска к оставшейся информации о событии и оставшейся служебной информации, а затем принимает решение о том, является ли событие и файл похожим на вредоносное. Анализ и оценка риска проводятся в реальном времени на этапе 102. Анализ и оценка риска используют различные критерии и технологии для выявления решения о рисках (например, факторам оценки являются анализ URL или размера файла). Анализ и оценка риска на основе суммарных анализов различных параметров решают, является ли риск высоким, средним или низким. Такими параметрами являются Активность, Опасность и Значимость. Именно эти параметры используются для составления связей Загрузчик-Родитель (Downloader-Starter или DS) в DS-графе на этапе 103.

На основе анализа DS-графа, система решает вредоносное ли событие или объект были обнаружены. Если был обнаружен вредоносный объект или была выявлена высокая степень риска, то средство хранения коллекции вредоносных объектов BL дополняется новой информацией на этапе 105А. Однако если информация о событии или объекте считается не содержащей вредоносный характер, то обновляется информация в средстве хранения коллекции чистых файлов WL на этапе 105Б.

На Фиг.2 изображен этап 103 Фиг.1. В течение последних нескольких лет вредоносные программы типа Троян-сбрасыватель (Trojan-Dropper) и загрузчик программ Троянов (Trojan-Downloader) встречаются все чаще. Трояны-сбрасыватели используются для установки других вредоносных программ на компьютере так, что пользователь не замечает этих действий. Сбрасыватели устанавливают свои загрузчики также незаметно для пользователя без каких-либо предупреждений и разрешений пользователя. Новая вредоносная программа устанавливается в специально месте на локальном диске и затем запускается. Функциональность сбрасывателя заключается в установке и запуске всех своих файлов. Загрузчик же скачивает и устанавливает новое вредоносное программное обеспечение на компьютер пользователя. После установки загрузчик прописывает вредоносную программу в автозагрузку. Все эти действия происходят также без участия пользователя.

В соответствии с примером, когда пользователь запускает браузер и загружает исполняемый файл Tubecodec934.exe, это событие средство сбора информации передает средству обработки. Перед исполнением Tubecodec934.exe загружает несколько других файлов, и эти события также передаются средству обработки. В этом случае Tubecodec934.exe является «родителем» для пяти файлов: Svch0st.exe, Ntkrnl.dll, Calc.exe, l.exe и Hosts.vbs, называемых «потомками». Средство обработки проводит анализ и оценку риска, основанную на построении иерархии «родитель-потомок», основанной на последовательности вызовов файлов. Подсчет риска файла-родителя основан на риске файлов-потомков. Если средства хранения коллекций WL и BL не имеют никакой информации о первых трех данных объектах, средство обработки передает эти данные средству предварительного анализа, которое вычисляет уровень опасности для этих файлов. Для определения степени опасности и выявления вредоносности или чистоты файлов-родителей и файлов-потомков средство предварительного анализа строит граф, изображенный на Фиг.2

Узлами графа являются объекты: «родители» и «потомки». На Фиг.2 часть элементов графа уже детектируется, и на основе этой информации можно сделать вывод, что еще не детектируемые файлы, которые имеют высокий рейтинг опасности, также являются вредоносными программами.

Для всех «родителей» система рассчитывает Х-фактор, определяющий опасность того или иного приложения основываясь на данных о «потомках». Очевидно, что через explorer.exe, запускается сравнительно больше чистых файлов, чем вредоносных. Т.е. Х-фактор показывает, к какому типу программ может принадлежать объект: к файловым менеджерам или к сбрасывателям, к браузерам и легальным программам-загрузчикам или к троянам-загрузчикам.

Для каждого элемента графа рассчитывается активность, опасность и значимость. Параметр «Значимость» является функцией, учитывающей значения активности и опасности события. Таким образом, в одном из вариантов реализации настоящей полезной модели Значимость=(Активность*Опасность). Параметр «Активность» рассчитывается на основе данных о количестве скачивания или запуска того или иного объекта. Для приведения активности к удобному для анализа виду используется следующий механизм. Активность объектов посредством механизма автоматического преобразователя приводится к определенному виду распределения вероятностей. Это позволяет понижать активность давно прошедших событий и выявить тренды изменения параметра.

Активность=Hits*F(t), где Hits - количество скачивании, t - время, прошедшее с момента наступления последнего события. Однако высокая активность программы не обязательно означает, что программа вредоносная. Необходимо учитывать также изменение тренда (как в примере ниже). Пример вычисления активности изображен на таблице 1.

Таблица 1.Вычисление активности и анализ тренда
#	Всего Hits	Увеличение	t, мин	Активность	Тренд
1	10	10	0	10	Поднимается
2	25	15	15	27,5	Поднимается
3	80	55	15	68,75	Поднимается
4	165	85	15	129,38	Поднимается
5	245	80	15	138,69	Стабильно
6	316	71	15	140	Стабильно
7	336	20	15	92,7	Падает
8	351	15	15	61,4	Падает
9	352	1	105	19	Падает
10	353	1	175	1,73	Падает

Параметр «Опасность» рассчитывается на основе дерева весовых коэффициентов, большая часть из которых динамически меняется в зависимости от накопленной информации в средствах хранения коллекций. Таким образом, между данными в потоке событий и средством предварительного анализа всегда поддерживается обратная связь.

Подробные примеры вычисления Опасности приведены ниже.

Пример 1.

Данный пример изображен на Фиг.3. На вход системы приходит уведомление о закачке исполняемого файла http://soho.com.server911.ch/us/usl.exe.jpg с хеш-значением MD5=0x12A91C1CB575D154BAA9AAD1759F6EC8.

При его обработке будет построено дерево решений на основе множества критериев, каждый из которых реализует определенную логику. Например, критерий из группы проверок имени хоста, определяющий наличие маскировки наберет максимальный вес 100, т.к. в имени используется хост из белого списка . Критерий проверки двойных расширений наберет вес 92, т.к. исполняемый файл имеет два расширения, ехе и jpg, и маскируется под популярный формат изображения (максимум мог бы быть при наличии пробелов между двумя расширениями).

Опасность объекта численно равна суммарному весу дерева решений.

Пример 2.

На вход системы приходит уведомление о закачке исполняемого файла. Если это первое уведомление об объекте, то в системе будет построено дерево решений.

Система строит ветку критериев, отвечающих за анализ URL. Поле пакета URL=«http://soho.com.server911.ch/us/us^;2.exe.jpg». Для каждой части строки URL (домен, хост, имя файла, порт и т.д.) работают свои критерии.

Разбирая имя хоста () система определит наличие маскировки под домен из белого списка . И критерий 3.1.1.1 наберет вес 80.

Строка Server911.ch не созвучна с известными доменами, поэтому вес критерия «Сходство по SoundEX-алгоритмам» будет равен 0.

Результирующий вес критерия «Маскирующее имя» W_3.1.1=F(W_3.1.1.1, W_3.1.1.2)=0,80.

Получив информацию от службы Whois, система сможет определить, что за все время существования домена (6 дней) nameserver и ip менялись 3 раза. Это поведение характерное для вредоносных сайтов и поэтому критерии «Стабильность сервера имен» и «Стабильность IР» наберут веса 70 и 75.

Результирующий вес критерия «Whois информация» равен W_3.1.1 =F(W_3.1.2, W_3.1.2)=87. Далее системой рассчитывается суммарный вес «Имя хоста» W_3.1=F(W_3.1.1 , W_3.1.2)=93

Имя файла «us^;2» не является популярным, ни среди вредоносных программ, ни среди чистых файлов. Вследствие чего критерий (3.1.1.2) не внесет какой-либо вклад в суммарный вес.

Наличие последовательности символов «^;» в имени не типично для чистых объектов и говорит о случайной генерации имени файла. Критерий 3.2.2 наберет вес 43.

Критерии проверки маскирующих расширений (3.2.3.1.1 и 3.2.3.1.2) в сумме наберут вес 92. проверяемый файл является исполняемым и имеет два расширения (3.2.3.1.1). Кто тому же второе расширение jpg, говорит о попытке замаскироваться под файл-изображение. (Максимум можно достичь при наличии пробелов между двумя расширениями). У объекта есть расширение - вес критерия «Отсутствующее расширение» равен 0.

Суммарный вес критериев, оценивающих имя файла W_3.2 =95

Порт не указан, следовательно, используется стандартный для протокола http, что не является подозрительным. Weight_3.3 «Порт»=0.

Вес критерия «Анализ строки URL» W₃=F(W_3.1, W_3.2, W_3.3)=98 говорит о том, что с вероятностью 0,98, что по данной ссылке размещен вредоносный объект.

Пример 3.

На вход системы приходит уведомление о загрузке детектируемого файла, такого как исполняемого файла с домена из списка чистых объектов WL. Для разрешения конфликта в системе строится дерево решений.

Рассмотрим более подробно ветку критериев, отвечающих за анализ URL. Поле пакета URL=«http://www.nokia.com/files/support/nseries/phones/software/Nokia_Lifeblog_2_5_224_en_uk.exe». Для каждой части строки URL (домен, хост, имя файла, порт и т.д.) работают свои критерии.

Разбирая имя хоста (http://www.nokia.com) система определит отсутствие какой-либо маскировки под домен из белого списка. Критерии 3.1.1.1 и 3.1.1.2 наберут вес 0.

Результирующий вес критерия «Маскирующее имя» W_3.1.1=F(W_3.1.1.1, W_3.1.1.2)=0.

Получив информацию от службы Whois, система сможет определить, что за все время существования домена (18 лет) имя сервера nameserver не менялось, a ip изменился 1 раз за последние четыре года. Это поведение характерно для чистых сайтов и поэтому критерии «Стабильность сервера имен» и «Стабильность IP» наберут веса 0 и 1 соответственно.

Результирующий вес критерия «Whois информация» равен W_3.1.1 =F(W_3.1.2, W_3.1.2)=1. Далее системой рассчитывается суммарный вес «Имя хоста» W_3.1=F(W_3.1.1 , W_3.1.2)=1

Имя файла «Nokia_Lifeblog_2_5_224_en_uk» не является популярным среди вредоносных программ. Вследствие чего критерий (3.1.1.2) не внесет какой-либо вклад в суммарный вес.

Символы, формирующие имя файла, не вызывают подозрений. Слова, из которых составлено имя, имеют значение и встречаются у чистых программ. Критерий 3.2.2 наберет вес 0.

Критерии проверки маскирующих расширений (3.2.3.1.1 и 3.2.3.1.2) в сумме наберут вес 0, т.к. проверяемый файл является исполняемым и имеет одно типичное расширение - «ехе» (3.2.3.1.1). У объекта есть расширение, и соответственно вес критерия «Отсутствующее расширение» будет равен 0.

Суммарный вес критериев, оценивающих имя файла W_3.2=0

Порт не указан и, следовательно, используется стандартный для протокола http, что не является подозрительным (Weight_3.3 «Порт»=0).

Вес критерия «Анализ строки URL» W₃=F(W_3.1, W_3.2, W_3.3)=1 говорит о том, что вероятность, размещения по данной ссылке URL вредоносного объекта мала.

Очевидно, что остальные критерии дерева решений, также наберут минимальный вес. Ситуация будет расценена, как ложное срабатывание и система автоматически исправит антивирусные базы.

Дерево критериев можно легко расширять, добавляя новые критерии, что увеличивает адекватность принимаемых системой решений. Это показано на следующем примере.

Пример 4.

После обновления системы сбора статистики на обработку стала поступать новая информация о поведении объектов в системе, что позволило расширить класс поведенческих критериев. Добавление следующих двух критериев: «Установка драйверов» и «Прямая запись на диск» приведет к изменению дерева решений, изображенному на Фиг.5.

После изменения подобного изменения дерева максимальный вес критерия 5.3 не изменится, но станет более информативным и точным, что в свою очередь положительно скажется на качестве принимаемых решений.

Далее приведено несколько примеров критериев, которые система использует для анализа входной информации:

1) Отношение чистых объектов к вредоносным объектам, упакованных определенным упаковщиком.

Например, через поток уведомлений прошла информация о 200 зараженных и 5 чистых файлах, сжатых упаковщиком X. Подсистема поддержки принятия решений (DSS, Decision Support System) делает заключение, что с помощью X чаще всего пакуются вредоносные файлы. И чем больше зараженных и упакованных X объектов будет проходить в потоке, тем большую степень опасности представляют файлы, сжатые данным упаковщиком. Причем это справедливо и для файлов, которые на текущий момент еще не детектируются системой.

2) Оценка встречаемости слов в именах файловых объектов. Система выделяет из имен файлов слова, чаще всего встречающиеся у вредоносных объектов. Если такое слово встретится в имени какого-либо файла, критерий достигнет соответствующего веса.

3) Файл имеет несколько расширений, одно из которых начинается с шаблона неисполняемого, но популярного расширения и оканчивается чередой пробелов, второе же является действительным расширением файла. Пример имени, когда критерий достигнет максимального веса: «Sex_Girls.avi.ехе».

4) Эффективным критерием является выявление вредоносных программ по присутствию в системе одного и того же файла под множеством различных имен. Это типично для вредоносных программ, попадающих в систему со случайно сгенерированным именем. При этом из выборки отсекаются временные файлы, поскольку это поведение характерно и для них. Для отсечения временных файлов используется дата линковки и создания файла на компьютере пользователя:

- если файл не во временной директории и часто имеет разные имена, то данное поведение является подозрительным;

- неважно, в какой директории находится файл, но время линковки «только что», это также подозрительно.

5) Файл является исполняемым, но имеет «маскирующее» расширение или не имеет его вообще. Множество вредоносных программ выложено на различных хостингах с расширениями неисполняемых файлов, например jpg, bmp, avi, mp3, doc, xls, txt, css или без расширения. Даже если у пользователя включен файрволл он не заподозрит ничего опасного в скачивании какой-либо программой картинки или музыки. Этот подход предпринимается для обхода запрета выкладывать исполняемые файлы на некоторых хостингах.

6) Объект имеет имя системного файла Windows (explorer.exe), но был запущен не из той папки, откуда должен был и где он должен быть расположен в операционной системе.

Аналогичные критерии разработаны для других типов анализируемых объектов. Все обнаруженные опасные события передаются детектирующей системе, которая использует дерево решений для принятия решения об автоматическом детектировании объекта.

Информация о событиях с высокой активностью, но с низкой опасностью отправляются на анализ WL сервису с целью пополнения коллекции чистых объектов.

Решения DS регулярно обрабатываются в многомерной базе данных для оценки эффективности каждого из критериев (каким решениям можно доверять больше, в какие статические весовые коэффициенты требуется внести изменения и т.д.). Также в этой базе данных генерируется дополнительная информация, используемая в сложных критериях, например, для упреждающего поиска вредоносных интернет ресурсов.

Обработка входящих данных происходит с участием компонент, изображенных на Фиг.6. Входящие данные 602 переходят от средства сбора информации 601 к средству обработки 603. Средство обработки 603 сравнивает входящие данные 602 со средство хранения коллекции чистых объектов 610 и со средство хранения коллекции вредоносных объектов 615 и отфильтровывает неизвестные объекты. Затем отфильтрованная статистическая информация 605 отправляется средству предварительного анализа 604. Средство предварительного анализа 604 возвращает дополнительную информацию после применения к входным данным критериев 606 и скорректированные данные 607 средству обработки 603.

Также на Фиг.6 существует двунаправленный поток с информацией о чистых объектах (потоки 608 и 609) между средством обработки 603 и средством хранения коллекции чистых объектов 610. Информация о неизвестных вредоносных объектах 613 отправляется средству обнаружения 612, которое автоматически обрабатывает полученную информацию или использует экспертные знания специалиста для обработки данной информации. Результатом обработки является список вредоносных объектов 611, который возвращается средству предварительного анализа 604 для его возможного улучшения и доработки. Средство обнаружения 612 отправляет записи 614 об обнаруженных угрозах средству хранения коллекции вредоносных объектов 615. Антивирусные записи 616 отправляются средству сбора информации 601. Ошибочные срабатывания полученных критериев передаются системе для ее улучшения.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

1. Система обнаружения неизвестных вредоносных программ, которая включает средство сбора информации об объектах, которые необходимо исследовать; средство обработки, предназначенное для фильтрации, а также первичного анализа полученных от средства сбора информации данных в режиме реального времени; средство предварительного анализа, предназначенное для получения отфильтрованной обработанной информации от средства обработки и ее корректировки; средство хранения коллекции известных чистых объектов, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству обработки об известных чистых объектах; средство хранения коллекции известных вредоносных программ, которое получает скорректированную информацию от средства обработки и в соответствии с полученной информацией изменяет коллекцию, а также предоставляют информацию средству сбора информации об известных вредоносных объектах; средство обнаружения, предназначенное для получения информации от средства обработки, определения уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятия решения о вредоносности на основе результатов анализа.

2. Система по п.1, в которой неизвестными вредоносными объектами могут быть вредоносные программы; потенциально-нежелательные программы; вредоносные веб-сайты; мошеннические веб-сайты; сообщения, передаваемые по электронной почте, системам мгновенного обмена сообщениями, социальным сетям и т.п. содержащие вредоносные объекты или ссылки на них; остальные виды компьютерных угроз (например, интернет-атаки, нежелательные баннеры или нежелательное содержимое типа рекламы запрещенных продуктов и услуг).

3. Система по п.1, в которой средство сбора информации получает информацию о событии и служебные данные о файлах от удаленного компьютера.

4. Система по п.3, в которой информацией о событии являются статистические данные, ассоциируемые с событием, такие, как стабильности имени источника объекта, стабильность IP-адреса источника объекта и активность объекта.

5. Система по п.3, в которой служебными данными о файле могут быть: имя файла, расширение файла, связи между файлами, наличие у файла электронно-цифровой подписи, факт загрузки файла из сети Интернет, факт упаковки файла, источник файла, частота вызовов файла, путь к файлу, URL-источник файла, а также порт, с которого скачан файл.

6. Система по п.1, в которой первичный анализ включает в себя построение иерархии «родитель - потомок», представляющей из себя последовательность вызовов файлов, где степень риска родителя зависит от степени риска потомков, и затем сравнение объектов иерархии с известными объектами из средств хранения коллекций.

7. Система по п.6, в которой если средства хранения коллекций не содержат информацию об объектах в иерархии «родитель-потомок», то средство обработки передает неизвестные объекты средству предварительного анализа.

8. Система по п.7, в которой средство предварительного анализа дополняет информацию об объектах, которых нет в средствах хранения коллекций, и отправляет скорректированные данные средству обработки.

9. Система по п.8, в которой средство обработки отправляет скорректированные данные о неизвестных объектах средству обнаружения.

10. Система по п.9, в которой средство обнаружения проводит анализ и оценку риска, а именно вычисляет уровень опасности неизвестных объектов путем расчета параметров значимости события, опасности объекта и активности объекта, строит граф на основе иерархии «родитель - потомок», рассчитывает суммарную степень риска объекта с учетом степени риска потомков объекта, выносит решение о вредоносности объекта.

11. Система по п.10, в которой активность события рассчитывается на основе данных о количестве скачивания или запуска объекта.

12. Система по п.10, в которой опасность события рассчитывается на основе дерева весовых коэффициентов, которое динамически меняется в зависимости от накопленной информации в средствах хранения коллекций.

13. Система по пп.10-12, в которой значимостью события является функция, учитывающая значения активности и опасности события.

14. Система по п.10, в которой средство обнаружения представляет собой автоматическую обработку данных либо обработку данных с помощью эксперта.

15. Система по п.10, в которой средство обнаружения создает записи, которые передает средству хранения коллекции вредоносных объектов для исправления коллекций.

16. Система по п.10, в которой средство обнаружения передает информацию об обнаружениях средству предварительного анализа для корректировки параметров построения дерева весовых коэффициентов.

Автоматизированная система квалифицированной цифровой электронной подписи документов // 142709

Автоматизированная система квалифицированной цифровой электронной подписи документов относится к устройствам обработки данных для специального применения и может быть использована в структуре электронного документооборота заказчик-исполнитель, в частности, при реализации документооборота в области рекламы

Терминал (программно-аппаратный комплекс) по экспресс приему платежей, переводу, наличных денежных средств и выдачи денежных займов // 114541

Система автоматизированных маркетинговых коммуникаций в розничной торговле (варианты) // 103948

Система электронной банковской гарантии // 81824

Набор книжек-кубиков в упаковке // 130515

Программно-аппаратный комплекс защиты информации в открытых каналах связи "яломань-пм" // 92735

Мобильное устройство считывания информации из документов, удостоверяющих личность // 96268

Экспертная система для анализа рисков при маневрировании танкеров в портовых водах // 134681

Устройство защиты вычислительных сетей и систем от компьютерных атак // 113041

Система оптимальной бизнес-компании продвижения на рынок объектов интеллектуальной собственности // 62258

Устройство учета электроэнергии // 45054

Система подключения автономного отопителя автомобиля к сигнализации с функцией дистанционного автозапуска двигателя // 83467

Станция управления электроцентробежным погружным насосом // 87576

Интерактивная система сбора информации о дорожной ситуации и оперативного оповещения ее участников с использованием средств сотовой связи, навигационных спутниковых систем и глобальных информационных сетей // 87820

Изобретение относится к системам регулирования движения транспортных средств

Устройство защиты от несанкционированной загрузки программного обеспечения // 57030

Средства информационной безопасности и система комплексной (в том числе, технической) защиты территориально-распределенных объектов от утечки информации по техническим каналам за счет побочных электромагнитных излучений и наводок // 132288

Средства информационной безопасности относятся к радиотехнике и могут быть использованы для обеспечения комплексной (в том числе, технической) защиты территориально-распределенных объектов информатизации от утечки информации по техническим каналам за счет побочных электромагнитных излучений и наводок (ПЭМИН) в диапазоне частот 10 кГц-1,8 ГГц.

Мобильное автоматизированное рабочее место сбора информации для проведения компьютерных экспертиз // 121619

Устройство для сбора данных путевых объектов и установленных скоростей движения для систем автоведения и безопасности // 128747

Корпусная конструкция пульта для размещения электрического и электронного оборудования // 41182

Устройство для обработки аналоговых изображений и хранения и выдачи потребителю оцифрованных изображений // 120802