Система и способ адаптивной приоритизации объектов антивирусной проверки
Владельцы патента RU 2491611:
Закрытое акционерное общество "Лаборатория Касперского" (RU)
Изобретение относится к системам и способам расчета и назначения приоритета антивирусной проверки различных объектов. Технический результат настоящего изобретения заключается в увеличении скорости обнаружения наиболее распространенных вредоносных объектов. Система адаптивной приоритизации объектов антивирусной проверки включает в себя устройство задания правил, которое задает правила приоритизации объектов антивирусной проверки, базу данных правил, предназначенную для хранения правил приоритизации и предоставления данных правил устройству построения очереди. Система также содержит устройство анализа, которое определяет необходимые для приоритизации параметры объектов антивирусной проверки и передает указанные параметры устройству построения очереди. При этом устройство построения очереди предназначено для назначения каждому объекту с определенными параметрами приоритета и метода проверки, в соответствии с заданными правилами. Устройство построения очереди также осуществляет построение очереди в соответствии с назначенными приоритетами и передает построенную очередь устройству обнаружения вредоносных объектов. Устройство обнаружения вредоносных объектов осуществляет антивирусную проверку очереди проверки, в соответствии с назначенным для каждого объекта методом проверки и передает результаты проверки устройству анализа результатов проверки. 2 н. и 3 з.п. ф-лы, 6 ил.
Область техники
Изобретение относится к системам и способам расчета и назначения приоритета антивирусной проверки различных объектов.
Уровень техники
Вредоносные программы, к которым, в частности, могут относиться сетевые черви, троянские программы, компьютерные вирусы и прочие программы, наносящие какой-либо вред компьютеру, в настоящее время получают все большее распространение. Одним из самых эффективных способов противодействия вредоносным программам является использование антивирусного программного обеспечения - программного пакета, предназначенного для обнаружения и удаления из операционной системы компьютера максимального количества вредоносных (или потенциально вредоносных) программ. Один из методов обнаружения вредоносных программ, используемый антивирусным программным обеспечением, заключается в полном или выборочном сканировании присутствующих на жестких и сетевых дисках компьютера файлов.
В антивирусных приложениях очередность антивирусной проверки некоторого количества файлов, содержащихся в каталоге, может быть выбрана на основании параметров файлов: по алфавиту в соответствии с названиями файлов, по времени создания либо изменения файлов, по размеру файлов. При этом, как показывает практика, у большинства файлов, которые являются вредоносными программами, значения некоторых параметров варьируются в достаточно узких пределах. Например, на Фиг.1 представлен график, показывающий соотношение между количеством вредоносных файлов и размером этих файлов. Как видно из графика, подавляющее большинство файлов, являющихся вредоносными программами, имеют размер приблизительно до 380 кбайт. Кроме размера файла особенностями, присущими большинству вредоносных программ, могут быть: определенный формат файла, недавняя дата создания и модификации и другие параметры.
Поэтому, с учетом указанных особенностей, было бы целесообразно начинать проверку с файлов, параметры которых свойственны большинству вредоносных файлов. Целесообразность такого способа проверки становится очевидной в случаях, когда доступ к каталогу, файлы которого необходимо проверить на содержание вредоносных программ, предоставляется на период ограниченного и недостаточного для полной проверки количества времени, из-за чего антивирус не имеет возможности проверить все файлы каталога. Возникновение подобной ситуации возможно, к примеру, когда необходимо проверить файлы на USB-флеш-накопителе, который подключен к персональному компьютеру на непродолжительное время. Используя подход, когда в первую очередь проверяются файлы с параметрами, присущими большинству вредоносных файлов, в условиях ограниченного времени можно повысить количество обнаруженных вредоносных файлов по сравнению со стандартным методом проверки.
Кроме того, учитывая указанные особенности вредоносных программ, можно дополнительно повысить качество их обнаружения путем назначения различных методов проверки файлам с различными параметрами. Например, как известно, одним из методов антивирусной проверки является эвристический анализ. Одна из технологий работы эвристического анализа состоит в том, что анализу подвергается активность, которую объект производит в системе. Если активность типична для вредоносных объектов, то с высокой долей вероятности данный объект будет признан вредоносным или подозрительным. При этом настройка эвристического анализа позволяет задавать различные уровни детализации проверки объектов, которые в общем случае можно условно разделить на три группы: поверхностный уровень анализа, средний уровень анализа и глубокий уровень анализа. Очевидно, что более высокий уровень детализации проверки обеспечивает более высокий уровень обнаружения вредоносных программ, но при этом требует использования большего количества компьютерных ресурсов. Повышения качества обнаружения вредоносных программ можно достичь путем определения подозрительных объектов и назначения им соответствующего способа проверки.
В настоящее время существуют различные решения по построению очереди по приоритету для антивирусной проверки файлов, а также по назначению различных алгоритмов антивирусной проверки для файлов с различным приоритетом проверки.
Так, в патенте US 7188367 описывается идея построения приоритетной очереди запросов на проверку файлов на основании параметров запросов, полученных с помощью препроцессора, с целью повышения скорости и эффективности работы антивируса в случаях, когда проверка некоторых файлов требует значительного количества времени и ресурсов.
В заявке US 20070079377 предлагается идея построения порядка по приоритету для проверки объектов на основании информации, полученной о данных объектах, в целях повышения эффективности работы антивируса в условиях ограниченного времени.
В патенте US 6931540 с целью более эффективного использования компьютерных ресурсов предлагается идея задания правил и методов обнаружения вредоносных программ на основании идентификаторов процессов, инициирующих доступ к файлу.
В патенте US 7392544 описана идея, суть которой заключается в подсчете факторов риска для неизвестных файлов на основе их параметров и назначении для файлов с различными значениями фактора риска различных алгоритмов антивирусной проверки.
В заявке US 20060037079 описаны система и способ антивирусной проверки, в которых предусмотрена приоритизация объектов проверки на основе расширения файлов. Однако система, предложенная в этой заявке, не рассматривает случаев, когда вредоносная программа "маскируется" под считающееся безопасным расширение.
Однако необходимо также учитывать следующее обстоятельство: при огромном и постоянно растущем количестве вредоносного программного обеспечения количество отличительных параметров вредоносных файлов, как и пределы варьирования значений этих параметров, также постоянно возрастают. Поэтому учет всех параметров для всех вредоносных программ при построении приоритетной очереди становится трудновыполнимым. По этой причине для того, чтобы эффективно использовать преимущества от приоритизации проверяемых антивирусом файлов, необходимо, чтобы набор параметров, используемый для построения приоритетной очереди сканирования файлов, был адаптирован для системы, в которой данное сканирование производится.
Поэтому хотя изобретения, перечисленные в указанных выше патентах и заявках, направлены на решение определенных задач в области расчета и назначения приоритета антивирусной проверки различных объектов, они имеют один общий недостаток - отсутствие адаптации для систем, в которых производится антивирусная проверка. Настоящее изобретение позволяет более эффективно и результативно решить задачу приоритизации файлов, проверяемых антивирусом.
Раскрытие изобретения
Настоящее изобретение предназначено для адаптивной приоритизации объектов антивирусной проверки
Технический результат настоящего изобретения заключается в увеличении скорости обнаружения наиболее распространенных вредоносных объектов. Указанный технический результат достигается за счет корректировки правил приоритизации объектов в соответствии со статистикой обнаружения вредоносных объектов, а также за счет назначения различных методов проверки объектам с различными параметрами.
Система адаптивной приоритизации объектов антивирусной проверки, содержащая: устройство задания правил, с помощью которого задаются правила приоритизации объектов антивирусной проверки; базу данных правил, предназначенную для хранения правил приоритизации и предоставления данных правил устройству построения очереди; устройство анализа, предназначенное для определения необходимых для приоритизации параметров объектов антивирусной проверки и передачи указанных параметров устройству построения очереди; устройство построения очереди, предназначенное для назначения каждому объекту с определенными параметрами приоритета и метода проверки в соответствии с заданными правилами, построения очереди проверки в соответствии с назначенными приоритетами и передачи построенной очереди устройству обнаружения вредоносных объектов; устройство обнаружения вредоносных объектов, предназначенное для антивирусной проверки очереди проверки в соответствии с назначенным для каждого объекта методом проверки и передачи результатов проверки устройству анализа результатов проверки; устройство анализа результатов проверки, предназначенное для анализа результатов антивирусной проверки объектов, формирования на основании анализа решения о необходимости корректировки правил приоритизации и передачи соответствующей информации устройству корректировки правил; устройство корректировки правил, предназначенное для корректировки правил в базе данных правил в соответствии с полученной от устройства анализа результатов проверки информации.
В частном случае реализации системы устройство анализа результатов проверки установлено локально на определенной компьютерной системе и анализирует результаты антивирусной проверки, производимой на этой же компьютерной системе.
В другом частном случае реализации системы устройство анализа результатов проверки анализирует результаты антивирусных проверок объектов, производимых на компьютерных системах, входящих в одну локальную вычислительную сеть.
Еще в одном частном случае реализации системы устройство анализа результатов проверки анализирует результаты антивирусных проверок объектов, производимых на компьютерных системах, входящих в глобальную вычислительную сеть.
Способ адаптивной приоритизации объектов антивирусной проверки, в котором: задают правила приоритизации объектов антивирусной проверки с помощью устройства задания правил; определяют необходимые для приоритизации параметры объектов антивирусной проверки с помощью устройства анализа; назначают каждому объекту с определенными параметрами приоритет и метод проверки в соответствии с заданными правилами, формируют очередь проверки в соответствии с назначенными приоритетами и передают сформированную очередь устройству обнаружения вредоносных объектов с помощью устройства построения очереди; проводят антивирусную проверку очереди проверки в соответствии с назначенным для каждого объекта методом проверки и передают результаты проверки устройству анализа результатов проверки с помощью устройства обнаружения вредоносных объектов; анализируют результаты антивирусной проверки и определяют необходимость корректировки правил приоритизации с помощью устройства анализа результатов проверки; корректируют правила приоритизации с помощью устройства корректировки правил.
Краткое описание чертежей
Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 показывает график, отражающий соотношение между количеством вредоносных файлов и размером этих файлов.
Фиг.2 показывает структурную схему системы приоритизации объектов антивирусной проверки текущего уровня техники.
Фиг.3 показывает пример взаимодействия устройства анализа объектов антивирусной проверки, устройства построения очереди и базы данных правил.
Фиг.4 показывает схему алгоритма работы системы приоритизации объектов антивирусной проверки текущего уровня техники.
Фиг.5 показывает структурную схему системы адаптивной приоритизации объектов антивирусной проверки.
Фиг.6 показывает схему алгоритма работы устройства анализа результатов проверки в системе адаптивной приоритизации объектов антивирусной проверки.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.
В общем случае структурная схема системы приоритизации объектов антивирусной проверки текущего уровня техники имеет вид, показанный на Фиг.2. Система приоритизации объектов антивирусной проверки 120 состоит из устройства анализа 121, устройства построения очереди 122, устройства задания правил 123 и базы данных правил 124. Устройство анализа 121 предназначено для определения необходимых для приоритизации параметров объектов антивирусной проверки и передачи данных параметров устройству построения очереди 122. Устройство построения очереди 122 предназначено для поиска соответствий между параметрами, полученными от устройства анализа 121, и параметрами, хранимыми в базе данных правил 124, назначения для каждого объекта приоритета и метода проверки согласно найденным соответствиям и построения очереди для антивирусной проверки объектов согласно назначенным приоритетам. Правила приоритизации объектов антивирусной проверки, которые определяют приоритет и метод проверки для объектов с определенными параметрами, задаются и изменяются пользователем с помощью устройства задания правил 123, после чего передаются на хранение в базу данных правил 124. Примером входных данных для системы приоритизации объектов антивирусной проверки 120 могут являться файлы 111, 112, 113, 114 и 115 в каталоге файлов 110. Результатом обработки указанных файлов системой приоритизации объектов антивирусной проверки 120 является очередь для проверки 130. Очередь для проверки 130 состоит из файлов в каталоге файлов 110. Для каждого из файлов назначается метод проверки согласно найденным в базе данных 124 соответствиям. Так, например, первым объектом проверки 131 очереди 130 будет файл 3, для которого будет назначен глубокий уровень анализа. Вторым объектом проверки 132 очереди 130 будет файл 5, для которого будет назначен средний уровень анализа. Третьим объектом проверки 133 очереди 130 будет файл 1, для которого также будет назначен средний уровень анализа. Четвертым объектом проверки 134 очереди 130 будет файл 4, для которого будет назначен поверхностный уровень анализа. Пятым объектом проверки 135 очереди 130 будет файл 2, для которого также будет назначен поверхностный уровень анализа. После того как очередь для проверки 130 сформирована, она передается устройству обнаружения вредоносных объектов 140.
На Фиг.3 показан пример взаимодействия устройства анализа объектов антивирусной проверки 121, устройства построения очереди 122 и базы данных правил 124. Предположим, что есть некоторое количество файлов, приоритизацию которых необходимо провести для дальнейшей антивирусной проверки. Одним из таких файлов является, например, файл 210 с расширением.ехе, размером 200 Кбайт, который создан один день назад. Устройство анализа 121 производит определение указанных параметров и передает их устройству построения очереди 122. Устройство построения очереди 122 сопоставляет полученные от устройства анализа 121 параметры с хранимыми в базе данных правил 124 и, в случае, если соответствия будут найдены, назначает для файла 210 приоритет и метод проверки согласно найденному соответствию. Стоит отметить, что список параметров, используемых в рассматриваемой системе, не ограничен параметрами, приведенными в данном примере.
На Фиг.4 показана схема алгоритма работы системы приоритизации объектов антивирусной проверки текущего уровня техники. На этапе 410 устройство анализа 121 производит определение необходимых для приоритизации параметров у каждого из файлов, содержащихся в каталоге 110, после чего передает указанные параметры устройству построения очереди 122. На этапе 420 устройство построения очереди 122 производит поиск соответствий между параметрами, полученными от устройства анализа 121, и параметрами, хранимыми в базе данных правил 124. В случае если соответствия найдены, на этапе 440 для каждого файла назначается приоритет и метод проверки согласно найденному соответствию. В противном случае, если соответствия не найдены, то на этапе 450 для каждого из файлов назначается приоритет и метод проверки, назначаемые по умолчанию для всех файлов. После этого, на этапе 460, из файлов в каталоге в соответствии с назначенными приоритетами будет построена очередь, которая впоследствии будет передана устройству обнаружения вредоносных объектов 140 на этапе 470.
В описанной выше системе правила приоритизации объектов антивирусной проверки в этой системе задаются и изменяются пользователем. По этой причине велика вероятность того, что заданные для приоритизации объектов антивирусной проверки параметры не будут объективно отражать отличительные параметры вредоносных объектов, приоритизация которых является целью использования рассматриваемой системы. Например, пределы варьирования отличительных параметров вредоносных объектов могут быть заданы достаточно узко, из-за чего большинству вредоносных объектов не будет назначен соответствующий приоритет, либо достаточно широко, из-за чего вместе с вредоносными объектами высокий приоритет будет назначен объектам, которые не являются вредоносными. В обоих случаях эффективность работы системы будет снижена. Кроме того, как было отмечено, учет всех параметров всех вредоносных объектов при построении приоритетной очереди становится затруднительным по причине их огромного и постоянно возрастающего количества. Поэтому для того, чтобы эффективно использовать преимущества от приоритизации проверяемых антивирусом файлов, необходимо, чтобы набор параметров, используемый для построения приоритетной очереди сканирования объектов, был адаптирован для системы, в которой данное сканирование производится.
На Фиг.5 показана структурная схема системы адаптивной приоритизации объектов антивирусной проверки. Система адаптивной приоритизации объектов антивирусной проверки 510 состоит из устройства анализа 121, устройства построения очереди 122, устройства задания правил 123, базы данных правил 124 и устройства корректировки правил 511, которое связано с устройством анализа результатов проверки 520. Назначение устройства анализа 121, устройства построения очереди 122, устройства задания правил 123 и базы данных правил 124 системы адаптивной приоритизации 510 такое же, как и назначение соответствующих устройств системы приоритизации объектов антивирусной проверки 120, показанной на Фиг.2. Основное отличие системы адаптивной приоритизации объектов антивирусной проверки заключается в наличии устройства корректировки правил 511, которое предназначено для корректировки правил, хранящихся в базе данных правил 124, в соответствии с данными, полученными от устройства анализа результатов проверки 520. Примером входных данных для системы адаптивной приоритизации объектов антивирусной проверки 510 могут являться файлы 111, 112, 113, 114 и 115 в каталоге файлов 110. Результатом обработки указанных файлов системой адаптивной приоритизации объектов антивирусной проверки 510 является очередь для проверки 130, которая передается устройству обнаружения вредоносных объектов 140. После проверки очереди 130 на наличие вредоносных объектов устройство обнаружения вредоносных объектов 140 передает информацию о результатах проверки устройству анализа результатов проверки 520. Устройство анализа результатов проверки 520 предназначено для анализа результатов проверки устройством обнаружения вредоносных файлов 140 очереди для проверки 130 и для принятия решения о необходимости корректировки правил приоритизации объектов проверки. В случае если корректировка необходима, устройство анализа результатов проверки 520 передает соответствующую информацию устройству корректировки правил 511.
Примером ситуации, когда необходима корректировка правил, может быть случай, в котором объект, которому был назначен низкий приоритет (например, объект 135 очереди 130), в результате проверки оказался вредоносным. В этом случае устройство анализа результатов проверки 520 передает устройству корректировки правил 511 уточненные параметры указанного объекта с информацией о необходимости повышения для этого объекта приоритета.
Таким образом, в ходе корректировки правил база данных пополняется правилами, которые содержат параметры выявленных вредоносных объектов.
При этом устройство анализа результатов проверки 520 может иметь различные частные варианты реализации. В простейшем частном варианте реализации устройство анализа результатов проверки установлено локально на определенной компьютерной системе и анализирует результаты проверки устройства обнаружения вредоносных объектов, установленного на этой же компьютерной системе. В другом частном варианте реализации устройство анализа результатов проверки анализирует результаты проверок устройств обнаружения вредоносных объектов, установленных на компьютерных системах, входящих в одну локальную вычислительную сеть. В данном частном варианте реализации устройство анализа результатов проверки передает информацию о необходимости корректировки правил приоритизации системам адаптивной приоритизации объектов антивирусной проверки, установленным на всех компьютерных системах, входящих в одну локальную вычислительную сеть. Преимущество данного частного метода реализации заключается в том, что при таком подходе увеличивается скорость обнаружения вредоносных объектов, которые используют размножение посредством сетевых протоколов. В еще одном частном методе реализации устройство анализа результатов проверки анализирует результаты проверок устройств обнаружения вредоносных объектов, установленных на компьютерных системах, входящих глобальную вычислительную сеть. В данном частном варианте реализации устройство анализа результатов проверки передает информацию о необходимости корректировки правил приоритизации системам адаптивной приоритизации объектов антивирусной проверки, установленным на всех компьютерных системах, входящих в глобальную вычислительную сеть (WAN).
На Фиг.6 показана схема алгоритма работы устройства анализа результатов проверки в системе адаптивной приоритизации объектов антивирусной проверки. На этапе 610 устройство анализа результатов проверки 520 получает результаты проверки от устройства обнаружения вредоносных объектов 140 и производит анализ указанных результатов на этапе 620. На этапе 630 устройство анализа результатов проверки 520 определяет, соответствуют ли назначенные объектам правила проверки выявленному у данных объектов уровню угроз. В случае если анализ результатов проверки покажет, что назначенные объектам правила проверки не соответствуют выявленному у данных объектов уровню угроз, на этапе 640 устройство анализа результатов проверки 520 сформирует информацию о необходимости корректировки правил приоритизации, которую на этапе 650 передаст устройству корректировки правил 511. На этапе 660 устройство анализа результатов проверки 520 завершает свою работу.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
1. Система адаптивной приоритизации объектов антивирусной проверки, которая содержит:
а) устройство задания правил, с помощью которого задаются правила приоритизации объектов антивирусной проверки;
б) базу данных правил, предназначенную для хранения правил приоритизации и предоставления данных правил устройству построения очереди;
в) устройство анализа, предназначенное для определения необходимых для приоритизации параметров объектов антивирусной проверки и передачи указанных параметров устройству построения очереди;
г) устройство построения очереди, предназначенное для назначения каждому объекту с определенными параметрами приоритета и метода проверки в соответствии с заданными правилами, построения очереди проверки в соответствии с назначенными приоритетами и передачи построенной очереди устройству обнаружения вредоносных объектов;
д) устройство обнаружения вредоносных объектов, предназначенное для антивирусной проверки очереди проверки в соответствии с назначенным для каждого объекта методом проверки и передачи результатов проверки устройству анализа результатов проверки;
е) устройство анализа результатов проверки, предназначенное для анализа результатов антивирусной проверки объектов, формирования на основании анализа решения о необходимости корректировки правил приоритизации и передачи соответствующей информации устройству корректировки правил;
ж) устройство корректировки правил, предназначенное для корректировки правил в базе данных правил в соответствии с полученной от устройства анализа результатов проверки информации.
2. Система по п.1, в которой устройство анализа результатов проверки установлено локально на определенной компьютерной системе и анализирует результаты антивирусной проверки, производимой на этой же компьютерной системе.
3. Система по п.1, в которой устройство анализа результатов проверки анализирует результаты антивирусных проверок объектов, производимых на компьютерных системах, входящих в одну локальную вычислительную сеть.
4. Система по п.1, в которой устройство анализа результатов проверки анализирует результаты антивирусных проверок объектов, производимых на компьютерных системах, входящих в глобальную вычислительную сеть.
5. Способ адаптивной приоритизации объектов антивирусной проверки, в котором:
а) задают правила приоритизации объектов антивирусной проверки с помощью устройства задания правил;
б) сохраняют правила приоритизации объектов антивирусной проверки в базе данных правил;
в) определяют необходимые для приоритизации параметры объектов антивирусной проверки с помощью устройства анализа;
г) назначают каждому объекту с определенными параметрами приоритет и метод проверки в соответствии с заданными правилами, формируют очередь проверки в соответствии с назначенными приоритетами и передают сформированную очередь устройству обнаружения вредоносных объектов с помощью устройства построения очереди;
д) проводят антивирусную проверку очереди проверки в соответствии с назначенным для каждого объекта методом проверки и передают результаты проверки устройству анализа результатов проверки с помощью устройства обнаружения вредоносных объектов;
е) анализируют результаты антивирусной проверки и определяют необходимость корректировки правил приоритизации с помощью устройства анализа результатов проверки;
ж) корректируют правила приоритизации, хранящиеся в базе данных правил, с помощью устройства корректировки правил.
