Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов
Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера пользователя, а именно памяти на жестком диске для хранения антивирусных записей. Предложен способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов, в котором собирают статистику использования антивирусных записей, используемых для обнаружения вредоносных файлов, при этом одна часть антивирусных записей располагается на компьютере пользователя, а другая - на удаленном сервере; вычисляют коэффициенты перспективности антивирусных записей на основании статистики использования антивирусных записей; при этом коэффициент перспективности антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием упомянутой антивирусной записи; передают по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение. 3 з.п. ф-лы, 3 ил.
Область техники
Изобретение относится к области защиты от компьютерных угроз, а именно к способам передачи антивирусных записей, используемых для обнаружения вредоносных файлов.
Уровень техники
В настоящее время увеличивается количество всевозможных приложений (программного обеспечения), используемых на вычислительных устройствах, в том числе и на персональных электронных вычислительных машинах (компьютерах). Среди многообразия приложений существует множество вредоносных программ, которые способны нанести вред компьютеру или данным пользователя компьютера, например: сетевые черви, клавиатурные шпионы, компьютерные вирусы. Существует множество средств, обеспечивающих безопасность компьютеров, например антивирусное программное обеспечение, которое предназначено для обнаружения вредоносных программ, а также для ограничения их работоспособности (например, для помещения в карантин или полного удаления вредоносного приложения).
Для обнаружения вредоносного программного обеспечения (ПО), вредоносных процессов, других вредоносных объектов операционной системы (ОС) и ссылок на них, например URI (англ. Universal Resource Identifier - ссылка установленного вида, например file://***.exe), антивирусное приложение использует ряд методов обнаружения вредоносного программного обеспечения, например, сигнатурный анализ (технология поиска соответствий какого-либо участка кода анализируемой программы известному коду - сигнатуре - из базы данных сигнатур вредоносных программ), эвристический анализ (технология, заключающаяся в эмуляции работы анализируемой программы, создании журнала вызовов API-функций - Application Programming Interface функции - и поиске соответствий данных из созданного журнала вызова API-функций с данными из базы данных эмуляций вредоносных программ) или проактивный анализ (технология, заключающаяся в перехвате вызовов API-функций запущенной в системе анализируемой программы, создании журнала вызова API-функций и поиске соответствий данных из созданного журнала с данными из базы данных вызовов API-функций вредоносных программ). Для работы каждого из вышеописанных методов необходимы данные, используемые для обнаружения вредоносных объектов, например для сигнатурного анализа такими данными могут являться сигнатуры, для эвристического анализа - эвристические правила. Несмотря на то, что при помощи, например, одной сигнатуры антивирусное программное обеспечение иногда может обнаружить целое множество аналогичных по своей структуре или причиняемому вреду вредоносных объектов, увеличение числа вредоносных объектов, которые могут нанести вред данным пользователя или его компьютеру, требует соответствующего увеличения объема данных, используемых для обнаружения вредоносных объектов. В большинстве случаев упомянутые данные хранятся на компьютере пользователя в составе антивирусных баз - компонента антивирусного программного обеспечения. Таким образом увеличение объема данных, используемых для обнаружения, приводит к уменьшению доступного для записи места на жестком диске.
В публикации US 8776234 B2 описан подход для определения оптимального объема данных, используемых для обнаружения вредоносных объектов. Однако оптимальность объема данных, используемых для обнаружения, определяется только на основании используемой на компьютере пользователя ОС или ПО, а также ранее обнаруженного вредоносного ПО. Такой подход может обладать недостатком: оптимальный с точки зрения описанного в изобретении способа объем данных, используемых для обнаружения, может и не содержать данных, необходимых для обнаружения новых вредоносных объектов или объектов, которые практически не распространены в сети, что является угрозой безопасности данных пользователя и его компьютера.
Хотя в области техники существуют подходы, направленные на оптимизацию (уменьшение) места на жестком диске, занимаемого данными, используемыми для обнаружения вредоносных объектов, они не решают задачу распределения данных, используемых для обнаружения вредоносных объектов, между удаленным сервером и локальным жестким диском или решают недостаточно эффективно. Настоящее изобретение позволяет более эффективно решить задачу распределения данных, используемых для обнаружения вредоносных объектов.
Раскрытие изобретения
Настоящее изобретение предназначено для передачи антивирусных записей, используемых для обнаружения вредоносных файлов.
Технический результат настоящего изобретения заключается в снижении потребляемых антивирусным приложением ресурсов компьютера, а именно памяти на жестком диске для хранения антивирусных записей, которое достигается за счет передачи антивирусной записи, располагающейся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, при этом число не превышает пороговое значение. Технический результат настоящего изобретения достигается способом передачи антивирусных записей, используемых для обнаружения вредоносных файлов, в котором собирают при помощи антивирусного приложения статистику использования антивирусных записей, используемых для обнаружения вредоносных файлов, при этом одна часть антивирусных записей располагается на компьютере пользователя, а другая часть антивирусных записей располагается на удаленном сервере; при этом упомянутая антивирусная запись представляет собой информацию, необходимую антивирусному приложению для обнаружения вредоносных файлов; при этом статистика использования антивирусной записи представляет собой информацию о количестве вредоносных файлов, обнаруженных антивирусным приложением с использованием записи, количестве пользователей, на компьютерах которых присутствуют обнаруженные файлы, местоположение каждого обнаруженного файла, время каждого обнаружения, а также время создания антивирусной записи, используемой для обнаружения вредоносных файлов; вычисляют при помощи средства оценки перспективности коэффициенты перспективности антивирусных записей, используемых антивирусным приложением для обнаружения вредоносных файлов, на основании собранной на этапе ранее статистики использования антивирусных записей, используемых для обнаружения вредоносных файлов; при этом коэффициент перспективности антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием упомянутой антивирусной записи; передают при помощи средства распределения по меньшей мере одну антивирусную запись, располагающуюся на удаленном сервере, компьютеру пользователя для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение; передают при помощи антивирусного приложения по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает упомянутое ранее пороговое значение.
В частном случае реализации способа не передают при помощи средства распределения по меньшей мере одну антивирусную запись, располагающуюся на удаленном сервере, компьютеру пользователя для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение.
В еще одном частном случае реализации способа не передают при помощи антивирусного приложения по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает упомянутое ранее пороговое значение.
В другом частном случае реализации способа чем больше времени прошло с момента создания антивирусной записи до момента вычисления коэффициента перспективности, тем меньше значение коэффициента перспективности.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 иллюстрирует примерную схему взаимодействия средств, участвующих в способе передачи антивирусных записей, используемых для обнаружения вредоносных файлов.
Фиг. 2 показывает вариант способа передачи антивирусных записей, используемых для обнаружения вредоносных файлов.
Фиг. 3 показывает пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.
Вредоносное приложение - приложение, способное нанести вред компьютеру или данным пользователя компьютера, например: сетевой червь, клавиатурный шпион, компьютерный вирус. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.
Доверенное приложение - приложение, которое не наносит вреда компьютеру или его пользователю. Доверенным приложением может считаться приложение, разработанное доверенным производителем ПО, загруженное из доверенного источника (например, сайт, занесенный в базу данных доверенных сайтов) или приложение, идентификатор которого (например, MD5 файла приложения) хранится в базе данных доверенных приложений. Идентификатор производителя, например, цифровой сертификат, может также храниться в базе данных доверенных приложений.
Недоверенное приложение - приложение, которое не является доверенным, но также не признано вредоносным, например, при помощи антивирусного приложения.
Вредоносный файл - файл, являющийся компонентом вредоносного приложения.
Недоверенный файл - файл, являющийся компонентом недоверенного приложения.
Доверенный файл - файл, являющийся компонентом доверенного приложения.
Сигнатурный анализ - технология поиска совпадений какого-либо участка кода программы с известным кодом - сигнатурой - из базы данных сигнатур вредоносных программ с целью обнаружения вредоносной программы. Стоит отметить, что данная технология может применяться как для обнаружения файлов вредоносной программы, так и для обнаружения вредоносного кода в оперативной памяти вычислительного устройства.
Эвристический анализ - технология, заключающаяся в эмуляции работы программы (выполнение кода программы, предназначенного для выполнения с использованием одних программно-аппаратных средств, с использованием других программно-аппаратных средств, отличных от первых), создании журнала вызовов API-функций и поиске совпадений данных из созданного журнала вызова API-функций с данными из базы данных эмуляций вредоносных программ с целью обнаружения вредоносной программы.
Проактивный анализ - технология, заключающаяся в перехвате вызовов API-функций (application programming interface) запущенной в операционной системе программы, создании журнала вызова API-функций и поиске совпадений данных из созданного журнала с данными из базы данных вызовов API-функций вредоносных программ с целью обнаружения вредоносной программы.
Антивирусная запись - информация, необходимая антивирусному приложению для обнаружения вредоносных файлов. Может быть представлена, например, в виде сигнатуры, эвристического правила (которое, например, может быть использовано эвристическим и проактивным анализом), контрольной суммы файла - хэша (в том числе и гибкого хэша - англ. locality sensitive hash - хэша файла, инвариантного к небольшим изменениям файла).
Статистика использования антивирусной записи представляет собой информацию о количестве вредоносных файлов, обнаруженных антивирусным приложением с использованием записи, количестве пользователей, на компьютерах которых присутствуют обнаруженные файлы, местоположение каждого обнаруженного файла (например, расположение на диске, а также IP-адрес компьютера, на котором присутствует файл), время каждого обнаружения, а также время создания антивирусной записи, используемой для обнаружения вредоносных файлов.
Коэффициент перспективности (антивирусной записи) - числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием антивирусной записи. Предполагается, что чем больше коэффициент перспективности антивирусной записи, тем важнее, чтобы эта антивирусная запись использовалась антивирусным приложением и присутствовала на компьютере пользователя, а не на удаленном сервере, так как антивирусные записи на удаленном сервере могут быть недоступны антивирусному приложению, например, из-за проблем с соединением между компьютером и удаленным сервером.
На Фиг. 1 изображена примерная схема средств, взаимодействующих в рамках способа изобретения. На компьютере пользователя (далее, для простоты, компьютер 100), детальная схема которого изображена на Фиг. 3, установлено антивирусное приложение 101, которое используется для обнаружения вредоносных файлов. Для обнаружения вредоносных файлов антивирусное приложение 101 использует антивирусные записи, которые могу храниться как на стороне пользователя - на компьютере 101 пользователя, так и на удаленном сервере 120. Для хранения упомянутых антивирусных записей на компьютере 100 используется база данных антивирусных записей 102 (которая может входить в состав антивирусного приложения 101). Для хранения антивирусных записей на удаленном сервере 120 используется база данных антивирусных записей 122. В частном случае реализации изобретения компьютер 100 и удаленный сервер 120 соединены при помощи сети 110, например посредством сети Интернет или локальной вычислительной сети. В частном случае реализации среди антивирусных записей, которые использует антивирусное приложение 102, могут быть антивирусные записи, обнаружение вредоносных файлов при помощи которых не сопровождается оповещением пользователя компьютера 100, аналогично подходу, реализованному в изобретении, описанном в патенте US 8732836.
Антивирусное приложение 101 способно собирать статистику использования антивирусных записей, используемых для обнаружения вредоносных файлов. В частном случае реализации упомянутая статистика собирается при обнаружении вредоносного файла с использованием антивирусной записи на компьютере 100 пользователя. В еще одном частном случае на удаленном сервере 120 дополнительно присутствует еще одно антивирусное приложение (не отмечено на Фиг. 1), которое также собирает статистику использования антивирусных записей, при этом статистика использования антивирусных записей собирается с использованием базы данных файлов 123, а именно при обнаружении вредоносных файлов с использованием антивирусных записей среди файлов из базы данных файлов 123. В частном случае реализации статистика, собранная антивирусным приложением 101, отсылается удаленному серверу 120 для хранения в базе данных статистики использования антивирусных записей 124.
Стоит отметить, что собираемая статистика использования антивирусной записи может собираться множеством антивирусных приложений 101, установленных на множестве компьютеров 100 (в том числе и антивирусным приложении 101, располагающемся на удаленном сервере 120). В таком случае каждое антивирусное приложение 101 отправляет статистику использования антивирусной записи удаленному серверу 120, а именно в базу данных статистики использования антивирусных записей 124, где хранится совокупная информация об использовании антивирусной записи каждым из антивирусных приложений (статистика использования антивирусной записи).
В частном случае реализации новые антивирусные записи, которые создаются, например, специалистом в сфере информационной безопасности или любым из известных автоматизированных способов создания антивирусных записей, передаются средством распределения 125 в базу данных антивирусных записей 102 для использования антивирусным приложением 101.
В еще одном частном случае реализации новые антивирусные записи, которые создаются, например, специалистом в сфере информационной безопасности или любым из известных автоматизированных способов создания антивирусных записей, передаются средством распределения 125 в базу данных антивирусных записей 122 для использования антивирусным приложением 101.
Средство оценки перспективности 121, расположенное на удаленном сервере 120, предназначено для вычисления коэффициента перспективности антивирусной записи с использованием статистики использования антивирусной записи, которая хранится в базе данных статистики использования антивирусных записей 124. В частном случае реализации коэффициент перспективности каждой антивирусной записи может быть вычислен с использованием следующей формулы:
.
В еще одном частном случае реализации коэффициент перспективности антивирусной записи вычисляется по формуле:
,
где K - коэффициент перспективности антивирусной записи, U - количество уникальных пользователей, на компьютерах которых были обнаружены антивирусным приложением вредоносные файлы с использованием упомянутой антивирусной записи, S - количество вредоносных файлов, обнаруженных с использованием упомянутой антивирусной записи, T - временной промежуток (исчисляемый, например, в сутках и часах) между временем создания антивирусной записи и моментом вычисления коэффициента перспективности антивирусной записи, ΔT - средний временной интервал (исчисляемый, например, в часах) между обнаружениями вредоносных файлов антивирусным приложением с использованием антивирусной записи. В еще одном частном случае реализации в указанной выше формуле вместо ΔT используется Tmax - максимальный временной интервал (исчисляемый, например, в часах) между обнаружениями вредоносных файлов антивирусным приложением с использованием антивирусной записи. Как видно из приведенных частных случаев реализации изобретения, чем больше времени прошло с момента создания антивирусной записи до момента вычисления коэффициента перспективности, тем меньше значение коэффициента перспективности (K обратно пропорционален T). При этом время создания антивирусной записи может включаться в антивирусную запись (в качестве дополнительной информации) при ее создании (например, специалистом в области информационной безопасности).
Вычисленные коэффициенты перспективности средство оценки перспективности 121 передает антивирусному приложению 101 на компьютере 100, а также средству распределения 125. В частном случае реализации изобретения средство распределения 125 может быть компонентом упомянутого ранее антивирусного приложения, присутствующего на удаленном сервере 120. Средство распределения 125 способно передавать антивирусные записи, хранящиеся в базе данных антивирусных записей 122, располагающейся на удаленном сервере 120, антивирусному приложению 101, в базу данных антивирусных записей 102, располагающуюся на компьютере 100. Антивирусное приложение 101 также способно передавать антивирусные записи, хранящиеся в базе данных антивирусных записей 102, располагающейся на компьютере 100, в базу данных антивирусных записей 122, располагающуюся на удаленном сервере 120. В частном случае реализации изобретения антивирусное приложение 101 и средство распределения 125 способны модифицировать базы данных антивирусных записей 102 и 122, добавляя, удаляя или заменяя антивирусные записи из этих баз данных.
Задача распределения антивирусных записей (изменения их месторасположения между удаленным сервером 120 и компьютером 100) заключается в обеспечении надежного и быстрого доступа антивирусного приложения 101 к эффективным антивирусным записям, при этом в данном контексте под эффективными антивирусными записями подразумеваются антивирусные записи с наибольшими значениями коэффициентов перспективности. Поэтому наиболее эффективные антивирусные записи необходимо разместить на компьютере 100, а именно в базе данных антивирусных записей 102. В то же время, менее эффективные записи также доступны антивирусному приложению 101, но хранятся на удаленном сервере 120 в базе 122.
Средство распределения 125, используя полученные коэффициенты перспективности антивирусных записей, проверяет, нет ли среди антивирусных записей, которые хранятся на удаленном сервере 120, а именно в базе данных антивирусных записей 122, таких антивирусных записей, коэффициенты перспективности которых входили бы в число наибольших коэффициентов перспективности, вычисленных средством оценки перспективности 121. При этом наибольшие коэффициенты перспективности - это множество коэффициентов перспективности с наибольшими значениями. Это множество ограничено по размеру пороговым значением - количество элементов множества не может превышать пороговое значение. В частном случае реализации пороговое значение может принимать значение 100. В частном случае реализации, если коэффициент перспективности антивирусной записи, которая хранится на удаленном сервере 120 в базе данных антивирусных записей 122, попадает в число наибольших коэффициентов перспективности антивирусных записей (где это число не превышает пороговое значение, как было сказано ранее), средство распределения 125 передает эту антивирусную запись компьютеру 100, а именно в базу данных антивирусных записей 102, чтобы антивирусное приложение 101 использовало упомянутую антивирусную запись. В частном случае реализации антивирусная запись, переданная компьютеру 100, удаляется из базы данных антивирусных записей 122, располагающейся на удаленном сервере 120. В еще одном частном случае реализации антивирусная запись, переданная компьютеру 100, не удаляется из базы данных антивирусных записей 122, располагающейся на удаленном сервере 120.
В частном случае реализации, если коэффициент перспективности антивирусной записи, которая хранится на удаленном сервере 120 в базе данных антивирусных записей 122, не попадает в число наибольших коэффициентов перспективности антивирусных записей (где это число не превышает пороговое значение, как было сказано ранее), средство распределения 125 не передает эту антивирусную запись компьютеру 100, а именно в базу данных антивирусных записей 102, чтобы антивирусное приложение 101 использовало упомянутую антивирусную запись.
Антивирусное приложение 101, используя полученные коэффициенты перспективности антивирусных записей, проверяет, нет ли среди антивирусных записей, которые хранятся на компьютере 100, а именно в базе данных антивирусных записей 102, таких антивирусных записей, коэффициенты перспективности которых не входили бы в число наибольших коэффициентов перспективности, вычисленных средством оценки перспективности 121. При этом наибольшие коэффициенты перспективности - это множество коэффициентов перспективности с наибольшими значениями. Это множество ограничено по размеру пороговым значением - количество элементов множества не может превышать пороговое значение. В частном случае реализации пороговое значение может принимать значение 100. В частном случае реализации, если коэффициент перспективности антивирусной записи, которая хранится на компьютере 100 в базе данных антивирусных записей 102, не попадает в число наибольших коэффициентов перспективности антивирусных записей (где это число не превышает пороговое значение, как было сказано ранее), антивирусное приложение 101 передает эту антивирусную запись удаленному серверу 120, а именно в базу данных антивирусных записей 122, чтобы антивирусное приложение 101 использовало упомянутую антивирусную запись. В частном случае реализации антивирусная запись, переданная удаленному серверу 120, удаляется из базы данных антивирусных записей 102, располагающейся на компьютере 100. В еще одном частном случае реализации антивирусная запись, переданная удаленному серверу 120, не удаляется из базы данных антивирусных записей 102, располагающейся на компьютере 100.
В частном случае реализации, если коэффициент перспективности антивирусной записи, которая хранится на компьютере 100 в базе данных антивирусных записей 102, попадает в число наибольших коэффициентов перспективности антивирусных записей (где это число не превышает пороговое значение, как было сказано ранее), антивирусное приложение 101 не передает эту антивирусную запись удаленному серверу 120, а именно в базу данных антивирусных записей 122, чтобы антивирусное приложение 101 использовало упомянутую антивирусную запись.
Стоит отметить, что как антивирусное приложение 101, так и средство распределения 125 могут передавать вышеописанным образом более одной антивирусной записи. В частном случае реализации изобретения вышеупомянутые пороговые значения, ограничивающие размер множества коэффициентов перспективности с наибольшими значениями, принимают одно и то же значение.
В частном случае реализации средство распределения 125 передает антивирусную запись, хранящуюся в базе данных антивирусных записей 122, компьютеру пользователя 100, а именно базе данных антивирусных записей 102, только в том случае, если коэффициент перспективности этой антивирусной записи превышает коэффициент перспективности другой антивирусной записи, хранящейся на компьютере 100 (а именно в базе данных антивирусных записей 102), более, чем на установленное (например, специалистом в области защиты безопасности) число процентов (например 10%); при этом коэффициент перспективности упомянутой антивирусной записи, хранящейся на компьютере 100, не попал в число наибольших коэффициентов перспективности антивирусных записей. Например, если в базе данных антивирусных записей 122 хранится антивирусная запись, чей коэффициент перспективности 551, а в базе данных антивирусных записей 102 хранится антивирусная запись, чей коэффициент перспективности 500, то средство распределения 125 передаст в базу данных антивирусных записей 102 антивирусную запись, хранящуюся в базе данных антивирусных записей 122, чей коэффициент перспективности 551 (10% от числа 500 - 50, а число 551 больше 500 более чем на 10%). В частном случае реализации при сравнении двух коэффициентов перспективности установленное число процентов (которое необходимо превысить коэффициенту перспективности антивирусной записи из базы данных антивирусных записей 122, чтобы эта антивирусная запись была передана в базу данных антивирусных записей 102) вычисляется от наименьшего среди двух сравниваемых коэффициентов перспективности.
В частном случае реализации антивирусное приложение 101 передает антивирусную запись, хранящуюся в базе данных антивирусных записей 102, удаленному серверу 120, а именно базе данных антивирусных записей 122, только в том случае, если коэффициент перспективности другой антивирусной записи, которая хранится на удаленном сервере 120 (а именно, в базе данных антивирусных записей 122), превышает коэффициент перспективности этой антивирусной записи, хранящейся на компьютере 100, более, чем на установленное (например, специалистом в области защиты безопасности) число процентов (например 10%); при этом коэффициент перспективности упомянутой антивирусной записи, хранящейся на удаленном сервере 120, попал в число наибольших коэффициентов перспективности антивирусных записей. Например, если в базе данных антивирусных записей 102 хранится антивирусная запись, чей коэффициент перспективности 500, а в базе данных антивирусных записей 122 хранится антивирусная запись, чей коэффициент перспективности 551, то антивирусное приложение 101 передаст в базу данных антивирусных записей 122 антивирусную запись, хранящуюся в базе данных антивирусных записей 102, чей коэффициент перспективности 500 (10% от числа 500 - 50, а число 551 больше 500 более чем на 10%). В частном случае реализации при сравнении двух коэффициентов перспективности установленное число процентов (которое необходимо превысить коэффициенту перспективности антивирусной записи из базы данных антивирусных записей 122, чтобы антивирусная запись из базы данных антивирусных записей 102 была передана в базу данных антивирусных записей 122) вычисляется от наименьшего среди двух сравниваемых коэффициентов перспективности.
Информацию о местоположениях антивирусных записей, которую используют антивирусное приложение 101 и средство распределения 125 для принятия решений о передаче антивирусных записей, антивирусное приложение 101 и средство распределения 125 получают из базы данных статистики использования антивирусных записей 124.
В частном случае реализации изобретения антивирусные записи, которые антивирусное приложение 101 должно передать (в соответствии с вышеописанной логикой) из базы данных антивирусных записей 102 в базу данных антивирусных записей 122, удаляются из базы данных антивирусных записей 102. При этом база данных антивирусных записей 122, располагающаяся на удаленном сервере 120, может содержать полный набор антивирусных записей, которые используются антивирусным приложением 101: база данных антивирусных записей 122 может дополнительно содержать копии антивирусных записей, которые хранятся в базе данных 102, с указанием того, что эти антивирусные записи - копии. Таким образом, передача антивирусных записей из базы данных антивирусных записей 102 в базу данных антивирусных записей 122 может представлять собой удаление соответствующих антивирусных записей из базы данных антивирусных записей 102, а также удаление для копий удаленных антивирусных записей указания, что упомянутые антивирусные записи - копии, где копии располагаются в базе данных антивирусных записей 122. Соответственно, при перемещении антивирусной записи средством распределения 125 из базы данных антивирусных записей 122 в базу данных антивирусных записей 102 средство распределения может создать копию передаваемой антивирусной записи в базе данных антивирусных записей 122 с указанием того, что созданная антивирусная запись - копия.
На Фиг. 2 изображен вариант способа передачи антивирусных записей, используемых для обнаружения вредоносных файлов. На этапе 201 антивирусное приложение 101 производит сбор статистики использования антивирусных записей, которые используются для обнаружения вредоносных файлов антивирусным приложением 101 на компьютере 100. Собранную статистику антивирусное приложение 101 передает в базу данных статистики использования антивирусных записей 124. Статистику использования антивирусных записей, которая хранится на удаленном сервере 120 в базе данных статистики использования антивирусных записей 124, средство оценки перспективности 121 использует для вычисления коэффициентов перспективности антивирусных записей, статистика использования которых хранится в базе данных статистики использования антивирусных записей 124. На этапе 202 средство оценки перспективности 121 вычисляет коэффициенты перспективности антивирусных записей и передает их антивирусному приложению 101 и средству распределения 125. Далее, на этапе 203, средство распределения 125 передает антивирусные записи, которые хранятся на удаленном сервере 120, а именно в базе данных антивирусных записей 122, компьютеру 100, а именно в базу данных антивирусных записей 102. В частном случае реализации средством распределения 125 производится передача только тех антивирусных записей из базы данных 122, коэффициенты перспективности которых входят в число наибольших коэффициентов перспективности всех антивирусных записей, используемых антивирусным приложением 101. При этом число наибольших коэффициентов перспективности ограничено пороговым значением. На этапе 204 антивирусное приложение 101 передает антивирусные записи, которые хранятся на компьютере 100, а именно в базе данных антивирусных записей 102, удаленному серверу 120, а именно в базу данных антивирусных записей 122. В частном случае реализации антивирусным приложением 101 производится передача только тех антивирусных записей из базы данных 102, коэффициенты перспективности которых не входят в число наибольших коэффициентов перспективности всех антивирусных записей, используемых антивирусным приложением 101. Стоит отметить, что этапы 203 и 204 могут выполняться как в разном (обратном) порядке, так и одновременно.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.
1. Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов, в котором:
a. собирают при помощи антивирусного приложения статистику использования антивирусных записей, используемых для обнаружения вредоносных файлов, при этом одна часть антивирусных записей располагается на компьютере пользователя, а другая часть антивирусных записей располагается на удаленном сервере;
при этом упомянутая антивирусная запись представляет собой информацию, необходимую антивирусному приложению для обнаружения вредоносных файлов;
при этом статистика использования антивирусной записи представляет собой информацию о количестве вредоносных файлов, обнаруженных антивирусным приложением с использованием записи, количестве пользователей, на компьютерах которых присутствуют обнаруженные файлы, местоположение каждого обнаруженного файла, время каждого обнаружения, а также время создания антивирусной записи, используемой для обнаружения вредоносных файлов;
b. вычисляют при помощи средства оценки перспективности коэффициенты перспективности антивирусных записей, используемых антивирусным приложением для обнаружения вредоносных файлов, на основании собранной на этапе ранее статистики использования антивирусных записей, используемых для обнаружения вредоносных файлов;
при этом коэффициент перспективности антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием упомянутой антивирусной записи;
c. передают при помощи средства распределения по меньшей мере одну антивирусную запись, располагающуюся на удаленном сервере, компьютеру пользователя для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение;
d. передают при помощи антивирусного приложения по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает упомянутое ранее пороговое значение.
2. Способ по п. 1, в котором не передают при помощи средства распределения по меньшей мере одну антивирусную запись, располагающуюся на удаленном сервере, компьютеру пользователя для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи не попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает пороговое значение.
3. Способ по п. 1, в котором не передают при помощи антивирусного приложения по меньшей мере одну антивирусную запись, располагающуюся на компьютере пользователя, удаленному серверу для использования антивирусным приложением, если коэффициент перспективности упомянутой антивирусной записи попадает в число наибольших коэффициентов перспективности антивирусных записей, где это число не превышает упомянутое ранее пороговое значение.
4. Способ по п. 1, в котором чем больше времени прошло с момента создания антивирусной записи до момента вычисления коэффициента перспективности, тем меньше значение коэффициента перспективности.
