RU101233U1 - SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING - Google Patents
SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING Download PDFInfo
- Publication number
- RU101233U1 RU101233U1 RU2010130870/08U RU2010130870U RU101233U1 RU 101233 U1 RU101233 U1 RU 101233U1 RU 2010130870/08 U RU2010130870/08 U RU 2010130870/08U RU 2010130870 U RU2010130870 U RU 2010130870U RU 101233 U1 RU101233 U1 RU 101233U1
- Authority
- RU
- Russia
- Prior art keywords
- access
- resources
- file
- storing
- access rights
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
1. Система для ограничения прав доступа к ресурсам, которая включает: процессор, выполняющий процесс файла, запущенный в памяти из исполняемых файлов; память, в которой содержатся процессы файлов, исполняемых на процессоре, и из которой средство защиты и ограничения прав доступа к ресурсам считывает информацию о процессах; средство хранения факторов риска, которым соответствуют определенные группы доступа и веса, при этом средство хранения факторов риска связано со средством хранения множества весов и средством защиты и ограничения прав доступа к ресурсам, при этом средство хранения факторов риска предназначено для хранения факторов риска, которые используются при вычислении рейтинга опасности процесса; средство хранения множества весов, которое предназначено для хранения множества весов, проставляемых по соответствующим факторам риска; средство хранения данных о группах доступа, которое предназначено для определения доступа к определенным ресурсам компьютерной системы, при этом средство хранения групп доступа связано со средством хранения факторов риска и средством хранения ограничений для групп доступа; средство хранения данных об ограничениях для групп доступа к ресурсам компьютерной системы, которым соответствуют определенные группы доступа, при этом средство хранения данных об ограничениях для групп доступа предназначено для определения ограничений доступа к ресурсам компьютерной системы; средство защиты и ограничения прав доступа к ресурсам, предназначенное для инициализации рейтинга опасности для процессов в компьютерной системе, основанной на анализе риска путем сравнения атрибуто 1. A system for restricting access rights to resources, which includes: a processor that executes a file process running in memory from executable files; memory, which contains the processes of files executable on the processor, and from which the means of protection and restriction of access rights to resources reads information about the processes; means for storing risk factors that correspond to certain access and weight groups, while means for storing risk factors are associated with means for storing multiple weights and means of protecting and restricting access rights to resources, while means for storing risk factors are designed to store risk factors that are used when calculating a process hazard rating; means for storing a plurality of scales, which is intended for storing a plurality of scales affixed according to the respective risk factors; means for storing data about access groups, which is designed to determine access to certain resources of a computer system, wherein means for storing access groups is associated with means for storing risk factors and means for storing restrictions for access groups; means for storing data on restrictions for access groups to resources of a computer system to which certain access groups correspond, wherein means for storing data on restrictions for access groups is intended to determine access restrictions to resources of a computer system; a means of protecting and restricting access rights to resources designed to initialize a hazard rating for processes in a computer system based on risk analysis by comparing attributes
Description
Область техникиTechnical field
Полезная модель относится к антивирусным технологиям, в частности, системам ограничения прав доступа к системным ресурсам на основе расчета рейтинга опасности процессов.The utility model relates to antivirus technologies, in particular, systems for restricting access rights to system resources based on calculation of process hazard rating.
Уровень техникиState of the art
В настоящее время распространение вредоносного программного обеспечения (далее ПО) увеличивается, а также увеличивается и вред, который данное ПО наносит компьютерным системам. Существующие системы защиты персональных компьютеров, а также компьютеров в корпоративной сети основаны на обнаружении известных угроз. Однако новые угрозы появляются все чаще и чаще, и становятся необходимыми методы распознавания неизвестных угроз. С ростом коммуникационных сетей, таких как Интернет, увеличивается потребность в обмене данными, включая все более растущее использование почтовых сообщений. Поэтому заражение компьютеров посредством передачи данных через коммуникационные каналы или обмен файлами - это важная задача, которую следует решать. Заражения могут принимать различные формы, но в основном они бывают в виде компьютерных вирусов, троянских программ, и других форм вредоносного кода.Currently, the spread of malicious software (hereinafter referred to as software) is increasing, as well as the damage that this software is causing to computer systems. Existing systems for protecting personal computers, as well as computers in the corporate network, are based on the detection of known threats. However, new threats appear more and more often, and methods for recognizing unknown threats become necessary. With the growth of communication networks such as the Internet, there is an increasing need for data exchange, including the increasing use of mail messages. Therefore, infecting computers through data transfer through communication channels or file sharing is an important task that should be addressed. Infections can take many forms, but they come mostly in the form of computer viruses, trojans, and other forms of malicious code.
Недавние события, связанные с почтовыми атаками, имели большие последствия как для поставщиков интернет-услуг (ISP), так и для множества компаний. Поэтому необходимо улучшать стратегии обнаружения вредоносных атак.Recent events related to email attacks have had major consequences for both Internet Service Providers (ISPs) and many companies. Therefore, it is necessary to improve malware detection strategies.
С одной стороны для детектирования вредоносных программ применяется сигнатурное детектирование. Системы сигнатурного детектирования используют шаблоны кода, которые были получены из известных вредоносных программ, и подозреваемые объекты сканируются на наличие в коде данных шаблонов. Одним из недостатков систем сигнатурного детектирования является то, что таким способом могут быть обнаружены только известные вредоносные программы. Все вредоносные программы, которые не были идентифицированы ранее как вредоносные, а также вредоносные программы, созданные после обновления сигнатурных баз, не будут распознаны данной системой.On the one hand, signature detection is used to detect malware. Signature detection systems use code patterns that were obtained from known malware, and suspected objects are scanned for patterns in the code. One of the drawbacks of signature detection systems is that only known malicious programs can be detected in this way. All malicious programs that were not previously identified as malicious, as well as malware created after updating the signature databases, will not be recognized by this system.
С другой стороны существует технология проверки целостности информации. Системы проверки целостности информации используют код уже известных доверенных (чистых) программ и создается на их основе экземпляр чистого кода программы. Данный экземпляр хранится вместе с информацией о программном файле, такой как заголовок программы и длина файла, дата и время создания экземпляра чистого кода. Через определенные промежутки времени программа сравнивается с хранящимся экземпляром, находящимся в базе данных компьютера для выявления факта модификации программы.On the other hand, there is a technology for checking the integrity of information. Information integrity verification systems use the code of already known trusted (clean) programs, and an instance of pure program code is created on their basis. This instance is stored along with information about the program file, such as the program title and file length, the date and time the copy was created. At certain intervals, the program is compared with a stored instance located in the computer database to identify the fact of program modification.
Системы проверки целостности информации обычно создают длинные списки модифицированных файлов после обновлений операционной системы, когда устанавливается много обновлений программ. Основной недостаток систем проверки целостности заключается в том, что система реагирует на любые изменения в программе, хотя эти изменения могут быть и не вредоносными. Также пользователю сложно решить, является ли то или иное изменение атакой на компьютерную систему.Information integrity verification systems usually create long lists of modified files after updates to the operating system when many software updates are installed. The main disadvantage of integrity systems is that the system responds to any changes in the program, although these changes may not be harmful. It is also difficult for the user to decide whether this or that change is an attack on a computer system.
Системы наблюдения контрольной суммы обнаруживают вредоносные программы с помощью генерации значения циклического кода избыточности (CRC) для каждого программного файла. Модификации программного файла будут обнаружены, если изменится значение CRC. Системы наблюдения контрольной суммы вместе с применением систем проверки целостности улучшают устойчивость общей системы. Тем не менее, системы наблюдения контрольной суммы имеют те же недостатки, как и системы проверки целостности, связанные с большим количеством ложных предупреждений при малейших изменениях программы.Checksum monitoring systems detect malware by generating a cyclic redundancy code (CRC) value for each program file. Modifications to the program file will be detected if the CRC value changes. Checksum monitoring systems along with the use of integrity systems improve the stability of the overall system. However, checksum monitoring systems have the same drawbacks as integrity verification systems, associated with a large number of false warnings at the slightest changes to the program.
Одной из целей представленной полезной модели является анализ файлов на наличие вируса. Для этого осуществляется эмуляция файла с целью определения его поведения, которая в случае представленной полезной модели реализуется при вычислении динамического рейтинга. Также анализируются такие параметры, как размер и имя файла, что в представленной полезной модели реализуется при вычислении статического рейтинга. На основании полученных результатов выносят вердикт о заражении файла вирусом или об отсутствии заражения файла.One of the goals of the presented utility model is to analyze files for the presence of a virus. To do this, the file is emulated in order to determine its behavior, which in the case of the presented utility model is realized when calculating the dynamic rating. Also, parameters such as the size and file name are analyzed, which is implemented in the presented utility model when calculating the static rating. On the basis of the results obtained, a verdict is issued that the file is infected with a virus or that the file is not infected.
Такое использование эмуляции раскрывается в патентной заявке US 2004/0255165, где описывается метод обнаружения вредоносных файлов, который выполняет инструкции подозреваемого файла на эмуляторе. Подобная технология описывается в патенте US 5765030, где приведен режим эмуляции предварительной выборки исполняемых инструкций и устанавливаются флаги, если данные инструкции изменяются после добавления в выборку. В патенте US 5826013 описывается режим эмуляции для нахождения полиморфных вирусов, а в заявке US 2002/0073323 представлена система эмуляции файлов, пытающихся получить доступ к ресурсам компьютерной системы.Such use of emulation is disclosed in patent application US 2004/0255165, which describes a method for detecting malicious files that executes instructions of a suspected file on an emulator. A similar technology is described in US Pat. No. 5,756,030, which describes the emulation mode for pre-fetching executable instructions and sets flags if these instructions change after being added to the sample. US 5,826,013 describes an emulation mode for detecting polymorphic viruses, and US 2002/0073323 discloses a file emulation system attempting to access computer system resources.
Однако данные решения не позволяют динамически изменять рейтинг опасности и отслеживать процесс во время его выполнения, и при обнаружении вредоносных действий, изменять рейтинг опасности.However, these solutions do not allow you to dynamically change the hazard rating and track the process during its execution, and if malicious actions are detected, change the hazard rating.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно ограничить права доступа к системным ресурсам на основе расчета рейтинга опасности процессов.An analysis of the prior art and the possibilities that arise when combining them in one system allows you to get a new result, namely to limit access rights to system resources based on the calculation of the hazard rating of processes.
Раскрытие полезной моделиUtility Model Disclosure
Технический результат настоящей полезной модели заключается в ограничении прав доступа к системным ресурсам на основе расчета статического и динамического рейтинга опасности процессов.The technical result of this utility model is to restrict access rights to system resources based on the calculation of a static and dynamic process hazard rating.
В варианте реализации настоящей полезной модели предоставляется система для ограничения прав доступа к ресурсам, которая включает: процессор, выполняющий процесс файла, запущенный в памяти из исполняемых файлов; память, в которой содержаться процессы файлов, исполняемых на процессоре, и из которой средство защиты и ограничения прав доступа к ресурсам считывает информацию о процессах; средство хранения факторов риска, которым соответствуют определенные группы доступа и веса, при этом средство хранения факторов риска связано со средством хранения множества весов и средством защиты и ограничения прав доступа к ресурсам, при этом средство хранения факторов риска предназначено для хранения факторов риска, которые используются при вычислении рейтинга опасности процесса; средство хранения множества весов, которое предназначено для хранения множества весов, проставляемых по соответствующим факторам риска; средство хранения данных о группах доступа, которое предназначено для определения доступа к определенным ресурсам компьютерной системы, при этом средство хранения групп доступа связано со средством хранения факторов риска и средством хранения ограничений для групп доступа; средство хранения данных об ограничениях для групп доступа к ресурсам компьютерной системы, которым соответствуют определенные группы доступа, при этом средство хранения данных об ограничениях для групп доступа предназначено для определения ограничений доступа к ресурсам компьютерной системы; средство защиты и ограничения прав доступа к ресурсам, предназначенное для инициализации рейтинга опасности для процессов в компьютерной системе, основанной на анализе риска путем сравнения атрибутов исполняемого файла, из которого был запущен процесс в компьютерной системе, с факторами и соответствующими весами риска для составления статистического рейтинга; при этом средство защиты и ограничения прав доступа к ресурсам продолжает отслеживать процессы на предмет обнаружения подозрительных действий и обновления рейтинга опасности процесса по отношению к определенной группе доступа, если он пытается совершить действие, которое относится к соответствующим факторам риска, для составления динамического рейтинга; при этом средство защиты и ограничения прав доступа к ресурсам блокирует доступ процесса к тем ресурсам компьютерной системы, которые находятся на множестве ограничений определенной группы доступа к ресурсам компьютерной системы, которые связаны с группами доступа;In an embodiment of the present utility model, a system is provided for restricting access rights to resources, which includes: a processor executing a file process running in memory from executable files; memory, which contains the processes of files executed on the processor, and from which the means of protection and restriction of access rights to resources reads information about the processes; means for storing risk factors that correspond to certain access and weight groups, while means for storing risk factors are associated with means for storing multiple weights and means of protecting and restricting access rights to resources, while means for storing risk factors are designed to store risk factors that are used when calculating a process hazard rating; means for storing a plurality of scales, which is intended for storing a plurality of scales affixed according to the respective risk factors; means for storing data about access groups, which is designed to determine access to certain resources of a computer system, wherein means for storing access groups is associated with means for storing risk factors and means for storing restrictions for access groups; means for storing data on restrictions for access groups to resources of a computer system to which certain access groups correspond, wherein means for storing data on restrictions for access groups is intended to determine access restrictions to resources of a computer system; a means of protecting and restricting access rights to resources designed to initialize a hazard rating for processes in a computer system based on risk analysis by comparing the attributes of the executable file from which the process was launched in the computer system with factors and corresponding risk weights for compiling a statistical rating; at the same time, the means of protecting and restricting access rights to resources continues to monitor processes for detecting suspicious actions and updating the process danger rating in relation to a specific access group if it tries to perform an action that relates to the corresponding risk factors to compile a dynamic rating; wherein the means of protecting and restricting access rights to resources blocks the access of the process to those resources of the computer system that are on the set of restrictions of a certain access group to resources of the computer system that are associated with access groups;
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам обнаруживает попытку запуска исполняемого файла.In one of the private implementations, a means of protecting and restricting access rights to resources detects an attempt to run an executable file.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для передачи информации о запускаемых исполняемых файлах средству хранения факторов риска.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to transmit information about the executable files being launched to the risk factor storage means.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для обновления рейтинга опасности, если процесс пытается провести подозрительные действия.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to update the hazard rating if the process tries to conduct suspicious actions.
В еще одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для оповещения пользователя, если обновленный рейтинг опасности достигает первого порога.In yet another private embodiment, the means of protecting and restricting access rights to resources is intended to alert the user if the updated hazard rating reaches the first threshold.
В еще одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для блокировки доступа процесса к ресурсам компьютерной системы, если обновленный рейтинг опасности достигает второго порога.In yet another private embodiment, a means of protecting and restricting access rights to resources is intended to block the process from accessing computer system resources if the updated hazard rating reaches a second threshold.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для осуществления лечения процесса, и в случае успеха, разрешает его дальнейшее выполнение.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to carry out treatment of the process, and if successful, allows its further implementation.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для удаления файла, если испорченный файл является независимым, а именно не важным для работы системы, исполняемым файлом.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to delete a file if the damaged file is independent, namely, an executable file that is not important for the operation of the system.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для помещения файла в карантин, если испорченный файл является независимым, а именно не важным для работы системы, исполняемым файлом.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to quarantine the file if the damaged file is independent, namely, an executable file that is not important for the operation of the system.
В одном из частных вариантов реализации средство защиты и ограничения прав доступа к ресурсам предназначено для лечения файла, если испорченный файл является независимым, а именно не важным для работы системы, исполняемым файлом.In one of the private embodiments, the means of protecting and restricting access rights to resources is intended to disinfect a file if the damaged file is independent, namely, an executable file that is not important for the system to operate.
В одном из частных вариантов реализации статический рейтинг опасности основан на статистических свойствах файла, таких как имя файла, размер файла, местоположение файла, структура файла, электронно-цифровая подпись, параметры сжатия файла, а также скачан ли файл с CD-ROM или из сети Интернет.In one particular embodiment, the static hazard rating is based on the statistical properties of the file, such as the file name, file size, file location, file structure, digital signature, file compression settings, and whether the file was downloaded from a CD-ROM or from a network The Internet.
В одном из частных вариантов реализации динамический рейтинг опасности основан на результатах процесса эмуляции.In one particular embodiment, the dynamic hazard rating is based on the results of the emulation process.
В одном из частных вариантов реализации средством защиты и ограничения прав доступа к ресурсам является антивирусное приложение.In one of the private embodiments, the antivirus application is a means of protecting and restricting access rights to resources.
В одном из частных вариантов реализации подозрительным действием является, по меньшей мере, одно из следующих действий: пытается ли процесс сделать запись в памяти других процессов; пытается ли процесс получить доступ к защищенным архивным файлам; пытается ли процесс запустить службу с именем, совпадающим с именем системного процесса; пытается ли процесс запустить службу с именем, совпадающим с именем антивирусного процесса; пытается ли процесс захватить или удалить системную службу; пытается ли процесс захватить или удалить антивирусную службу; пытается ли процесс изменить данные в системном реестре; пытается ли процесс сканировать сетевые ресурсы; пытается ли процесс добавить сетевой ресурс; пытается ли процесс запросить системные привилегии; пытается ли процесс получить доступ к системному ядру; а также на свойствах системных вызовов, совершаемых процессом.In one of the private embodiments, the suspicious action is at least one of the following actions: whether the process is trying to write to the memory of other processes; whether the process is trying to access protected archive files; whether the process is trying to start the service with a name that matches the name of the system process; Whether the process is trying to start the service with a name that matches the name of the anti-virus process; whether the process is trying to hijack or remove a system service; Whether the process is trying to hijack or remove the anti-virus service; whether the process is trying to change data in the registry; whether the process is trying to scan network resources; whether the process is trying to add a network resource; whether the process is trying to request system privileges; whether the process is trying to access the system core; as well as the properties of system calls made by a process.
В одном из частных вариантов реализации ресурсами для групп доступа могут быть следующие ресурсы компьютерной системы: доступ к локальной сети; доступ к сети Интернет; доступ к файлам; доступ к системному реестру; действия с паролями; действия, требующие системных привилегий; и действия, требующие привилегий ядра операционной системы.In one of the private embodiments, the resources for access groups may include the following computer system resources: access to a local network; Internet access file access; access to the registry; actions with passwords; Actions requiring system privileges and actions that require operating system kernel privileges.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present utility model will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:
Фиг.1 показывает примерный вариант реализации способа вычисления рейтинга опасности для процессов.Figure 1 shows an exemplary embodiment of a method for calculating a hazard rating for processes.
Фиг.2 показывает примерный вариант реализации блок-схемы системы для вычисления рейтинга опасности для процессов.Figure 2 shows an example implementation of a block diagram of a system for calculating a hazard rating for processes.
Фиг.3 показывает примерный вариант реализации связи между процессами и группами.Figure 3 shows an exemplary embodiment of communication between processes and groups.
Фиг.4 показывает примерный вариант реализации связи между группами и ресурсами компьютерной системы.4 shows an exemplary embodiment of communication between groups and resources of a computer system.
Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model
Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели, а также способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.Next, exemplary embodiments of the present utility model will be described with reference to the accompanying drawings. The objects and features of the present utility model, as well as the methods for achieving these objects and features, will become apparent by reference to exemplary embodiments. However, the present utility model is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The entity defined in the description is nothing more than the specific details provided to assist a person skilled in the art in an exhaustive understanding of the utility model, and the present utility model is determined only in the scope of the attached formula.
Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).The present utility model is used in general-purpose computers, for example, ordinary computers or servers. Such computers contain a processor, system memory, and a system bus that connects various system components, including system memory, to the processor. A system bus can be one of several types of bus structure, including a memory bus or memory controller, a peripheral bus, and a local bus using any bus architecture. System memory includes read-only memory (ROM) and random access memory (RAM).
Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.The basic input / output system (BIOS), which contains the main programs that help transfer information between items on the computer, such as during startup, is stored in ROM. The computer may further comprise a hard disk drive for reading or writing to a hard disk, a magnetic disk drive for reading from or writing to a removable magnetic disk, and an optical disk drive for reading from or writing to a removable optical disk such as a CD-ROM DVD-ROM or other optical media.
Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.The hard disk drive, the magnetic disk drive and the optical disk drive are also connected to the system bus via the hard disk drive interface, the magnetic disk drive interface and the optical disk drive interface, respectively. Storage devices and related computer-readable media provide non-volatile storage of computer-readable instructions, data structures, program modules and other computer data.
Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.The computer may also contain magnetic cassettes, flash memory cards, digital video discs, Bernoulli cartridges, random access memory (RAM), read-only memory (ROM) and other types of memory.
Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows™ 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT™ File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).A number of software modules may be stored on a hard disk, magnetic disk, optical disk, ROM or RAM, including an operating system (for example, Windows ™ 2000). A computer also includes a file system associated with or included in an operating system, such as a Windows NT ™ File System (NTFS), one or more application programs, other program modules, and program data. The user can enter commands and information into the computer using input / output devices such as a keyboard and pointing device (mouse).
Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.Other input devices may include a microphone, joystick, game pad, satellite dish, scanner, or the like. These and other I / O devices are connected to the processor via the serial port interface, which is connected to the system bus. It should be noted that these I / O devices can connect to other interfaces, such as a parallel port or universal serial port (USB). A monitor or other type of display device also connects to the system bus via an interface, such as a video adapter. In addition, the computer may include other peripheral output devices, such as speakers and printers.
Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.A computer using the claimed systems operates in a network environment using logical connections with one or more remote computers. The remote computer (or computers) can be other computers, servers, routers, network PCs, a peer device, or another common network node. This computer can be connected to a local area network (LAN) or to a wide area network (WAN), to a network in offices, the Internet or an Intranet.
Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.When the computer is used in a LAN network environment, the computer connects to the local network through a network interface or adapter. When used in a WAN network environment, a computer typically includes a modem or other means to establish communications over a wide area network such as the Internet. The modem, which can be internal or external, connects to the system bus via the serial port interface.
Настоящая полезная модель описывает систему и способ вычисления статического и динамического рейтинга опасности процессов.This utility model describes a system and method for calculating a static and dynamic process hazard rating.
В одном варианте реализации система и способ используют анализ риска процесса, основанный на рейтинге опасности R. Рейтинг опасности R изменяется от «безопасного» до «опасного» и вычисляется в процентах от 0 до 100. Соответственно, 0% - это самый безопасный уровень рейтинга, а 100% - самый опасный уровень рейтинга. Для упрощения понимания "опасности" процесса можно ввести 3 уровня опасности: 0 - зеленый, процесс не опасен; 1, 2 - желтый, умеренно опасен; 3 - красный, процесс опасен. Соответственно, в процентном соотношении можно ввести следующее предположение: от 0 до 25% - безопасный, от 25 до 75 - умеренно опасный, больше 75% - опасный. Следует также учесть, что эта информация будет изменяемой. Например, верхняя планка безопасного процесса может снизиться (т.е. безопасный процесс должен иметь не более 10%), как и нижняя, у опасного уровня (вполне возможно, что достаточно будет преодолеть барьер в 60-70% для того, чтобы считать процесс опасным).In one embodiment, the system and method uses a risk analysis of a process based on a hazard rating R. Hazard rating R changes from “safe” to “dangerous” and is calculated as a percentage from 0 to 100. Accordingly, 0% is the safest rating level, and 100% is the most dangerous rating level. To simplify the understanding of the "danger" of the process, 3 hazard levels can be introduced: 0 - green, the process is not dangerous; 1, 2 - yellow, moderately dangerous; 3 - red, the process is dangerous. Accordingly, in percentage terms, the following assumption can be introduced: from 0 to 25% - safe, from 25 to 75 - moderately dangerous, more than 75% - dangerous. It should also be noted that this information will be subject to change. For example, the upper bar of a safe process can decrease (i.e., a safe process should have no more than 10%), as well as the lower one, at a dangerous level (it is quite possible that it will be enough to overcome a barrier of 60-70% in order to count the process dangerous).
Рейтинг опасности R является числом, однако, его можно разделить на две составляющие: динамическую и статическую. Перед тем, как осуществлять запуск файла, специальный анализатор проанализирует следующие параметры: имя файла, размер файла, местонахождение файла, параметры сжатия, источники файла (скачан ли файл с CD-ROM или из интернета). Эти критерии определяют статический рейтинг файла S.The hazard rating R is a number, however, it can be divided into two components: dynamic and static. Before starting a file, a special analyzer will analyze the following parameters: file name, file size, file location, compression parameters, file sources (whether the file was downloaded from a CD-ROM or from the Internet). These criteria determine the static rating of file S.
После этого запускается эмулятор. Происходит изучение результатов эмуляции файла и каждое из поведенческих событий сравнивается с набором критериев оценки и получает индивидуальную оценку опасности. Итоговая оценка является суммой оценок всех операций. Также происходит поиск в исполняемом файле и его памяти (полученной на стадии эмуляции) характерных сигнатур, присущих определенным классам вредоносных программ. Это составляет динамический рейтинг D.After that, the emulator starts. A study of the results of the file emulation takes place and each of the behavioral events is compared with a set of assessment criteria and receives an individual hazard assessment. The final grade is the sum of the ratings of all transactions. A search is also made in the executable file and its memory (obtained at the emulation stage) for the characteristic signatures inherent in certain classes of malware. This constitutes a dynamic rating of D.
Итоговый рейтинг высчитывается на основе динамического и статического рейтингаThe final rating is calculated based on the dynamic and static ratings.
R=R(D,S)R = R (D, S)
Запущенному процессу присваивается рейтинг R.A running process is assigned a rating of R.
При этом рейтинг может изменяться в случае, если процесс совершает какие-то непозволительные действия.Moreover, the rating may change if the process commits some inappropriate actions.
Ниже приведено подробное рассмотрение факторов для оценки рейтинга опасности.The following is a detailed discussion of the factors for assessing a hazard rating.
Одним из факторов может быт источник файла, который может повлиять на рейтинг процесса следующим образом. Файл, полученный на компьютер с дисковода CD-ROM, наверняка имеет меньше шансов быть зараженным, чем загруженный из Интернета файл. Для загруженных из Интернета файлов большое значение имеет ссылка, с которой произошла загрузка. Фактор риска увеличивается, если файл упакован, т.к. вредоносные программы очень часто упаковывают для того, чтобы обойти сигнатурные методы обнаружения вирусов. Месторасположение файла также принимается во внимание, т.к. некоторые исполняемые файлы устанавливают свои копии в определенные директории, а особенно в часто-используемые директории.One of the factors may be the source of the file, which can affect the rating of the process as follows. A file received on a computer from a CD-ROM drive is probably less likely to be infected than a file downloaded from the Internet. For files downloaded from the Internet, the link from which the download occurred is of great importance. The risk factor increases if the file is packed, because malware often packs in order to circumvent signature methods for detecting viruses. The file location is also taken into account, as some executables install their copies in specific directories, and especially in frequently used directories.
Другим фактором для вычисления рейтинга опасности является размер файла. Более опасным будет приниматься во внимание маленький файл, который запускается впервые, нежели большой файл, который постоянно запускается на компьютере. Размер большинства вредоносных файлов варьируется от сотен байт до нескольких мегабайт. Размер вредоносного файла не должен быть слишком большим, т.к. в этом случае становится сложнее распространять его. Рассылка почтовых сообщений с большими зараженными файлами не может быть осуществлена на много компьютеров, в то время как рассылка с небольшими файлами возможна в больших количествах. Например, троянский загрузчик может быть написан на языке программирования «Ассемблер» и иметь размер в 1.5-2 кб, а также может быть написан на языке программирования «Delphi» с применением VCL - а это уже 200-600 кб. Очень редко встречаются полезные приложения размером не более 15-20 кб, т.е. файл размером до 50 кб можно считать подозрительным.Another factor for calculating a hazard rating is file size. More dangerous will be taken into account a small file that is launched for the first time than a large file that is constantly launched on a computer. Most malicious files range in size from hundreds of bytes to several megabytes. The size of the malicious file should not be too large, as in this case, it becomes more difficult to distribute it. Mailing with large infected files cannot be sent to many computers, while mailing with small files is possible in large numbers. For example, the Trojan bootloader can be written in the Assembler programming language and have a size of 1.5-2 kb, and it can also be written in the Delphi programming language using VCL - which is already 200-600 kb. Very rarely are useful applications no larger than 15-20 kb in size, i.e. a file up to 50 kb in size can be considered suspicious.
Атрибуты «Архивный» и «Только для чтения» у файлов встречаются довольно часто, однако наличие атрибутов «Скрытый» и «Системный» у исполняемого файла является сигналом того, что файл подозрительный. Этот фактор добавит, например, 5% к рейтингу опасности.The “Archive” and “Read-only” attributes on files are quite common, however, the presence of the “Hidden” and “System” attributes on the executable file is a signal that the file is suspicious. This factor will add, for example, 5% to the hazard rating.
Рейтинг опасности увеличивается также, если процесс записывает что-то в память других процессов, создает удаленные потоки, производит манипуляции с контекстом потока чужого приложения.The hazard rating also increases if the process writes something to the memory of other processes, creates remote threads, and manipulates the thread context of another application.
Другим фактором риска может быть факт того, что исполняемый файл может быть установщиком. Другими словами, небольшой файл начинает в какой-то момент загружать другой исполняемый файл с сервера Интернета. Также важно учитывать то, как был создан файл, а именно какой процесс создал этот файл, был ли файл загружен из Интернета (а в этом случае важна и ссылка, с которой файл был загружен). Также важно знать, в какой директории был создан файл (например, временная папка файлов из Интернета добавляет большое значение к рейтингу опасности).Another risk factor may be the fact that the executable may be an installer. In other words, a small file begins at some point to download another executable file from the Internet server. It is also important to consider how the file was created, namely, which process created the file, whether the file was downloaded from the Internet (and in this case, the link from which the file was downloaded is also important). It is also important to know in which directory the file was created (for example, a temporary folder of files from the Internet adds great importance to the hazard rating).
Одним из факторов является факт того, подписан ли файл электронно-цифровой подписью, т.к. неподписанные файлы имеют большую вероятность быть вредоносными.One of the factors is the fact that the file is digitally signed, because unsigned files are more likely to be malicious.
Еще среди факторов, влияющих на рейтинг опасности, находятся запись одним процессом в память других процессов, или попытка изменить системные службы. Если процесс копирует себя куда-либо, то к рейтингу опасности добавляется 70%. Если процесс создает исполняемые файлы в папках WINDOWS, SYSTEM32, DRIVERS, то это самый опасный уровень и добавляется 100% к рейтингу опасности. Создание альтернативных файловых потоков ADS в исполняемых файлах и папках устанавливает самый опасный уровень (100% опасности к рейтингу опасности). Создание характерных файлов вроде autorun.inf, runtime.sys и т.д. также является причиной увеличения рейтинга до 100% также как и удаление или модификация системных файлов, доступ к файлам, хранящим пароли и прочую конфиденциальную информацию. Обращение к устройствам типа /.//С, \\.\\PHYSICALDRIVE0 и т.п., а также доступ к C:\WINDOWS\system32\drivers\etc\hosts, C:\boot.ini увеличивает рейтинг опасности до 100%. Удаление любых файлов за пределами папки программы или папки TEMP, а также поиск файлов EXE, DLL, SYS в системных папках по маске устанавливают средний рейтинг опасности «подозрительный».Among the factors influencing the hazard rating are one process writing to the memory of other processes, or trying to change system services. If the process copies itself somewhere, then 70% is added to the hazard rating. If the process creates executable files in the WINDOWS, SYSTEM32, DRIVERS folders, then this is the most dangerous level and 100% of the hazard rating is added. Creating alternative ADS file streams in executable files and folders sets the most dangerous level (100% danger to the hazard rating). Creation of specific files like autorun.inf, runtime.sys, etc. It is also the reason for the rating increase to 100% as well as the removal or modification of system files, access to files storing passwords and other confidential information. Access to devices like /.//С, \\. \\ PHYSICALDRIVE0, etc., as well as access to C: \ WINDOWS \ system32 \ drivers \ etc \ hosts, C: \ boot.ini increases the hazard rating to 100 % Removing any files outside the program folder or the TEMP folder, as well as searching for EXE, DLL, SYS files in system folders by mask, sets the average danger rating to “suspicious”.
Регистрация своего драйвера или службы также является «подозрительной». Удаление или манипулирование службами антивирусов или файр-волла увеличивает рейтинг до самого опасного (например, ChangeServiceConfig(BITS) или DeleteService('McShield'), OpenService(0×1c, "avpcc")). Рейтинг увеличивается до 100%, если у процесса есть доступ к ключам, хранящим пароли или настройки (например, Soft-ware\Ghisler\Total Commander, Software\CoffeeCup Software\Internet\Profiles, Software\Mail.Ru\Agent\mra_logins, SOFTWARE\RIT\The Bat!, SOFT-WARE\Far\Plugins\FTP\Hosts), или процесс работает с ключами автозапуска. Создание ключей в разделе регистрации служб делает рейтинг средне опасным, а удаление существующих - особо опасным (например, удаление ключа типа \Registry\Machine\SYSTEM\ControlSet001\Services\SymEvent или \Registry\Machine\SYSTEM\ControlSet001\Services\SYMTDI).Registering your driver or service is also “suspicious”. Removing or manipulating antivirus or firewall services increases the rating to the most dangerous (for example, ChangeServiceConfig (BITS) or DeleteService ('McShield'), OpenService (0 × 1c, "avpcc")). The rating is increased to 100% if the process has access to keys that store passwords or settings (for example, Soft-ware \ Ghisler \ Total Commander, Software \ CoffeeCup Software \ Internet \ Profiles, Software \ Mail.Ru \ Agent \ mra_logins, SOFTWARE \ RIT \ The Bat !, SOFT-WARE \ Far \ Plugins \ FTP \ Hosts), or the process works with startup keys. Creating keys in the service registration section makes the rating moderately dangerous, and deleting existing ones makes it especially dangerous (for example, deleting a key like \ Registry \ Machine \ SYSTEM \ ControlSet001 \ Services \ SymEvent or \ Registry \ Machine \ SYSTEM \ ControlSet001 \ Services \ SYMTDI).
Получив суммарный рейтинг, система ограничивает те процессы, рейтинг которых слишком велик (т.е. они потенциально опасны). Для ограничения использования ресурсов применяется метод HIPS (Host Intrusion Prevention System - система предотвращения вторжений, объединяющая функционал проактивной защиты и сетевого экрана, которая управляет разрешениями на доступ к файлу, реестру, системным правам, и т.д.). Т.е. для опасных процессов можно запретить использовать сеть и доступ в Интернет, ограничить использование памяти и т.д.Having received a total rating, the system limits those processes whose rating is too high (i.e., they are potentially dangerous). To limit the use of resources, the HIPS method is used (Host Intrusion Prevention System - an intrusion prevention system that combines the functionality of proactive protection and a firewall that controls access permissions for a file, registry, system rights, etc.). Those. for hazardous processes, you can prohibit the use of network and Internet access, limit the use of memory, etc.
HIPS можно использовать с виртуализацией, если, например, процесс хочет создать в системной папке файл, то фактически это сделать ему не разрешается, но при этом этому процессу возвращается положительное значение. В таком случае можно найти и более комплексные вредоносных программ.HIPS can be used with virtualization, if, for example, a process wants to create a file in the system folder, then in fact it is not allowed to do this, but at the same time, this process returns a positive value. In this case, you can find more complex malware.
Во время работы процесс может потребовать ресурсы (например, доступ в сеть), которые можно запросить у пользователя, для того, чтобы он мог сам разрешить это (разрешить программе скачать апдейт и т.п.)During operation, the process may require resources (for example, access to the network) that can be requested from the user in order for him to allow this himself (to allow the program to download the update, etc.)
Существуют некоторые группы правил, по которым вычисляется рейтинг опасности, которые разбиты на следующие категории:There are some groups of rules by which a hazard rating is calculated, which are divided into the following categories:
- Службы и драйверы- Services and drivers
- Процессы- Processes
- Реестр- Registry
- Файловые операции- file operations
- Интернет- The Internet
- Сеть и локальная вычислительная сеть- Network and local area network
- Защищенное хранилище- Secure Store
- Привилегии и отладка- Privileges and debugging
- Руткиты, снятие хуков, защита от антируткитов- Rootkits, removing hooks, anti-rootkit protection
У каждого правила есть собственные параметры, такие как идентификатор, API функция, условия для аргументов (которые задают промежуток значений для того или иного уровня опасности в процентном соотношении), оценка в процентах по количеству операций (1, 2-3, больше 3 операций), решение о возможности признать процесс вредоносным на основании этого правила.Each rule has its own parameters, such as an identifier, an API function, conditions for arguments (which specify a range of values for a particular danger level in percentage terms), a percentage estimate of the number of operations (1, 2-3, more than 3 operations) , a decision on the ability to recognize the process as malicious based on this rule.
Примеры правил приведены ниже.Examples of rules are given below.
Правило «Загрузка драйвера вредоносной программы через низкоуровневое API ntdll.dll»:Rule "Downloading a malware driver through the low-level API ntdll.dll":
Идентификатор правила: 84Rule ID: 84
API функция: Загрузка драйвера (NtLoadDriver)API function: Driver loading (NtLoadDriver)
Условие для аргумента 1: Содержит вхождение группы <Службы/драйвера вредоносных программ>Condition for argument 1: Contains an entry in the <Services / Malware Driver> group
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 100%, 2-3 операции - 100%, >3 операций - 100%Assessment: single operation - 100%, 2-3 operations - 100%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: ДаBased on this rule, you can recognize the process as malicious: Yes
Правило «Загрузка драйвера через низкоуровневое API ntdll.dll»:The rule "Downloading the driver through the low-level API ntdll.dll":
Идентификатор правила: 83Rule ID: 83
API функция: Загрузка драйвера (NtLoadDriver)API function: Driver loading (NtLoadDriver)
Условие для аргумента 1: *Condition for argument 1: *
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 40%, 2-3 операции - 50%, >3 операций - 60%Assessment: single operation - 40%, 2-3 operations - 50%,> 3 operations - 60%
На основании данного правила можно признать процесс вредоносным: НетBased on this rule, you can recognize the process as malicious: No
Правило «Открытие службы антивируса»:Rule "Opening the antivirus service":
Идентификатор правила: 13Rule ID: 13
API функция: Открытие службы (OpenService)API function: Opening a service (OpenService)
Условие для аргумента 1: *Condition for argument 1: *
Условие для аргумента 2: Содержит вхождение группы <Службы антивирусов>Condition for argument 2: Contains an entry in the <Antivirus Services> group
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 20%, 2-3 операции - 30%, >3 операций - 40%Assessment: single operation - 20%, 2-3 operations - 30%,> 3 operations - 40%
На основании данного правила можно признать процесс вредоносным: НетBased on this rule, you can recognize the process as malicious: No
Правило «Создание службы вредоносной программы (имя службы)»:Rule “Creating a malware service (service name)”:
Идентификатор правила: 15Rule ID: 15
API функция: Создание службы/драйвера (CreateService)API function: Create a service / driver (CreateService)
Условие для аргумента 1: *Condition for argument 1: *
Условие для аргумента 2: Содержит вхождение группы <Службы/драйвера вредоносных программ>Condition for argument 2: Contains an entry in the <Services / Malware Driver> group
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 100%, 2-3 операции - 100%, >3 операций - 100%Assessment: single operation - 100%, 2-3 operations - 100%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: ДаBased on this rule, you can recognize the process as malicious: Yes
Правило «Удаление системной службы»:Rule "Removing a system service":
Идентификатор правила: 2Rule ID: 2
API функция: Удаление службы/драйвера (DeleteService)API function: Removing a service / driver (DeleteService)
Условие для аргумента 1: Содержит вхождение группы <Системные службы>Condition for argument 1: Contains an entry in the <System Services> group
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 100%, 2-3 операции - 100%, >3 операций - 100%Assessment: single operation - 100%, 2-3 operations - 100%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: НетBased on this rule, you can recognize the process as malicious: No
Правило «Удаление службы антивируса»:Rule "Removing the antivirus service":
Идентификатор правила: 1Rule ID: 1
API функция: Удаление службы/драйвера (DeleteService)API function: Removing a service / driver (DeleteService)
Условие для аргумента 1: Содержит вхождение группы <Службы антивирусов>Condition for argument 1: Contains an entry in the <Antivirus Services> group
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 100%, 2-3 операции - 100%, >3 операций - 100%Assessment: single operation - 100%, 2-3 operations - 100%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: ДаBased on this rule, you can recognize the process as malicious: Yes
Правило «Манипуляции с autorun.inf (создание)»:Rule "Manipulation with autorun.inf (creation)":
Идентификатор правила: 44Rule ID: 44
API функция: Создание/открытие файла (CreateFile)API function: Create / open a file (CreateFile)
Условие для аргумента 1: Содержит вхождение «autorun.inf»Condition for argument 1: Contains the entry "autorun.inf"
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 100%, 2-3 операции - 100%, >3 операций - 100%Assessment: single operation - 100%, 2-3 operations - 100%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: ДаBased on this rule, you can recognize the process as malicious: Yes
Правило «Манипуляции с autorun.inf (удаление)»:The rule "Manipulation with autorun.inf (removal)":
Идентификатор правила: 43Rule ID: 43
API функция: Удаление файла (DeleteFile)API function: Delete file (DeleteFile)
Условие для аргумента 1: Содержит вхождение «autorun.inf»Condition for argument 1: Contains the entry "autorun.inf"
Условие для аргумента 2: *Condition for argument 2: *
Условие для аргументов 3..N: *Condition for arguments 3..N: *
Оценка: единичная операция - 70%, 2-3 операции - 80%, >3 операций - 100%Assessment: single operation - 70%, 2-3 operations - 80%,> 3 operations - 100%
На основании данного правила можно признать процесс вредоносным: НетBased on this rule, you can recognize the process as malicious: No
Есть группы процессов и сервисов, разбитые на следующие категории: процессы антивирусов, службы антивирусов, окна и элементы интерфейса антивирусов, системные службы, системные процессы, службы/драйвера вредоносных программ, имена файлов служб и драйверов вредоносных программ, принадлежащие антивирусам ключи реестра, важные системные ключи, ключи служб и драйверов, имена для прямого обращения к диску, полные имена критических системных объектов, файлы с настройками и паролями, имена в системном хранилище, используемые вредоносными программами, а также ключи реестра, отвечающие за автозапуск, применяемые для хранения паролей и настроек ПО, применяемые для идентификации ПО и поиска его местоположения.There are groups of processes and services, divided into the following categories: antivirus processes, antivirus services, windows and interface elements of antiviruses, system services, system processes, services / malware drivers, file names of services and malware drivers, registry keys that belong to antiviruses, important system keys, keys of services and drivers, names for direct access to the disk, full names of critical system objects, files with settings and passwords, names in the system storage used by malicious programs frames, as well as registry keys responsible for autostart, used to store passwords and software settings, used to identify the software and search for its location.
На фиг.1 изображена блок-схема метода создания рейтинга опасности для процессов. Как показано на шаге 102 фиг.1, сначала вызывается исполнение файла. На шаге 104, производится анализ риска, используя различные факторы (например, анализ риска на основе ссылок, анализ размера файла, и т.д.). На шаге 106 запускается процесс. На шаге 108 система анализирует риск работы запущенного процесса, поставив в соответствие процессу рейтинг S. Даже если изначально рейтинг S очень низкий (например, от 0 до 25%), то затем рейтинг может изменяться, если процесс производит подозрительные действия. Например, когда процесс копируется куда-нибудь или когда процесс создает исполняемые файлы в папках WINDOWS, SYSTEM32, DRIVERS, то рейтинг опасности сразу же возрастает до 75-100%. Другими действиями, которые могут вызвать повышение рейтинга, могут быть запись одного процесса в память другого процесса. Рейтинг увеличивается также, если процесс пытается получить доступ к защищенным паролем файлам или пытается запустить службу, имя которой совпадает с именем системного процесс, или пытается запустить службу с именем процесса антивируса. Попытки процесса сканировать сетевые ресурсы, добавлять сетевые ресурсы, запрашивать системные привилегии или получать доступ к ядру системы также могут увеличить рейтинг.Figure 1 shows a block diagram of a method for creating a hazard rating for processes. As shown in step 102 of FIG. 1, file execution is first called. At step 104, a risk analysis is performed using various factors (for example, link-based risk analysis, file size analysis, etc.). At step 106, the process starts. At step 108, the system analyzes the risk of the running process running, matching the process with a rating of S. Even if the initial rating of S is very low (for example, from 0 to 25%), then the rating may change if the process performs suspicious actions. For example, when a process is copied somewhere or when a process creates executable files in the WINDOWS, SYSTEM32, DRIVERS folders, the danger rating immediately increases to 75-100%. Other actions that can cause a rating increase may be the recording of one process in the memory of another process. The rating also increases if a process tries to access password-protected files, or tries to start a service whose name matches the name of a system process, or tries to start a service with the name of an antivirus process. Attempts by the process to scan network resources, add network resources, request system privileges or gain access to the system core can also increase the rating.
На шаге 110 систем продолжает наблюдать за процессом на наличие вредоносного поведения. Если система все-таки обнаруживает подозрительное поведение на шаге 112, то она автоматически обновляет рейтинг процесса R на шаге 116.At step 110, the system continues to monitor the process for malicious behavior. If the system still detects suspicious behavior in step 112, then it automatically updates the process rating R in step 116.
На шаге 118, если рейтинг опасности процесса R больше 50%, то процесс считается «подозрительным» или «преимущественно опасным». В этом случае система предупреждает пользователя на шаге 120 и продолжает выполнение процесса на шаге 114, если пользователь не предпринял действий по остановке этого процесса.At step 118, if the hazard rating of the process R is greater than 50%, then the process is considered “suspicious” or “predominantly dangerous”. In this case, the system warns the user at step 120 and continues the process at step 114 if the user has not taken action to stop this process.
Если рейтинг опасности R больше 75% на шаге 112, то процесс считается «опасным», что доказывает то, что процесс вредоносный. В этом случае на шаге 124 выполнение процесса блокируется и затем завершается на шаге 126. На шаге 128 пользователю сообщается о возникшей проблеме. Система может попытаться вылечить процесс на шаге 130, и если это проходит, то система разрешает процессу дальнейшее выполнение на шаге 114. Процесс может быть вылечен, например, если поврежденный участок кода загрузить заново из Интернета и заменить или же восстановить файла из доверенной копии, а затем перезапустить процесс.If the hazard rating R is greater than 75% in step 112, then the process is considered “dangerous”, which proves that the process is malicious. In this case, at step 124, the execution of the process is blocked and then ends at step 126. At step 128, the user is notified of the problem. The system may try to cure the process in step 130, and if it does, then the system allows the process to continue in step 114. The process can be cured, for example, if the damaged section of code is downloaded again from the Internet and replaced or the file is restored from the trusted copy, and then restart the process.
После остановки процесса на шаге 128 система может начать исправление поврежденного файла. Если поврежденный файл является компонентой системы или является полезным файлом (например, полезными файлами могут быть Microsoft Word или Microsoft Excel) на шаге 132, то система может попытаться вылечить файл на шаге 134, таким же образом, как описывалось лечение процесса, и выполнение файла будет продолжено на шаге 114. Однако, если поврежденный файл - независимый исполняемый файл, то система после неудачно попытки лечения, поместит его в карантин или удалит файл на шаге 136 и продолжит наблюдать за процессами на предмет вредоносной активности на шаге 110.After the process stops in step 128, the system may begin to repair the damaged file. If the damaged file is a component of the system or is a useful file (for example, Microsoft Word or Microsoft Excel may be useful files) in step 132, then the system may try to repair the file in step 134, in the same way as the treatment of the process was described, and the file will be executed continued at step 114. However, if the damaged file is an independent executable file, then the system, after an unsuccessful attempt to disinfect, quarantines or deletes the file at step 136 and continues to monitor the processes for malicious activity at step 110.
На фиг.2 изображена система для расчета рейтинга опасности для процессов. Память 22 содержит различные процессы компьютерной системы. Каждый процесс характеризуется множеством атрибутов, которые сравниваются со списком факторов 202а и списком весов 202б в модуле подсчета рейтинга опасности 202, и после этого процессу присваивается определенный рейтинг опасности. В одном из вариантов реализации модуль подсчета рейтинга опасности 202 может быть обособленным устройством, которое также включает в себя собственные процессор и память. В памяти в этом случае хранится стек процессов, список правил и весов. Также в одном из вариантов реализации в состав модуля расчета рейтинга опасности дополнительно входят группы доступа 202в и список ограничений доступа 202г. Более подробно про ограничение прав доступа к ресурсам будет рассмотрено на фиг.3 и 4.Figure 2 shows a system for calculating a hazard rating for processes. The memory 22 contains various processes of a computer system. Each process is characterized by many attributes that are compared with a list of factors 202a and a list of weights 202b in the hazard rating module 202, and after that a certain hazard rating is assigned to the process. In one embodiment, the hazard rating module 202 may be a standalone device that also includes its own processor and memory. In this case, a stack of processes, a list of rules and weights are stored in memory. Also, in one implementation option, the module for calculating the hazard rating additionally includes access groups 202c and a list of access restrictions 202g. In more detail about the restriction of access rights to resources will be discussed in figure 3 and 4.
Обновления о состоянии процессов и изменения весов и правил (например, после исправления их пользователем) устройству предоставляет антивирусное приложение 204. Для того чтобы обеспечить устойчивую работу общей системы, возможна реализация зашифрованного соединения между антивирусным приложением 204 и модулем подсчета рейтинга опасности 202. Система, используя антивирусную программу 204, присваивает начальный рейтинг опасности S процессу. Управляющая программа 212 проверяет процесс на наличие вредоносного поведения. В одном из вариантов реализации управляющая программа может быть встроена в антивирусную программу 204. Если управляющая программа 212 обнаруживает процесс, совершающий подозрительные действия, то система обновляет рейтинг опасности процессу до R, заново сравнивая атрибуты процесса со списком факторов 202а и списком весов 202б, хранящимися на диске 202. Если R больше 50%, то система выдаст сообщение пользователю 212 и продолжит выполнение процесса на процессоре 21. Если R больше 75%, то антивирусная программа 204 определит его как опасный, что будет означать большую вероятность нахождения вредоносного поведения (шаблоны вредоносного поведения хранятся в базе данных 206) в исследуемом процессе. Система блокирует обнаруженное вредоносное действие и останавливает и/или блокирует доступ процесса к компьютерным ресурсам, таким как память, диск, сетевая карта, и т.д. Система, используя антивирусную программу 204, попытается, если это возможно, вылечить процесс путем загрузки чистого кода через Интернет 208 с сервера 210 или восстановить файла из доверенной резервной копии и перезапустить процесс. Система также попытается вылечить обнаруженный вредоносный файла таким же образом, как и процесс, для того чтобы продолжить выполнение программы. Специалисту текущего уровня техники должно быть понятно, что все приведенные процентные значения являются примерами и могут меняться в зависимости от реализации.Updates about the status of processes and changes in weights and rules (for example, after correction by the user) are provided to the device by the anti-virus application 204. In order to ensure stable operation of the common system, it is possible to implement an encrypted connection between the anti-virus application 204 and the hazard rating calculation module 202. The system using antivirus program 204, assigns an initial hazard rating to S process. The control program 212 checks the process for malicious behavior. In one embodiment, the control program can be integrated into the anti-virus program 204. If the control program 212 detects a process that performs suspicious actions, the system updates the hazard rating of the process to R, again comparing the process attributes with the list of factors 202a and the list of weights 202b stored on drive 202. If R is greater than 50%, the system will display a message to user 212 and continue the process on processor 21. If R is greater than 75%, then antivirus program 204 will determine it as dangerous, which will cause There is a greater likelihood of finding malicious behavior (malicious behavior patterns are stored in database 206) in the process under study. The system blocks the detected malicious action and stops and / or blocks the access of the process to computer resources, such as memory, disk, network card, etc. The system, using anti-virus program 204, will try, if possible, to cure the process by downloading clean code via the Internet 208 from server 210 or restore the file from a trusted backup and restart the process. The system will also try to cure the detected malicious file in the same way as the process in order to continue the program. The specialist of the current level of technology should be clear that all percentages given are examples and may vary depending on implementation.
Рейтинг опасности может быть увеличен в зависимости от свойств системных вызовов процесса. Например, свойством системного вызова может быть количество системных вызовов, совершенных процессом. Другим примером может служить имя одной из системных служб или имя ключа системного реестра. Имена критических системных объектов, имена системных служб, имена антивирусных объектов, и т.д. могут быть объединены в группы, и большинство системных вызовов может относиться к этим группам. Подобные группы могут быть сохранены как группы доступа 202в. Таким образом, если процесс совершает системный вызов с параметрами, удовлетворяющими этим группам, рейтинг процесса увеличится.The hazard rating may be increased depending on the properties of the process system calls. For example, a property of a system call may be the number of system calls made by a process. Another example is the name of one of the system services or the name of a registry key. Names of critical system objects, names of system services, names of anti-virus objects, etc. can be grouped, and most system calls can relate to these groups. Similar groups may be stored as access groups 202c. Thus, if a process makes a system call with parameters satisfying these groups, the process rating will increase.
То есть процесс может подходить к группе, в которой будут находиться процессы, имеющие одинаковые разрешения на определенные действия. Если процесс совершает действие, разрешенное для другой группы, но не для своей группы, то эта попытка будет заблокирована и процессу будет повышен рейтинг. Примерами таких действий могут быть доступ к локальной сети, доступ к сети Интернет, доступ к файлам, к системному реестру, и действия по получению привилегий ядра операционной системы.That is, a process can approach a group in which there will be processes that have the same permissions for certain actions. If the process performs an action that is allowed for another group, but not for its group, then this attempt will be blocked and the process will be upgraded. Examples of such actions are access to a local network, access to the Internet, access to files, to the system registry, and actions to obtain privileges of the kernel of the operating system.
Как показано на фиг.3 рейтинг может быть набран в рамках каждой группы. Каждая группа представляет тот список факторов 202а, который затрагивает определенный ресурс, например, доступ к сети или Интернет. Таким образом, каждый процесс по мере своей работы может набирать не один общий рейтинг, а сразу несколько по одному для каждой группы. Например, процесс может интенсивно работать с файлами, набрав большой рейтинг именно для группы файловой системой.As shown in FIG. 3, a rating can be scored within each group. Each group presents that list of factors 202a that affects a particular resource, such as network access or the Internet. Thus, each process, as it works, can gain not one overall rating, but several at once, one for each group. For example, a process can work intensively with files, gaining a high rating for a group specifically with the file system.
В нынешнее время вредоносные программы часто имеют распределенную структуру, имея состав из нескольких частей. Например, многих загрузчики вредоносного программного обеспечения только лишь загружают оставшиеся части вредоносного программного обеспечения, не причиняя никакого другого вреда. В то же время другие части могут иметь строго направленный функционал, который нельзя полностью счесть вредоносным.Currently, malicious programs often have a distributed structure, having a composition of several parts. For example, many malware downloaders only download the rest of the malware without causing any other harm. At the same time, other parts may have strictly directed functionality that cannot be completely considered harmful.
На фиг.4 показано, что для каждой группы есть ограничения по доступу к ресурсам другой группы, которые могут быть сохранены в виде данных в списке ограничений доступа 202г. Например, для группы файловой системы может быть ограничен, а то и вовсе запрещен доступ к ресурсам группы сети (Интернет), так и наоборот. В то же время у группы файловой системы может быть ограниченный доступ к ресурсам группы реестра, что позволит легальным программам производить собственную установку. В то же время неизвестные вредоносные программы не смогут нанести вред компьютеру, так как в случае с теми же загрузчиками для них будет просто отказано в доступе к ресурсам группы файловой системы и они не смогут записать скачанные файлы в определенные папки. Механизм ограничения доступа к ресурсам другой группы может быть выполнен с помощью антивирусного приложения 204, которое также выступает и в качестве средства защиты компьютера от различных угроз.Figure 4 shows that for each group there are restrictions on access to the resources of another group, which can be saved as data in the list of access restrictions 202g. For example, for a file system group, access to the resources of a network (Internet) group may be restricted, or even completely prohibited, and vice versa. At the same time, the file system group may have limited access to the resources of the registry group, which will allow legal programs to perform their own installation. At the same time, unknown malware will not be able to harm the computer, because in the case of the same bootloaders, they will simply be denied access to the resources of the file system group and they will not be able to write downloaded files to specific folders. The mechanism for restricting access to the resources of another group can be performed using the anti-virus application 204, which also acts as a means of protecting the computer from various threats.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of the present utility model defined by the formula. The person skilled in the art will understand that there may be other options for implementing this utility model, consistent with the nature and scope of this utility model.
Claims (15)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010130870/08U RU101233U1 (en) | 2010-07-23 | 2010-07-23 | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010130870/08U RU101233U1 (en) | 2010-07-23 | 2010-07-23 | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU101233U1 true RU101233U1 (en) | 2011-01-10 |
Family
ID=44055139
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2010130870/08U RU101233U1 (en) | 2010-07-23 | 2010-07-23 | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU101233U1 (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2514139C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of creating rules for filtering insignificant events for event log analysis |
| RU2514137C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for automatic adjustment of security means |
| RU2514141C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method of emulating system function calls for evading emulation countermeasures |
| US8925076B2 (en) | 2012-12-11 | 2014-12-30 | Kaspersky Lab Zao | Application-specific re-adjustment of computer security settings |
| RU2546585C2 (en) * | 2013-08-07 | 2015-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of providing application access rights to computer files |
| RU2592460C1 (en) * | 2015-03-31 | 2016-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of controlling privileges of consumers of personal data |
| RU2595510C1 (en) * | 2015-09-30 | 2016-08-27 | Акционерное общество "Лаборатория Касперского" | Method for excluding processes of antivirus scanning on the basis of data on file |
-
2010
- 2010-07-23 RU RU2010130870/08U patent/RU101233U1/en active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2514139C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of creating rules for filtering insignificant events for event log analysis |
| RU2514137C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for automatic adjustment of security means |
| RU2514141C1 (en) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method of emulating system function calls for evading emulation countermeasures |
| US8925076B2 (en) | 2012-12-11 | 2014-12-30 | Kaspersky Lab Zao | Application-specific re-adjustment of computer security settings |
| RU2546585C2 (en) * | 2013-08-07 | 2015-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of providing application access rights to computer files |
| US9460305B2 (en) | 2013-08-07 | 2016-10-04 | AO Kaspersky Lab | System and method for controlling access to encrypted files |
| RU2592460C1 (en) * | 2015-03-31 | 2016-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of controlling privileges of consumers of personal data |
| RU2595510C1 (en) * | 2015-09-30 | 2016-08-27 | Акционерное общество "Лаборатория Касперского" | Method for excluding processes of antivirus scanning on the basis of data on file |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6639588B2 (en) | System and method for detecting malicious files | |
| US7530106B1 (en) | System and method for security rating of computer processes | |
| RU2589862C1 (en) | Method of detecting malicious code in random-access memory | |
| RU2531861C1 (en) | System and method of assessment of harmfullness of code executed in addressing space of confidential process | |
| US9760715B2 (en) | Computer protection against malware affection | |
| US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
| US8566943B2 (en) | Asynchronous processing of events for malware detection | |
| KR101122787B1 (en) | Security-related programming interface | |
| EP2156356B1 (en) | Trusted operating environment for malware detection | |
| RU2514140C1 (en) | System and method for improving quality of detecting malicious objects using rules and priorities | |
| JP2019082989A (en) | Systems and methods of cloud detection, investigation and elimination of targeted attacks | |
| US20060200863A1 (en) | On-access scan of memory for malware | |
| US20080005797A1 (en) | Identifying malware in a boot environment | |
| RU101233U1 (en) | SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING | |
| RU2697954C2 (en) | System and method of creating antivirus record | |
| US7533413B2 (en) | Method and system for processing events | |
| US20050125694A1 (en) | Security policy update supporting at least one security service provider | |
| US9251350B2 (en) | Trusted operating environment for malware detection | |
| US8201253B1 (en) | Performing security functions when a process is created | |
| EP2306356B1 (en) | Asynchronous processing of events for malware detection | |
| RU2583714C2 (en) | Security agent, operating at embedded software level with support of operating system security level | |
| US8640242B2 (en) | Preventing and detecting print-provider startup malware | |
| RU96267U1 (en) | SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS | |
| RU2750628C2 (en) | System and method for determining the file trust level | |
| RU2639666C2 (en) | Removing track of harmful activity from operating system, which is not downloaded on computer device at present |