Устранение ложных срабатываний антивирусных записей

Устранение ложных срабатываний антивирусных записей

Иллюстрации

Показать все

Реферат

Область техники

Изобретение относится к системам и способам управления антивирусными записями на множестве компьютеров пользователей.

Уровень техники

В настоящее время одной из задач антивирусной индустрии является поддержание антивирусных баз в актуальном состоянии. За то небольшое время, когда вредоносное приложение пока еще не обнаружено ведущими антивирусными экспертами и компаниями, оно может быть скачано сотни тысяч раз различными пользователям и сможет заразить большое количество компьютеров. Поэтому своевременное обновление антивирусных баз позволяет адекватно и быстро осуществлять борьбу с вредоносным программным обеспечением (ПО). Но стоит отметить, что количество программного обеспечения, в том числе и вредоносного, постоянно растет, в связи с чем необходимы проактивные методы (эвристический анализ, эмуляция кода, анализ поведения и пр.) обнаружения подобных приложений. Для борьбы с неизвестными вредоносными приложениями современные антивирусные компании используют методы эвристического обнаружения, методы исполнения неизвестных приложений в защищенной среде или песочнице (англ. sandbox, honeypot) с использованием виртуализации, а также различные способы ограничения функционала приложений на основе анализа их активности, например, использование системы предотвращения атак на уровне компьютера (англ. Host-based Intrusion Prevention System, HIPS).

Тем не менее, нельзя полностью полагаться на все вышеперечисленные методы, так как все они обладают определенными недостатками, связанными как с особенностью их работы, так и с их использованием в современных антивирусных приложениях, в которых пользователь вправе выставить настройки, которые не дадут использовать эти технологии в полной мере, так как они могут отнимать заметное количество процессорного времени и ресурсов компьютера в целом, например, при старте неизвестных приложений. До окончания проверки неизвестных приложений пользователь может отключить, например, их исполнение в защищенной среде (например, на виртуальной машине) или же уменьшить время, которое отводится на эмуляцию.

В связи с возможными рисками неэффективной работы проактивных технологий и ввиду постоянного роста количества вредоносных приложений все более популярными становятся так называемые «белые списки» (whitelist) - базы чистых файлов. «Белые списки» создаются для таких объектов, как файлы, приложения, ссылки, адресатов электронной почты, а также для учетных записей пользователей систем мгновенного обмена сообщениями, журналов обмена сообщениями, IP-адресов, имен хостов, имен доменов и так далее. Подобные списки можно составлять исходя из многих факторов: наличия электронной цифровой подписи или иных данных производителя, данных об источнике (откуда приложение было получено), данных о связях приложения (отношения родитель-ребенок), данных о версии приложения (например, приложение можно считать проверенным исходя из того, что прошлая версия также была в «белом списке»), данных о переменных окружения (операционная система, параметры запуска) и т.д.

Перед каждым выпуском обновлений сигнатур для антивирусных баз они должны быть проверены на предмет коллизий, например, с «белым списком» файлов. Стоит отметить, что большинство исследуемых неизвестных исполняемых файлов на данный момент являются так называемыми РЕ-файлами (англ. Portable Executable - переносимый исполняемый) и имеют РЕ-формат (для семейства операционных систем «Windows», под которые создается большая часть вредоносного программного обеспечения). РЕ-файл содержит заголовок, некоторое количество секций, которые составляют образ исполняемого приложения, и оверлея, являющегося сегментом приложения, подгружаемым при необходимости во время его выполнения.

В настоящий момент для того, чтобы создать сигнатуру файла, используют различные уникальные части файла. Чаще всего для этих целей используют участок некоторой секции кода. Однако нередки ситуации, когда эксперт ошибочно интерпретирует библиотечный или иной широко используемый код как часть вредоносного, так как данный фрагмент присутствует во вредоносном приложении. В этом случае создается сигнатура, которая ошибочно содержит фрагмент файла, который может присутствовать в большом множестве чистых файлов (например, фрагмент динамической библиотеки). Данная сигнатура будет успешно обнаружена во вредоносном приложении, однако все другие файлы, которые будут содержать данный фрагмент кода, но при этом являются чистыми, эта сигнатура также будет определять вредоносными. В этом случае говорят, что использование сигнатуры вызывает ложное срабатывание, т.к. она будет обнаружена в чистом файле.

Работа антивирусных приложений так или иначе связана с какими-либо антивирусными записями, например, правилами, шаблонами, списками, сигнатурами, в создании которых, как правило, принимает участие эксперт. Данные антивирусные записи позволяют обнаружить вредоносное ПО и удалить его. Но в данном процессе также не исключен человеческий фактор, и эксперт может допустить ошибку, сделав, например, сигнатуру, которая будет определять чистое ПО, информация о котором находится в «белом списке» файлов, как вредоносное. Следует также отметить, что не только эксперт может сделать ошибку. Существуют системы автоматического формирования антивирусных записей, которые, пытаясь обнаружить как можно больше вредоносного ПО, неизбежно охватывают и некоторые чистые приложения. При этом могут возникнуть ситуации, когда необходимое для работы пользователя специальное ПО, не являющееся вредоносным, блокируется антивирусным приложением, использующим сформированные антивирусные записи, и подобные ситуации могут существенно снижать лояльность пользователей к определенному антивирусному приложению в будущем.

Таким образом, задачи своевременного обнаружения ложных срабатываний и устранения ложных срабатываний являются важными и актуальными для антивирусной отрасли. На сегодняшний день известны различные подходы, позволяющие уменьшить количество ложных срабатываний.

В заявке WO 2007087141 А1 описывается метод для уменьшения количества ложных срабатываний. Суть его сводится к последовательной проверке сначала по списку вредоносных файлов, а затем по списку чистых файлов. Но описанный метод не позволяет находить ложные срабатывания антивирусных записей, которые не содержатся в списке вредоносных файлов или в списке чистых файлов.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно системой и способом управления антивирусными записями на множестве компьютеров пользователей.

Раскрытие изобретения

Настоящее изобретение относится к системам и способам управления антивирусными записями на множестве компьютеров пользователей.

Технический результат заключается в сокращении количества антивирусных записей на компьютерах пользователей, использование которых антивирусным приложением вызывает ложные срабатывания.

Согласно варианту реализации используется способ управления антивирусными записями на множестве компьютеров пользователей, в котором: в течение заданного времени собирают с помощью средства обработки параметры антивирусной записи со статусом «рабочая», при ее срабатывании по меньшей мере на одном компьютере пользователя, при этом статус «рабочая» означает, что при срабатывании антивирусной записи на компьютере пользователя с использованием антивирусного приложения производятся действия по устранению вредоносного содержимого файла, на котором сработала антивирусная запись; собирают с помощью средства обработки статистику срабатывания антивирусной записи, которая содержит зависимость количества компьютеров пользователей, на которых сработала упомянутая антивирусная запись, от времени; определяют с помощью средства обработки общее количество компьютеров пользователей, на которых сработала упомянутая антивирусная запись; с помощью средства классификации с использованием параметров антивирусной записи и статистики срабатывания антивирусной записи определяют принадлежность антивирусной записи к классу антивирусных записей, использование которых вызывает ложное срабатывание, если определенное общее количество компьютеров пользователей превышает заданное пороговое значение; изменяют с помощью средства классификации статус упомянутой антивирусной записи с «рабочей» на «тестовую», при этом статус «тестовая» означает прекращение выполнения действий с помощью антивирусного приложения по устранению вредоносного содержимого файла, на котором сработала антивирусная запись; отправляют с помощью средства обработки антивирусному приложению, установленному на компьютерах пользователей измененный статус упомянутой антивирусной записи.

Согласно одному из частных вариантов реализации используют один из следующих алгоритмов классификации: метод опорных векторов, байесовский классификатор, нейронная сеть, логистическая регрессия; при этом объектом классификации является антивирусная запись, признаком объекта классификации является по меньшей мере один из параметров антивирусной записи, а алгоритм классификации определяет принадлежность упомянутого объекта к одному из двух классов: к первому классу относится антивирусная запись, содержащая ложное срабатывание, а ко второму классу относится антивирусная запись, которая определяет вредоносный файл.

Согласно другому частному варианту реализации к первому классу дополнительно относится антивирусная запись, с помощью которой определяют доверенный файл.

Согласно еще одному частному варианту реализации дополнительным признаком объекта классификации является по меньшей мере одна из статистических функций для выборки из числа пользователей, у которых сработала упомянутая антивирусная запись, при этом упомянутой статистической функцией является по меньшей мере одна из следующих: моменты, выборочные моменты, тренд, закон распределения, наличие компоненты сезонности и период компоненты сезонности.

Согласно одному из частных вариантов реализации алгоритм классификации построен с помощью средства классификации с использованием обучающей выборки, которая, в свою очередь, формируется с помощью средства обработки следующим образом: формируют обучающую выборку из антивирусных записей, для которых заранее известно разделение на два класса, при этом каждой антивирусной записи из обучающей выборки присваивают статус «тестовой»; отправляют антивирусному приложению, установленному по меньшей мере на двух компьютерах пользователей обучающую выборку антивирусных записей; в течение заданного времени после отправки, собирают параметры сработавших антивирусных записей из обучающей выборки и статистику срабатывания антивирусных записей, при этом упомянутая статистика для каждой антивирусной записи включает зависимость количества компьютеров пользователей, у которых сработала антивирусная запись, от времени; дополняют обучающую выборку собранными параметрами сработавших антивирусных записей, при этом исключают из обучающей выборки антивирусные записи, которые не сработали на предыдущем шаге.

Согласно другому частному варианту реализации к статистике срабатывания антивирусной записи применяют с помощью средства обработки по меньшей мере одно из следующих преобразований временного ряда: нормировка, удаление тренда, удаление шума.

Согласно еще одному частному варианту реализации к статистике срабатывания антивирусной записи применяют с помощью средства обработки по меньшей мере одно из преобразований: дискретное вейвлет-предобразование; дискретное преобразование Фурье; при этом дополнительными признаками классификации являются параметры выполненного преобразования.

Согласно одному из частных вариантов реализации изменяют с помощью средства обработки значение порога в зависимости от типа антивирусной записи.

Согласно другому частному варианту реализации параметрами антивирусной записи являются: дата и время срабатывания антивирусной записи; имя файла, для которого сработала антивирусная запись; путь к упомянутому файлу; хэш-сумма упомянутого файла; тип антивирусной записи; тип приложения пользователя; регион нахождения компьютера пользователя.

Согласно еще одному частному варианту реализации определяют с помощью средства обработки, что антивирусная запись сработала в течение заданного времени на таком количестве компьютеров пользователей, которое превышает заданное пороговое значение с использованием даты и времени срабатывания антивирусной записи, а также имени файла, пути к упомянутому файлу и хэш-суммы файла, которому соответствует упомянутая антивирусная запись.

Согласно одному из частных вариантов реализации время, в течение которого выбираются только те антивирусные записи, которые были выявлены у такого количества компьютеров пользователей, которое превышает заданное пороговое значение, отсчитывается с момента отправки соответствующей антивирусной записи по меньшей мере одному пользователю антивирусного приложения.

Согласно другому частному варианту реализации приложениям пользователя разных типов соответствует разный вес, который учитывается при подсчете числа пользователей выявленной антивирусной записи при сравнении упомянутого числа пользователей с заданным порогом.

Согласно еще одному частному варианту реализации дополнительным параметром антивирусной записи является регион нахождения компьютера пользователя.

Согласно одному из частных вариантов реализации изменяют с помощью средства обработки пороговое значение в зависимости от числа сработавших антивирусных записей.

Согласно другому частному варианту реализации при устранении вредоносного содержимого файла выполняется с помощью антивирусного приложения одно или несколько действий: удаление файла; перенос файла в каталог карантина; оповещение пользователя; изменение вредоносного участка кода файла.

Согласно варианту реализации используется система управления антивирусными записями на множестве компьютеров пользователей, содержащая: по меньшей мере один компьютер пользователя, содержащий антивирусное приложение, которое предназначено для: выполнения действий по устранению вредоносного содержимого файла, на котором сработала антивирусная запись со статусом «рабочая»; прекращения выполнения действий по устранению вредоносного содержимого файла, на котором сработала антивирусная запись, если ее статус был изменен с «рабочей» на «тестовую»; удаленный сервер, в свою очередь, содержащий: средство обработки, предназначенное для: сбора в течение заданного времени параметров антивирусной записи со статусом «рабочая», при ее срабатывании по меньшей мере на одном компьютере пользователя; сбора статистики срабатывания антивирусной записи, которая содержит зависимость количества компьютеров пользователей, на которых сработала упомянутая антивирусная запись, от времени; определения общего количества компьютеров пользователей, на которых сработала упомянутая антивирусная запись; отправки антивирусному приложению, установленному на компьютерах пользователей измененного средством классификации статуса упомянутой антивирусной записи; упомянутое средство классификации, связанное со средством обработки и предназначенное для: определения принадлежности антивирусной записи к классу антивирусных записей, содержащих ложное срабатывание, с помощью алгоритма классификации с использованием параметров антивирусной записи и статистики срабатывания антивирусной записи, если определенное общее количество компьютеров пользователей превышает заданное пороговое значение, изменения статуса упомянутой антивирусной записи с «рабочей» на «тестовую».

Согласно одному из частных вариантов реализации средство классификации использует один из следующих алгоритмов классификации: метод опорных векторов, байесовский классификатор, нейронная сеть, логистическая регрессия; при этом объектом классификации является антивирусная запись, признаком объекта классификации является по меньшей мере один из параметров антивирусной записи, а алгоритм классификации определяет принадлежность упомянутого объекта к одному из двух классов: к первому классу относится антивирусная запись, содержащая ложное срабатывание, а ко второму классу относится антивирусная запись, которая определяет вредоносный файл.

Согласно другому частному варианту реализации к первому классу дополнительно относится антивирусная запись, с помощью которой определяют доверенный файл.

Согласно еще одному частному варианту реализации дополнительным признаком объекта классификации является по меньшей мере одна из статистических функций для выборки из числа пользователей, у которых сработала упомянутая антивирусная запись, при этом упомянутой статистической функцией является по меньшей мере одна из следующих: моменты, выборочные моменты, тренд, закон распределения, наличие компоненты сезонности и период компоненты сезонности.

Согласно одному из частных вариантов реализации средство обработки дополнительно предназначено для: формирования обучающей выборки из антивирусных записей, для которых заранее известно разделение на два класса, при этом каждой антивирусной записи из обучающей выборки присваивают статус «тестовой»; отправки антивирусному приложению, установленному по меньшей мере на двух компьютерах пользователей обучающей выборки антивирусных записей; сбора параметров сработавших антивирусных записей из обучающей выборки и статистики срабатывания антивирусных записей в течение заданного времени после отправки, при этом упомянутая статистика для каждой антивирусной записи включает зависимость количества компьютеров пользователей, у которых сработала антивирусная запись, от времени; дополнения обучающей выборки собранными параметрами сработавших антивирусных записей с исключением из обучающей выборки антивирусных записей, которые не сработали на предыдущем шаге; средство классификации дополнительно предназначено для построения алгоритма классификации с использованием обучающей выборки.

Согласно другому частному варианту реализации средство обработки дополнительно предназначено для применения к статистике срабатывания антивирусной записи по меньшей мере одного из следующих преобразований временного ряда: нормировка, удаление тренда, удаление шума.

Согласно еще одному частному варианту реализации средство обработки дополнительно предназначено для преобразования статистики срабатывания антивирусной записи по меньшей мере одним из преобразований: дискретное вейвлет-предобразование; дискретное преобразование Фурье; при этом дополнительными признаками классификации являются параметры выполненного преобразования.

Согласно одному из частных вариантов реализации средство обработки предназначено для изменения значения порога в зависимости от типа антивирусной записи.

Согласно другому частному варианту реализации параметрами антивирусной записи являются: дата и время срабатывания антивирусной записи; имя файла, для которого сработала антивирусная запись; путь к упомянутому файлу; хэш-сумма файла; тип антивирусной записи; тип приложения пользователя; регион нахождения компьютера пользователя.

Согласно еще одному частному варианту реализации средство обработки предназначено для определения, что антивирусная запись сработала в течение заданного времени на таком количестве компьютеров пользователей, которое превышает заданное пороговое значение с использованием даты и времени срабатывания антивирусной записи, а также имени файла, пути к упомянутому файлу и хэш-суммы файла, которому соответствует упомянутая антивирусная запись.

Согласно одному из частных вариантов реализации время, в течение которого выбираются только те антивирусные записи, которые были выявлены у такого количества компьютеров пользователей, которое превышает заданное пороговое значение, отсчитывается с момента отправки соответствующей антивирусной записи по меньшей мере одному пользователю антивирусного приложения.

Согласно другому частному варианту реализации приложениям пользователя разных типов соответствует разный вес, который учитывается при подсчете числа компьютеров пользователей выявленной антивирусной записи при сравнении упомянутого числа пользователей с заданным порогом.

Согласно еще одному частному варианту реализации дополнительным параметром антивирусной записи является регион нахождения компьютера пользователя.

Согласно одному из частных вариантов реализации средство обработки предназначено для изменения значения порога в зависимости от числа сработавших антивирусных записей.

Согласно другому частному варианту реализации при устранении вредоносного содержимого файла антивирусное приложение предназначено для выполнения одного или несколько действий: удаления файла; переноса файла в каталог карантина; оповещения пользователя; изменения вредоносного участка кода файла.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1 изображен известный вариант схемы работы системы для обновления антивирусных баз.

На Фиг. 2 изображен механизм антивирусной проверки на компьютере.

На Фиг. 3 изображена система защиты от вредоносного ПО в соответствии с вариантом реализации.

На Фиг. 4 представлена система управления антивирусными записями на множестве компьютеров пользователей.

На Фиг. 5 представлен способ управления антивирусными записями на множестве компьютеров.

На Фиг. 6 представлен пример статистики срабатывания антивирусной записи.

На Фиг. 7 представлена динамика изменения во времени общего числа компьютеров, на которых сработала антивирусная запись.

Фиг. 8 иллюстрирует пример классификации антивирусных записей.

Фиг. 9 представляет пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 изображен известный вариант схемы работы системы для обновления антивирусных баз. Как правило, обновления антивирусных баз направляются от сервера с обновлениями 110 через сеть Интернет 140 на компьютер 120 с установленным антивирусным приложением 170. На сервере с обновлениями 110 находится постоянно пополняемая антивирусная база данных 130, и антивирусная компания располагает средствами пополнения указанной антивирусной базы данных 130. Так, антивирусная компания постоянно выпускает новые антивирусные записи разного типа (например, сигнатуры, эвристики, средства родительского контроля и другие объекты), которые она может выпускать в двух статусах - как уже проверенные и рабочие антивирусные записи, так и тестовые антивирусные записи.

Соответственно, антивирусная база данных 130 содержит как проверенные рабочие записи, так и тестовые. Рабочие антивирусные записи (сигнатуры, эвристики и другие) отличаются от тестовых записей тем, что в случае срабатывания (обнаружения) рабочей записи произойдет оповещение пользователя об этом событии, или антивирусным приложением 170 будут выполнены действия по устранению вредоносного содержимого файла (например, удаление или лечение вредоносного файла). Если же запись была тестовой, то в этом случае пользователь не будет оповещен, и действия по устранению вредоносного содержимого файла не будут произведены. Таким образом, здесь и далее под рабочей записью подразумевается антивирусная запись со статусом «рабочая», а под тестовой записью подразумевается антивирусная запись со статусом «тестовая». Под срабатыванием антивирусной записи здесь и далее понимается определение файла вредоносным с помощью антивирусного приложения с использованием антивирусной записи. Например, в файле был найден участок секции кода, присутствующий в сигнатуре.

В частном примере реализации антивирусное приложение 170 выполняет действия по устранению вредоносного содержимого файла, на котором сработала антивирусная запись со статусом «рабочая». Такими действиями могут быть, например, одно или несколько действий: удаление файла, перенос файла в каталог карантина, оповещение пользователя, изменение вредоносного участка кода файла. В другом частном примере реализации, антивирусное приложение 170 прекращает выполнение действий по устранению вредоносного содержимого файла, на котором сработала антивирусная запись, если ее статус был изменен с «рабочей» на «тестовую». В еще одном частном варианте реализации, пользователь может сам задать список действий антивирусного приложения 170, которые будут выполняться при срабатывании рабочей и тестовой антивирусных записей. В настоящем изобретении под файлом понимается любая последовательность байтов, хранимая на диске компьютера пользователя 120, например: приложения, ссылки, сообщения электронной почты, а также учетные записи пользователей систем мгновенного обмена сообщениями, журналы обмена сообщениями, IP-адреса, имена хостов, имена доменов и так далее.

Следует отметить, что работа системы не ограничивается использованием антивирусных записей с указанными статусами, таких статусов может быть большее количество. Антивирусное приложение 170 периодически проверяет сервер с обновлениями 110 на предмет наличия обновлений антивирусных баз. Если базы были обновлены, то антивирусное приложение 170 получает новые антивирусные записи через сеть Интернет 140 от сервера с обновлениями 110. На компьютере 120 установлено антивирусное приложение 170, имеющее в своем составе средство обновления 150, которому передаются записи из антивирусной базы данных 130. Антивирусное приложение имеет собственную антивирусную базу 160, в которой находятся как рабочие записи, так и тестовые. Антивирусную базу 160 может использовать один из модулей защиты антивирусного приложения 170 - это может быть модуль сигнатурной проверки, эмулятор, средство эвристической проверки и другие. Новые записи из антивирусной базы данных 130, как со статусом «рабочие», так и со статусом «тестовые», передаются средством обновления 150 в антивирусную базу 160. Каждая запись, находящаяся в антивирусной базе 160, обладает уникальным идентификатором. Каждая антивирусная запись позволяет обнаружить один или несколько вредоносных файлов, имеющих рассчитанную хеш-сумму (например, SHA-3, SHA-2, SHA-1, MD5 и др.). Отношением между уникальным идентификатором антивирусной записи и хеш-суммой файлов является «многие ко многим». Например, одна запись с уникальным идентификатором может соответствовать нескольким хеш-суммам. В то же время одна хеш-сумма может соответствовать нескольким записям - это может произойти, например, если вначале на конкретную хеш-сумму была наложена отдельная запись с уникальным идентификатором, а потом была создана новая запись, которая позволяет обнаруживать целое семейство подобных вредоносных программ. Следует отметить, что процесс такого антивирусного обновления может происходить с заданным интервалом (например, раз в час). Если после антивирусного обновления в антивирусную базу 160 попадет, например, сигнатура, при использовании которой файл, не являющийся вредоносным, определяется антивирусным приложением как вредоносный, то подобное событие называется ложным срабатыванием и ведет к ложному оповещению пользователя или к ложному действию, выполняемому с обнаруженным файлом антивирусным приложением 170. В течение нескольких часов до следующего антивирусного обновления, когда такая ошибка может быть исправлена, на огромном количестве компьютеров 120 может произойти ложное срабатывание, и огромное количество пользователей будут оповещены об обнаружении чистого файла в качестве вредоносного. В то же время, анализ и исправление антивирусных записей может занять много времени. Поэтому необходим механизм, позволяющий провести оперативное выявление антивирусных записей с ложным срабатыванием и изменение их статуса с «рабочего» на «тестовый» до выпуска и распространения основного обновления антивирусных баз. В этом случае, пользователь не будет получать ложные оповещения, а антивирусное приложение 170 не будет выполнять действия по устранению вредоносного содержимого файла, который в действительности является чистым. Антивирусная компания при этом будет иметь достаточно времени для исправления обнаруженных антивирусных записей. Если использование антивирусной записи все же не вызывает ложного срабатывания, ее статус будет изменен обратно с «тестовой» на «рабочую».

На Фиг. 2 изображен механизм антивирусной проверки на компьютере. Антивирусное приложение 170, установленное на каком-либо компьютере 120, для осуществления антивирусных задач использует антивирусные базы 160. В антивирусной базе 160 находятся рабочие антивирусные записи 210, при срабатывании которых пользователь может быть проинформирован о данном событии, и тестовые антивирусные записи 220. Каждая антивирусная запись имеет свой уникальный идентификатор. При антивирусной проверке того или иного файла 200 антивирусное приложение 170 может использовать какую-либо запись с уникальным идентификатором из антивирусной базы данных 160. Каждая запись из антивирусной базы данных 160 отвечает за вердикт 230 по результатам проверки. На основании вердикта 230 будет принято решение отнести проверяемый файл 200 к вредоносным файлам 230а. Под сработавшей антивирусной записью здесь и далее подразумевается выявленная антивирусная запись, которой соответствует проверяемый файл 200. Но есть вероятность того, что данная запись и вердикт по ней не верны, так как, например, в ходе обновления антивирусных баз 160 на компьютере 120 может оказаться антивирусная запись, которая отнесет проверяемый файл 200 к вредоносным 230а, хотя данный файл 200 не является таковым. Поэтому необходимо иметь инструмент проверки актуальности статуса сработавшей записи, а также оперативного исправления неактуальных статусов антивирусных записей.

На Фиг. 3 изображена система защиты от вредоносного ПО в соответствии с вариантом реализации. Системой защиты от вредоносного ПО является антивирусное приложение 170, которое содержит ряд модулей защиты 320, позволяющих обнаружить и, например, удалить вредоносное ПО. Для работы ряда модулей защиты 320 антивирусное приложение 170 в своем составе имеет собственную антивирусную базу 160, которая содержит как рабочие записи 210, так и тестовые записи 220. Каждая антивирусная запись имеет свой уникальный идентификатор. При антивирусной проверке того или иного файла 200 какой-либо модуль защиты из ряда модулей защиты 320 может использовать записи из антивирусной базы данных 160. Такими записями являются, например, сигнатуры, эвристики, политики родительского контроля и так далее. Следует отметить, что не все модули защиты из ряда модулей защиты 320 используют одни и те же записи. В зависимости от типа файла 200 используется соответствующий модуль защиты, который использует антивирусные записи при проверке данного файла 200. Несколько модулей защиты могут также осуществлять проверку файла 200 совместно. Какой-либо модуль защиты из ряда модулей защиты 320 для антивирусной проверки того или иного файла 200 может использовать как рабочую запись 210, так и тестовую запись 220. Также антивирусное приложение 170 может иметь в своем составе кэш 330, необходимый для хранения исправлений антивирусных записей, если исправления будут предоставлены антивирусной компанией. Исправления, например, исправленные записи или статусы записей, которые находятся в кэше 330, обладают более высоким приоритетом по сравнению с записями с тем же идентификатором из антивирусной базы 160. Если при антивирусной проверке того или иного файла 200 каким-либо модулем защиты из ряда модулей защиты 320 будет существовать возможность использования для данного файла 200 антивирусной записи из антивирусной базы 160 и антивирусной записи с тем же идентификатором из кэша 330, то этот модуль защиты выберет запись из кэша 330. В случае срабатывания антивирусной записи, как рабочей, так и тестовой, информация о сработавшей записи отправляется удаленному серверу 340, на котором может быть проверена актуальность статуса сработавшей записи. Ниже будет подробно описан способ управления антивирусными записями, т.е. способ проверки актуальности статуса антивирусной записи. Удаленный сервер 340 находится на стороне антивирусной компании и принимает статистическую информацию о сработавших антивирусных записях и об обнаруженных этими записями файлах 200 от множества компьютеров 120, на которых установлено антивирусное приложение 170. Связь между антивирусным приложением 170 и удаленным сервером 340 осуществляется через сеть Интернет 140. Если при работе какого-либо модуля защиты из ряда модулей защиты 320 сработала антивирусная запись из антивирусной базы 160, то данный модуль направляет запрос удаленному серверу 340 с целью проверки актуальности статуса сработавшей записи. Так, например, запрос будет отправлен до вывода оповещения об обнаружении сработавшей записью со статусом «рабочая» вредоносного файла. Если ответ на запрос будет подтверждать актуальность статуса сработавшей записи, то произойдет оповещение, а также дальнейшие действия, направленные на устранение вредоносного содержимого файла 200, в котором антивирусной записью был обнаружен вредоносный код. Ответ от удаленного сервера 340 на запрос модуля защиты из числа модулей защиты 320 может содержать измененный статус антивирусной записи, например, с «рабочей» на «тестовую». В этом случае, оповещение пользователя и нейтрализация файла 200 не последуют.

На Фиг. 4 представлена система управления антивирусными записями на множестве компьютеров пользователей. Для осуществления управления антивирусными записи на компьютерах 120 (т.е. проверка актуальности и изменение статусов антивирусных записей) в соответствии с настоящим изобретением, на Фиг. 4 представлен более подробный вариант реализации системы, ранее показанной на Фиг. 1 и Фиг. 3.

Для лучшего понимания вариантов реализации изобретения, дальнейшее описание будет вестись исходя из управления одной антивирусной записью. Однако, очевидно, система является масштабируемой и применима для управления любым количеством антивирусных записей.

Удаленный сервер 340 содержит средство обработки 410 и средство классификации 420. При срабатывании антивирусной записи на компьютере 120, информация о сработавшей антивирусной записи отправляется удаленному серверу 340. В частном примере реализации, отправляемая информация содержит параметры антивирусной записи, такие как, например:

- дата и время срабатывания антивирусной записи;

- имя файла, для которого сработала антивирусная запись;

- путь к упомянутому файлу;

- тип антивирусной записи (например, сигнатура, эвристика, средство родительского контроля и пр.);

- тип приложения пользователя;

- регион нахождения компьютера пользователя.

Средство обработки 410 является компонентом удаленного сервера 340 и предназначено для сбора в течение заданного времени (например, 12 часов) параметров антивирусной записи со статусом «рабочая» при ее срабатывании на компьютере 120. Кроме этого, средство обработки 410 собирает статистику срабатыван