用于检测计算机系统中的恶意活动的系统和方法技术方案

用于检测计算机系统中的恶意活动的系统和方法。可以基于关于计算机系统的信息对象和信息对象之间的关系来生成一个或更多个图形，其中信息对象是图形中的顶点，并且关系是图形中的边。生成的图形与现有图形的比较可以确定恶意活动的可能性。

【技术实现步骤摘要】
用于检测计算机系统中的恶意活动的系统和方法相关申请本申请要求2018年6月29日提交的俄罗斯申请No.2018123685的权益，其通过引用全部并入本文。
实施例总地涉及信息安全保证技术，并且更具体地，涉及检测计算机系统中的恶意活动。
技术介绍
在过去十年中计算机技术的快速发展，以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能电话等)的广泛传播已成为在各种活动领域中使用此类设备和将其用于大量任务(从上网冲浪到银行转账和电子文件/记录保存)的强大动力。随着计算机设备数量和在这些设备上运行的软件数量的增长，利用这些设备和技术的恶意程序的数量也迅速增长。目前，存在许多不同类型的恶意程序。某些程序从用户设备窃取个人数据和机密数据(例如登录和密码、银行信息、电子文档)。其他程序利用用户设备构建所谓的僵尸网络，以便执行诸如DDoS-分布式拒绝服务之类的攻击，或者通过转移到其他计算机或计算机网络来彻底破解密码(暴力破解)。还有其他程序通过侵入式广告、付费订阅、发信息至收费号码等为用户提供付费内容。已经设计了一些杀毒程序来对抗上述威胁。但是，在某些情况下，杀毒程序无效。例如，在以计算机系统上的网络攻击(APT-高级持续性威胁)为目标中心的情况下，以及在系统被感染时杀毒程序不能在计算机系统中运行(例如，未安装或被禁用)的情况，杀毒程序可能无效。在某些情况下，确定计算机系统是否被感染需要对计算机系统的状态进行资源消耗分析，分析计算机系统行为日志，分析在计算机网络上发送和接收的数据，分析用户动作等。通常，上述工作是手动完成的，这是耗时且劳动密集的。美国专利No.8,225,041描述了一种性能历史管理方法和系统。例如，分析计算机系统的操作特征，并且结果用于在计算机系统中的数据之间构建链接。基于构建的链接，恢复计算机系统的性能历史。美国专利No.8,225,041成功地处理了恢复和链接在计算机系统中收集的分散数据，但是不能处理基于检测到的数据之间的链接来分析计算机系统的状态。通常，由诸如美国专利No.8,225,041的方法和系统创建的图形中的对象被视为仅显示对象的方向或序列的简单对象。不考虑数学运算。这样的系统不足以检测恶意活动，因为这种任务的复杂性随着对象数量的增加以非线性方式增长。因此，需要在任何时刻或在执行的任何时刻使用计算机系统的状态的确定来更有效地检测计算机系统中的恶意活动。
技术实现思路
在一实施例中，一种用于检测计算机系统中的恶意活动的系统包括：计算平台，该计算平台包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件；以及指令，当在所述计算平台上执行所述指令时，使所述计算平台实现：收集工具，配置为收集关于所述计算机系统的多个信息对象，以及确定所述多个信息对象之间的多个关系，图形构建工具，配置为基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形，其中所述第一中间图形和第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成，以及基于至少第一中间图形和第二中间图形构建最终图形，其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点，以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边，搜索工具，配置为基于相似度阈值从图形数据库中选择与最终图形相似的至少一个预先存在的图形，所述至少一个预先存在的图形被指派恶意活动率，分析工具，被配置为基于所述至少一个预先存在的图形确定恶意活动。在一实施例中，一种用于检测计算机系统中的恶意活动的方法包括：收集关于所述计算机系统的多个信息对象；确定所述多个信息对象之间的多个关系；基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形，其中所述第一中间图形和第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成；基于所述至少第一中间图形和第二中间图形构建最终图形，其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边；基于相似度阈值从图形数据库中选择与最终图形相似的至少一个预先存在的图形，所述至少一个预先存在的图形被指派恶意活动率；以及基于所述至少一个预先存在的图形确定恶意活动。在一实施例中，一种用于确定计算机系统的特性的系统包括：计算平台，该计算平台包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件；以及指令，当在所述计算平台上执行所述指令时，使所述计算平台实现：图形构建工具，配置为接收关于所述计算机系统的多个信息对象和所述多个信息对象之间的多个关系，构建第一图形，包括所述多个信息对象中的至少两个作为顶点以及所述多个关系中的至少一个作为边，构建第二图形，包括所述多个信息对象中的至少两个，基于所述第一图形和所述第二图形构建统一图形，其中所述统一图形包括在所述第一图形和所述第二图形之间共享的所有相同信息对象，以及分析工具，配置为基于所述统一图形确定所述计算机系统的特征。以上概述不旨在描述每个所示实施例或本主题的每个实现方式。下面的附图和详细描述更具体地例证了各种实施例。附图说明考虑到以下结合附图对各种实施例的详细描述，可以更全面地理解本专利技术的主题，其中：图1是根据实施例的用于检测计算机系统中的恶意活动的系统的框图。图2是根据实施例的用于检测计算机系统中的恶意活动的方法的流程图。图3是根据实施例的基于对计算机系统的对象之间的链接的分析而构建的图形的示例性框图。图4是被配置为实现实施例的计算机系统的框图。虽然各种实施例可以进行各种修改和替换形式，但是其细节已经通过附图中的示例示出并且将被详细描述。然而，应该理解，其目的不是将要求保护的专利技术限制于所描述的特定实施例。相反，其目的是涵盖落入由权利要求限定的主题的精神和范围内的所有修改、等同物和替代物。具体实施方式在一实施例中，函数关系意味着对象之间的关联(关系)的类型，其中每个对象的改变是彼此并发的。在函数关系中，缺乏因果关系的主要指标，特别是生产力(对象不相互产生)，时间不对称(对象共存、其中一个不领先于另一个)和不可逆性。参照图1，描绘了根据实施例的用于检测计算机系统中的恶意活动的系统100的框图。在一实施例中，系统100通常包括收集工具110、经训练的选择模型112、图形构建工具120、图形数据库131、搜索工具130和分析工具140。可选地，系统100可以包括重新训练工具150。如将要描述的，系统100对计算机系统对象111进行操作，并且将包括一个或更多个判定141。收集工具110被配置用于收集关于计算机系统对象111的信息(在下文中，分别是“关于对象的信息”和“对象”)，并且基于对收集的信息的分析来确定对象111之间的关系。在一实施例中，每个关系与关系的可靠度相匹配。在一实施例中，收集工具110还被配置用于将关于所收集的对象111的信息和关于所确定的关系的信息发送到图形构建工具120。例如，由收集工具110收集或搜集关于计算机系统对象的信息可以使用安装在计算机系统中的专用驱动程序并通过确保拦截进程之间、在网络上传输的数据来执行。在一实本文档来自技高网...

【技术保护点】
1.一种用于检测计算机系统中的恶意活动的系统，所述系统包括：计算平台，包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件；以及指令，当在所述计算平台上执行所述指令时，使所述计算平台实现：收集工具，被配置为：收集关于所述计算机系统的多个信息对象，以及确定所述多个信息对象之间的多个关系，图形构建工具，被配置为：基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形，其中所述第一中间图形和所述第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成，以及基于至少第一中间图形和第二中间图形构建最终图形，其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点，以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边，搜索工具，被配置为：基于相似度阈值从图形数据库中选择与所述最终图形相似的至少一个预先存在的图形，所述至少一个预先存在的图形被指派恶意活动率，分析工具，被配置为基于所述至少一个预先存在的图形确定恶意活动。

【技术特征摘要】
2018.06.29 RU 2018123685;2018.09.28 US 16/146,1421.一种用于检测计算机系统中的恶意活动的系统，所述系统包括：计算平台，包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件；以及指令，当在所述计算平台上执行所述指令时，使所述计算平台实现：收集工具，被配置为：收集关于所述计算机系统的多个信息对象，以及确定所述多个信息对象之间的多个关系，图形构建工具，被配置为：基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形，其中所述第一中间图形和所述第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成，以及基于至少第一中间图形和第二中间图形构建最终图形，其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点，以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边，搜索工具，被配置为：基于相似度阈值从图形数据库中选择与所述最终图形相似的至少一个预先存在的图形，所述至少一个预先存在的图形被指派恶意活动率，分析工具，被配置为基于所述至少一个预先存在的图形确定恶意活动。2.如权利要求1所述的系统，其中所述多个信息对象是文件、网络分组、网站、随机存取存储器(RAM)页、系统进程、操作系统对象、操作系统事件、操作系统日志中的条目、应用程序日志中的条目、主文件表(MFT)中的条目或操作系统注册表中的条目中的至少一个。3.如权利要求1所述的系统，其中所述收集工具还被配置为通过确定所述多个信息对象中的两个之间的关系的可靠程度来确定多个关系中的至少一个，作为表征所述多个信息对象中的两个中的第一个与所述多个信息对象中的两个中的第二个具有逻辑关系或函数关系的概率的数值。4.如权利要求3所述的系统，其中所述收集工具还被配置为当所述可靠程度超过可靠性阈值时，将所述多个信息对象和所述多个关系发送到所述图形构建工具。5.如权利要求1所述的系统，其中使用经训练的选择模型选择所述多个信息对象，所述经训练的选择模型先前由具有已知恶意的训练样本来训练。6.如权利要求4所述的系统，其中在所述计算平台上执行所述指令使所述计算平台进一步实现：重新训练工具，被配置为基于所述恶意活动的确定通过以下步骤来重新训练所述经训练的选择模型：将所述收集工具收集的所述多个信息对象从所述收集工具的第一实例减少到所述收集工具的第二实例，以及将用于所述图形构建工具的资源消耗从所述收集工具的第一实例减少到所述收集工具的第二实例。7.如权利要求1所述的系统，其中所述图形构建工具还被配置为通过至少减少信息对象之间的关系、消除具有预定义对象特征的信息对象、消除具有预定义关系特征的关系、消除重复关系或最小化关系线之间的交点数量来优化所述最终图形。8.如权利要求1所述的系统，其中基于所述多个信息对象和已知恶意活动用图形来填充所述图形数据库。9.如权利要求1所述的系统，其中所述分析工具被配置为通过分析所述至少一个预先存在的图形的所述恶意活动率和所述至少一个预先存在的图形与所述最终图形的相似性来确定恶意活动。10.如权利要求9所述的系统，其中所述恶意活动率根据以下公式计算：其中w是所分析的计算机系统的恶意活动率；wj...

【专利技术属性】
技术研发人员：伊戈尔·I·索门科夫，谢尔盖·Y·戈洛瓦诺夫，
申请(专利权)人：卡巴斯基实验室股份公司，
类型：发明
国别省市：俄罗斯,RU