【技术实现步骤摘要】
用于检测计算机系统中的恶意活动的系统和方法相关申请本申请要求2018年6月29日提交的俄罗斯申请No.2018123685的权益,其通过引用全部并入本文。
实施例总地涉及信息安全保证技术,并且更具体地,涉及检测计算机系统中的恶意活动。
技术介绍
在过去十年中计算机技术的快速发展,以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能电话等)的广泛传播已成为在各种活动领域中使用此类设备和将其用于大量任务(从上网冲浪到银行转账和电子文件/记录保存)的强大动力。随着计算机设备数量和在这些设备上运行的软件数量的增长,利用这些设备和技术的恶意程序的数量也迅速增长。目前,存在许多不同类型的恶意程序。某些程序从用户设备窃取个人数据和机密数据(例如登录和密码、银行信息、电子文档)。其他程序利用用户设备构建所谓的僵尸网络,以便执行诸如DDoS-分布式拒绝服务之类的攻击,或者通过转移到其他计算机或计算机网络来彻底破解密码(暴力破解)。还有其他程序通过侵入式广告、付费订阅、发信息至收费号码等为用户提供付费内容。已经设计了一些杀毒程序来对抗上述威胁。但是,在某些情况下,杀毒程序无效。例如,在以计算机系统上的网络攻击(APT-高级持续性威胁)为目标中心的情况下,以及在系统被感染时杀毒程序不能在计算机系统中运行(例如,未安装或被禁用)的情况,杀毒程序可能无效。在某些情况下,确定计算机系统是否被感染需要对计算机系统的状态进行资源消耗分析,分析计算机系统行为日志,分析在计算机网络上发送和接收的数据,分析用户动作等。通常,上述工作是手动完成的,这是耗时且劳动密集的。美国专利No.8,22 ...
【技术保护点】
1.一种用于检测计算机系统中的恶意活动的系统,所述系统包括:计算平台,包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件;以及指令,当在所述计算平台上执行所述指令时,使所述计算平台实现:收集工具,被配置为:收集关于所述计算机系统的多个信息对象,以及确定所述多个信息对象之间的多个关系,图形构建工具,被配置为:基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和所述第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成,以及基于至少第一中间图形和第二中间图形构建最终图形,其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点,以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边,搜索工具,被配置为:基于相似度阈值从图形数据库中选择与所述最终图形相似的至少一个预先存在的图形,所述至少一个预先存在的图形被指派恶意活动率,分析工具,被配置为基于所述至少一个预先存在的图形确定恶意活动。
【技术特征摘要】
2018.06.29 RU 2018123685;2018.09.28 US 16/146,1421.一种用于检测计算机系统中的恶意活动的系统,所述系统包括:计算平台,包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器的计算硬件;以及指令,当在所述计算平台上执行所述指令时,使所述计算平台实现:收集工具,被配置为:收集关于所述计算机系统的多个信息对象,以及确定所述多个信息对象之间的多个关系,图形构建工具,被配置为:基于所述多个信息对象和所述多个关系构建至少第一中间图形和第二中间图形,其中所述第一中间图形和所述第二中间图形以所述多个信息对象作为顶点并且所述多个关系作为边来形成,以及基于至少第一中间图形和第二中间图形构建最终图形,其中所述最终图形包括来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点,以及连接来自所述第一中间图形的至少一个顶点和来自所述第二中间图形的至少一个顶点的至少一个边,搜索工具,被配置为:基于相似度阈值从图形数据库中选择与所述最终图形相似的至少一个预先存在的图形,所述至少一个预先存在的图形被指派恶意活动率,分析工具,被配置为基于所述至少一个预先存在的图形确定恶意活动。2.如权利要求1所述的系统,其中所述多个信息对象是文件、网络分组、网站、随机存取存储器(RAM)页、系统进程、操作系统对象、操作系统事件、操作系统日志中的条目、应用程序日志中的条目、主文件表(MFT)中的条目或操作系统注册表中的条目中的至少一个。3.如权利要求1所述的系统,其中所述收集工具还被配置为通过确定所述多个信息对象中的两个之间的关系的可靠程度来确定多个关系中的至少一个,作为表征所述多个信息对象中的两个中的第一个与所述多个信息对象中的两个中的第二个具有逻辑关系或函数关系的概率的数值。4.如权利要求3所述的系统,其中所述收集工具还被配置为当所述可靠程度超过可靠性阈值时,将所述多个信息对象和所述多个关系发送到所述图形构建工具。5.如权利要求1所述的系统,其中使用经训练的选择模型选择所述多个信息对象,所述经训练的选择模型先前由具有已知恶意的训练样本来训练。6.如权利要求4所述的系统,其中在所述计算平台上执行所述指令使所述计算平台进一步实现:重新训练工具,被配置为基于所述恶意活动的确定通过以下步骤来重新训练所述经训练的选择模型:将所述收集工具收集的所述多个信息对象从所述收集工具的第一实例减少到所述收集工具的第二实例,以及将用于所述图形构建工具的资源消耗从所述收集工具的第一实例减少到所述收集工具的第二实例。7.如权利要求1所述的系统,其中所述图形构建工具还被配置为通过至少减少信息对象之间的关系、消除具有预定义对象特征的信息对象、消除具有预定义关系特征的关系、消除重复关系或最小化关系线之间的交点数量来优化所述最终图形。8.如权利要求1所述的系统,其中基于所述多个信息对象和已知恶意活动用图形来填充所述图形数据库。9.如权利要求1所述的系统,其中所述分析工具被配置为通过分析所述至少一个预先存在的图形的所述恶意活动率和所述至少一个预先存在的图形与所述最终图形的相似性来确定恶意活动。10.如权利要求9所述的系统,其中所述恶意活动率根据以下公式计算:其中w是所分析的计算机系统的恶意活动率;wj...
【专利技术属性】
技术研发人员:伊戈尔·I·索门科夫,谢尔盖·Y·戈洛瓦诺夫,
申请(专利权)人:卡巴斯基实验室股份公司,
类型:发明
国别省市:俄罗斯,RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。