[发明专利]用于检测及预测与计算机病毒相关的蔓延的系统和方法

权利要求书

1.一种用于检测恶意软件蔓延的方法，所述方法在具有处理器和存储器的计算机上执行，所述方法包括：

(a)检测与恶意软件相关的威胁；

(b)基于所述威胁的参数计算该威胁的活跃值；

(c)基于已知的威胁活跃性的爆发为所述威胁活跃性爆发设置阈值；

(d)基于已知的蔓延为威胁活跃性蔓延设置阈值；

(e)将所述威胁活跃值和所述威胁活跃性爆发阈值相比较；

(f)如果所述威胁活跃性超过了所述威胁活跃性爆发阈值，则将所述威胁活跃值和所述威胁活跃性蔓延阈值相比较；

(g)如果所述威胁活跃性超过了所述活跃性蔓延阈值，则在选择的时间段监视所述威胁活跃性；和

(e)如果所述威胁活跃性在所述预设的时间段持续地超过所述活跃性蔓延阈值，则检测到恶意软件蔓延。

2.如权利要求1所述的方法，其中，所述威胁的参数是：

应用程序的启动；

计算机系统上的攻击；

对利用系统安全性弱点的尝试；和

文件下载。

3.如权利要求1所述的方法，其中，所述威胁活跃性爆发阈值是根据在当中检测到与恶意软件相关的威胁的地理区域的活跃性爆发统计信息来设置的。

4.如权利要求1所述的方法，其中，所述威胁活跃性蔓延阈值是根据在当中检测到与恶意软件相关的威胁的地理区域的蔓延活跃性的统计信息来设置的。

5.如权利要求1所述的方法，其中，如果所述威胁活跃值没有超过所述威胁活跃性蔓延阈值，那么该活跃性被认为是所述威胁活跃性的爆发。

6.如权利要求1所述的方法，进一步包括产生针对蔓延传播的预后。

7.如权利要求6所述的方法，其中，所述预后反映了所述恶意软件威胁蔓延在另一个地理区域中的概率。

8.如权利要求6所述的方法，其中，所述预后反映了所述恶意软件威胁蔓延在其一旦传播到另一个地理区域时的活跃度。

9.一种用于产生针对恶意软件蔓延的预后的方法，所述方法在具有处理器和存储器的计算机上执行，所述方法包括：

在源头地理区域中检测蔓延；

计算在源头地理区域和其它联接的地理区域之间的联接强度系数；

基于在源头地理区域和其它联接的地理区域之间的联接强度系数为每个所述联接的地理区域计算所述蔓延的概率；和

针对预设的时间增量计算每个所述联接的地理区域中所述蔓延的活跃度，

其中，所述活跃度是基于恶意软件参数来计算的。

10.如权利要求9所述的方法，进一步包括通过分析所述恶意软件文件的哈希值和所述文件的发布源来确定所述蔓延的源头。

11.如权利要求9所述的方法，其中，所述恶意软件参数是：

应用程序的启动；

计算机系统上的攻击；

对利用系统安全性的弱点的尝试；和

文件下载。

12.如权利要求9所述的方法，其中，所述联接强度系数是基于所述地理区域之间的联接通道的数目来计算的。

13.如权利要求9所述的方法，其中，所述联接强度系数是基于所述地理区域之间的信息交换量来计算的。

14.如权利要求9所述的方法，其中，所述地理区域是国家。

15.如权利要求9所述的方法，其中，所述地理区域是国家内的地区。

16.如权利要求9所述的方法，其中，所述预后是在检测到所述蔓延时自动产生的。

17.一种用于检测与恶意软件相关的蔓延的系统，所述系统包括：

恶意软件检测系统；

连接到所述恶意软件检测系统的实时处理数据库；

防御模块；

可由所述恶意软件检测系统访问的白名单数据库；

连接到所述防御模块并且可由所述恶意软件检测系统访问的反病毒记录数据库；和

连接到所述实时处理数据库的延迟分析数据库，

其中：

将由所述实时处理数据库从所述防御模块接收的原始数据和所述白名单数据库相比较；

所述检测系统从所述实时处理数据库接收数据并且比对反病毒数据库运行数据；

所述防御模块确定数据是否包括恶意软件；并且

如果检测到恶意软件，则由所述防御模块计算恶意软件的活跃度；

所述防御模块确定恶意软件的来源；

所述防御模块确定恶意软件是否引起蔓延；和

如果检测到蔓延，则所述防御模块产生针对蔓延传播的预后。