[发明专利]使程序危险行为模式适应用户计算机系统的系统和方法

说明书

公开了计算机实现的用于检测计算系统上的恶意程序的方法、系统和计算机存储介质。教导模块可将模式加载到活动监视器中并为之建立第一使用方式，在第一使用方式期间，活动监视器检测对应于该模式的威胁，但是不执行用于它们的去除的动作。稍后，在教导周期过程中，活动监视器基于来自提到的模式的事件的检测而检测威胁。如果由于用户动作导致发生事件以及事件具有再现性质或者在本质上是有规律的，则教导模块向模式增加参数，该参数从后续检测排除那些事件或相似事件。在教导周期到期时，教导模块将程序的危险行为模式转换成第二使用方式，在第二使用方式期间，使用修改的模式检测威胁并去除威胁。

技术领域

本公开涉及保护计算机系统免受恶意程序的启发式方法，更具体地说，涉及将高级错误检测用于程序的危险行为模式的方法。

背景技术

在用于计算机系统的杀毒保护的现代解决方案中，应该提供数层保护。除了典型的签名验证(即，使用杀毒数据库搜索危险的未知的程序)之外，杀毒应用程序还应该具备行为检测的能力-即，能够识别来自程序行为的威胁。这种方法使得能够进行新的和未知的威胁的有效检测。

活动监视器是当今杀毒产品的一部分，它们提供计算机系统的前瞻性保护。它们监视所有的程序进程、将其行为与恶意程序的特性模型进行比较。检测到的可疑程序可被例如自动地隔离放置。基于监视器收集的信息，当治疗可疑程序的系统时，可执行由可疑程序在操作系统中执行的动作的退回。此外，活动监视器不断地控制对文件的访问，当请求对文件的访问时，活动监视器保存文件的临时副本。因此，如果杀毒产品检测到对任何文件加密的企图，则临时副本的存在将能够使数据恢复到其原始形式。

这种用于威胁检测的安全系统利用程序的危险行为模式。模式通常由杀毒公司的专家人工开发并包含杀毒产品把它分类为危险的一系列程序动作。在开发的程序的危险行为模式中，存在允许在脚本范围内对恶意行为进行有效检测的一类模式，然而当使用这些模式时，具有在特定环境中发生错误检测(FD) 的巨大风险。然而，尽管高级错误检测，但是这些模式的使用可显著提高杀毒产品对恶意程序的行为检测的质量。

发明内容

本公开的多方面设计成使程序的危险行为模式适应用户的计算机系统并在一组计算机系统上选择性地使用程序的危险行为模式。本公开的多方面的技术成果包括当在用户的计算机系统上使用程序的危险行为模式时，使错误的威胁检测的数量减少。

根据一方面，提供一种计算机实现的用于检测计算系统上的恶意程序的方法。该方法包括：加载被配置成匹配与恶意程序关联的活动的恶意程序模式。恶意程序模式以静默使用方式配置。方法进一步包括：在第一时间段期间使用恶意程序模式检测计算系统上的威胁，其中以静默使用方式使用恶意程序模式包括：基于对应于恶意程序模式的一个或多个事件的检测，检测威胁，但是不执行去除检测到的威胁的动作。方法包括：响应于确定由于用户动作导致发生事件以及事件具有再现性质，向恶意程序模式增加一个或多个参数，该参数配置成从后续检测排除检测到的事件；响应于第一时间段到期，将恶意程序模式转换成活动使用方式。

在另一方面，以活动使用方式使用恶意程序模式包括：检测计算机系统上的对应于恶意程序模式的后续威胁以及执行用于去除的动作。

在另一方面，确定事件具有再现性质包括：确定在给定的第二时间段内是否超过阈值次数地检测到事件。

在另一方面，确定由于用户动作导致发生事件包括：检测用户在计算系统上的活动，该活动包括用户与计算系统的图形用户界面的元件交互和用户与计算系统的输入设备交互中的至少一个。

在另一方面，方法进一步包括：监视在计算机系统内发生的事件；以及生成包括监视的事件列表和关联的事件参数的事件日志，其中基于事件日志的分析确定事件是否具有再现性质。

在另一方面，基于确定由于用户动作导致发生事件以及事件具有再现性质，检测到的威胁表征为错误检测。