[发明专利]检测计算机系统中的恶意活动的来源的系统和方法

权利要求书

1.一种用于检测计算机系统中的恶意活动的来源的方法，包括：

采集与所述计算机系统的对象有关的信息；

基于对采集的所述信息的分析确定所述对象之间的一种或多种关系；

基于采集的与所述对象有关的所述信息以及基于为两个对象之间的关系分配的可靠度形成图形，其中，所述对象表现为所述图形的顶点，所述对象之间的关系表现为所述图形的边，其中，第一对象与第二对象之间的关系的所述可靠度为表征所述第一对象与所述第二对象具有逻辑关系或函数关系的概率的数值；

从形成的所述图形中选择至少两个导出的子图形；

针对每个所选的子图形确定危害系数，所述危害系数表示描述每个所选的子图形的顶点之间的关系的强度的数值特性；

从所选的至少两个子图形中确定危害系数在所选的所述至少两个子图形的确定的所述危害系数中为最小值的子图形，与所述危害系数为最小值的该子图形有关的多个子图形的总危害系数为最大值；以及

将与确定的该子图形的至少一个顶点相关的所述对象识别为所述计算机系统中的所述恶意活动的来源。

2.如权利要求1所述的方法，还包括：

基于子图形与来自图形数据库的至少一个子图形的相似度确定该子图形的危害系数，所述图形数据库包含所述计算机系统的恶意活动的先前形成的图形，所述图形数据库中的每个图形与一个危害系数相关联。

3.如权利要求1所述的方法，其中，子图形的危害系数为表征与该子图形的所述顶点相关的那些对象中的至少一个对象为恶意的概率的危害系数。

4.如权利要求1所述的方法，其中，仅分析通过与因果关系相关联的图形边而与其它子图形有关的子图形。

5.如权利要求1所述的方法，其中，分析直径小于预定阈值的子图形。

6.如权利要求1所述的方法，其中，从找到的所述对象中选择先前未知的对象作为所述恶意活动的来源。

7.如权利要求1所述的方法，其中，所述对象包括文件、文件夹、应用程序、注册表条目和网站中的至少一者。

8.一种用于检测计算机系统中的恶意活动的来源的系统，包括：

硬件处理器，所述硬件处理器被配置为：

采集与所述计算机系统的对象有关的信息；

基于对采集的所述信息的分析确定所述对象之间的一种或多种关系；

基于采集的与所述对象有关的所述信息以及基于为两个对象之间的关系分配的可靠度形成图形，其中，所述对象表现为所述图形的顶点，所述对象之间的关系表现为所述图形的边，其中，第一对象与第二对象之间的关系的所述可靠度为表征所述第一对象与所述第二对象具有逻辑关系或函数关系的概率的数值；

从形成的所述图形中选择至少两个导出的子图形；

针对每个所选的子图形确定危害系数，所述危害系数表示描述每个所选的子图形的顶点之间的关系的强度的数值特性；

从所选的至少两个子图形中确定危害系数在所选的所述至少两个子图形的确定的所述危害系数中为最小值的子图形，与所述危害系数为最小值的该子图形有关的多个子图形的总危害系数为最大值；以及

将与确定的该子图形的至少一个顶点相关的所述对象识别为所述计算机系统中的所述恶意活动的来源。

9.如权利要求8所述的系统，其中，所述硬件处理器还被配置为：

基于子图形与来自图形数据库的至少一个子图形的相似度确定该子图形的危害系数，所述图形数据库包含所述计算机系统的恶意活动的先前形成的图形，所述图形数据库中的每个图形与一个危害系数相关联。

10.如权利要求8所述的系统，其中，子图形的危害系数为表征与该子图形的所述顶点相关的那些对象中的至少一个对象为恶意的概率的危害系数。

11.如权利要求8所述的系统，其中，仅分析通过与因果关系相关联的图形边而与其它子图形有关的子图形。