[发明专利]用于标识可疑的恶意软件文件和站点的方法和系统有效
| 申请号: | 201580025669.9 | 申请日: | 2015-05-18 |
| 公开(公告)号: | CN106462705B | 公开(公告)日: | 2019-06-25 |
| 发明(设计)人: | T.布兰德;D.迈克逊 | 申请(专利权)人: | 微软技术许可有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;H04L29/06 |
| 代理公司: | 北京市金杜律师事务所 11256 | 代理人: | 王茂华 |
| 地址: | 美国华*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本文中公开的是一种用于标识恶意活动的潜在源以及标识来自可疑的恶意源的潜在恶意的文件的系统和方法。通过使用来自已知已被恶意活动感染的设备的锚事件和遥测数据,可以标识两个设备之间的所述遥测数据中的类似的事件。这些卫星事件然后被用于标识可能已被所述卫星事件存放的其它文件,以使得可以向恶意软件研究人员突出那些文件。额外地,可以基于该分析来更新所述恶意软件保护,以将与所述卫星事件相关联的站点标记为恶意站点,以使得所述站点可以被阻止或者隔离。 | ||
| 搜索关键词: | 基于 已知 恶意 环境 中的 出现 标识 可疑 软件 文件 站点 | ||
【主权项】:
1.一种用于标识潜在的恶意软件的方法,包括以下步骤:在第一遥测数据流中标识锚事件,所述锚事件在锚时间段内发生,所述锚时间段包括在所述锚事件发生的时刻之前或之后的预定的时间窗口,所述第一遥测数据流具有第一多个事件,所述第一多个事件各自标识由第一设备执行的活动,其中,所述锚事件是被标识为潜在可疑事件的事件;将第二遥测数据流与所述第一遥测数据流进行比较,所述第二遥测数据流具有第二多个事件,所述第二多个事件各自标识由不同于所述第一设备的第二设备执行的活动;以及基于所述比较,在所述第二遥测数据流中的所述第二多个事件之中标识在所述锚时间段内发生的至少一个卫星事件,所述至少一个卫星事件与所述第一遥测数据流中的所述多个事件中的一个事件相对应,其中,标识所述至少一个卫星事件包括确定所述至少一个卫星事件:是与所述锚事件不同的,并且与所述锚事件有关系,其中,上述各步骤被至少一个处理器执行。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于微软技术许可有限责任公司,未经微软技术许可有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201580025669.9/,转载请声明来源钻瓜专利网。
