[发明专利]使程序危险行为模式适应用户计算机系统的系统和方法

权利要求书

1.一种计算机实现的用于检测计算系统上的恶意程序的方法，所述方法包括：

由部署在所述计算系统上的杀毒软件加载被配置成匹配与所述恶意程序关联的活动的恶意程序模式，其中所述杀毒软件在静默使用方式下使用所述恶意程序模式；

所述杀毒软件在第一时间段期间在所述静默使用方式下使用所述恶意程序模式检测所述计算系统上的威胁，其中所述静默使用方式包括：基于对与所述恶意程序模式对应的一个或多个事件的检测，检测所述威胁，但是不执行去除来自所述计算系统的检测到的威胁的动作；

所述杀毒软件响应于确定与用户与所述计算系统的图形用户界面的元件的交互相关的所述事件以及所述事件具有再现性质，向所述恶意程序模式增加一个或多个参数，所述参数配置成从后续检测中排除检测到的事件，所述确定所述事件具有再现性质包括：确定在给定的第二时间段内是否超过阈值次数地检测到所述事件，如果所述检测到的事件与可信程序相关联，则从所述后续检测中排除所述检测到的事件；以及

响应于所述第一时间段到期，所述杀毒软件将所述恶意程序模式转换成活动使用方式，其中，以所述活动使用方式使用所述恶意程序模式包括：检测所述计算系统上的对应于所述恶意程序模式的后续威胁以及执行用于去除的动作。

2.根据权利要求1所述的方法，其中，所述静默使用方式还包括：收集一个或多个与所述检测到的威胁相关的统计，所收集到的统计包括如下至少之一：威胁标识符、模式标识符、与所述检测到的威胁关联的一个或多个文件和一个或多个进程的名称和哈希和。

3.根据权利要求1所述的方法，进一步包括：

所述杀毒软件监视在所述计算系统内发生的事件；以及

生成事件日志，所述事件日志包括被监视事件的列表和关联的事件参数，其中基于对所述事件日志的分析来确定所述事件是否具有所述再现性质。

4.根据权利要求1所述的方法，其中，基于确定由于用户动作导致发生所述事件以及所述事件具有所述再现性质，检测到的威胁被表征为错误检测。

5.一种用于检测计算系统上的恶意程序的系统，所述系统包括：

输入设备，配置成接收用户动作；以及

硬件处理器，配置成：

由部署在所述系统上的杀毒软件加载被配置成匹配与所述恶意程序关联的活动的恶意程序模式，其中所述杀毒软件在静默使用方式下使用所述恶意程序模式；

所述杀毒软件在第一时间段期间在所述静默使用方式下使用所述恶意程序模式检测所述计算系统上的威胁，其中所述静默使用方式包括：基于对应于所述恶意程序模式的一个或多个事件的检测，检测所述威胁，但是不执行去除来自所述计算系统的检测到的威胁的动作；

所述杀毒软件响应于确定与用户与所述计算系统的图形用户界面的元件的交互相关的所述事件以及所述事件具有再现性质，向所述恶意程序模式增加一个或多个参数，所述参数配置成从后续检测排除检测到的事件，所述确定所述事件具有再现性质包括：确定在给定的第二时间段内是否超过阈值次数地检测到所述事件，如果所述检测到的事件与可信程序相关联，则从所述后续检测中排除所述检测到的事件；以及

响应于所述第一时间段到期，所述杀毒软件将所述恶意程序模式转换成活动使用方式，其中，以所述活动使用方式使用所述恶意程序模式包括：

检测所述计算系统上的对应于所述恶意程序模式的后续威胁以及执行用于去除的动作。

6.根据权利要求5所述的系统，其中，所述静默使用方式还包括：收集一个或多个与所述检测到的威胁相关的统计，所收集到的统计包括如下至少之一：威胁标识符、模式标识符、与所述检测到的威胁关联的一个或多个文件和一个或多个进程的名称和哈希和。

7.根据权利要求5所述的系统，其中，所述处理器进一步配置成：

所述杀毒软件监视在所述计算系统内发生的事件；以及

生成包括监视的事件列表和关联的事件参数的事件日志，其中基于对所述事件日志的分析来确定所述事件是否具有再现性质。