[发明专利]检测计算机系统中的恶意活动的来源的系统和方法

说明书

本文中公开了检测计算机系统中的恶意活动的来源的系统和方法。一种示例性方法包括：采集关于所述计算机系统的对象的信息；基于采集的关于所述对象的所述信息形成图形；从形成的所述图形中选择至少两个导出的子图形；针对每个所选的子图形确定危害系数，所述危害系数表示描述每个所选的子图形的所述顶点之间的关系的强度的数值特性；从所选的所述子图形中确定危害系数在所选的所述子图形的确定的危害系数中为最小值的子图形，与危害系数为最小值的该子图形有关的子图形的总危害系数为最大值；以及将与确定的该子图形的至少一个顶点相关的所述对象识别为所述计算机系统中的所述恶意活动的来源。

技术领域

本发明涉及用于提供信息安全的技术，更具体地涉及检测计算机系统中的恶意活动的来源的系统和方法。

背景技术

近十年来，计算机技术的快速发展、以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛使用，已成为在不同活动领域和大量的任务(从因特网网上冲浪到银行转账以及电子文档业务)中使用这些设备的强力促进因素。随着计算设备以及这些设备上运行的软件的数量的增长，恶意程序的数量也在快速增长。

目前存在大量的种类繁多的恶意程序。一些恶意程序从用户的设备窃取个人数据和机密数据(诸如登录名和密码、银行详细信息、电子文档)。其它恶意程序从用户的设备形成所谓的僵尸网络，以用于诸如分布式拒绝服务(Distributed Denial of Service，DDOS)的攻击，或用于通过对其它计算机或计算机网络的暴力破解方法对密码进行分类。还有一些恶意程序通过侵入式广告、付费订阅、向收费号码发送短信(SMS)等向用户推荐付费内容。

被称为防病毒程序的特殊程序很好地处理上述威胁。然而，在特定情况下，所述防病毒程序几乎是无用的，例如，在计算机系统上的针对性网络攻击(高级持续性威胁(Advanced Persistent Threat，APT))中，以及当所述防病毒程序在受感染时在计算机系统上不工作(例如，未安装或已关闭防病毒程序时)。

在该情况下，为了确定计算机系统被感染，需要对计算机系统的状况进行资源消耗分析并对计算机系统的行为日志、在计算机网络中接收和发送的数据、用户的动作等进行分析。经常地，所描述的措施需要手动地执行，尽管增加了措施的有效性，但是显著增加了人工成本。

已知的技术处理恢复且联接在计算机系统中收集的不同数据的任务，但是这些技术不处理基于识别的该数据的关系来分析计算机系统的状况的任务，基于此，之后可以分析在给定时间被分析的计算机系统发现自身的状况或在给定时间在该计算机系统上执行的动作的状况，以及可以确定被分析的计算机系统的特定状况或在该计算机系统上执行的动作的发生原因。

发明内容

本发明使得可以更有效地解决检测计算机系统上的恶意活动的来源的问题。

本发明被设计为提供数据的信息安全。

本发明的技术效果是基于对计算机系统的对象之间的关系的分析来检测该计算机系统中的恶意行为的来源。

在一些方面中，使用检测计算机系统中的恶意活动的来源的方法实现这些效果，其中，该方法借助检测计算机系统中的恶意活动的来源的系统的组件来实现且包括如下步骤：采集与所述计算机系统的对象(在下文中，“对象”)有关的信息；基于采集的与所述对象有关的所述信息形成图形，其中，所述对象表现为所述图形的顶点，以及对象间的关系是基于对采集的所述信息的分析而确定的，所述对象间的关系表现为所述图形的边；从形成的所述图形中选择至少两个导出的子图形(在下文中，子图形)；针对每个所选的子图形确定危害系数，所述危害系数表示描述每个所选的子图形的顶点之间的关系的强度的数值特性；从所选的至少两个子图形中确定危害系数在所选的所述至少两个子图形的确定的所述危害系数中为最小值的子图形，与所述危害系数为最小值的该子图形有关的多个子图形的总危害系数为最大值；以及将与确定的该子图形的至少一个顶点相关的所述对象发现为所述计算机系统中的所述恶意活动的来源。