| 发明名称 | 基于在已知的恶意环境中的出现标识可疑的恶意软件文件和站点 | ||
| 摘要 | 本文中公开的是一种用于标识恶意活动的潜在源以及标识来自可疑的恶意源的潜在恶意的文件的系统和方法。通过使用来自已知已被恶意活动感染的设备的锚事件和遥测数据,可以标识两个设备之间的所述遥测数据中的类似的事件。这些卫星事件然后被用于标识可能已被所述卫星事件存放的其它文件,以使得可以向恶意软件研究人员突出那些文件。额外地,可以基于该分析来更新所述恶意软件保护,以将与所述卫星事件相关联的站点标记为恶意站点,以使得所述站点可以被阻止或者隔离。 | ||
| 申请公布号 | CN106462705A | 申请公布日期 | 2017.02.22 |
| 申请号 | CN201580025669.9 | 申请日期 | 2015.05.18 |
| 申请人 | 微软技术许可有限责任公司 | 发明人 | T.布兰德;D.迈克逊 |
| 分类号 | G06F21/56(2013.01)I;H04L29/06(2006.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 中国专利代理(香港)有限公司 72001 | 代理人 | 李舒;陈岚 |
| 主权项 | 一种用于标识潜在的恶意软件的方法,包括:在具有多个事件的第一遥测数据流中标识锚事件,其中,所述锚事件是之前被标识为潜在可疑事件的事件;以及在第二遥测数据流中标识与所述第一遥测数据流中的所述多个事件中的一个事件相对应的至少一个卫星事件,其中,所述至少一个卫星事件是与所述锚事件不同的,但与所述锚事件有关系;其中,前述步骤被至少一个处理器执行。 | ||
| 地址 | 美国华盛顿州 | ||