摘要 |
시스템 거동에 기초하여 멀웨어를 검출하기 위한 방법, 시스템, 및 컴퓨터 프로그램 제품이 기술된다. 활성일 것으로 예상된 적어도 하나의 프로세스가 하나의 또는 그 이상의 리소스들을 포함하는 프로세싱 시스템의 현재 동작 모드에서 식별된다. 현재 동작 모드 및 활성일 것으로 예상된 적어도 하나의 프로세스에 기초하여, 프로세싱 시스템의 하나의 또는 그 이상의 리소스들의 예상 활동 레벨이 계산된다. 복수의 리소스의 실제 활동 레벨이 결정된다. 예상 활동 레벨 및 실제 활동 레벨 간에 편차가 검출되면, 편차의 잠정적인 원인으로서 예상치 못한 활동의 소스가 식별된다. 예상치 못한 활동이 적법한지를 결정하기 위해 정책 가이드라인들이 사용된다. 예상치 못한 활동이 적법하지 않으면, 예상치 못한 활동의 소스가 멀웨어로서 분류된다. |