| 发明名称 | 识别恶意程序的方法及系统 | ||
| 摘要 | 本发明一种识别恶意程序的方法和系统,方法包括:步骤1,获取计算机系统中所有进程的信息和进程行为,根据进程之间的父子关系建立进程关系树,对应每个进程保存进程的信息和进程行为的列表;步骤2,将父进程的进程行为列表中的进程行为分类,按进程关系树从上到下的顺序,依据分类将父进程信息分配到子进程;步骤3,按进程关系树和进程信息进行符号化,依据预设的恶意行为阈值判断出恶意程序,将恶意程序在计算机系统中运行,得到用于判断恶意程序的专家系统;步骤4,当新程序进程产生时,利用专家系统判断新程序是否为恶意程序。本发明的实现复杂度相对于现有技术较低,能够提高效率。 | ||
| 申请公布号 | CN101944167A | 申请公布日期 | 2011.01.12 |
| 申请号 | CN201010297048.5 | 申请日期 | 2010.09.29 |
| 申请人 | 中国科学院计算技术研究所 | 发明人 | 李金明;林游龙;王元卓;刘悦;林思明;余智华;程学旗 |
| 分类号 | G06F21/00(2006.01)I;G06F9/46(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
| 代理机构 | 北京律诚同业知识产权代理有限公司 11006 | 代理人 | 祁建国;梁挥 |
| 主权项 | 一种识别恶意程序的方法,其特征在于,包括:步骤1,获取计算机系统中所有进程的信息和进程行为,根据进程之间的父子关系建立进程关系树,对应每个进程保存进程的信息和进程行为的列表;步骤2,将父进程的进程行为列表中的进程行为分类,按进程关系树从上到下的顺序,依据分类将父进程信息分配到子进程;步骤3,按进程关系树和进程信息进行符号化,依据预设的恶意行为阈值判断出恶意程序,将恶意程序在计算机系统中运行,得到用于判断恶意程序的专家系统;步骤4,当新程序进程产生时,利用专家系统判断新程序是否为恶意程序。 | ||
| 地址 | 100080 北京市海淀区中关村科学院南路6号 | ||