发明名称 |
识别恶意程序的方法及系统 |
摘要 |
本发明一种识别恶意程序的方法和系统,方法包括:步骤1,获取计算机系统中所有进程的信息和进程行为,根据进程之间的父子关系建立进程关系树,对应每个进程保存进程的信息和进程行为的列表;步骤2,将父进程的进程行为列表中的进程行为分类,按进程关系树从上到下的顺序,依据分类将父进程信息分配到子进程;步骤3,按进程关系树和进程信息进行符号化,依据预设的恶意行为阈值判断出恶意程序,将恶意程序在计算机系统中运行,得到用于判断恶意程序的专家系统;步骤4,当新程序进程产生时,利用专家系统判断新程序是否为恶意程序。本发明的实现复杂度相对于现有技术较低,能够提高效率。 |
申请公布号 |
CN101944167A |
申请公布日期 |
2011.01.12 |
申请号 |
CN201010297048.5 |
申请日期 |
2010.09.29 |
申请人 |
中国科学院计算技术研究所 |
发明人 |
李金明;林游龙;王元卓;刘悦;林思明;余智华;程学旗 |
分类号 |
G06F21/00(2006.01)I;G06F9/46(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
北京律诚同业知识产权代理有限公司 11006 |
代理人 |
祁建国;梁挥 |
主权项 |
一种识别恶意程序的方法,其特征在于,包括:步骤1,获取计算机系统中所有进程的信息和进程行为,根据进程之间的父子关系建立进程关系树,对应每个进程保存进程的信息和进程行为的列表;步骤2,将父进程的进程行为列表中的进程行为分类,按进程关系树从上到下的顺序,依据分类将父进程信息分配到子进程;步骤3,按进程关系树和进程信息进行符号化,依据预设的恶意行为阈值判断出恶意程序,将恶意程序在计算机系统中运行,得到用于判断恶意程序的专家系统;步骤4,当新程序进程产生时,利用专家系统判断新程序是否为恶意程序。 |
地址 |
100080 北京市海淀区中关村科学院南路6号 |