用于檢測計算機系統(tǒng)中的惡意活動的系統(tǒng)和方法?？梢曰陉P于計算機系統(tǒng)的信息對象和信息對象之間的關系來生成一個或更多個圖形，其中信息對象是圖形中的頂點，并且關系是圖形中的邊。生成的圖形與現(xiàn)有圖形的比較可以確定惡意活動的可能性。

相關申請

本申請要求2018年6月29日提交的俄羅斯申請No.2018123685的權益，其通過引用全部并入本文。

技術領域

實施例總地涉及信息安全保證技術，并且更具體地，涉及檢測計算機系統(tǒng)中的惡意活動。

背景技術

在過去十年中計算機技術的快速發(fā)展，以及各種計算設備(個人計算機、筆記本電腦、平板電腦、智能電話等)的廣泛傳播已成為在各種活動領域中使用此類設備和將其用于大量任務(從上網(wǎng)沖浪到銀行轉賬和電子文件/記錄保存)的強大動力。隨著計算機設備數(shù)量和在這些設備上運行的軟件數(shù)量的增長，利用這些設備和技術的惡意程序的數(shù)量也迅速增長。

目前，存在許多不同類型的惡意程序。某些程序從用戶設備竊取個人數(shù)據(jù)和機密數(shù)據(jù)(例如登錄和密碼、銀行信息、電子文檔)。其他程序利用用戶設備構建所謂的僵尸網(wǎng)絡，以便執(zhí)行諸如DDoS-分布式拒絕服務之類的攻擊，或者通過轉移到其他計算機或計算機網(wǎng)絡來徹底破解密碼(暴力破解)。還有其他程序通過侵入式廣告、付費訂閱、發(fā)信息至收費號碼等為用戶提供付費內(nèi)容。

已經(jīng)設計了一些殺毒程序來對抗上述威脅。但是，在某些情況下，殺毒程序無效。例如，在以計算機系統(tǒng)上的網(wǎng)絡攻擊(APT-高級持續(xù)性威脅)為目標中心的情況下，以及在系統(tǒng)被感染時殺毒程序不能在計算機系統(tǒng)中運行(例如，未安裝或被禁用)的情況，殺毒程序可能無效。

在某些情況下，確定計算機系統(tǒng)是否被感染需要對計算機系統(tǒng)的狀態(tài)進行資源消耗分析，分析計算機系統(tǒng)行為日志，分析在計算機網(wǎng)絡上發(fā)送和接收的數(shù)據(jù)，分析用戶動作等。通常，上述工作是手動完成的，這是耗時且勞動密集的。

美國專利No.8,225,041描述了一種性能歷史管理方法和系統(tǒng)。例如，分析計算機系統(tǒng)的操作特征，并且結果用于在計算機系統(tǒng)中的數(shù)據(jù)之間構建鏈接。基于構建的鏈接，恢復計算機系統(tǒng)的性能歷史。美國專利No.8,225,041成功地處理了恢復和鏈接在計算機系統(tǒng)中收集的分散數(shù)據(jù)，但是不能處理基于檢測到的數(shù)據(jù)之間的鏈接來分析計算機系統(tǒng)的狀態(tài)。通常，由諸如美國專利No.8,225,041的方法和系統(tǒng)創(chuàng)建的圖形中的對象被視為僅顯示對象的方向或序列的簡單對象。不考慮數(shù)學運算。這樣的系統(tǒng)不足以檢測惡意活動，因為這種任務的復雜性隨著對象數(shù)量的增加以非線性方式增長。

因此，需要在任何時刻或在執(zhí)行的任何時刻使用計算機系統(tǒng)的狀態(tài)的確定來更有效地檢測計算機系統(tǒng)中的惡意活動。

發(fā)明內(nèi)容

在一實施例中，一種用于檢測計算機系統(tǒng)中的惡意活動的系統(tǒng)包括：計算平臺，該計算平臺包括至少一個處理器和可操作地耦合到所述至少一個處理器的存儲器的計算硬件；以及指令，當在所述計算平臺上執(zhí)行所述指令時，使所述計算平臺實現(xiàn)：收集工具，配置為收集關于所述計算機系統(tǒng)的多個信息對象，以及確定所述多個信息對象之間的多個關系，圖形構建工具，配置為基于所述多個信息對象和所述多個關系構建至少第一中間圖形和第二中間圖形，其中所述第一中間圖形和第二中間圖形以所述多個信息對象作為頂點并且所述多個關系作為邊來形成，以及基于至少第一中間圖形和第二中間圖形構建最終圖形，其中所述最終圖形包括來自所述第一中間圖形的至少一個頂點和來自所述第二中間圖形的至少一個頂點，以及連接來自所述第一中間圖形的至少一個頂點和來自所述第二中間圖形的至少一個頂點的至少一個邊，搜索工具，配置為基于相似度閾值從圖形數(shù)據(jù)庫中選擇與最終圖形相似的至少一個預先存在的圖形，所述至少一個預先存在的圖形被指派惡意活動率，分析工具，被配置為基于所述至少一個預先存在的圖形確定惡意活動。