[发明专利]用于检测先前未知的恶意软件的系统和方法

权利要求书

1.一种由计算机实施的用于检测先前未知的恶意软件的方法，所述方法包括：

(a)从远程计算机接收事件信息和文件元数据；

(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在；

(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在，则过滤所述事件信息和所述文件元数据；

(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估，以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在；以及

(e)进行风险分析和风险评估，其中，所述风险分析和风险评估包括基于文件的调用次序的“父类-子类”分级结构的构造，并且其中，对父类评定的风险是基于与子类相关联的风险。

2.如权利要求1所述的方法，其中，所述文件元数据包括文件名、文件扩展名、文件大小、文件链接状态、文件是否被数字签名、文件是否为下载的实体程序、文件是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。

3.如权利要求1所述的方法，其中，所述事件信息包括与所述事件相关联的对象的行为模式中的任一种。

4.如权利要求1所述的方法，其中，进行风险分析和风险评估包括构造决策树。

5.如权利要求3所述的方法，其中，所述事件信息包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性中的任一项。

6.如权利要求3所述的方法，其中，所述事件信息包括与事件的类型有关的信息，所述事件的类型包括文件下载、文件投放和文件链接中的任一项。

7.如权利要求1所述的方法，其中，所述风险分析和风险评估是实时地自动执行的。

8.如权利要求1所述的方法，其中，检测先前未知的恶意软件包括启发式检测算法、统计分析、多维数据库处理、基于先前进行的风险评估动态地调整所述风险评估标准的准确度、以及经验评估所述风险评估标准、综合风险评估标准和多级风险评估的准确度。

9.一种在其上存储有计算机可执行程序逻辑的计算机可用存储介质，所述计算机可执行程序逻辑在处理器上执行，用于实施如权利要求1所述的步骤。

10.一种用于检测先前未知的恶意软件的计算机系统，所述计算机系统执行下述功能：

(a)从远程计算机接收事件信息和文件元数据；

(b)识别所述事件信息或所述文件元数据是表示已知恶意软件存在、还是表示未知恶意软件存在、亦或是表示恶意软件不存在；

(c)如果所述事件信息或所述文件元数据表示已知恶意软件或者表示恶意软件不存在，则过滤所述事件信息和所述文件元数据；

(d)对剩余事件信息和剩余文件元数据进行风险分析和风险评估，以确定所述事件信息和所述文件元数据是否表示先前未知的恶意软件存在；以及

(e)进行风险分析和风险评估，其中，所述风险分析和风险评估包括基于文件的调用次序的“父类-子类”分级结构的构造，并且其中，对父类评定的风险是基于与子类相关联的风险。

11.如权利要求10所述的计算机系统，其中，所述文件元数据包括文件名、文件扩展名、文件大小、文件链接状态、文件是否被数字签名、文件是否为下载的实体程序、文件是否被打包、文件源、文件调用频率、文件路径、从其接收文件的URL和访问文件的端口中的任一项。

12.如权利要求10所述的计算机系统，其中，所述事件信息包括与事件相关联的对象的行为模式中的任一种。

13.如权利要求10所述的计算机系统，其中，进行风险分析和风险评估包括构造决策树。

14.如权利要求12所述的计算机系统，其中，所述事件信息包括与事件相关联的统计数据、对象源的名称稳定性、对象源的IP地址稳定性和对象的活跃性。

15.如权利要求12所述的计算机系统，其中，所述事件信息包括与事件的类型有关的信息，所述事件的类型包括文件下载、文件投放和文件链接中的任一项。

16.如权利要求10所述的计算机系统，其中，所述风险分析和风险评估是实时地自动执行的。

17.如权利要求10所述的计算机系统，其中，检测先前未知的恶意软件包括启发式检测算法、统计分析、多维数据库处理、基于先前进行的风险评估动态地调整所述风险评估标准的准确度、以及经验评估所述风险评估标准、综合风险评估标准和多级风险评估的准确度。