1.一种用于检测计算机系统上的恶意对象的方法,包括:
采集描述所述计算机系统的对象的状态的数据;
形成表征所述对象的所述状态的特征向量;
基于形成的所述特征向量计算相似程度,其中,所述相似程度为表征正在被分类的所述对象可能属于给定类别的概率的数值;
计算极限差异程度,所述极限差异程度为表征正在被分类的所述对象将肯定属于另一类别的概率的数值;
基于所述相似程度和所述极限差异程度形成用于确定所述对象的类别的标准;
当所述数据满足所述标准时,确定所述对象属于所确定的类别,其中,所述数据是在由数据采集规则所定义的时间段内采集的;以及
当确定所述对象属于指定的类别时,判决所述对象为恶意的。
2.如权利要求1所述的方法,其中,所述标准为用于根据建立的所述相似程度和所述极限差异程度之间的相关性对所述对象进行分类的规则。
3.如权利要求2所述的方法,其中,所述相似程度和所述极限差异程度之间的相关性为以下中的一者或多者:所述相似程度和所述极限差异程度之间的距离与预定阈值的差异;所述相似程度和所述极限差异程度之间的在给定时间间隔内界定的面积与预定阈值的差异;以及描述所述相似程度的变化的曲线和描述所述极限差异程度的变化的曲线的相互增长的速率与预定值的差异。
4.如权利要求1所述的方法,其中,所述特征向量为采集的所述数据的以一组数字的形式组织的卷积。
5.如权利要求1所述的方法,其中,所述数据采集规则为如下中的一者:所述对象的不同状态之间的时间间隔满足预定值、以及导致所述对象的状态改变的所述计算机系统的参数的变化满足给定值。
6.如权利要求1所述的方法,其中,所述极限差异程度是根据所述相似程度计算出的,且所述极限差异程度是在如下项之一中计算出的:所述极限差异程度是在创建所述对象的时刻计算出的、所述极限差异程度是在所述对象的状态第一次变化的时刻计算出的、以及所述极限差异程度是基于对所述对象的静态参数的分析计算出的。
7.如权利要求1所述的方法,其中,如果在由所述数据采集规则定义的时间段内已经计算出至少两个相似程度和至少两个极限差异程度,则通过预定的时间法则来描述连续计算出的相似程度的集合和连续计算出的极限差异程度的集合。
8.如权利要求7所述的方法,其中,描述所述连续计算出的相似程度和所述连续计算出的极限差异程度的所述时间法则是单调的。
9.一种用于检测计算机系统上的恶意对象的系统,包括:
硬件处理器,所述硬件处理器被配置为:
采集描述所述计算机系统的对象的状态的数据;
形成表征所述对象的所述状态的特征向量;
基于形成的所述特征向量计算相似程度,其中,所述相似程度为表征正在被分类的所述对象可能属于给定类别的概率的数值;
计算极限差异程度,所述极限差异程度为表征正在被分类的所述对象将肯定属于另一类别的概率的数值;
基于所述相似程度和所述极限差异程度形成用于确定所述对象的类别的标准;
当所述数据满足所述标准时,确定所述对象属于所确定的类别,其中,所述数据是在由数据采集规则所定义的时间段内采集的;以及
当确定所述对象属于指定的类别时,判决所述对象为恶意的。
10.如权利要求9所述的系统,其中,所述标准为用于根据建立的所述相似程度和所述极限差异程度之间的相关性对所述对象进行分类的规则。
11.如权利要求10所述的系统,其中,所述相似程度和所述极限差异程度之间的相关性为以下中的一者或多者:所述相似程度和所述极限差异程度之间的距离与预定阈值的差异;所述相似程度和所述极限差异程度之间的在给定时间间隔内界定的面积与预定阈值的差异;以及描述所述相似程度的变化的曲线和描述所述极限差异程度的变化的曲线的相互增长的速率与预定值的差异。
12.如权利要求9所述的系统,其中,所述特征向量为采集的所述数据的以一组数字的形式组织的卷积。
13.如权利要求9所述的系统,其中,所述数据采集规则为如下中的一者:所述对象的不同状态之间的时间间隔满足预定值、以及导致所述对象的状态改变的所述计算机系统的参数的变化满足给定值。
14.如权利要求9所述的系统,其中,所述极限差异程度是根据所述相似程度计算出的,且所述极限差异程度是在如下项之一中计算出的:所述极限差异程度是在创建所述对象的时刻计算出的、所述极限差异程度是在所述对象的状态第一次变化的时刻计算出的、以及所述极限差异程度是基于对所述对象的静态参数的分析计算出的。
15.如权利要求9所述的系统,其中,如果在由所述数据采集规则定义的时间段内已经计算出至少两个相似程度和至少两个极限差异程度,则通过预定的时间法则来描述连续计算出的相似程度的集合和连续计算出的极限差异程度的集合。
16.如权利要求15所述的系统,其中,描述所述连续计算出的相似程度和所述连续计算出的极限差异程度的所述时间法则是单调的。
17.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于检测计算机系统上的恶意对象的指令,所述指令包括用于以下操作的指令:
采集描述所述计算机系统的对象的状态的数据;
形成表征所述对象的所述状态的特征向量;
基于形成的所述特征向量计算相似程度,其中,所述相似程度为表征正在被分类的所述对象可能属于给定类别的概率的数值;
计算极限差异程度,所述极限差异程度为表征正在被分类的所述对象将肯定属于另一类别的概率的数值;
基于所述相似程度和所述极限差异程度形成用于确定所述对象的类别的标准;
当所述数据满足所述标准时,确定所述对象属于所确定的类别,其中,所述数据是在由数据采集规则所定义的时间段内采集的;以及
当确定所述对象属于指定的类别时,判决所述对象为恶意的。
18.如权利要求17所述的非暂时性计算机可读介质,其中,所述标准为用于根据建立的所述相似程度和所述极限差异程度之间的相关性对所述对象进行分类的规则。
19.如权利要求18所述的非暂时性计算机可读介质,其中,所述相似程度和所述极限差异程度之间的相关性为以下中的一者或多者:所述相似程度和所述极限差异程度之间的距离与预定阈值的差异;所述相似程度和所述极限差异程度之间的在给定时间间隔内界定的面积与预定阈值的差异;以及描述所述相似程度的变化的曲线和描述所述极限差异程度的变化的曲线的相互增长的速率与预定值的差异。
20.如权利要求17所述的非暂时性计算机可读介质,其中,所述特征向量为采集的所述数据的以一组数字的形式组织的卷积。