技術(shù)特征:1.一種確定裝置����,其特征在于��,其具備:
監(jiān)視部,其對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視��,作為日志數(shù)據(jù)而取得該惡意軟件�、從通信目的地下載的下載數(shù)據(jù)、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系����;
生成部,其使用由所述監(jiān)視部取得的日志數(shù)據(jù)��,生成依賴(lài)關(guān)系圖形�,該依賴(lài)關(guān)系圖形是將所述惡意軟件、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形���;及
確定部����,其將由所述生成部生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn)�,以該惡意節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣,將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)��。
2.根據(jù)權(quán)利要求1所述的確定裝置��,其特征在于�,
所述監(jiān)視部對(duì)所述惡意軟件的文件賦予標(biāo)簽來(lái)進(jìn)行監(jiān)視,在該惡意軟件調(diào)用了監(jiān)視對(duì)象的API的情況下���,對(duì)與該API相關(guān)的數(shù)據(jù)賦予能夠唯一地確定該數(shù)據(jù)的發(fā)送源的標(biāo)簽���,追蹤賦予了該標(biāo)簽的數(shù)據(jù)的傳輸,從而取得所述日志數(shù)據(jù)�。
3.根據(jù)權(quán)利要求1或2所述的確定裝置,其特征在于����,
在確定為所述惡意節(jié)點(diǎn)的節(jié)點(diǎn)是通信目的地的節(jié)點(diǎn)的情況下,所述確定部將該通信目的地的節(jié)點(diǎn)確定為惡意站點(diǎn)���。
4.根據(jù)權(quán)利要求3所述的確定裝置���,其特征在于,
在確定為所述惡意節(jié)點(diǎn)的節(jié)點(diǎn)是通信目的地的節(jié)點(diǎn)的情況下���,所述確定部將該通信目的地的節(jié)點(diǎn)確定為惡意站點(diǎn)���,而且在到達(dá)該通信目的地的節(jié)點(diǎn)的緊前節(jié)點(diǎn)是所述下載數(shù)據(jù)的節(jié)點(diǎn)的情況下,所述確定部將確定為所述惡意站點(diǎn)的節(jié)點(diǎn)檢測(cè)為惡意軟件下載站點(diǎn)��。
5.一種確定方法,由確定裝置執(zhí)行����,該確定方法的特征在于,包括:
監(jiān)視工序����,對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視,作為日志數(shù)據(jù)而取得該惡意軟件����、從通信目的地下載的下載數(shù)據(jù)、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系���;
生成工序�����,使用通過(guò)所述監(jiān)視工序取得的日志數(shù)據(jù)���,生成依賴(lài)關(guān)系圖形,該依賴(lài)關(guān)系圖形是將所述惡意軟件�����、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形;及
確定工序�,將通過(guò)所述生成工序生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn)�����,以該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣���,將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)�����。
6.一種確定程序����,其用于使計(jì)算機(jī)執(zhí)行如下步驟:
監(jiān)視步驟�����,對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視�����,作為日志數(shù)據(jù)而取得該惡意軟件���、從通信目的地下載的下載數(shù)據(jù)���、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系�;
生成步驟����,使用通過(guò)所述監(jiān)視步驟取得的日志數(shù)據(jù),生成依賴(lài)關(guān)系圖形�,該依賴(lài)關(guān)系圖形是將所述惡意軟件、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形���;及
確定步驟���,將通過(guò)所述生成步驟生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn),以該惡意節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣�����,將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)�。