识别恶意程序的方法及系统

本发明一种识别恶意程序的方法和系统，方法包括：步骤1，获取计算机系统中所有进程的信息和进程行为，根据进程之间的父子关系建立进程关系树，对应每个进程保存进程的信息和进程行为的列表；步骤2，将父进程的进程行为列表中的进程行为分类，按进程关系树从上到下的顺序，依据分类将父进程信息分配到子进程；步骤3，按进程关系树和进程信息进行符号化，依据预设的恶意行为阈值判断出恶意程序，将恶意程序在计算机系统中运行，得到用于判断恶意程序的专家系统；步骤4，当新程序进程产生时，利用专家系统判断新程序是否为恶意程序。本发明的实现复杂度相对于现有技术较低，能够提高效率。