[发明专利]预测减轻恶意软件威胁

权利要求书

1.一种在计算环境中、至少部分地在至少一个处理器上执行的方法，包括：

计算指示恶意软件在计算设备上被激活的可能性的分数(230)；以及

基于所述分数，采取保护动作(110-112)以减轻否则如果所述恶意软件被激活能够造成的损害。

2.如权利要求1所述的方法，其特征在于，计算所述分数包括：至少部分基于过往用户行为数据确定一概率值，至少部分基于机器状态数据确定一概率值，或者至少部分基于遭遇恶意软件的可能性确定一概率值，或者至少部分基于过往用户行为数据确定一概率值、至少部分基于机器状态数据确定一概率值或至少部分基于遭遇恶意软件的可能性确定一概率值的任何组合。

3.如权利要求1所述的方法，其特征在于，计算所述分数包括：确定分类并将所述分类映射至对应于可能的保护动作的保护级别，其中所述保护级别是基于当前威胁状况动态可变的。

4.如权利要求1所述的方法，其特征在于，采取动作以减轻损害包括：调整一个或多个试探性阈值，调整对于所述一个或多个试探性阈值评估的风险级别，将程序作为虚拟化程序运行，将操作系统作为虚拟化操作系统运行或在沙箱中运行进程，或者调整对于所述一个或多个试探性阈值评估的风险级别、将程序作为虚拟化程序运行、将操作系统作为虚拟化操作系统运行或在沙箱中运行进程的任何组合。

5.如权利要求1所述的方法，其特征在于，采取动作减轻损害包括：在受管环境内在网络层减轻风险，包括增加目的主机上的保护，增加审核或减少所述用户或机器或用户和机器两者对网络访问，或者增加目的主机上的保护、增加审核或减少所述用户或机器或用户和机器两者对网络访问的任何组合。

6.一种在计算环境中的系统，包括：

分类引擎(104)，被配置为接收对应于多个数据源(221-226)的恶意软件相关输入(102)，并确定对应于用户在计算设备上激活恶意软件的风险的分类(106)；以及

决策引擎(108)，被配置为参考可用的保护动作评估所述分类，确定所述用户是否需要保护动作，并且如果需要则对于激活恶意软件采取动作保护所述用户。

7.如权利要求6所述的系统，其特征在于，所述恶意软件相关的输入基于与用户相关联的文件类型数据；与用户相关联的URL数据；先前为用户检测的恶意软件；与用户相关联的行为数据；与机器相关联的更新数据；与机器相关联的补丁数据；与机器相关联的用户特权数据；与机器相关联的反恶意软件扫描数据；基于从行业源、更新数据、诊断数据或用户提交的恶意软件数据收集的数据的遭遇恶意软件的可能性；或者基于与用户相关联的文件类型数据，与用户相关联的URL数据，先前为用户检测的恶意软件，与用户相关联的行为数据，与机器相关联的更新数据，与机器相关联的补丁数据，与机器相关联的用户特权数据，与机器相关联的反恶意软件扫描数据，基于从行业源、更新数据、诊断数据或用户提交的恶意软件数据收集的数据的遭遇恶意软件的可能性的任何组合。

8.如权利要求6所述的系统，其特征在于，所述决策引擎被配置为采取动作以保护所述用户，包括通过将程序作为虚拟化程序运行，将操作系统作为虚拟化操作系统运行，在沙箱中运行进程或基于所述分类确定是否对签名扫描，或者将程序作为虚拟化程序运行、将操作系统作为虚拟化操作系统运行、在沙箱中运行进行或基于所述分类确定是否对签名扫描的任何组合。

9.一个或多个具有计算机可执行指令的计算机可读介质，所述计算机可执行指令在被执行时执行以下步骤，包括：

提供对应于遭遇恶意软件的概率(230)、用户激活恶意软件的概率(450)以及如果恶意软件被激活则机器被其感染的概率(340)的数据；以及

对于激活恶意软件，使用所述数据为用户或机器或用户和机器两者确定保护级别(110-112)。

10.如权利要求9所述的一个或多个计算机可读介质，其特征在于，使用所述数据确定保护级别包括：将所述用户分类至一类中并基于所述类和当前威胁数据将所述用户映射至动态保护级别。