[发明专利]预测减轻恶意软件威胁

说明书

技术领域

本发明涉及针对恶意软件的保护。

背景技术

经由因特网，具有恶意企图的个人和组织开发了损坏计算机系统和/或用于窃取用户个人信息(包括个人用户或诸如公司之类的实体)的软件。这样的恶意的软件经常利用代码漏洞和/或通过欺骗用户采取某种动作来使代码漏洞被安装在用户的计算机系统上。

防范恶意软件的一种方式是经由反恶意软件的软件。当代反恶意软件的软件使用多种机制来捕捉和隔离恶意软件。在大多数情况下，使用签名、行为监视和过滤驱动器保护用户来免于受到否则将损坏计算机的软件的损害。

当前的反恶意软件技术导致了其中恶意软件作者试图比反恶意软件开发者更聪明并且反之亦然的循环。有时恶意软件作者至少一段时间内获胜，因为针对恶意利用(exploit)的保护还没有被发现。也有用户仅仅是没有更新他或她的机器来检测最新的恶意软件的情况，有时是因为用户疏忽或并不了解计算机。

其他时候，用户偏好不运行反恶意软件产品来给他们的机器施加负担，至少不达到其全部能力。更具体地，许多最终用户抱怨任何反恶意软件应用程序都是侵入性的，造成了性能瓶颈，占用了应用程序CPU周期，并且有时锁定了某些文件而不能使用。结果，众所周知的事实是最终用户以将某些进程、文件夹和/或文件类型从实时反恶意软件扫描中排除而告终。

所需要的是保护用户以免于受到恶意软件损害的另一种方式。这包括从安全观点来看有意地不完全顺应的用户，以及天真地点击或以其他方式采取动作来安装受感染的可执行文件而没有意识到其动作的后果的用户。

发明内容

提供本发明内容以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念。本发明内容不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在以限制所要求保护的主题的范围的任何方式来使用。

简言之，此处所描述主题的各方面针对于一种技术，通过该技术来计算表示恶意软件在计算设备上被激活的风险/可能性的分数(例如，概率值)。基于该分数，可以采取保护动作以减轻否则如果恶意软件被激活可能造成的损坏。例如，用户可被分类至对应于该分数的风险类别，高风险用户受到更多的保护，例如，通过使可激活恶意软件的程序(例如，浏览器)作为虚拟化程序来运行，或者作为虚拟化操作系统来运行操作系统。其他时候，为减轻损坏所采取的动作可以是在沙箱中运行进程。保护级别是动态可变的，诸如基于当前威胁状况和/或用户正试图所做的事情。

在一个方面，至少部分基于过往用户行为数据、机器状态数据和/或遭遇恶意软件的可能性来计算分数。例如，恶意软件相关的输入可以基于与用户相关联的文件类型数据(例如，因特网高速缓存中的文件)、与用户相关联的URL数据(例如，诸如具有差声誉的访问的站点)、先前对用户检测的恶意软件和/或与用户相关联的行为数据(例如，点击电子邮件链接和运行因特网程序)。恶意软件相关的输入可以基于机器状态，诸如机器更新数据、补丁数据、机器上的用户特权数据(例如，是否管理员)和/或反恶意软件扫描数据(例如，上次是何时扫描的、有多彻底等)。恶意软件相关的输入还可以指示遭遇恶意软件的可能性，诸如基于从行业源收集的数据、更新数据、由用户提交的诊断数据和/或由用户提交的恶意软件数据。

在一个方面，保护级别是基于当前威胁状况动态可变的。可以在受管理的环境内在网络层减轻风险，诸如通过增加目的主机上的保护、增加审核，和/或对用户和/或机器减少网络访问。

结合附图阅读以下详细描述，本发明的其他优点会变得显而易见。

附图说明

作为示例而非限制，在附图中示出了本发明，附图中相同的附图标记指示相同或相似的元素，附图中：

图1是表示基于各种输入数据对用户进行分类并基于分类为用户确定和应用保护级别的组件的框图/数据流图。

图2是表示提供关于用户/机器遭遇恶意软件的概率的信息的从各种源收集的数据的图。

图3是表示提供关于机器受恶意软件影响的概率的信息的机器状态数据的图。

图4是表示提供关于用户激活恶意软件的概率的信息的用户行为和其他用户相关数据的图。

图5是表示其中可实现在本文中所述的各实施例的示例性、非限制性联网环境的框图。

图6是表示其中可实现在本文中所述的各实施例的一个或多个方面的示例性、非限制性计算系统或操作环境的框图。

具体实施方式