[发明专利]基于用户行为确定恶意下载风险的系统和方法

权利要求书

1.一种用于基于用户行为来确定恶意下载风险的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备执行，所述方法包括：

识别处于恶意下载高风险的一组用户和处于恶意下载低风险的一组用户；

通过在所述计算设备上执行的机器学习算法确定所述一组高风险用户所共有并且也由所述一组低风险用户所共有的高风险下载行为模式作为下载行为，其中所述下载行为在所述一组高风险用户中普遍并且在所述一组低风险用户中罕见；

分析未分类用户在预定义时间段内的下载行为，以将所述下载行为分类为高风险或低风险；

响应于确定所述未分类用户的所述下载行为落入所述高风险下载行为模式的预定义相似度阈值内，将所述未分类用户分类为高风险用户，其中所述高风险下载行为模式包括对小于预定百分比的由其他用户使用的计算设备上找到的至少一个文件进行下载；以及

增加所述高风险用户的安全态势，以降低所述高风险用户感染恶意软件的风险，其中增加所述安全态势包括增加与所述计算设备相关联的防火墙设置或垃圾邮件过滤器中的至少一个的限制。

2.根据权利要求1所述的计算机实现的方法，还包括收集关于所述高风险用户的附加数据，以实现以下各项中的至少一者：

提高所述高风险下载行为模式在预测恶意软件感染时的准确性；以及

提高附加恶意软件感染预测系统的准确性。

3.根据权利要求1所述的计算机实现的方法，还包括增加包括所述高风险用户的组织的安全态势，以降低由所述组织使用的计算设备感染恶意软件的风险。

4.根据权利要求1所述的计算机实现的方法，其中识别所述一组高风险用户和所述一组低风险用户包括：

监视一组未分类用户在预定义下载监视时间段内的下载行为；

将在所述预定义下载监视时间段期间计算设备感染了恶意软件的用户分类为所述一组高风险用户；以及

将在所述预定义下载监视时间段期间计算设备未感染恶意软件的用户分类为所述一组低风险用户。

5.根据权利要求1所述的计算机实现的方法，其中所述高风险下载行为模式包括以下各项中的至少一者：

由所述高风险用户使用来下载文件的计算设备上的文件的总数；

信誉得分，所述信誉得分应用于由所述高风险用户使用来下载文件的计算设备上的至少一个文件，并且低于预定义信誉得分阈值；

至少一个文件，所述至少一个文件在由所述高风险用户使用来下载文件的计算设备上，并且在其他用户所使用的计算设备上低于预定义频率阈值；

在由所述高风险用户使用来下载文件的计算设备上下载至少一个文件的时间戳；以及

由所述高风险用户使用来下载文件的计算设备上的至少一个文件的类别。

6.根据权利要求1所述的计算机实现的方法，其中所述高风险下载行为模式包括以下各项中的至少一者：

由所述高风险用户使用来下载文件的计算设备上的不同文件名的总数；

信誉得分，所述信誉得分应用于由所述高风险用户使用来下载文件的计算设备上的至少一个不同文件名，并且低于预定义信誉得分阈值；

至少一个不同文件名，所述至少一个不同文件名在由所述高风险用户使用来下载文件的计算设备上，并且在其他用户所使用的计算设备上低于预定义频率阈值；以及

在由所述高风险用户使用来下载文件的计算设备上下载至少一个不同文件名的时间戳。

7.根据权利要求1所述的计算机实现的方法，其中所述高风险下载行为模式包括以下各项中的至少一者：

由所述高风险用户使用来下载文件的计算设备上的不同文件路径的总数；

信誉得分，所述信誉得分应用于由所述高风险用户使用来下载文件的计算设备上的至少一个不同文件路径，并且低于预定义信誉得分阈值；

至少一个不同文件路径，所述至少一个不同文件路径在由所述高风险用户使用来下载文件的计算设备上，并且在其他用户所使用的计算设备上低于预定义频率阈值；以及

在由所述高风险用户使用来下载文件的计算设备上创建至少一个不同文件路径的时间戳。