[发明专利]基于用户行为确定恶意下载风险的系统和方法

说明书

本发明公开了一种用于基于用户行为来确定恶意下载风险的计算机实现的方法，该方法可包括：(1)识别处于恶意下载高风险的一组用户以及处于恶意下载低风险的一组用户，(2)确定一组高风险用户所共有并且不是一组低风险用户所共有的高风险下载行为模式，(3)分析未分类用户在预定义时间段的下载行为，以将下载行为分类为高风险或低风险，以及(4)响应于确定未分类用户的下载行为落入高风险下载行为模式的预定义相似度阈值内，将未分类用户分类为高风险用户。还公开了对应的系统和计算机可读介质。

背景技术

恶意软件对于个人用户和组织都是一个常见的问题。恶意应用程序可能会减慢计算机速度、加密或删除重要数据、窃取敏感信息，并导致其他各种问题。许多资源已经专门用于保护计算设备免受恶意软件的攻击，例如防火墙、防病毒应用程序、垃圾邮件过滤器和反间谍软件应用程序。许多反恶意软件应用程序专门用于删除已经在计算设备上的恶意文件，但理想的反恶意软件应用程序是防止恶意软件感染发生的应用程序。

虽然一些传统的系统可能会阻止未感染的用户下载恶意软件，但许多应用程序仍然努力应对不断增长的恶意应用程序的数量和类型，这些恶意应用程序可能随时由不知情的用户下载。一些传统系统可能会限制用户下载或设置更改，以降低其计算设备的使用性为代价来增加对用户的保护。因为任何反恶意软件应用程序都会消耗计算资源，所以大多数用户不希望运行不必要的反恶意软件应用程序。要确定特定用户需要什么类型的恶意软件预防系统，需要能够预测用户遇到恶意软件的可能性。因此，本公开内容明确并解决了对用于检测恶意软件的另外的以及改进的系统和方法的需求。

发明内容

如将在下文更详细地描述，本公开描述了基于用户行为来确定恶意下载风险的各种系统和方法，方式是监视用户的下载行为模式，将该下载行为模式与其他被恶意软件感染的用户的下载行为进行比较，并且基于该比较来确定用户是否有可能在未来下载恶意软件。

在一个示例中，基于用户行为来确定恶意下载风险的计算机实现的方法可包括：(1)识别处于恶意下载高风险的一组用户以及处于恶意下载低风险的一组用户，(2)确定该组高风险用户所共有并且不是该组低风险用户所共有的高风险下载行为模式，(3)分析未分类用户在预定义时间段内的下载行为，以将该下载行为分类为高风险或低风险，以及(4)响应于确定未分类用户的下载行为落入预定义高风险下载行为模式的相似度阈值内，将未分类用户分类为高风险用户。

在一些示例中，计算机实现的方法还可包括增加高风险用户的安全态势，以降低高风险用户感染恶意软件的风险。在其他示例中，计算机实现的方法还可包括收集关于高风险用户的附加数据，以提高高风险下载行为模式在预测恶意软件感染时的准确性，并且/或者提高附加恶意软件感染预测系统的准确性。除此之外或另选地，计算机实现的方法还可包括增加可能包括高风险用户的组织的安全态势，以降低由组织使用的计算设备感染恶意软件的风险。

在一些实施方案中，识别该组高风险用户和该组低风险用户可以包括在预定义下载监视时间段内监视一组未分类的用户的下载行为。在本实施方案中，识别用户还可以包括将在预定义下载监视时间段内计算设备感染了恶意软件的用户分类为该组高风险用户，并将在预定义下载监视时间段内计算设备未感染恶意软件的用户分类为该组低风险用户。