[发明专利]一种预测恶意软件感染的统计预测系统和方法

说明书

本发明涉及网络安全领域，特别涉及一种预测恶意软件感染的统计预测系统和方法。本发明根据员工的统计数据来预测其在企业网络中被恶意软件感染的风险，以便对高风险员工采取预防措施。本发明针对个体员工在未来被恶意软件感染的可预见性进行分析，结合安全信息和事件管理工具实现对高风险组采取主动应对，同时，还可可以识别具有统计意义的关键驱动因素，进而可供决策使用，以帮助安全风险和管理机构设计和执行安全策略并监控其有效性。

技术领域

本发明涉及网络安全领域，特别涉及一种预测恶意软件感染的统计预测系统和方法。

背景技术

在网络安全中，恶意软件被用在杀伤链的上游以获得对系统的访问。在典型的企业环境中，员工的工作站也称为主机，或互联网上的服务器每天都会遭到恶意软件攻击。来自Symantec，Intel安全(以前为MacAfee)，趋势科技，Sophos，卡巴斯基实验室等供应商的商业端点保护软件用于检测恶意软件，并采取尽可能多的措施进行修复。然而，它们的有效性远低于100％。

而且，这些商业端点保护软件不具有对个体员工在未来被恶意软件感染的可预见性，以便企业安全操作中心采取预防措施。从首席信息安全官(CISO)的角度来看，需要针对恶意软件风险识别出关键统计性驱动因素，并相应地制定风险治理政策。

一般来说，在企业环境中，与恶意软件有关的工作可归为四个不同类型。第一类工作是如何分类一个软件是否是恶意。传统上，大多数软件是基于签名进行分类的，然而，这种方法会错过“零日漏洞”恶意软件和已知恶意软件的新变种。这在今天仍然广泛使用。最近，机器学习算法用于检查数百万的文件属性，以确定某个文件具有恶意的概率。第二类工作是基于病毒和网络日志对病毒传播进行建模。第三类工作是由Verizon等行业咨询公司生成报告。这些报告通常按年提供统计信息，例如统计不同行业和不同类型恶意软件的攻击总数/平均数，以及攻击的影响和历年来的趋势。与企业信息安全工作最密切相关但仍有明显区别的第四类工作，其是基于不同的主机服务，例如应用程序、网络服务或在主机上运行的其他程序来描述主机风险，并设置个性化安全策略，或者基于用户行为来描述风险，例如用户是否将随机导航到可能具有恶意的URL，之前是否已经点击随机弹出的窗口或使用已经被恶意软件感染的虚拟化Web浏览器。

因此，有必要针对现状设计一种企业环境中预测恶意软件感染的新型统计预测方法和系统，以便对高风险员工采取预防措施和针对性的提供策略。

发明内容

为解决上述问题，本发明提出一种预测恶意软件感染的统计预测系统和方法,可根据员工的统计数据来预测其在企业网络中被恶意软件感染的风险，以便对高风险员工采取主动预防措施或针对恶意软件感染识别出统计性驱动因素，协助设置安全策略或监视当前策略的有效性。

为了达到上述目的，本发明提出如下技术方案：

一种预测恶意软件感染的统计预测系统，包括：

作为数据源的员工信息数据库；

对员工信息数据、端点保护软件日志的恶意软件感染数据、主机分配信息数据进行数据聚合的数据聚合器；

对聚合数据的进行特征提取的特征提取器；

对提取的特征数据进行建立恶意软件感染风险预测模型的预测建模器。

一种预测恶意软件感染的统计预测方法，其步骤包括利用上述统计预测系统进行员工统计数据建立风险预测模型以预测网络个体被恶意软件感染的可能性。

一种使用预测模型识别企业环境中恶意软件感染的关键驱动因素的方法，利用预测模型获取恶意软件感染的关键驱动因素分析，协助网络安全风险管控团队设置和实施安全策略。

一种在SIEM环境中使用预测结果的方法，利用预测模型获取预测结果，利用安全信息和事件管理工具来协助SOC采取主动监控操作。