[发明专利]一种预测恶意软件感染的统计预测系统和方法

摘要

本发明涉及网络安全领域，特别涉及一种预测恶意软件感染的统计预测系统和方法。本发明根据员工的统计数据来预测其在企业网络中被恶意软件感染的风险，以便对高风险员工采取预防措施。本发明针对个体员工在未来被恶意软件感染的可预见性进行分析，结合安全信息和事件管理工具实现对高风险组采取主动应对，同时，还可可以识别具有统计意义的关键驱动因素，进而可供决策使用，以帮助安全风险和管理机构设计和执行安全策略并监控其有效性。

主权项

1.一种预测恶意软件感染的统计预测系统，其特征在于：所述的统计预测系统包括：作为数据源的员工信息数据库，员工信息数据库还包括员工福利数据库，员工协议数据库；对员工信息数据、端点保护软件日志的恶意软件感染数据、主机分配信息数据进行数据聚合的数据聚合器；对聚合数据进行特征提取的特征提取器；对提取的特征数据进行建立恶意软件感染风险预测模型的预测建模器；预测建模器利用员工统计数据建立预测模型的具体步骤为：1)利用数据聚合器负责链接不同的数据源，得到可分析格式组织数据；对员工信息数据库的员工信息数据、端点保护软件日志的恶意软件感染数据和主机分配信息数据由数据聚合器进行数据聚合得到聚合数据，即为可分析格式组织数据；其中，员工信息数据至少包括员工姓名和员工ID；2)利用特征提取器对聚合数据进行特征提取得到特征数据；3)将输入数据输入到预测建模器中建立恶意软件感染风险预测模型，输入数据包括员工姓名、员工ID、特征数据以及由端点保护软件生成的历史数据，在建立恶意软件感染风险预测模型时，根据感染但“left alone”的恶意软件的计数数据，建立基于泊松分布一般线性模型，利用基于泊松分布一般线性模型、根据将面临的恶意软件数量及其严重程度对员工进行风险排名；“left alone”是一组终端保护软件没有办法处理的恶意软件、并可能在将来导致安全漏洞；4)在步骤3)中建立恶意软件感染风险预测模型时，为提高对于高风险员工组的预测准确性，采用包括以下步骤：a.时间补偿：在具有对数链接函数的泊松分布一般线性模型中使用时间作为补偿变量，即算法实际上对于每天的恶意软件感染率进行建模，正确描述不同时间段内的病毒感染；b.加权方差调整：对于泊松分布，随机变量计数yi的方差等于yi的期望平均值，利用加权方差调整进行加权；c.分层抽样：使用分层抽样方法对过去低风险感染人群进行抽样，减少了低风险感染人群对预测的影响，从而间接提高了对高风险感染组预测的准确性；d.智能变量分组：使用决策树方法对一些连续变量进行智能分组，对变量分组也会提高模型的性能；对于被恶意软件感染风险预测模型识别出的高风险的员工，系统会自动将信息发送到SIEM系统，对其进行主动监控，同时，针对恶意软件感染识别出统计性驱动因素，系统协助设置安全策略或监视当前策略的有效性。