本發明公開了一種用于基于用戶行為來確定惡意下載風險的計算機實現的方法，該方法可包括：(1)識別處于惡意下載高風險的一組用戶以及處于惡意下載低風險的一組用戶，(2)確定一組高風險用戶所共有并且不是一組低風險用戶所共有的高風險下載行為模式，(3)分析未分類用戶在預定義時間段的下載行為，以將下載行為分類為高風險或低風險，以及(4)響應于確定未分類用戶的下載行為落入高風險下載行為模式的預定義相似度閾值內，將未分類用戶分類為高風險用戶。還公開了對應的系統和計算機可讀介質。

背景技術

惡意軟件對于個人用戶和組織都是一個常見的問題。惡意應用程序可能會減慢計算機速度、加密或刪除重要數據、竊取敏感信息，并導致其他各種問題。許多資源已經專門用于保護計算設備免受惡意軟件的攻擊，例如防火墻、防病毒應用程序、垃圾郵件過濾器和反間諜軟件應用程序。許多反惡意軟件應用程序專門用于刪除已經在計算設備上的惡意文件，但理想的反惡意軟件應用程序是防止惡意軟件感染發生的應用程序。

雖然一些傳統的系統可能會阻止未感染的用戶下載惡意軟件，但許多應用程序仍然努力應對不斷增長的惡意應用程序的數量和類型，這些惡意應用程序可能隨時由不知情的用戶下載。一些傳統系統可能會限制用戶下載或設置更改，以降低其計算設備的使用性為代價來增加對用戶的保護。因為任何反惡意軟件應用程序都會消耗計算資源，所以大多數用戶不希望運行不必要的反惡意軟件應用程序。要確定特定用戶需要什么類型的惡意軟件預防系統，需要能夠預測用戶遇到惡意軟件的可能性。因此，本公開內容明確并解決了對用于檢測惡意軟件的另外的以及改進的系統和方法的需求。

發明內容

如將在下文更詳細地描述，本公開描述了基于用戶行為來確定惡意下載風險的各種系統和方法，方式是監視用戶的下載行為模式，將該下載行為模式與其他被惡意軟件感染的用戶的下載行為進行比較，并且基于該比較來確定用戶是否有可能在未來下載惡意軟件。

在一個示例中，基于用戶行為來確定惡意下載風險的計算機實現的方法可包括：(1)識別處于惡意下載高風險的一組用戶以及處于惡意下載低風險的一組用戶，(2)確定該組高風險用戶所共有并且不是該組低風險用戶所共有的高風險下載行為模式，(3)分析未分類用戶在預定義時間段內的下載行為，以將該下載行為分類為高風險或低風險，以及(4)響應于確定未分類用戶的下載行為落入預定義高風險下載行為模式的相似度閾值內，將未分類用戶分類為高風險用戶。

在一些示例中，計算機實現的方法還可包括增加高風險用戶的安全態勢，以降低高風險用戶感染惡意軟件的風險。在其他示例中，計算機實現的方法還可包括收集關于高風險用戶的附加數據，以提高高風險下載行為模式在預測惡意軟件感染時的準確性，并且/或者提高附加惡意軟件感染預測系統的準確性。除此之外或另選地，計算機實現的方法還可包括增加可能包括高風險用戶的組織的安全態勢，以降低由組織使用的計算設備感染惡意軟件的風險。

在一些實施方案中，識別該組高風險用戶和該組低風險用戶可以包括在預定義下載監視時間段內監視一組未分類的用戶的下載行為。在本實施方案中，識別用戶還可以包括將在預定義下載監視時間段內計算設備感染了惡意軟件的用戶分類為該組高風險用戶，并將在預定義下載監視時間段內計算設備未感染惡意軟件的用戶分類為該組低風險用戶。