移動(dòng)設(shè)備上的基于數(shù)據(jù)流的行為分析的制作方法
【專利說(shuō)明】移動(dòng)設(shè)備上的基于數(shù)據(jù)流的行為分析
【背景技術(shù)】
[0001] 蜂窩和無(wú)線通信技術(shù)在最近幾年已出現(xiàn)了爆炸性的增長(zhǎng)�。更佳的通信、硬件��、更大 的網(wǎng)絡(luò)和更可靠的協(xié)議激發(fā)了運(yùn)種增長(zhǎng)���。無(wú)線服務(wù)提供商現(xiàn)在能夠向它們的客戶提供不斷 擴(kuò)展的大量的功能和服務(wù)��,并向用戶提供信息��、資源和通信的空前水平的訪問���。為了跟上運(yùn) 些服務(wù)的增強(qiáng),移動(dòng)電子設(shè)備(例如��,蜂窩電話���、平板設(shè)備、膝上型計(jì)算機(jī)等等)與過(guò)去相比 已變得更強(qiáng)大和更復(fù)雜��。運(yùn)種復(fù)雜度產(chǎn)生了針對(duì)惡意軟件�、軟件沖突、硬件故障的新的機(jī) 會(huì)����,W及產(chǎn)生了負(fù)面地影響移動(dòng)設(shè)備的長(zhǎng)期持續(xù)性能和功率利用水平的其它類似故障或現(xiàn) 象�����。因此�,識(shí)別和校正會(huì)負(fù)面地影響移動(dòng)設(shè)備的長(zhǎng)期持續(xù)性能和功率利用水平的狀況和/或 移動(dòng)設(shè)備行為對(duì)于消費(fèi)者是有益的����。
【發(fā)明內(nèi)容】
[0002] 各個(gè)方面包括通過(guò)W下操作來(lái)分析移動(dòng)設(shè)備行為W識(shí)別惡意軟件應(yīng)用的方法:識(shí) 別需要密切監(jiān)測(cè)的關(guān)鍵數(shù)據(jù)資源;識(shí)別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的中間資源;當(dāng)訪問所 述關(guān)鍵數(shù)據(jù)資源和所述中間資源時(shí)��,監(jiān)測(cè)由軟件應(yīng)用做出的API調(diào)用����;識(shí)別由所述API調(diào)用 消耗或產(chǎn)生的移動(dòng)設(shè)備資源;將API調(diào)用的模式識(shí)別成指示所述軟件應(yīng)用的惡意活動(dòng);基于 所識(shí)別的API調(diào)用的模式和所識(shí)別的移動(dòng)設(shè)備資源,生成輕量級(jí)的行為特征;使用所述輕量 級(jí)的行為特征來(lái)執(zhí)行行為分析操作����;W及基于所述行為分析操作,確定所述軟件應(yīng)用是惡 意還是善意����。
[0003] 在一個(gè)方面,識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資源可W包括:識(shí)別由所 述API調(diào)用產(chǎn)生的幽靈(ghost)資源���。在另外的方面���,識(shí)別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的所 述中間資源可W包括:基于由所述軟件應(yīng)用針對(duì)所述關(guān)鍵數(shù)據(jù)資源做出的API調(diào)用���,識(shí)別需 要API調(diào)用監(jiān)測(cè)的資源。在另外的方面����,該方法可W包括:觀察一段時(shí)間的移動(dòng)設(shè)備行為,W 識(shí)別與正常操作模式不一致的移動(dòng)設(shè)備行為��,其中�,使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行 為分析操作可W包括:基于所述輕量級(jí)的行為特征中包括的信息,來(lái)動(dòng)態(tài)地確定要進(jìn)行觀 察的所述移動(dòng)設(shè)備行為�。在另外的方面,使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作 可W包括:基于所述輕量級(jí)的行為特征中包括的信息���,識(shí)別需要更深入分析的移動(dòng)設(shè)備行 為。
[0004] 在另外的方面���,該方法可W包括:更詳細(xì)地觀察所確定的移動(dòng)設(shè)備行為;生成更全 面地描述所觀察的移動(dòng)設(shè)備行為的穩(wěn)健行為特征;使用所生成的行為特征來(lái)執(zhí)行所觀察的 移動(dòng)設(shè)備行為的更深入分析�。在另外的方面�����,該方法可W包括:根據(jù)所監(jiān)測(cè)的API調(diào)用,識(shí)別 所述軟件應(yīng)用的兩個(gè)或更多操作�����;W及確定是否應(yīng)當(dāng)將所識(shí)別的兩個(gè)或更多操作作為單個(gè) 移動(dòng)設(shè)備行為進(jìn)行一起分析�。在另外的方面,使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析 操作可W包括:基于所述輕量級(jí)的行為特征中包括的信息����,確定要對(duì)所述軟件應(yīng)用的操作 進(jìn)行分析的時(shí)間段。
[0005] 另外的方面包括一種計(jì)算設(shè)備�����,其包括:用于識(shí)別需要密切監(jiān)測(cè)的關(guān)鍵數(shù)據(jù)資源 的單元;用于識(shí)別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的中間資源的單元��;用于當(dāng)訪問所述關(guān)鍵數(shù) 據(jù)資源和所述中間資源時(shí)���,監(jiān)測(cè)由軟件應(yīng)用做出的API調(diào)用的單元����;用于識(shí)別由所述API調(diào) 用消耗或產(chǎn)生的移動(dòng)設(shè)備資源的單元;用于將API調(diào)用的模式識(shí)別成指示所述軟件應(yīng)用的 惡意活動(dòng)的單元����;用于基于所識(shí)別的API調(diào)用的模式和所識(shí)別的移動(dòng)設(shè)備資源,生成輕量級(jí) 的行為特征的單元����;用于使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作的單元;W及用 于基于所述行為分析操作����,確定所述軟件應(yīng)用是惡意還是善意的單元。
[0006] 在一個(gè)方面��,用于識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資源的單元可W包 括:用于識(shí)別由所述API調(diào)用產(chǎn)生的幽靈資源的單元��。在另外的方面��,用于識(shí)別與所述關(guān)鍵 數(shù)據(jù)資源相關(guān)聯(lián)的所述中間資源的單元可W包括:用于基于由所述軟件應(yīng)用針對(duì)所述關(guān)鍵 數(shù)據(jù)資源做出的API調(diào)用�����,識(shí)別需要API調(diào)用監(jiān)測(cè)的資源的單元���。在一個(gè)方面,該計(jì)算設(shè)備可 W包括:用于觀察一段時(shí)間的移動(dòng)設(shè)備行為,W識(shí)別與正常操作模式不一致的移動(dòng)設(shè)備行 為的單元�����,其中��,用于使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作的單元可W包括:用 于基于所述輕量級(jí)的行為特征中包括的信息�����,來(lái)動(dòng)態(tài)地確定要進(jìn)行觀察的所述移動(dòng)設(shè)備行 為的單元��。在另外的方面�,用于使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作的單元可 W包括:用于基于所述輕量級(jí)的行為特征中包括的信息,識(shí)別需要更深入分析的移動(dòng)設(shè)備 行為的單元���。
[0007] 在另外的方面�����,該計(jì)算設(shè)備可W包括:用于更詳細(xì)地觀察所確定的移動(dòng)設(shè)備行為 的單元;用于生成更全面地描述所觀察的移動(dòng)設(shè)備行為的穩(wěn)健行為特征的單元�����;用于使用 所生成的行為特征來(lái)執(zhí)行所觀察的移動(dòng)設(shè)備行為的更深入分析的單元���。在另外的方面�����,該 計(jì)算設(shè)備可W包括:用于根據(jù)所監(jiān)測(cè)的API調(diào)用����,識(shí)別所述軟件應(yīng)用的兩個(gè)或更多操作的單 元;用于確定是否應(yīng)當(dāng)將所識(shí)別的兩個(gè)或更多操作作為單個(gè)移動(dòng)設(shè)備行為進(jìn)行一起分析的 單元�����。在另外的方面��,用于使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作的單元可W包 括:用于基于所述輕量級(jí)的行為特征中包括的信息�,確定要對(duì)所述軟件應(yīng)用的操作進(jìn)行分 析的時(shí)間段的單元。
[0008] 另外的方面包括一種具有處理器的移動(dòng)計(jì)算設(shè)備���,其中該處理器被配置為通過(guò)處 理器可執(zhí)行指令來(lái)執(zhí)行包括W下各項(xiàng)的操作:識(shí)別需要密切監(jiān)測(cè)的關(guān)鍵數(shù)據(jù)資源;識(shí)別與 所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的中間資源�;當(dāng)訪問所述關(guān)鍵數(shù)據(jù)資源和所述中間資源時(shí)��,監(jiān)測(cè) 由軟件應(yīng)用做出的API調(diào)用����;識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資源;將API調(diào)用的 模式識(shí)別成指示所述軟件應(yīng)用的惡意活動(dòng);基于所識(shí)別的API調(diào)用的模式和所識(shí)別的移動(dòng) 設(shè)備資源�����,生成輕量級(jí)的行為特征;使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作;W及 基于所述行為分析操作��,確定所述軟件應(yīng)用是惡意還是善意�。
[0009] 在一個(gè)方面,所述處理器可W被配置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行操作�����,使得 識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資源可W包括:識(shí)別由所述API調(diào)用產(chǎn)生的幽靈 資源�。在另外的方面,所述處理器可W被配置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行操作��,使得識(shí) 別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的所述中間資源可W包括:基于由所述軟件應(yīng)用針對(duì)所述關(guān) 鍵數(shù)據(jù)資源做出的API調(diào)用����,識(shí)別需要API調(diào)用監(jiān)測(cè)的資源。在另外的方面�����,所述處理器可W 被配置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行還包括W下各項(xiàng)的操作:觀察一段時(shí)間的移動(dòng)設(shè)備 行為����,W識(shí)別與正常操作模式不一致的移動(dòng)設(shè)備行為��,其中�,使用所述輕量級(jí)的行為特征來(lái) 執(zhí)行行為分析操作可W包括:基于所述輕量級(jí)的行為特征中包括的信息�����,來(lái)動(dòng)態(tài)地確定要 進(jìn)行觀察的所述移動(dòng)設(shè)備行為��。
[0010] 在另外的方面�,所述處理器可W被配置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行操作,使 得使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作可W包括:基于所述輕量級(jí)的行為特征 中包括的信息�,識(shí)別需要更深入分析的移動(dòng)設(shè)備行為。在另外的方面�,所述處理器可W被配 置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行還包括W下各項(xiàng)的操作:更詳細(xì)地觀察所確定的移動(dòng)設(shè) 備行為;生成更全面地描述所觀察的移動(dòng)設(shè)備行為的穩(wěn)健行為特征;W及使用所生成的行 為特征來(lái)執(zhí)行所觀察的移動(dòng)設(shè)備行為的更深入分析�����。在另外的方面�,所述處理器可W被配 置為通過(guò)處理器可執(zhí)行指令來(lái)執(zhí)行還包括W下各項(xiàng)的操作:根據(jù)所監(jiān)測(cè)的API調(diào)用,識(shí)別所 述軟件應(yīng)用的兩個(gè)或更多操作;確定是否應(yīng)當(dāng)將所識(shí)別的兩個(gè)或更多操作作為單個(gè)移動(dòng)設(shè) 備行為進(jìn)行一起分析���。在另外的方面�����,所述處理器可W被配置為通過(guò)處理器可執(zhí)行指令來(lái) 執(zhí)行操作�,使得使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作可W包括:基于所述輕量 級(jí)的行為特征中包括的信息,確定要對(duì)所述軟件應(yīng)用的操作進(jìn)行分析的時(shí)間段�����。
[0011] 另外的方面包括一種其上存儲(chǔ)有處理器可執(zhí)行軟件指令的非臨時(shí)性計(jì)算機(jī)可讀 存儲(chǔ)介質(zhì)�,其中所述處理器可執(zhí)行軟件指令被配置為使移動(dòng)設(shè)備處理器執(zhí)行用于對(duì)移動(dòng)設(shè) 備行為進(jìn)行分析�����,W識(shí)別惡意軟件應(yīng)用的操作�,所述操作包括:識(shí)別需要密切監(jiān)測(cè)的關(guān)鍵數(shù) 據(jù)資源;識(shí)別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的中間資源;當(dāng)訪問所述關(guān)鍵數(shù)據(jù)資源和所述中 間資源時(shí)��,監(jiān)測(cè)由軟件應(yīng)用做出的API調(diào)用����;識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資 源;將API調(diào)用的模式識(shí)別成指示所述軟件應(yīng)用的惡意活動(dòng);基于所識(shí)別的API調(diào)用的模式 和所識(shí)別的移動(dòng)設(shè)備資源,生成輕量級(jí)的行為特征;使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行 為分析操作��;W及基于所述行為分析操作��,確定所述軟件應(yīng)用是惡意還是善意。
[0012] 在一個(gè)方面����,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器執(zhí) 行操作,使得識(shí)別由所述API調(diào)用消耗或產(chǎn)生的移動(dòng)設(shè)備資源可W包括:識(shí)別由所述API調(diào) 用產(chǎn)生的幽靈資源����。在另外的方面,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng) 設(shè)備處理器執(zhí)行操作��,使得識(shí)別與所述關(guān)鍵數(shù)據(jù)資源相關(guān)聯(lián)的所述中間資源可W包括:基 于由所述軟件應(yīng)用針對(duì)所述關(guān)鍵數(shù)據(jù)資源做出的API調(diào)用�����,識(shí)別需要API調(diào)用監(jiān)測(cè)的資源����。
[0013] 在另外的方面,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器 執(zhí)行還包括W下各項(xiàng)的操作:觀察一段時(shí)間的移動(dòng)設(shè)備行為�����,W識(shí)別與正常操作模式不一 致的移動(dòng)設(shè)備行為�����,其中,使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作可W包括:基于 所述輕量級(jí)的行為特征中包括的信息�,來(lái)動(dòng)態(tài)地確定要進(jìn)行觀察的所述移動(dòng)設(shè)備行為。在 另外的方面�����,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器執(zhí)行操作��, 使得使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作可W包括:基于所述輕量級(jí)的行為特 征中包括的信息���,識(shí)別需要更深入分析的移動(dòng)設(shè)備行為。
[0014] 在另外的方面�����,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器 執(zhí)行還包括W下各項(xiàng)的操作:更詳細(xì)地觀察所確定的移動(dòng)設(shè)備行為;生成更全面地描述所 觀察的移動(dòng)設(shè)備行為的穩(wěn)健行為特征;使用所生成的行為特征來(lái)執(zhí)行所觀察的移動(dòng)設(shè)備行 為的更深入分析�。
[0015] 在另外的方面,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器 執(zhí)行還包括W下各項(xiàng)的操作:根據(jù)所監(jiān)測(cè)的API調(diào)用����,識(shí)別所述軟件應(yīng)用的兩個(gè)或更多操 作;確定是否應(yīng)當(dāng)將所識(shí)別的兩個(gè)或更多操作作為單個(gè)移動(dòng)設(shè)備行為進(jìn)行一起分析�����。在另 外的方面,所存儲(chǔ)的處理器可執(zhí)行軟件指令可W被配置為使移動(dòng)設(shè)備處理器執(zhí)行操作�,使 得使用所述輕量級(jí)的行為特征來(lái)執(zhí)行行為分析操作可W包括:基于所述輕量級(jí)的行為特征 中包括的信息,確定要對(duì)所述軟件應(yīng)用的操作進(jìn)行分析的時(shí)間段��。
【附圖說(shuō)明】
[0016] 被并入本文并且構(gòu)成本說(shuō)明書一部分的附圖����,描繪了本發(fā)明的示例性方面,并且 連同上面給出的概括描述W及下面給出的詳細(xì)描述一起來(lái)解釋本發(fā)明的特征���。
[0017] 圖1是適用于實(shí)現(xiàn)本申請(qǐng)的各個(gè)方面的示例性片上系統(tǒng)的體系結(jié)構(gòu)圖�。
[0018] 圖2是示出了被配置為確定特定的移動(dòng)設(shè)備行為���、軟件應(yīng)用或處理是劣化性能���、可 疑的還是善意的一個(gè)方面移動(dòng)設(shè)備中的示例性邏輯組件和信息流的框圖。
[0019] 圖3是示出了根據(jù)一個(gè)方面被配置為防止惡意軟件應(yīng)用規(guī)避檢測(cè)的一個(gè)方面移動(dòng) 設(shè)備中的示例性邏輯組件和信息流的框圖�����。
[0020] 圖4是示出了執(zhí)行行為監(jiān)測(cè)和分析操作���,W確定特定的軟件應(yīng)用是惡意的還是善 意的��,W便防止惡意軟件應(yīng)用規(guī)避檢測(cè)的方法的過(guò)程流程圖���。
[0021] 圖5是示出了執(zhí)行行為監(jiān)測(cè)和分析操作�,W確定特定的軟件應(yīng)用是惡意的還是善 意的��,W便防止惡意軟件應(yīng)用規(guī)避檢測(cè)的另一種方法的過(guò)程流程圖���。
[0022] 圖6是示出了使用輕量級(jí)行為矢量中包括的信息����,來(lái)識(shí)別要進(jìn)行觀察的移動(dòng)設(shè)備 行為����,識(shí)別應(yīng)當(dāng)作為單個(gè)移動(dòng)設(shè)備行為的一部分進(jìn)行一起分析的操作��,并識(shí)別需要額外的����、 不同的或更深入分析的移動(dòng)設(shè)備行為的分析器方法的過(guò)程流程圖。
[0023] 圖7和圖8是示出了根據(jù)各個(gè)方面實(shí)現(xiàn)觀察器模塊和觀察器守護(hù)進(jìn)程(daemon)的 計(jì)算系統(tǒng)中的邏輯組件和信息流的框圖���。
[0024] 圖9是示出了用于在移動(dòng)設(shè)備上執(zhí)行適應(yīng)性觀察的一個(gè)方面方法的過(guò)程流程圖�。
[0025] 圖10是適用于結(jié)合各個(gè)方面使用的移動(dòng)設(shè)備的組件框圖。
[0026] 圖11是適用于結(jié)合各個(gè)方面使用的示例性移動(dòng)設(shè)備的視圖�。
[0027] 圖12是適用于結(jié)合各個(gè)方面使用的示例性服務(wù)器計(jì)算機(jī)的視圖。
【具體實(shí)施方式】
[0028] 現(xiàn)在參照附圖來(lái)詳細(xì)地描述各個(gè)方面�。在可W的地方,貫穿附圖使用相同的附圖 標(biāo)記來(lái)指代相同或者類似的部分�����。對(duì)于特定示例和實(shí)現(xiàn)的引用只是用于說(shuō)明目的�����,而不是 旨在限制本發(fā)明或者權(quán)利要求的保護(hù)范圍��。
[0029] 本文所使用的"示例性的"一詞意味著"用作例子�、例證或說(shuō)明"。本申請(qǐng)中被描述 為"示例性"的任何實(shí)現(xiàn)不一定被解釋為比其它實(shí)現(xiàn)更優(yōu)選或更具優(yōu)勢(shì)���。
[0030] 本文互換地使用術(shù)語(yǔ)"移動(dòng)計(jì)算設(shè)備"和"移動(dòng)設(shè)備"指代下面中的任何一種或全 部:蜂窩電話�����、智能電話����、個(gè)人或移動(dòng)多媒體播放器、個(gè)人數(shù)據(jù)助理(PDA)�、膝上型計(jì)算機(jī)、平 板計(jì)算機(jī)�、智能本、超級(jí)本��、掌上型計(jì)算機(jī)�����、無(wú)線電子郵件接收機(jī)���、具備多媒體互聯(lián)網(wǎng)能力的 蜂窩電話����、無(wú)線游戲控制器���、W及包括存儲(chǔ)器���、可編程處理