CN103262087B - 与签名无关的基于系统行为的恶意软件检测 - Google Patents
与签名无关的基于系统行为的恶意软件检测 Download PDFInfo
- Publication number
- CN103262087B CN103262087B CN201180061561.7A CN201180061561A CN103262087B CN 103262087 B CN103262087 B CN 103262087B CN 201180061561 A CN201180061561 A CN 201180061561A CN 103262087 B CN103262087 B CN 103262087B
- Authority
- CN
- China
- Prior art keywords
- inexpectancy
- activity
- security engine
- snapshot
- activity level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于以系统行为基础检测恶意软件的方法、系统和计算机程序产品。对于包括一个或多个资源的处理系统的当前操作模式识别预期为活动的至少一个过程。以所述当前操作模式和所述预期为活动的至少一个过程为基础计算所述处理系统的所述一个或多个资源的预期活动水平。确定所述多个资源的实际活动水平。如果在所述预期活动水平和所述实际活动水平之间检测到偏差,则将未预期活动的源识别为所述偏差的潜在原因。策略准则用于确定所述未预期活动是否合法。如果所述未预期活动不合法,则将所述未预期活动的所述源分类为恶意软件。
Description
版权声明
本文包含的是受版权保护的材料。版权所有者不反对任何人对本专利公开的拓制,如它在专利商标局专利文件或记录中出现的一样,但是以其它方式保留对任何版权的所有权利。
技术领域
本公开通常涉及数据处理系统中的恶意软件检测。
背景技术
随着移动设备在当今社会中的激增,在移动计算环境中运行的应用在数量和复杂性上增加。移动设备现在用于处理高度敏感的交易,例如财务/银行业务交易、保健和健康监控、支付处理以及社交联网。这些高度敏感的交易使移动设备成为黑客和恶意软件的具有吸引力的目标。由于限制移动设备可用的计算资源、存储和电池寿命的小形状因子,传统反病毒技术在移动设备上具有有限的有用性。
附图说明
图1是根据本发明一个实施例配置为使能与签名无关的基于系统行为的恶意软件检测的系统的方框图。
图2是根据本发明一个实施例的图1的系统的详细方框图。
图3是根据本发明一个实施例用于执行与签名无关的基于系统行为的恶意软件检测的方法的流程图。
图4是根据本发明一个实施例在系统在操作中时用于监控由用户调用的新应用的方法的流程图。
具体实施方式
本发明的实施例可以提供用于执行与签名无关的基于系统行为的恶意软件检测的方法、系统和计算机程序产品。在一个实施例中,所述方法包括识别对于包括一个或多个资源的处理系统的当前操作模式预期为活动的至少一个过程;以所述当前操作模式和所述预期为活动的至少一个过程为基础计算所述处理系统的所述一个或多个资源的预期活动水平;确定所述多个资源的实际活动水平;如果在所述预期活动水平和所述实际活动水平之间检测到偏差,则将未预期活动的源识别为所述偏差的潜在原因;使用策略准则以确定所述未预期活动是否合法;以及如果所述未预期活动不合法,则将所述未预期活动的所述源分类为恶意软件。
所述方法可以进一步包括将所述处理系统的快照发送到远程服务器,其中所述远程服务器执行快照的验证和/或针对病毒签名分析所述快照。所述方法可以进一步包括终止所述未预期活动的所述源。在一个实施例中,所述方法包括识别所述处理系统的所述当前操作模式到新操作模式的改变;识别预期为活动的第二至少一个过程;以及以所述新操作模式和所述预期为活动的第二至少一个过程为基础调整所述预期活动水平。在一个实施例中,使用所述策略准则以确定所述未预期活动是否合法包括确定所述源是否被签名。使用所述策略准则以确定所述未预期活动是否合法可以进一步包括警告用户所述未预期活动并且从所述用户获得关于所述未预期活动的反馈。
说明书中对本发明“一个实施例”或“实施例”的提及意味着结合该实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因而,在整个说明书的不同地方出现的短语“在一个实施例中”、“根据一个实施例”等等的出现并不一定全部指代相同的实施例。
出于解释目的,阐述了特定配置和细节以提供对本发明的全面理解。然而,对于本领域中的普通技术人员将明显,可以在没有本文呈现的具体细节的情况下实践本发明的实施例。而且,公知的特征可以被省略或简化,以便不混淆本发明。贯穿这一描述可以给出各种示例。这些仅是本发明具体实施例的描述。本发明的范围不局限于给出的示例。
在传统桌面型系统中,很多用户安装反病毒软件,在计算机下载或运行可执行程序之后,这些反病毒软件可以检测并消除已知的病毒。存在反病毒软件应用用于检测病毒的两种常见的方法。第一种并且最常见的病毒检测方法是使用病毒签名定义的列表。这一技术通过检查计算机存储器(其RAM和引导扇区)的内容以及存储在固定或可移动驱动(硬盘驱动、软盘驱动)上的文件,并且将这些文件与具有已知的病毒“签名”的数据库进行比较来工作。这一检测方法的一个缺点是,用户只被保护免受日期在其最后病毒定义更新之前的病毒。另一缺点是,需要相当多的资源来存储病毒签名的数据库,其可能具有数百万个条目,从而超过了移动设备上可用的存储量。
第二种病毒检测方法是使用启发式算法以病毒软件展现的常见行为为基础找到病毒。这一方法具有检测还没有对于其创建签名的新型病毒的能力,但是要求提前识别病毒软件展现的常见行为。这一技术还具有要求大规模的计算资源以识别和跟踪常见行为的缺点,并且这些大规模的计算资源在移动设备上可能会不可用。
图1是根据本发明一个实施例配置为执行与签名无关的基于系统行为的恶意软件检测的系统的方框图。与移动计算机系统和/或移动电话相对应的平台100包括连接到芯片集120的处理器110。处理器110向平台100提供处理功率,并且可以是单核或多核处理器,并且平台100中可以包括多于一个处理器。处理器110可以经由一个或多个系统总线、通信路径或介质(未示出)连接到平台100的其它部件。处理器110运行例如主机应用112的主机应用,该主机应用112经由互连151经过网络150与企业服务器170进行通信。主机应用112在主机操作系统105的控制下运行。
芯片集120包括安全引擎130,该安全引擎130可以被实现为独立于处理器110操作的嵌入式微处理器,以管理平台100的安全。安全引擎130提供加密操作和其它用户认证功能。在一个实施例中,处理器110在主机操作系统105的指导下操作,而安全引擎130提供不能够被主机操作系统105访问的安全和隔离环境。这一安全环境在本文中被称为安全分区。该安全环境还包括安全存储132。
在一个实施例中,在安全引擎130中运行的行为分析模块140由主机应用112使用以提供与签名无关的基于系统行为的恶意软件检测。主机应用112经由安全引擎接口(SEI)114请求安全引擎1130的服务,包括与签名无关的基于系统行为的恶意软件检测。行为分析模块140可以被实现为由安全引擎130执行的固件。
位于安全引擎130和企业服务器170之间的通信经由带外通信信道152发生。在一个实施例中,带外通信信道152是位于主机系统上的安全引擎130和企业服务器170之间的安全通信信道。带外通信信道152使能安全引擎130以与平台100的主机操作系统105独立地与外部服务器进行通信。
图2示出了图1的系统的部件的更详细的视图。在图2所示的实施例中,行为分析用户接口212是在由移动操作系统(OS)205提供的环境中运行的主机应用。行为分析模块用户接口212调用行为分析模块240以提供与签名无关的基于系统行为的恶意软件检测。行为分析模块用户接口212和行为分析模块240之间的交互是实现专有的,并且可以直接或者经由移动OS205发生。在一个实施例中,行为分析模块用户接口212提供覆盖行为分析模块240的动态设置的选项。
移动OS205包括功率管理器207,该功率管理器207在空闲时段期间暂停平台200子系统,并且增加处理器210在低功率状态下操作的时间量。功率管理器207将处理器210保持在最低可能的功率状态下以对于移动设备200增加功率节约。
由于行为分析模块240在安全引擎230内运行,因此行为分析模块240经由安全引擎接口(SEI)214被访问。行为分析模块240包含几个子模块,包括处理器监控器241、电池监控器242、唤醒事件监控器243和通信/记日志代理244。
处理器监控器241向行为分析模块240提供处理器使用信息。处理器监控器241通过与内核管理器/菜单(未示出)进行接口连接来监控处理器使用。处理器监控器241还允许以限制的特权和/或频率运行过程。
电池监控器242向行为分析模块240提供电池使用信息。电池使用被监控以检测过度的非处理器资源利用。例如,电池监控器242可以检测图形引擎资源或音频子系统的过度使用。电池监控器242通过与电池250的驱动器(未示出)进行接口连接来监控电池使用。
唤醒事件监控器243与系统控制器单元(SCU)208一起工作,并且监控唤醒事件。唤醒事件监控器243配置SCU208寄存器以对给定操作模式的未预期唤醒事件进行过滤。系统控制器单元(SCU)208提供细粒的平台功率管理支持。平台200唤醒事件经由SCU208被路由到唤醒事件监控器243。
当行为分析模块240被调用时,它从安全存储232加载策略设置。行为分析模块240从移动OS205的功率管理器207获得当前平台操作模式。平台操作模式的示例包括浏览、视频/音频重放、照相机、电话等等。以当前操作模式为基础,行为分析模块240识别预期为活动的至少一个过程。例如,在音频重放模式期间,音频子系统过程预期为活动,处理器预期仅涉及建立和清除缓冲器。
行为分析模块240监控平台200中的资源的活动水平,并且将该实际活动水平与预期活动水平进行比较。以系统的操作模式和在该操作模式中预期为活动的过程为基础确定预期活动水平。例如,处理器监控器241与内核处理器菜单/管理器(未示出)进行接口连接以确定当前操作模式中处理器210和电池250的预期活动水平。然后监控处理器210和电池250的实际活动水平以及由系统控制器单元(SCU)208处理的唤醒事件的数量和类型。如果在实际活动水平和预期活动水平之间发现偏差,则将未预期活动的源识别为偏差的潜在原因。
未预期活动的源由行为分析模块240通过与内核调度器(未示出)一起工作来识别,以识别系统中的当前活动过程。这些当前活动过程被映射到当前预期为在平台的当前操作模式中运行的应用。如果活动过程不能被映射到对于当前操作模式的预期应用,则将该活动过程及其相关联的应用识别为未预期活动的源。
一旦识别了未预期活动的源,行为分析模块240就使用策略准则以确定该未预期活动是否合法。例如,策略准则可以这样配置以使得应用必须被签名,以便被认为合法。策略准则可以这样配置以使得用户关于未预期活动被警告,并且获得用户反馈以确定该应用是否合法。
如果未预期活动被确定为不合法,则可以将未预期活动的源分类为恶意软件。策略准则可以用于确定如何处理该恶意软件;例如,可以终止未预期活动的源和/或可以拍摄系统的快照用于进一步分析。例如,可以将系统的快照发送到远程服务器用于分析。远程服务器可以执行快照的验证和/或针对病毒签名分析该快照。
当平台200的操作模式中存在改变时,可以通过移动OS205的功率管理器207通知行为分析模块240。例如,如果平台200初始处于音频重放模式并且用户调用浏览器,则系统将改变到“浏览器+音频重放”操作模式。以来自移动OS205的功率管理器207的通知为基础,行为分析模块240将调整其设置和预期活动水平以避免触发错误警报。
通信/记日志代理244对系统的状态的快照进行周期性记日志,并且可以将这一信息传输到诸如图1的企业服务器170的远程服务器用于验证和/或分析目的。在发送被记日志的信息时,通信/记日志代理244与企业服务器170建立安全通信信道。在快照中捕获的信息是实现专有的,并且可以包括检测到的异常活动的统计、正在运行的未签名应用的标识和/或代码、用户的设备使用模式、覆盖特权设置的企图的日志以及异常行为模式的日志。
平台200进一步包括诸如存储器204和安全存储232的存储器设备。这些存储器设备可以包括随机存取存储器(RAM)和只读存储器(ROM)。出于本公开的目的,术语“ROM”可以通常用于指代诸如可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪速ROM、闪存等等的非易失性存储器设备。安全存储232可以包括诸如集成驱动电子(IDE)硬驱的海量存储和/或诸如软盘、光学存储、磁带、闪存、记忆棒、数字视频盘、生物存储等等的其它设备或介质。在一个实施例中,安全存储232是与移动OS205隔离的嵌入在芯片集220内的eMMCNAND闪存。
处理器210也可以可通信地耦接到附加部件,例如显示控制器202、小计算机系统接口(SCSI)控制器、诸如通信控制器206的网络控制器、通用串行总线(USB)控制器、诸如键盘和鼠标的输入设备等等。平台200还可以包括用于可通信地耦接各种系统部件的一个或多个桥或集线器,例如存储器控制器集线器、输入/输出(I/O)控制器集线器、PCI根桥等等。如本文使用的,术语“总线”可以用于指代共享通信路径以及点到点路径。
可以将例如以通信控制器206为例的一些部件实现为具有用于与总线进行通信的接口(例如,PCI连接器)的适配器卡。在一个实施例中,一个或多个设备可以使用诸如可编程或不可编程逻辑器件或阵列、专用集成电路(ASIC)、嵌入式计算机、智能卡等等的部件而被实现为嵌入式控制器。
如本文使用的,术语“处理系统”和“数据处理系统”意在广泛地包含单个机器、或者可通信地耦接的机器或一起操作的设备的系统。示例处理系统没有限制地包括分布式计算系统、超级计算机、高性能计算系统、计算集群、主机计算机、小型计算机、客户端-服务器系统、个人计算机、工作站、服务器、便携式计算机、膝上型计算机、平板电脑、电话、个人数字助理(PDA)、手持设备、诸如音频和/或视频设备的娱乐设备、以及用于处理或传输信息的其它设备。
平台200可以至少部分地由来自常规输入设备的输入和/或由从另一机器、生物统计反馈或其它输入源或信号接收的命令进行控制,该常规输入设备例如是键盘、鼠标、触摸屏、语音激活设备、手势激活设备等等。平台200可以利用到诸如图1的企业服务器170的一个或多个远程数据处理系统的一个或多个连接,例如经过通信控制器206、调制解调器或其它通信端口或耦接。
平台200可以通过诸如局域网(LAN)、广域网(WAN)、内联网、互连网等等的物理和/或逻辑网络而互连到其它处理系统(未示出)。涉及网络的通信可以利用各种有线和/或无线短距离或长距离载波和协议,包括射频(RF)、卫星、微波、电气与电子工程师协会(IEEE)802.11、蓝牙、光、红外、电缆、激光等等。
图3是根据本发明一个实施例用于执行与签名无关的基于系统行为的恶意软件检测的方法的流程图。图3的方法步骤将被描述为通过图1和2的系统的部件执行。该方法在“平台中使能了行为分析模块?”决策点302处开始。如果在平台200中没有使能行为分析模块240,则该过程结束。如果使能了行为分析模块240,则控制进行到“从安全存储加载策略设置”步骤304。对于不同操作模式建立对于诸如处理器210和电池250的不同资源的预期活动水平的策略设置,并且将该策略设置存储在安全存储232中的策略数据库中。这些策略设置被加载到存储器中,并且行为分析模块240进行到“从功率管理器获得平台的当前操作模式”步骤306。行为分析模块240从移动OS205的功率管理器207获得当前操作模式。在正在进行的基础上,移动OS205的功率管理器207向行为分析模块240通知平台操作模式是否存在改变,如在“在平台操作模式改变时功率管理器通知行为分析模块”步骤308中所示。
从“从功率管理器获得平台的当前操作模式”步骤306起,控制进行到“以操作模式为基础,确定对于相对应的模式预期为活动的过程”步骤310,其中行为分析模块240以平台200的当前操作模式为基础识别预期为活动的至少一个过程。控制进行到“对于当前操作模式计算预期活动水平(近似的处理器频率和电池消耗)”步骤312,其中给定当前操作模式,行为分析模块240计算平台200的资源的预期活动水平。例如,可以计算近似的处理器频率和电池消耗的水平。控制接着进行到“监控实际活动水平与预期活动水平的偏差”步骤314。在步骤314中,行为分析模块240监控实际活动水平以得到与预期活动水平的偏差。例如,处理器监控器241监控处理器频率、特权持续时间和使用持续时间与预期活动水平的偏差。电池监控器242监控电池使用与预期电池消耗的偏差。给定当前操作模式,使用系统控制器单元(SCU)208,唤醒时间监控器243监控唤醒事件的未预期数量。
控制从“监控实际活动水平与预期活动水平的偏差”步骤314进行到“检测到任何偏差?”决策点316。如果没有检测到偏差,则控制进行到“拍摄系统的快照并对快照记日志”步骤322,其中拍摄系统的快照并且通过通信/记日志代理244将其写入到日志。对于快照收集的数据量和拍摄快照的频率是实现专有的,并且可以由原始装置制造商/原始设备制造商(OEM/ODM)确定。在一个实施例中,可以通过远程服务器分析该系统的快照,并且可以在远程服务器处执行病毒签名匹配,从而要求较少的资源用于客户端处理系统上的签名处理。
如果在“检测到任何偏差?”决策点316处检测到偏差,则控制进行到“识别未预期活动水平的源”步骤318。在步骤318,将诸如未预期处理器频率的源的未预期活动水平的源识别为偏差的潜在源。控制然后进行到“使用策略准则以确定未预期活动是否合法”步骤320。如上所述,一旦识别了未预期活动的源,行为分析模块240就使用策略准则以确定未预期活动是否合法。例如,可以这样配置策略准则以使得应用必须被签名,以便被认为合法。可以这样配置策略准则以使得用户关于未预期活动被警告并且获得用户反馈以确定应用是否合法。控制进行到“合法的活动?”决策点322。如果未预期活动被确定为合法,则控制进行到“根据策略设置采取动作”步骤326。例如,可以调用附加的监控例程以监控作为未预期活动的源的应用。
在“合法的活动?”决策点322,如果未预期活动被确定为不合法,则控制进行到“将未预期活动的源分类为恶意软件”步骤324,其中将未预期活动的源分类为恶意软件。控制然后进行到“根据策略设置采取动作”步骤326,其中采取适当的动作以处理恶意软件,例如终止未预期活动水平的源和/或向远程服务器通知系统快照。控制然后进行到“拍摄系统的快照并对快照记日志”步骤328,其中拍摄系统的快照并通过通信/记日志代理244将该快照写入到日志。
图4是根据本发明一个实施例用于在系统在操作中时监控由用户调用的新应用的方法的流程图。在“用户发起了新应用/服务?”决策点402,行为分析模块240确定平台200的用户是否发起了新应用或服务。如果没有发起新应用或服务,则该过程结束。如果发起了新应用或服务,则控制进行到“应用/服务被签名?”决策点404。如果应用或服务被签名,则控制进行到“允许/拒绝应用/服务相应地运行和更新操作模式”步骤408。行为分析模块240或者允许或者拒绝应用或服务相应地运行和更新操作模式的机会。
在“应用/服务被签名?”决策点404,如果应用或服务没有被签名,则控制进行到“警告用户并且以用户反馈为基础进行修改”步骤406。用户经由行为分析模块用户接口212被警告,并且行为分析模块240根据用户反馈修改其行为。例如,用户可以覆盖所有应用和服务被签名的要求并且提供尽管应用没有被签名也运行该应用的指令。可选地,行为分析模块240可以通知用户未签名的应用没有被允许。从“警告用户并且以用户反馈为基础进行修改”步骤406起,控制进行到“允许/拒绝应用/服务相应地运行和更新操作模式”步骤408。行为分析模块240允许或拒绝应用或服务相应地运行和更新操作模式的机会。
可以在发起新应用时或每当确定实际活动水平与预期活动水平的偏差发生时执行参考图4描述的过程。参考图4描述的过程可以用于确定未预期活动是否合法。
当与传统恶意软件检测方法进行比较时,本文对于与签名无关的基于系统行为的恶意软件检测描述的技术提供几个优点。由于在不针对数百万恶意软件签名检查软件程序的情况下执行恶意软件检测,因此节省了相当多的存储和计算资源。本文描述的行为分析模块利用处理系统的操作模式以及诸如处理器和电池的资源的活动水平来前摄地识别恶意软件。由于当操作模式改变时行为分析模块动态地修改,因此避免了错误警报。行为分析模块还考虑应用或服务是否在分析其行为时被签名。
本文所述的行为分析模块是可配置的和基于策略的。行为分析模块具有拍摄系统的快照并将该快照提供到远程企业服务器用于验证目的的能力。
此外,本文所述的行为分析模块在与处理系统的操作系统隔离的安全环境中操作。这确保了行为分析数据对于包括用户、操作系统、主机应用和恶意软件的不可信方不可用。策略设置和交易日志也被存储在防篡改安全存储中。策略和警告可以从远程企业服务器安全地进行传送,从而使能行为分析模块适合于不断改变的恶意软件环境。
本文公开的机制的实施例可以在硬件、软件、固件或这样的实现方案的组合中实现。本发明的实施例可以被实现为在包括至少一个处理器、数据存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备和至少一个输出设备的可编程系统上执行。
程序代码可以应用于输入数据以执行本文所述的功能并且生成输出信息。本发明的实施例还包括包含用于执行本发明的操作的指令或包含诸如HDL的设计数据的机器可访问介质,所述设计数据定义本文所述的结构、电路、装置、处理器和/或系统特征。这样的实施例也可以被称为程序产品。
这样的机器可访问存储介质可以没有限制地包括由机器或设备制造或形成的物品的有形排列,包括存储介质、半导体设备、磁卡或光卡或者适于存储电子指令的任何其它类型的介质,所述存储介质例如是硬盘,包括软盘、光盘、压缩盘-只读存储器(CD-ROM)、压缩盘可重写光盘(CD-RW)和磁光盘的任何其它类型的盘,所述半导体设备例如是只读存储器(ROM)、诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、闪速可编程存储器(闪存)、电可擦除可编程只读存储器(EEPROM)的随机存取存储器(RAM)。
输入信息可以用已知的方式应用于一个或多个输出设备。出于本申请的目的,处理系统包括具有例如以数字信号处理器(DSP)、微控制器、专用集成电路(ASIC)或微处理器为例的处理器的任何系统。
程序可以用高级过程或面向对象的编程语言实现以与处理系统进行通信。程序也可以用汇编或机器语言实现,如果需要。事实上,本文描述的机制在范围上不局限于任何特定的编程语言。在任何情况下,所述语言可以是编译或解释语言。
本文提供了用于执行与签名无关的基于系统行为的恶意软件检测的方法和系统的实施例。虽然示出和描述了本发明的特定实施例,但是对于本领域中的技术人员将明显,可以在不偏离所附权利要求的范围的情况下做出许多改变、变化和修改。因此,本领域中的技术人员将意识到,可以在不偏离本发明的情况下在其更宽泛的方面进行改变和修改。所附权利要求在其范围内包含落在本发明的真实范围和精神内的所有这样的改变、变化和修改。
Claims (15)
1.一种计算机实现的方法,包括:
由独立于处理系统的主处理器操作的安全引擎识别对于包括一个或多个资源的所述处理系统的当前操作模式,在所述处理系统的主机操作系统的指导下预期为活动的至少一个过程;
由所述安全引擎以所述当前操作模式和所述预期为活动的至少一个过程为基础计算所述处理系统的所述一个或多个资源的预期活动水平;
由所述安全引擎确定所述多个资源的实际活动水平;
如果在所述预期活动水平和所述实际活动水平之间检测到偏差,则由所述安全引擎将未预期活动的源识别为所述偏差的潜在原因;
使用策略准则来确定所述未预期活动是否合法,其中使用所述策略准则来确定所述未预期活动是否合法包括由所述安全引擎确定与所述资源相关联的应用是否被加密地签名;以及
如果所述未预期活动不合法,则由所述安全引擎将所述未预期活动的所述源分类为恶意软件,包括响应于确定与所述资源相关联的所述应用未被加密地签名则将所述未预期活动的所述源分类为恶意软件,
所述方法进一步包括:
识别所述处理系统的所述当前操作模式到新操作模式的改变;
识别预期为活动的第二至少一个过程;以及
以所述新操作模式和所述预期为活动的第二至少一个过程为基础调整所述预期活动水平。
2.如权利要求1所述的方法,进一步包括:
由所述安全引擎将所述处理系统的快照经由带外通信信道发送到远程服务器,其中所述远程服务器执行所述快照的验证。
3.如权利要求1所述的方法,进一步包括:
由所述安全引擎将所述处理系统的快照经由带外通信信道发送到远程服务器,其中所述远程服务器针对病毒签名分析所述快照。
4.如权利要求1所述的方法,进一步包括:
终止所述未预期活动的所述源。
5.如权利要求1所述的方法,其中
使用所述策略准则来确定所述未预期活动是否合法包括:
警告用户所述未预期活动;以及
从所述用户获得关于所述未预期活动的反馈。
6.一种处理系统,包括:
主处理器,其执行主机操作系统;
安全引擎,其独立于所述主处理器操作;以及
存储器,其耦接到所述安全引擎,所述存储器包括指令,所述指令在被执行时使所述安全引擎执行下面的操作:
识别对于包括一个或多个资源的所述处理系统的当前操作模式,在所述主机操作系统的指导下预期为活动的至少一个过程;
以所述当前操作模式和所述预期为活动的所述至少一个过程为基础计算所述处理系统的所述一个或多个资源的预期活动水平;
确定所述多个资源的实际活动水平;
如果在所述预期活动水平和所述实际活动水平之间检测到偏差,则将未预期活动的源识别为所述偏差的潜在原因;
使用策略准则来确定所述未预期活动是否合法,其中使用所述策略准则来确定所述未预期活动是否合法包括确定与所述资源相关联的应用是否被加密地签名;以及
如果所述未预期活动不合法,则将所述未预期活动的所述源分类为恶意软件,包括响应于确定与所述资源相关联的所述应用未被加密地签名则将所述未预期活动的所述源分类为恶意软件,
所述操作进一步包括:
识别所述处理系统的所述当前操作模式到新操作模式的改变;
识别预期为活动的第二至少一个过程;以及
以所述新操作模式和所述预期为活动的第二至少一个过程为基础调整所述预期活动水平。
7.如权利要求6所述的系统,其中,所述指令在被执行时进一步使所述安全引擎执行操作,所述操作包括:
将所述处理系统的快照经由带外通信信道发送到远程服务器,其中所述远程服务器执行所述快照的验证。
8.如权利要求6所述的系统,其中,所述指令在被执行时进一步使所述安全引擎执行操作,所述操作包括:
将所述处理系统的快照经由带外通信信道发送到远程服务器,其中所述远程服务器针对病毒签名分析所述快照。
9.如权利要求6所述的系统,其中,所述指令在被执行时进一步使所述主机操作系统执行操作,所述操作包括:
终止所述未预期活动的所述源。
10.如权利要求6所述的系统,其中
使用所述策略准则来确定所述未预期活动是否合法包括:
警告用户所述未预期活动;以及
从所述用户获得关于所述未预期活动的反馈。
11.一种处理系统,包括:
用于由独立于所述处理系统的主处理器操作的安全引擎识别对于包括一个或多个资源的所述处理系统的当前操作模式,在所述处理系统的主机操作系统的指导下预期为活动的至少一个过程的单元;
用于由所述安全引擎以所述当前操作模式和所述预期为活动的至少一个过程为基础计算所述处理系统的所述一个或多个资源的预期活动水平的单元;
用于由所述安全引擎确定所述多个资源的实际活动水平的单元;
用于如果在所述预期活动水平和所述实际活动水平之间检测到偏差,则由所述安全引擎将未预期活动的源识别为所述偏差的潜在原因的单元;
用于使用策略准则来确定所述未预期活动是否合法的单元,其中使用所述策略准则来确定所述未预期活动是否合法包括由所述安全引擎确定与所述资源相关联的应用是否被加密地签名;以及
用于如果所述未预期活动不合法,则由所述安全引擎将所述未预期活动的所述源分类为恶意软件,包括响应于确定与所述资源相关联的所述应用未被加密地签名则将所述未预期活动的所述源分类为恶意软件的单元,
所述处理系统进一步包括:
用于识别所述处理系统的所述当前操作模式到新操作模式的改变的单元;
用于识别预期为活动的第二至少一个过程的单元;以及
用于以所述新操作模式和所述预期为活动的第二至少一个过程为基础调整所述预期活动水平的单元。
12.如权利要求11所述的处理系统,进一步包括:
用于由所述安全引擎将所述处理系统的快照经由带外通信信道发送到远程服务器的单元,其中所述远程服务器执行所述快照的验证。
13.如权利要求11所述的处理系统,进一步包括:
用于由所述安全引擎将所述处理系统的快照经由带外通信信道发送到远程服务器的单元,其中所述远程服务器针对病毒签名分析所述快照。
14.如权利要求11所述的处理系统,进一步包括:
用于终止所述未预期活动的所述源的单元。
15.如权利要求11所述的处理系统,其中
所述用于使用所述策略准则来确定所述未预期活动是否合法的单元包括:
用于警告用户所述未预期活动的单元;以及
用于从所述用户获得关于所述未预期活动的反馈的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610236969.8A CN105930725A (zh) | 2010-12-23 | 2011-12-13 | 与签名无关的基于系统行为的恶意软件检测 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/978,043 US20120167218A1 (en) | 2010-12-23 | 2010-12-23 | Signature-independent, system behavior-based malware detection |
| US12/978,043 | 2010-12-23 | ||
| PCT/US2011/064729 WO2012087685A1 (en) | 2010-12-23 | 2011-12-13 | Signature-independent, system behavior-based malware detection |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610236969.8A Division CN105930725A (zh) | 2010-12-23 | 2011-12-13 | 与签名无关的基于系统行为的恶意软件检测 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103262087A CN103262087A (zh) | 2013-08-21 |
| CN103262087B true CN103262087B (zh) | 2016-05-18 |
Family
ID=46314364
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610236969.8A Pending CN105930725A (zh) | 2010-12-23 | 2011-12-13 | 与签名无关的基于系统行为的恶意软件检测 |
| CN201180061561.7A Expired - Fee Related CN103262087B (zh) | 2010-12-23 | 2011-12-13 | 与签名无关的基于系统行为的恶意软件检测 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610236969.8A Pending CN105930725A (zh) | 2010-12-23 | 2011-12-13 | 与签名无关的基于系统行为的恶意软件检测 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20120167218A1 (zh) |
| EP (1) | EP2656269A4 (zh) |
| JP (1) | JP5632097B2 (zh) |
| CN (2) | CN105930725A (zh) |
| TW (1) | TWI564713B (zh) |
| WO (1) | WO2012087685A1 (zh) |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9323928B2 (en) * | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
| CN103198256B (zh) * | 2012-01-10 | 2016-05-25 | 凹凸电子(武汉)有限公司 | 用于检测应用程序状态的检测系统及方法 |
| US9439077B2 (en) * | 2012-04-10 | 2016-09-06 | Qualcomm Incorporated | Method for malicious activity detection in a mobile station |
| US9298494B2 (en) * | 2012-05-14 | 2016-03-29 | Qualcomm Incorporated | Collaborative learning for efficient behavioral analysis in networked mobile device |
| US9202047B2 (en) | 2012-05-14 | 2015-12-01 | Qualcomm Incorporated | System, apparatus, and method for adaptive observation of mobile device behavior |
| US9609456B2 (en) | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
| US9324034B2 (en) | 2012-05-14 | 2016-04-26 | Qualcomm Incorporated | On-device real-time behavior analyzer |
| US9690635B2 (en) | 2012-05-14 | 2017-06-27 | Qualcomm Incorporated | Communicating behavior information in a mobile computing device |
| US9330257B2 (en) | 2012-08-15 | 2016-05-03 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
| US9495537B2 (en) | 2012-08-15 | 2016-11-15 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
| US9319897B2 (en) | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
| US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
| RU2530210C2 (ru) | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
| US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
| US9686023B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors |
| US9684870B2 (en) * | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors |
| US9742559B2 (en) | 2013-01-22 | 2017-08-22 | Qualcomm Incorporated | Inter-module authentication for securing application execution integrity within a computing device |
| CN105074718A (zh) * | 2013-02-15 | 2015-11-18 | 高通股份有限公司 | 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎 |
| US9491187B2 (en) | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
| EP2800024B1 (en) * | 2013-05-03 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (publ) | System and methods for identifying applications in mobile networks |
| US20150020178A1 (en) * | 2013-07-12 | 2015-01-15 | International Business Machines Corporation | Using Personalized URL for Advanced Login Security |
| US9961133B2 (en) | 2013-11-04 | 2018-05-01 | The Johns Hopkins University | Method and apparatus for remote application monitoring |
| US10567398B2 (en) | 2013-11-04 | 2020-02-18 | The Johns Hopkins University | Method and apparatus for remote malware monitoring |
| KR102174984B1 (ko) | 2014-01-29 | 2020-11-06 | 삼성전자주식회사 | 디스플레이 장치 및 그 제어 방법 |
| US9769189B2 (en) | 2014-02-21 | 2017-09-19 | Verisign, Inc. | Systems and methods for behavior-based automated malware analysis and classification |
| EP3111613B1 (en) | 2014-02-28 | 2018-04-11 | British Telecommunications public limited company | Malicious encrypted traffic inhibitor |
| US10176428B2 (en) * | 2014-03-13 | 2019-01-08 | Qualcomm Incorporated | Behavioral analysis for securing peripheral devices |
| WO2015145425A1 (en) * | 2014-03-23 | 2015-10-01 | B.G. Negev Technologies And Applications Ltd., At Ben-Gurion University | System and method for detecting activities within a computerized device based on monitoring of its power consumption |
| US9369474B2 (en) * | 2014-03-27 | 2016-06-14 | Adobe Systems Incorporated | Analytics data validation |
| US20150310213A1 (en) * | 2014-04-29 | 2015-10-29 | Microsoft Corporation | Adjustment of protection based on prediction and warning of malware-prone activity |
| US10884891B2 (en) | 2014-12-11 | 2021-01-05 | Micro Focus Llc | Interactive detection of system anomalies |
| EP3241140B1 (en) | 2014-12-30 | 2021-08-18 | British Telecommunications public limited company | Malware detection in migrated virtual machines |
| US11586733B2 (en) * | 2014-12-30 | 2023-02-21 | British Telecommunications Public Limited Company | Malware detection |
| US10102073B2 (en) * | 2015-05-20 | 2018-10-16 | Dell Products, L.P. | Systems and methods for providing automatic system stop and boot-to-service OS for forensics analysis |
| CN105022959B (zh) * | 2015-07-22 | 2018-05-18 | 上海斐讯数据通信技术有限公司 | 一种移动终端恶意代码分析设备及分析方法 |
| US10803074B2 (en) | 2015-08-10 | 2020-10-13 | Hewlett Packard Entperprise Development LP | Evaluating system behaviour |
| CN105389507B (zh) * | 2015-11-13 | 2018-12-25 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
| US10733296B2 (en) | 2015-12-24 | 2020-08-04 | British Telecommunications Public Limited Company | Software security |
| US10839077B2 (en) | 2015-12-24 | 2020-11-17 | British Telecommunications Public Limited Company | Detecting malicious software |
| WO2017109135A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Malicious network traffic identification |
| WO2017108575A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Malicious software identification |
| EP3394783B1 (en) | 2015-12-24 | 2020-09-30 | British Telecommunications public limited company | Malicious software identification |
| RU2617924C1 (ru) * | 2016-02-18 | 2017-04-28 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносного приложения на устройстве пользователя |
| EP3437291B1 (en) | 2016-03-30 | 2022-06-01 | British Telecommunications public limited company | Network traffic threat identification |
| EP3437290B1 (en) | 2016-03-30 | 2020-08-26 | British Telecommunications public limited company | Detecting computer security threats |
| WO2017188976A1 (en) | 2016-04-29 | 2017-11-02 | Hewlett Packard Enterprise Development Lp | Executing protected code |
| US10367704B2 (en) | 2016-07-12 | 2019-07-30 | At&T Intellectual Property I, L.P. | Enterprise server behavior profiling |
| WO2018033350A1 (en) | 2016-08-16 | 2018-02-22 | British Telecommunications Public Limited Company | Reconfigured virtual machine to mitigate attack |
| WO2018033375A2 (en) | 2016-08-16 | 2018-02-22 | British Telecommunications Public Limited Company | Mitigating security attacks in virtualised computing environments |
| US10496820B2 (en) | 2016-08-23 | 2019-12-03 | Microsoft Technology Licensing, Llc | Application behavior information |
| US10771483B2 (en) | 2016-12-30 | 2020-09-08 | British Telecommunications Public Limited Company | Identifying an attacked computing device |
| US10419269B2 (en) | 2017-02-21 | 2019-09-17 | Entit Software Llc | Anomaly detection |
| WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
| EP3612969A1 (en) * | 2017-04-20 | 2020-02-26 | Morphisec Information Security 2014 Ltd. | System and method for runtime detection, analysis and signature determination of obfuscated malicious code |
| US10853490B2 (en) * | 2017-10-26 | 2020-12-01 | Futurewei Technologies, Inc. | Method and apparatus for managing hardware resource access in an electronic device |
| EP3688632A4 (en) | 2018-01-31 | 2021-05-19 | Hewlett-Packard Development Company, L.P. | PROCESS VERIFICATION |
| EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
| EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7627898B2 (en) * | 2004-07-23 | 2009-12-01 | Microsoft Corporation | Method and system for detecting infection of an operating system |
| CN100585534C (zh) * | 2004-10-29 | 2010-01-27 | 微软公司 | 用于确定文件是否是恶意软件的计算机系统和方法 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04142635A (ja) * | 1990-10-03 | 1992-05-15 | Nippondenso Co Ltd | プロセッサの異常動作検出装置 |
| JP3293760B2 (ja) * | 1997-05-27 | 2002-06-17 | 株式会社エヌイーシー情報システムズ | 改ざん検知機能付きコンピュータシステム |
| JPH11161517A (ja) * | 1997-11-27 | 1999-06-18 | Meidensha Corp | 遠方監視システム |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US20040250086A1 (en) * | 2003-05-23 | 2004-12-09 | Harris Corporation | Method and system for protecting against software misuse and malicious code |
| JP3971353B2 (ja) * | 2003-07-03 | 2007-09-05 | 富士通株式会社 | ウィルス隔離システム |
| WO2005017690A2 (en) * | 2003-08-11 | 2005-02-24 | Chorus Systems, Inc. | Systems and methods for creation and use of an adaptive reference model |
| US8793787B2 (en) * | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| WO2006028558A1 (en) * | 2004-09-03 | 2006-03-16 | Virgina Tech Intellectual Properties, Inc. | Detecting software attacks by monitoring electric power consumption patterns |
| US7818781B2 (en) * | 2004-10-01 | 2010-10-19 | Microsoft Corporation | Behavior blocking access control |
| US7437767B2 (en) * | 2004-11-04 | 2008-10-14 | International Business Machines Corporation | Method for enabling a trusted dialog for collection of sensitive data |
| US7490352B2 (en) * | 2005-04-07 | 2009-02-10 | Microsoft Corporation | Systems and methods for verifying trust of executable files |
| US8832827B2 (en) * | 2005-07-14 | 2014-09-09 | Gryphonet Ltd. | System and method for detection and recovery of malfunction in mobile devices |
| US7930752B2 (en) * | 2005-11-18 | 2011-04-19 | Nexthink S.A. | Method for the detection and visualization of anomalous behaviors in a computer network |
| JP4733509B2 (ja) * | 2005-11-28 | 2011-07-27 | 株式会社野村総合研究所 | 情報処理装置、情報処理方法およびプログラム |
| US8286238B2 (en) * | 2006-09-29 | 2012-10-09 | Intel Corporation | Method and apparatus for run-time in-memory patching of code from a service processor |
| US7945955B2 (en) * | 2006-12-18 | 2011-05-17 | Quick Heal Technologies Private Limited | Virus detection in mobile devices having insufficient resources to execute virus detection software |
| US8171545B1 (en) * | 2007-02-14 | 2012-05-01 | Symantec Corporation | Process profiling for behavioral anomaly detection |
| US8245295B2 (en) * | 2007-07-10 | 2012-08-14 | Samsung Electronics Co., Ltd. | Apparatus and method for detection of malicious program using program behavior |
| EP2248366A4 (en) * | 2008-01-29 | 2014-04-09 | Qualcomm Inc | SECURE APPLICATION SIGNATURE |
| JP5259205B2 (ja) * | 2008-01-30 | 2013-08-07 | 京セラ株式会社 | 携帯電子機器 |
| US20090228704A1 (en) * | 2008-03-04 | 2009-09-10 | Apple Inc. | Providing developer access in secure operating environments |
| GB2461870B (en) * | 2008-07-14 | 2012-02-29 | F Secure Oyj | Malware detection |
| US20120137364A1 (en) * | 2008-10-07 | 2012-05-31 | Mocana Corporation | Remote attestation of a mobile device |
| US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
| US8108933B2 (en) * | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
| US8484727B2 (en) * | 2008-11-26 | 2013-07-09 | Kaspersky Lab Zao | System and method for computer malware detection |
| US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
| WO2010141826A2 (en) * | 2009-06-05 | 2010-12-09 | The Regents Of The University Of Michigan | System and method for detecting energy consumption anomalies and mobile malware variants |
| US8001606B1 (en) * | 2009-06-30 | 2011-08-16 | Symantec Corporation | Malware detection using a white list |
| US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
-
2010
- 2010-12-23 US US12/978,043 patent/US20120167218A1/en not_active Abandoned
-
2011
- 2011-12-13 WO PCT/US2011/064729 patent/WO2012087685A1/en active Application Filing
- 2011-12-13 EP EP11850336.6A patent/EP2656269A4/en not_active Withdrawn
- 2011-12-13 JP JP2013543413A patent/JP5632097B2/ja not_active Expired - Fee Related
- 2011-12-13 CN CN201610236969.8A patent/CN105930725A/zh active Pending
- 2011-12-13 CN CN201180061561.7A patent/CN103262087B/zh not_active Expired - Fee Related
- 2011-12-15 TW TW100146589A patent/TWI564713B/zh not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7627898B2 (en) * | 2004-07-23 | 2009-12-01 | Microsoft Corporation | Method and system for detecting infection of an operating system |
| CN100585534C (zh) * | 2004-10-29 | 2010-01-27 | 微软公司 | 用于确定文件是否是恶意软件的计算机系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5632097B2 (ja) | 2014-11-26 |
| JP2013545210A (ja) | 2013-12-19 |
| CN103262087A (zh) | 2013-08-21 |
| US20120167218A1 (en) | 2012-06-28 |
| EP2656269A4 (en) | 2014-11-26 |
| TW201239618A (en) | 2012-10-01 |
| TWI564713B (zh) | 2017-01-01 |
| CN105930725A (zh) | 2016-09-07 |
| WO2012087685A1 (en) | 2012-06-28 |
| EP2656269A1 (en) | 2013-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103262087B (zh) | 与签名无关的基于系统行为的恶意软件检测 | |
| EP3485415B1 (en) | Devices and methods for classifying an execution session | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US10721264B1 (en) | Systems and methods for categorizing security incidents | |
| EP3117361B1 (en) | Behavioral analysis for securing peripheral devices | |
| US9448859B2 (en) | Exploiting hot application programming interfaces (APIs) and action patterns for efficient storage of API logs on mobile devices for behavioral analysis | |
| US9684787B2 (en) | Method and system for inferring application states by performing behavioral analysis operations in a mobile device | |
| US9158604B1 (en) | Lightweight data-flow tracker for realtime behavioral analysis using control flow | |
| US9992025B2 (en) | Monitoring installed applications on user devices | |
| US9519533B2 (en) | Data flow tracking via memory monitoring | |
| US9357411B2 (en) | Hardware assisted asset tracking for information leak prevention | |
| US20150082430A1 (en) | Data Flow Based Behavioral Analysis on Mobile Devices | |
| US20150121524A1 (en) | Method and System for Performing Behavioral Analysis Operations in a Mobile Device based on Application State | |
| US20140237595A1 (en) | APIs for Obtaining Device-Specific Behavior Classifier Models from the Cloud | |
| US20160321543A1 (en) | Trusted predictive analytic execution middleware | |
| US20220147837A1 (en) | Trusted predictive analytic execution middleware | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| KR101626439B1 (ko) | 서명-독립적 시스템 거동 기반 멀웨어 검출 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160518 Termination date: 20171213 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |