CN105637833A - 基于配置通道来预先识别可能的恶意行为 - Google Patents
基于配置通道来预先识别可能的恶意行为 Download PDFInfo
- Publication number
- CN105637833A CN105637833A CN201480054606.1A CN201480054606A CN105637833A CN 105637833 A CN105637833 A CN 105637833A CN 201480054606 A CN201480054606 A CN 201480054606A CN 105637833 A CN105637833 A CN 105637833A
- Authority
- CN
- China
- Prior art keywords
- configuration
- malice
- mobile computing
- computing device
- currently configured
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
各个方面包括用于使得移动计算设备(102)能够在给定的当前配置的情况下,识别其何时处于经历不久的将来的恶意行为的风险中的系统和方法。因此,各个方面使得移动计算设备(102)能够在恶意行为开始之前而不是在恶意行为已经开始之后才预测恶意行为。在各个方面中,网络服务器(116)可以从多个移动计算设备(102)接收行为向量信息,并且对所接收的行为向量信息应用模式识别技术以标识恶意配置和可能导致标识的恶意配置的通道配置。网络服务器(116)可以通知移动计算设备(102)标识的恶意配置和相应的通道配置,从而使得移动计算设备(102)能够通过识别其何时已经进入导致恶意行为的通道配置,来预测并且防止恶意行为开始。
Description
相关申请
本申请与于2013年10月3日提交的、标题为“MalwareDetectionandPreventionbyMonitoringandModifyingaHardwarePipeline”的美国专利申请第14/044,956号(代理人案号133068U2)有关,并且通过引用方式将其全部内容合并于此。
背景技术
一般而言,移动计算设备的性能和功率效率随时间而退化。防病毒公司(例如,McAfee、Symantec等)现在销售目的在于减缓该退化的移动防病毒产品、防火墙产品、以及加密产品。然而,这些解决方案中的许多解决方案依赖于对移动计算设备上的计算密集型扫描引擎的周期性执行,这可能消耗移动计算设备的处理和电池资源中的许多资源,减缓移动计算设备或者致使移动计算设备不能使用达很长一段时间,和/或在其它方面降低用户体验。此外,这些解决方案通常受限于检测已知的病毒和恶意软件,并且不处理多种复杂因素和/或相互作用,所述多种复杂因素和/或相互作用经常结合以促成移动计算设备随着时间的退化(例如,当性能退化不是由病毒或者恶意软件引起的时)。由于这些和其它原因,现有的防病毒产品、防火墙产品、以及加密产品不提供用于识别可能促成移动计算设备随着时间的退化的多种因素,或者用于防止移动计算设备退化的妥善的解决方案。
发明内容
各个方面提出了一种用于在恶意行为开始之前、而不是在恶意行为已经发生或者开始之后预测移动计算设备上的恶意行为的系统。在各个方面中,网络服务器可以从多个移动计算设备接收行为向量信息,并且可以对所接收的行为向量信息实现各种模式识别技术,以标识恶意配置和导致那些恶意配置的通道配置。网络服务器可以通知移动计算设备所标识的恶意配置和相应的通道配置,从而使得移动计算设备能够通过识别其何时已经进入或者即将进入导致恶意行为的通道配置来实时地预测并且防止恶意行为。
在一个方面中,在移动计算设备已经检测到正在进行的恶意活动之后,网络服务器可以从多个移动计算设备接收配置信息。该配置信息可以指示在恶意行为被检测到的时候的移动计算设备的配置或者状态,以及导致恶意行为的移动计算设备的配置和状态的历史。网络服务器可以分析所组合的移动计算设备的配置信息,以确定指示恶意行为和配置模式的配置,以及导致恶意配置的配置(即,通道配置)之间的通道。服务器可以将所标识的通道配置组合到数据库或者其它合适的数据结构中,并且可以将恶意和通道配置数据库发送给移动计算设备,其提供该移动计算设备可以在分析其自身的行为和配置中使用的所标识的恶意配置和通道配置的数据库或者数据结构。
在一个方面中,在接收到了恶意和通道配置数据库之后,移动计算设备可以确定其当前配置,并且将其当前配置与被包括在恶意和通道配置数据中的配置进行比较,以确定其当前配置是否正在导致恶意行为(即,通道配置)。当移动计算设备的当前配置是通道配置时,移动计算设备可以实现各种预防性措施来阻止或者防止恶意行为开始。
在另一个方面中,网络服务器还可以计算通道配置导致恶意行为的概率。在这样的方面中,网络服务器可以利用配置数据库或者数据结构来发送特定的通道配置导致恶意配置的概率,并且移动计算设备可以参考所接收的除了配置数据库或者数据结构中的通道配置之外的概率来确定其当前配置是否可能导致恶意配置。
在另一个方面中,网络服务器可以标识如果被执行将把通道配置变成恶意配置的特定指令。网络服务器可以将这样的标识的指令包括在配置数据库或者数据结构中,并且移动计算设备可以参考配置数据库或者数据结构来在设备的当前配置是通道配置时,密切注意并且防止对标识的指令的执行。
各个方面包括一种由网络服务器实现的方法,用于通过下列操作来标识导致恶意行为的移动计算设备的配置:从多个移动计算设备接收配置信息和配置历史,分析该配置信息以标识恶意配置,基于所标识的恶意配置和配置历史来标识通道配置,生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库,以及将恶意和通道配置数据库发送给多个移动计算设备。在一个方面中,该方法还可以包括针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率,以及将所计算的概率包括在恶意和通道配置数据库中。在另一个方面中,该方法还可以包括标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置,以及将当被执行时导致所标识的恶意配置的标识的指令列表包括在恶意和通道配置数据库中。
另外的方面包括一种由移动计算设备实现的方法,用于在移动计算设备上的可能的恶意行为发生之前通过下列各项操作来预测移动计算设备上的可能的恶意行为:接收恶意和通道配置数据库,确定当前配置,基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置,以及响应于确定当前配置正在导致恶意配置来实现预防性措施以避免恶意配置。在一个方面中,实现预防性措施以避免恶意配置可以包括识别与当前配置相关联的进程,并且减缓对该进程的执行。
在另一个方面中,该方法还可以包括检查发生在移动计算设备上的其它行为,基于对其它行为的检查来确定是否存在相当大的当前配置正在导致恶意配置的可能性,以及响应于确定存在相当大的当前配置正在导致恶意配置的可能性来针对进程实现预防性措施。在另一个方面中,该方法还可以包括确定当前配置的类别,确定潜在的未来配置的类别,基于当前配置的类别和潜在的未来配置的类别来确定当前配置导致恶意配置的可能性,确定该可能性是否是相当大的,以及响应于确定该可能性是相当大的来针对进程实现预防性措施。在另一个方面中,该方法还可以包括基于当前配置和配置转变概率来确定当前配置导致恶意配置的概率(其中,配置转变概率被包括在恶意和通道配置数据库中),确定当前配置导致恶意配置的概率是否超过风险门限,以及响应于确定当前配置导致恶意配置的概率超过风险门限来针对进程实现预防性措施。
另外的方面包括一种网络服务器,其可以包括被配置有服务器可执行指令以执行包括下列各项的操作的服务器处理器:从多个移动计算设备接收配置信息和配置历史,对该配置信息进行分析以标识恶意配置,基于所标识的恶意配置和配置历史来标识通道配置,生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库,以及将恶意和通道配置数据库发送给多个移动计算设备。在一个方面中,该服务器处理器可以被配置有服务器可执行指令,以执行包括下列各项的操作:针对所标识的通道配置中的每种通道配置来计算转变到恶意配置的概率,以及将所计算的概率包括在恶意和通道配置数据库中。在另一个方面中,该服务器处理器可以被配置有服务器可执行指令,以执行包括下列各项的操作:标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置,以及将当被执行时导致所标识的恶意配置的标识的指令列表包括在恶意和通道配置数据库中。
另外的方面包括一种移动计算设备,其可以包括存储器、收发机、以及被耦合至存储器和收发机的处理器,其中,处理器可以被配置有处理器可执行指令,以执行包括下列各项的操作:接收恶意和通道配置数据库,确定当前配置,基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置,以及响应于确定当前配置正在导致恶意配置来实现预防性措施以避免恶意配置。在另一个方面中,处理器可以被配置有处理器可执行指令,以执行下列操作使得实现预防性措施来避免恶意配置:识别与当前配置相关联的进程,并且减缓对该进程的执行。
在一个方面中,处理器可以被配置有处理器可执行指令,以执行还包括下列各项的操作:检查发生在移动计算设备上的其它行为,基于对其它行为的检查来确定是否存在相当大的当前配置正在导致恶意配置的可能性,以及响应于确定存在相当大的当前配置正在导致恶意配置的可能性来针对进程实现预防性措施。在另一个方面中,处理器可以被配置有处理器可执行指令,以执行还包括下列各项的操作:确定当前配置的类别,确定潜在的未来配置的类别,基于当前配置的类别和潜在的未来配置的类别来确定当前配置导致恶意配置的可能性,确定该可能性是否是相当大的,以及响应于确定该可能性是相当大的来针对进程实现预防性措施。在另一个方面中,处理器可以被配置有处理器可执行指令,以执行还包括下列各项的操作:基于当前配置和配置转变概率来确定当前配置导致恶意配置的概率(其中,配置转变概率被包括在恶意和通道配置数据库中),确定当前配置导致恶意配置的概率是否超过风险门限,以及响应于确定当前配置导致恶意配置的概率超过风险门限来针对进程实现预防性措施。
另外的方面包括一种服务器,其包括用于从多个移动计算设备接收配置信息和配置历史的单元,用于分析该配置信息以标识恶意配置的单元,用于基于所标识的恶意配置和配置历史来标识通道配置的单元,用于生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库的单元,以及用于将恶意和通道配置数据库发送给多个移动计算设备的单元。在一个方面中,该服务器还可以包括用于针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率的单元,以及用于将所计算的概率包括在恶意和通道配置数据库中的单元。在另一个实施例中,该服务器还可以包括用于标识在当标识的通道配置导致标识的恶意配置时被执行时的恶意通道指令的单元,以及用于将当被执行时导致标识的恶意配置的标识的指令列表包括在恶意和通道配置数据库中的单元。
另外的方面包括一种移动计算设备,其包括用于接收恶意和通道配置数据库的单元,用于确定当前配置的单元,用于基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置的单元,以及用于响应于确定当前配置正在导致恶意配置来实现预防性措施以避免恶意配置的单元。在一个方面中,用于实现预防性措施以避免恶意配置的单元可以包括用于识别与当前配置相关联的进程的单元,以及用于减缓对该进程执行的单元。
在一个方面中,该移动计算设备可以包括用于检查发生在移动计算设备上的其它行为的单元,用于基于对其它行为的检查来确定是否存在相当大的当前配置正在导致恶意配置的可能性的单元,以及用于响应于确定存在相当大的当前配置正在导致恶意配置的可能性来针对进程实现预防性措施的单元。在另一个方面中,该移动计算设备还可以包括用于确定当前配置的类别的单元,用于确定潜在的未来配置的类别的单元,用于基于当前配置的类别和潜在的未来配置的类别来确定当前配置导致恶意配置的可能性的单元,用于确定该可能性是否是相当大的单元,以及用于响应于确定该可能性是相当大的来针对进程实现预防性措施的单元。在另一个方面中,该移动计算设备还可以包括用于基于当前配置和配置转变概率来确定当前配置导致恶意配置的概率(其中,配置转变概率被包括在恶意和通道配置数据库中)的单元,用于确定当前配置导致恶意配置的概率是否超过风险门限的单元,以及用于响应于确定当前配置导致恶意配置的概率超过风险门限来针对进程实现预防性措施的单元。
在另外的方面中,一种非暂时性服务器可读存储介质可以具有被存储在其上的服务器可执行指令,所述服务器可执行指令被配置为使服务器处理器执行包括下列各项的操作:从多个移动计算设备接收配置信息和配置历史,分析该配置信息以标识恶意配置,基于所标识的恶意配置和配置历史来标识通道配置,生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库,以及将恶意和通道配置数据库发送给多个移动计算设备。在一个方面中,所存储的服务器可执行指令可以被配置为使服务器处理器执行包括下列各项的操作:针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率,以及将所计算的概率包括在恶意和通道配置数据库中。在另一个方面中,所存储的服务器可执行指令可以被配置为使服务器处理器执行包括下列各项的操作:标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置,以及将当被执行时导致所标识的恶意配置的标识的指令列表包括在恶意和通道配置数据库中。
在另外的方面中,一种非暂时性处理器可读存储介质可以具有被存储在其上的处理器可执行指令,所述处理器可执行指令被配置为使移动计算设备处理器执行包括下列各项的操作:接收恶意和通道配置数据库,确定当前配置,基于恶意和通道配置数据库来确认当前配置是否正在导致恶意配置,以及响应于确定当前配置正在导致恶意配置来实现预防性措施以避免恶意配置。在一个方面中,所存储的处理器可执行指令可以被配置为使移动计算设备处理器执行包括下列各项的操作,使得实现预防性措施来避免恶意配置:识别与当前配置相关联的进程,并且减缓对该进程的执行。
在一个方面中,所存储的处理器可执行指令可以被配置为使移动计算设备处理器执行包括下列各项的操作:检查发生在移动计算设备上的其它行为,基于对其它行为的检查来确定是否存在相当大的当前配置正在导致恶意配置的可能性,以及响应于确定存在相当大的当前配置正在导致恶意配置的可能性来针对进程实现预防性措施。在另一个方面中,所存储的处理器可执行指令可以被配置为使移动计算设备处理器执行包括下列各项的操作:确定当前配置的类别,确定潜在的未来配置的类别,基于当前配置的类别和潜在的未来配置的类别来确定当前配置导致恶意配置的可能性,确定该可能性是否是相当大的,以及响应于确定该可能性是相当大的来针对进程实现预防性措施。在另一个方面中,所存储的处理器可执行指令可以被配置为使移动计算设备处理器执行包括下列各项的操作:基于当前配置和配置转变概率来确定当前配置导致恶意配置的概率(其中,配置转变概率被包括在恶意和通道配置数据库中),确定当前配置导致恶意配置的概率是否超过风险门限,以及响应于确定当前配置导致恶意配置的概率超过风险门限来针对进程实现预防性措施。
附图说明
被并入到本文中并且构成该说明书的一部分的附图示出了本发明的示例性方面,并且与上面给出的一般性描述和下文给出的具体实施方式一起,用于解释本发明的特征。
图1是示出了适合于在各个方面中使用的示例性通信系统的网络部件的通信系统框图。
图2是示出了一个方面的移动计算设备中的示例性逻辑部件和信息流的框图,所述一个方面的移动计算设备被配置为确定特定的移动计算设备的行为、软件应用、或者进程是否正在导致恶意行为。
图3是示出了具有网络服务器的一个方面的系统中的示例性部件和信息流的框图,所述网络服务器被配置为在云服务/网络中标识恶意配置和导致恶意行为的配置,并且将这些配置发送给移动计算设备用于在避免移动计算设备上的恶意行为的过程中使用。
图4是示出了用于向移动计算设备发送包括关于恶意配置和通道配置的信息的恶意和通道配置数据库的方面方法的过程流程图。
图5是示出了用于预测和实现预防性措施以避免移动计算设备上的恶意配置的方面方法的过程流程图。
图6是示出了用于响应于部分地基于对发生在移动计算设备上的其它行为的检查来确定在不久的将来存在相当大的恶意行为的可能性来实现预防性措施的方面方法的过程流程图。
图7A是示出了用于预测在不久的将来的恶意行为的可能性的有限状态机分析的有限状态机图。
图7B是当预测不久的将来的恶意行为的可能性时使用的实施例查找表格。
图8是示出了用于基于当前配置和潜在的未来配置来确定进入恶意配置的可能性的方面方法的过程流程图。
图9是示出了用于基于配置之间的转变概率来预测不久的将来的恶意行为的概率的马尔可夫链分析的马尔可夫链图。
图10是示出了用于基于当前配置将导致恶意配置的概率来确定进入恶意配置的概率的方面方法的过程流程图。
图11是示出了用于响应于基于即将被执行的指令来确定在不久的将来存在相当大的恶意行为的可能性来实现预防性措施的方面方法的过程流程图。
图12是适合于在一个方面中使用的移动计算设备的部件框图。
图13是适合于在一个方面中使用的另一种移动计算设备的部件框图。
图14是适合于在一个方面中使用的网络服务器设备的部件框图。
具体实施方式
将参考附图详细地描述各个方面。只要有可能,将贯穿附图来使用相同的附图标记指代相同的或者相似的部件。对特定的示例和实现方式的提及是出于说明性的目的的,而不旨在限制本发明或者权利要求的范围。
许多不同的蜂窝和移动通信服务以及标准在未来是可用的或者预期的,其全部都可以实现各个方面并且从各个方面受益。这样的服务和标准包括:例如,第三代合作伙伴计划(3GPP)、长期演进(LTE)系统、第三代无线移动通信技术(3G)、第四代无线移动通信技术(4G)、全球移动通信系统(GSM)、通用移动电信系统(UMTS)、3GSM、通用分组无线服务(GPRS)、码分多址(CDMA)系统(例如,cdmaOne)、增强型数据速率GSM演进技术(EDGE)、高级移动电话系统(AMPS)、数字AMPS(IS-136/TDMA)、演进数据优化(EV-DO)、数字增强型无绳通信(DECT)、微波接入全球性互通(WiMAX)、无线局域网(WLAN)、Wi-Fi受保护的接入I&II(WPA、WPA2)、以及集成数字增强型网络(iden)。这些技术中的每一种技术都涉及例如,对语音、数据、信令、和/或内容消息的发送和接收。应当理解的是,除非用权利要求的语言进行了具体地记载,否则对与单独的电信标准或者技术有关的术语和/或技术细节的任何提及都是仅仅出于说明性的目的的,而不旨在将权利要求的范围限制到特定的通信系统或者技术。
如本文使用的术语“移动计算设备”指的是下列各项中的任何一项或者全部:蜂窝电话、智能电话、个人的或者移动的多媒体播放器、个人数字助理(PDA的)、膝上型计算机、平板计算机、智能本、超级笔记本、掌上型计算机、无线电子邮件接收器、具有多媒体互联网功能的蜂窝电话、无线游戏控制器、以及包括存储器、性能对于其重要的可编程处理器、并且在电池电源下操作使得节电方法是有益的类似的个人电子设备。虽然各个方面对于具有有限资源的诸如智能电话的移动计算设备是特别有用的,但是这些方面在包括处理器并且执行应用程序的任何电子设备中普遍有用。
本文使用术语“恶意行为”来指代各种各样不期望的移动计算设备操作以及特性,例如,较长的处理时间、较低的电池寿命、专用数据的丢失、恶意经济活动(例如,发送未经授权的额外付费的SMS消息)、与强占移动计算设备或者利用电话用于间谍或者僵尸网络活动有关的操作等。
本文使用术语“恶意配置”来指代对呈现或者执行恶意行为的移动计算设备、应用、过程等的配置。本文使用术语“可疑配置”来指代在其中存在一些恶意行为的证据,但是在达成关于恶意行为的明确结论之前需要更多信息的配置。本文使用术语“良性配置”来指代既不是恶意配置也不是可疑配置的配置。
本文使用术语“通道配置”来指代网络服务器已经标识为导致恶意配置的中间配置的向量或者通道。在各个方面中,通道配置可以是导致恶意配置的任何配置(例如,良性配置、可疑配置、或者恶意配置)。
存在可能促成移动计算设备随着时间在性能和功率利用程度方面的退化的各种各样的因素,包括:粗劣设计的软件应用、恶意软件、病毒、零碎内存、后台进程、以及其它恶意行为。然而,由于现代移动计算设备的复杂度,对于用户、操作系统、和/或应用程序(例如,防病毒软件等)来说,越来越难精确地并且高效地识别这样的问题的来源和/或对识别的问题提供适当的补救。
当前存在用于检测计算设备上的恶意行为的各种解决方案。许多解决方案传统上依赖于建立在服务器上的恶意代码/恶意软件的特征数据库。这些解决方案需要参考特征数据库以基于代码的标识(即,特征)(例如,文件的名称、函数调用的名称、特定的代码段的结构、以及甚至代码的每个字节的特征)来检测该代码是否是恶意的。然而,这些解决方案不足以检测可能是不可检测的恶意行为,直到该代码被执行为止,并且由于伪造特征的新技术而越来越无效。与此相反,下文描述的各个方面使得移动计算设备能够在正常操作期间(即,实时地)检测恶意行为,并且防止这样的恶意行为在未来发生,而不管任何特定的标识或者特征。
其它解决方案使用行为模型来区分计算设备上的恶意的和良性的进程/程序。然而,这些解决方案当前限于对单独的应用程序或者进程的当前的/正在进行的行为进行评估。因此,这些解决方案仅限于在其已经开始之后解决问题。与此相反,下文描述的各个方面使得移动计算设备能够在未来的恶意行为发生之前,实时地预测并且防止这样的恶意行为。
此外,一些解决方案在代码、文件、脚本等被执行之前,通过发起抢先式扫描来在代码、文件、脚本等中寻找恶意行为的标志。例如,一种解决方案可能要求在从互联网上的一个位置下载的文件可以在本地被执行之前,针对病毒进行扫描。其它解决方案通过在安全的环境(例如,虚拟机)中执行程序或者进程并且尝试发现该程序或者进程当被运行时是否恶意地表现来尝试发现恶意行为。然而,因为每个可疑的程序、文件、进程等在被允许作为正常操作的一部分来执行之前,必须被确定是良性的,所以这些解决方案需要相当大的计算资源的投入。
与传统的方法形成对照,下文描述的各个方面使得移动计算设备能够实时地检测并且防止恶意行为,从而避免对同时期的方法的相当大的启动成本并且允许应用和进程正常地执行,直到移动计算设备检测到未来的恶意行为的可信风险为止。在综述中,给定移动计算设备的当前状态或者操作状况,以及被调度用于执行的操作,各个方面通过给移动设备提供通道配置的数据库来处理同时期的解决方案的限制——例如,上文描述的那些,所述通道配置使得移动计算设备能够确定其在不久的将来是否处于经历恶意行为的危险中。因此,各个方面提出了一种用于在恶意行为开始之前,而不是在恶意行为已经发生或者开始之后,来预测移动计算设备上的恶意行为的系统。在各个方面中,网络服务器可以从多个移动计算设备接收行为向量信息,并且可以对所接收的行为向量信息实现各种模式识别技术(包括有限状态机分析)以标识恶意配置和导致那些恶意配置的通道配置。网络服务器可以通知移动计算设备所标识的恶意配置和相应的通道配置(即,在所标识的恶意配置之前退出不久的配置),从而使得移动计算设备能够通过识别其何时已经进入或者即将进入导致恶意行为的通道配置来实时地预测并且防止恶意行为。
在一个方面中,在移动计算设备已经检测到正在进行的恶意行为之后,网络服务器可以从多个移动计算设备接收配置信息(例如,有限状态机中的状态或者行为向量中的向量值)。配置信息可以指示恶意行为被检测到的那个时候的移动计算设备的配置或者状态,以及导致恶意行为的移动计算设备的配置和状态的历史。网络服务器可以分析所组合的移动计算设备的配置信息(例如,通过利用模式识别或者有限状态机分析)以确定指示恶意行为的配置。网络服务器可以利用移动计算设备的配置历史来从恶意配置“返回”以标识导致恶意配置的配置(即,通道配置)之间的配置模式和通道。服务器可以将所标识的通道配置组合到数据库或者其它合适的数据结构中,并且可以向提供所标识的恶意配置和通道配置的数据库或者数据结构的移动计算设备发送恶意和通道配置数据库,移动计算设备可以在分析其自己的行为和配置时使用所标识的恶意配置和通道配置的数据库或者数据结构。
在另一个方面中,在接收到恶意和通道配置数据之后,移动计算设备可以确定其当前配置并且将当前配置与被包括在恶意和通道配置数据库中的配置进行比较,以确定其当前配置是否正在导致恶意行为。换句话说,移动计算设备可以利用从网络服务器接收的配置数据库或者数据结构来确定其当前配置是否是通道配置。当移动计算设备的当前配置是通道配置时,移动计算设备可以实现各种预防性措施来阻止或者防止恶意行为开始。
在另一个方面中,网络服务器还可以计算通道配置导致恶意行为的概率。在这样的方面中,网络服务器可以利用配置数据库或者数据结构来发送特定的通道配置导致恶意配置的概率,并且移动计算设备可以参考所接收的配置数据库或者数据结构中除了通道配置之外的概率,来确定其当前配置是否可能导致恶意配置。
在另一个方面中,网络服务器可以标识特定的指令,该特定的指令如果被执行,则会把通道配置变成恶意配置。网络服务器可以将这样的标识的指令包括在配置数据库或者数据结构中,并且当设备的当前配置是通道配置时,移动计算设备可以参考配置数据库或者数据结构来密切注意并且防止标识的指令的执行。
各个方面可以在例如图1中示出的示例性通信系统100的各种各样的通信系统内实现。典型的蜂窝电话网络104包括被耦合至网络操作中心108的多个小区基站106,所述网络操作中心108操作以例如经由电话陆上线路(例如,POTS网络,未示出)和互联网110来在移动计算设备102(例如,手机、膝上型计算机、平板计算机等)和其它网络目的地之间连接语音呼叫和数据。移动计算设备102和电话网络104之间的通信可以经由双向无线通信链路112来完成,例如,4G、3G、CDMA、TDMA、LTE和/或其它手机通信技术。电话网络104还可以包括被耦合至网络操作中心108的或者在网络操作中心108内的一个或多个服务器114,所述一个或多个服务器114提供到互联网110的连接。
通信系统100还可以包括被连接至电话网络104并且被连接至互联网110的网络服务器118。网络服务器116和电话网络104之间的连接可以是通过互联网110的或者是通过专用网络的(如由虚线箭头示出的)。网络服务器116还可以被实现为云服务提供商网络118的网络基础设施内的服务器。网络服务器116和移动计算设备102之间的通信可以通过电话网络104、互联网110、专用网络(未示出)或者其任何组合来实现。
移动计算设备102可以收集移动计算设备102中的行为、状态、分类、建模、成功率、和/或统计信息,并且将所收集的信息发送给网络服务器116(例如,经由电话网络104)用于分析。在一个方面中,移动计算设备102可以在经历了恶意行为之后,发送其当前配置信息(例如,描述其当前状态的其行为向量)。移动计算设备102还可以将其配置历史发送给网络服务器116。配置历史可以包括发生的、导致恶意行为的发现的配置变化的历史,以及可选地,包括使那些配置改变的指令。如下文参考图4进一步描述的,网络服务器116可以使用从移动计算设备102接收的信息来确定恶意配置和导致恶意配置的配置(即,通道配置)的列表。
在另一个方面中,网络服务器116可以将恶意和通道配置数据库发送给移动计算设备102,所述移动计算设备102可以接收并且使用恶意和通道配置数据库来在未来的恶意行为发生之前对其进行预测。网络服务器116可以将后续的恶意和通道配置数据库发送给移动计算设备102,以替换、更新、创建和/或维护移动计算设备的数据/行为模型。
图2示出了一个方面的移动计算设备102中的示例性逻辑部件和信息流,所述一个方面的移动计算设备102被配置为确定特定的移动计算设备行为、软件应用或者进程是恶意的、可疑的还是良性的。在图2中示出的示例中,移动计算设备102可以包括行为观测器单元202、行为分析器单元204、外部上下文信息单元206、分类器单元208、以及执行器单元210。在一个方面中,分类器单元208可以被实现为行为分析器单元204的一部分。在一个方面中,行为分析器单元204可以被配置为生成一个或多个分类器单元208,所述一个或多个分类器单元208中的每个分类器单元208可以包括一个或多个分类器。
单元202-210中的每个单元可以用软件、硬件、或者其任意组合来实现。在各个方面中,单元202-210可以在操作系统的部件内(例如,内核内、内核空间中、用户空间中等)、在单独的程序或者应用内、在专用硬件缓冲器或者处理器中、或者其任何组合中实现。在一个方面中,单元202-210中的一个或多个单元可以被实现为移动计算设备102的一个或多个处理器上执行的软件指令。
行为观测器单元202可以被配置为用器械装备或者协调移动计算设备的各个层/模块处的应用程序接口(API),并且经由器械装备的API来监控/观测各个层/模块处的移动计算设备操作和事件(例如,系统事件、状态变化等),收集关于所观测的操作/事件的信息,智能地过滤所收集的信息,基于所过滤的信息来生成一个或多个观测数据,并且将所生成的观测数据存储在存储器中(例如,日志文件中等)和/或将所生成的观测数据发送(例如,经由存储器写、函数调用等)给行为分析器单元204。
行为观测器单元202可以通过收集关于应用框架或者运行时间库中的库API调用、系统调用API、文件系统和网络化子系统操作、设备(包括传感器设备)状态变化、以及其它类似事件的信息,来监控/观测移动计算设备操作和事件。行为观测器单元202还可以监控文件系统活动,所述文件系统活动可以包括搜索文件名、对文件访问的分类(个人信息或者正常数据文件)、创建或者删除文件(例如,类型exe、zip等)、文件读/写/查找操作、改变文件权限等。
行为观测器单元202还可以监控数据网络活动,所述数据网络活动可以包括连接的类型、协议、端口号、设备被连接至的服务器/客户端、连接的数量、通信的容量或者频率等。行为观测器单元202可以监控电话网络活动,所述电话网络活动可以包括对发出的、接收的、或者截获的呼叫或者消息(例如,SMS等)的类型和数量(例如,打的额外付费的电话的数量)进行监控。
行为观测器单元202还可以监控系统资源的使用率,所述系统资源的使用率可以包括对叉路(fork)的数量、存储器存取操作、打开的文件的数量等进行监控。行为观测器单元202可以监控移动计算设备的状态,所述移动计算设备的状态可以包括监控各种因素,例如,显示器是开还是关、设备是被锁定的还是未被锁定的、剩余的电池量、照相机的状态等。行为观测器单元202还可以通过例如,监控对于关键服务(浏览器、合同提供者)的意图、进程间通信的程度、弹出窗口等来监控进程间通信(IPC)。
行为观测器单元202还可以监控/观测驱动程序统计数据和/或一个或多个硬件部件的状态,所述一个或多个硬件部件可以包括照相机、传感器、电子显示器、WiFi通信部件、数据控制器、内存控制器、系统控制器、访问端口、定时器、外围设备、无线通信部件、外部存储器芯片、电压调节器、振荡器、锁相环、外围的桥接器、以及被用来支持处理器和运行在移动计算设备上的客户端的其它类似的部件。
行为观测器单元202还可以对表示移动计算设备和/或移动计算设备子系统的状态或状况的一个或多个硬件计数器进行监控/观测。硬件计数器可以包括被配置为对在移动计算设备中发生的硬件相关的活动或者事件的计数或者状态进行存储的处理器/内核的专用寄存器。
行为观测器单元202还可以监控/观测软件应用的动作或者操作、来自应用下载服务器(例如,应用商店服务器)的软件下载、由软件应用使用的移动计算设备信息、呼叫信息、文本消息传送信息(例如,发送SMS、阻塞SMS、读取SMS等)、媒体消息传送信息(例如,接收MMS)、用户账户信息、位置信息、照相机信息、加速计信息、浏览器信息、基于浏览器通信的内容、基于语音通信的内容、短距离无线通信(例如,蓝牙、WiFi等)、基于文本通信的内容、记录的音频文件的内容、电话簿或联系人信息、联系人列表等。
行为观测器单元202可以监控/观测移动计算设备的传输或者通信,其包括通信,所述通信包括语音信箱(语音信箱通信)、设备标识符(设备标识符通信)、用户账户信息(用户账户通信)、日历信息(日历通信)、位置信息(位置通信)、记录的音频信息(记录的音频通信)、加速计信息(加速计通信)等。
行为观测器单元202可以监控/观测对指南针信息、移动计算设备设置、电池寿命、陀螺仪信息、压力传感器、磁传感器、屏幕活动等的使用以及对其的更新/改变。行为观测器单元202可以监控/观测被传送至软件应用(应用通知)的以及从其传送的应用更新等的通知。行为观测器单元202可以监控/观测关于第一软件应用请求第二软件应用的下载和/或安装的状况或者事件。行为观测器单元202可以监控/观测关于用户验证(例如,密码的输入等)的状况或者事件。
行为观测器单元202还可以对移动计算设备的多个层处的状况或者事件进行监控/观测,其包括应用层、无线层、以及传感器层。应用层观测可以包括经由面部识别软件来观测用户、观测社交流、观测由用户输入的笔记、观测关于对银行存折(PassBook)/Google电子钱包/贝宝的使用的事件等。应用层观测还可以包括对涉及虚拟专用网络(VPN)的使用的事件,以及对关于同步、语音搜索、语音控制(例如,通过说出一个词来锁定/解锁电话)、语言翻译程序、卸载数据用于计算、视频流、没有使用方的活动的照相机的使用、没有使用方的活动的麦克风的使用的事件进行观测等。
无线层观测可以包括确定下列各项中的任一项或者多项的出现、存在、或者数量:在建立无线通信链路或者传输信息之前与移动计算设备的用户交互、双/多SIM卡、互联网广播、移动电话联机(tethering)、卸载数据用于计算、设备状态通信、作为游戏控制器或者家庭控制器的用途、车载通信、移动计算设备同步等。无线层观测还可以包括监控对用于定位、点对点(p2p)通信、同步、车对车通信、和/或机器对机器(m2m)的无线(WiFi、WiMax、蓝牙等)的使用。无线层观测还可以包括监控网络流量使用量、统计数据或者简档。
传感器层观测可以包括监控磁传感器或者其它传感器,以确定移动计算设备的使用和/或外部环境。例如,移动计算设备处理器可以被配置为确定电话是在套中(例如,经由被配置为感测套内的磁的磁传感器)还是在用户的口袋中(例如,经由被照相机或者光传感器检测到的光量)。检测到移动计算设备在套内可以与识别恶意行为相关,例如,因为由用户在移动计算设备被套着时发生的与活动使用情况相关的活动和功能(例如,拍照或者摄像、发送消息、进行语音呼叫、录制声音等)可能是不法的进程在设备上执行的标志(例如,对用户进行追踪或者侦查)。
与使用情况或者外部环境有关的传感器层观测的其它示例可以包括:检测近场通信(NFC),从信用卡扫描仪、条形码扫描仪或者移动标签阅读器收集信息,检测USB充电电源的出现,检测键盘或者辅助设备已经被耦合至移动计算设备,检测移动计算设备已经被耦合至计算设备(例如,经由USB等),确定LED、闪光灯、手电筒、或者光源是已经被修改还是已经被禁用(例如,恶意地禁用紧急信令应用等),检测扬声器或者麦克风已经被开启或者通电,检测充电或者供电事件,检测移动计算设备正在被用作游戏控制器等。传感器层观测还可以包括从医疗或者健康护理传感器或者从对用户的身体进行扫描中收集信息,从被插入到USB/音频插孔中的外部传感器收集信息,从触觉或者触感传感器收集信息(例如,经由振动器接口等),收集关于移动计算设备的热状态的信息等。
为了降低对于可管理层的监控的因素的数量,在一个方面中,行为观测器单元202可以通过监控/观测初始的行为或者因素集合来执行粗略的观测,所述初始的行为或者因素集合是可能促成移动计算设备的退化的所有因素的小的子集。在一个方面中,行为观测器单元202可以从网络服务器116和/或云服务或者网络118中的部件接收初始的行为和/或因素集合。在一个方面中,可以在从网络服务器116或者云服务/网络118接收的数据/行为模型中指定初始的行为/因素集合。在一个方面中,可以在降低的特征模型(RFM)中指定初始的行为/因素集合。
行为分析器单元204和/或分类器单元208可以从行为观测器单元202接收观测数据,将所接收的信息(即,观测数据)与从外部上下文信息单元206接收的上下文信息进行比较,并且对与所接收的观察数据相关联的、促成(或者可能促成)设备随着时间的退化的、或者可能在其它方面引起设备上的问题(例如,恶意行为)的子系统、进程、和/或应用进行识别。
在一个方面中,行为分析器单元204和/或分类器单元208可以包括用于利用有限的信息集合(即,粗略的观测数据)来对促成(或者可能促成)设备随着时间的退化的、或者可以在其它方面引起设备上的问题的行为、进程、或者程序进行识别的智能。例如,行为分析器单元204可以被配置为对从各个单元(例如,行为观测器单元202、外部上下文信息单元206等)收集的信息(例如,具有观测数据的形式)进行分析,学习移动计算设备的正常操作行为,以及基于比较的结果来生成一个或多个行为向量。行为分析器单元204可以将所生成的行为向量发送给分类器单元208用于进一步的分析。
分类器单元208可以接收行为向量并且将其与一个或多个行为模块进行比较,以确定特定的移动计算设备行为、软件应用、或者进程是恶意的、良性的、还是可疑的。
当分类器单元208确定行为、软件应用、或者进程是恶意的时,分类器单元208可以通知执行器单元210,所述执行器单元210可以执行各种动作或者操作来校正被确定是恶意的或者性能退化的移动计算设备行为,和/或执行用于修整、消除、隔离、或者在其它方面修复所识别的问题的操作。
在另外的方面中,行为分析器单元204和/或分类器单元208可以参考从网络服务器(例如,网络服务器116)接收的恶意和通道配置数据库来确定移动计算设备102的当前配置是否是通道配置。在一个方面中,分类器单元208(或者行为分析器单元204)可以将移动计算设备的当前配置与被包括在从网络服务器接收的恶意和通道配置数据库中的一种或多种通道配置相比较,以确定移动计算设备102的当前配置是否与被包括在恶意和通道配置数据库中的通道配置相匹配。例如,行为分析器单元204可以生成针对当前运行在移动计算设备上的特定应用的行为向量,并且分类器单元208可以将应用的行为向量与被包括在恶意和通道配置数据库中的通道配置相比较,以确定应用的当前配置是否正在移动计算设备上导致恶意行为。
当分类器单元208确定移动计算设备102的当前配置被包括在从网络服务器接收的恶意和通道配置数据库中(即,移动计算设备102的当前配置正在导致恶意行为)时,分类器单元208可以通知执行器单元210,所述执行器单元210可以执行各种动作或者操作来在这样的恶意行为发生之前防止移动计算设备上的恶意行为或者其它性能退化的活动。
图3示出了一个方面的系统300中的示例性部件和信息流,所述一个方面的系统300包括被配置为结合云服务/网络118工作以智能地并且高效地对恶意配置和导致移动计算设备102上的恶意行为的配置进行标识的网络服务器116。在图3中示出的示例中,网络服务器116包括云单元302、恶意和通道配置数据库生成器单元304、以及训练数据单元306。移动计算设备102包括行为观测器单元202、分类器单元208、以及执行器单元210。在一个方面中,分类器单元208可以被包括在行为分析器单元204中(在图2中示出)或者作为其一部分。在一个方面中,模型生成器304单元可以是实时在线分类器。
云单元302可以被配置为从云服务/网络118接收大量的信息,并且生成包括导致恶意行为的特征、数据点、和/或因素的全部的或者大部分的完整的或者稳健的数据/行为模型。在一个方面中,来自云服务/网络118的信息可以包括从检测到某种形式的恶意行为的多个移动计算设备报告的配置信息和配置历史。例如,多个移动计算设备可能已经报告了针对特定配置的恶意行为,并且可能还报告了导致检测到的恶意行为的其配置/状态/指令。
恶意和通道配置数据库生成器304可以基于在云单元302中生成的完整的行为模型来生成包括行为模型的恶意和通道配置数据库。在一个方面中,生成行为模型可以包括生成包括特征和数据点的子集的一个或多个降低的特征模型(RFM),所述特征和数据点的子集被包括在由云单元302生成的完整的模型中。在一个方面中,恶意和通道配置数据库生成器304可以生成包括初始特征集合(即,初始降低的特征模型)的恶意和通道配置数据库,所述初始特征集合包括被确定为具有最高可能使得分类器单元208能够决定性地确定特定的移动计算设备行为是否正在导致恶意行为的信息。恶意和通道配置数据库304可以将所生成的恶意和通道配置数据库发送给分类器单元208。
行为观测器单元202可以监控/观测移动计算设备102上的移动计算设备行为,生成观测数据,并且将观测数据发送给分类器单元208。分类器单元208可以执行实时分析操作,其可以包括将恶意和通道配置数据库中的行为模型与由行为观测器单元202收集的配置信息进行比较,以确定移动计算设备102的当前状态是否正在导致恶意行为。当分类器单元208确定移动计算设备102的当前配置与被包括在恶意和通道配置数据库中的通道配置相匹配时,分类器单元208可以确定移动计算设备行为正在导致恶意行为。如上面参考图2讨论的,当分类器单元208发现匹配时,分类器单元208可以警告执行器单元210开始采取措施来避免未来的恶意行为。
在另一个方面中,移动计算设备102可以向网络服务器116发送与模型的应用相关联的其操作和/或成功率的结果。例如,分类器单元208可能未在恶意和通道配置数据库中发现匹配,但是恶意行为可能仍然发生,从而指示移动计算设备102可以向网络服务器116报告先前未被检测到的恶意行为(即,保护中的缺口),以包括在恶意和通道配置数据库的下一次分发中。网络服务器116可以基于结果/成功率来生成训练数据(例如,经由训练数据单元306),用于由模型生成器304使用。模型生成器可以基于训练数据来生成更新的恶意和通道配置数据库,并且定期地将所更新的恶意和通道配置数据库发送给移动计算设备102和其它移动计算设备。
图4示出了可以在网络服务器上实现的、用于向移动计算设备发送标识恶意配置和通道配置的恶意和通道配置数据库的方面方法400。在执行方法400时,网络服务器可以起集中式集线器的作用,所述集中式集线器接收、编译、并且分析来自多个移动计算设备的信息,以标识用于指示恶意行为的配置和导致那些恶意配置的通道配置。服务器还可以向多个移动计算设备提供使得移动计算设备能够检测其当前行为(或者在移动计算设备上运行的应用或者进程的行为)是否正在趋向恶意行为的报告。
在框402中,网络服务器可以从多个移动计算设备接收配置信息和配置历史。在一个方面中,当移动计算设备检测出恶意行为(例如,正被侵入、恶意软件或者病毒等)时,移动计算设备可以向网络服务器发送表示在移动计算设备发现恶意行为的时候的移动计算设备的配置的行为向量或者类似的信息。此外,移动计算设备还可以发送用于描述发生的一直到恶意行为被检测到为止的配置的逐步发展的配置历史。
在一个方面中,移动计算设备可以维护从初始配置(例如,启动配置)开始的配置变化的列表。例如,当移动计算设备的行为向量是[0,2,1,0,…,4]时,移动计算设备可以检测出恶意软件活动。移动计算设备可以向网络服务器发送行为向量[0,2,1,0,…,4],并且发送用于将移动计算设备的配置从[0,2,1,0,…,4]返回到较早的配置(例如,初始配置(例如,[0,0,0,0,…,0]))的信息。在另一个方面中,移动计算设备可以通过仅仅维护缩短的配置历史(即,移动计算设备可以仅仅记载某个数量的导致恶意配置的先前配置)来节约资源。
在框404中,网络服务器可以分析配置信息以标识恶意配置。在一个方面中,网络服务器可以通过匹配由若干移动计算设备报告的用于表示恶意行为的完全相同的或者类似的行为来标识恶意配置。在另外的方面中,仅仅当某个数量的或者某个百分比的移动计算设备将配置识别为恶意的时,网络服务器才可能将该配置标识为恶意的。换句话说,仅仅当在进行报告的移动计算设备之间存在一些共识时,网络服务器才可能使用置信度门限来将行为标记为恶意的。
在另一个方面中,网络服务器可以从可能不共享相同的容量或者配置的各种类型和模型的移动计算设备接收配置信息,并且因此,移动计算设备可以具有不相似的配置信息/行为向量。在这样的方面中,网络服务器可以通过实现各种模式匹配算法或者策略来检测恶意配置或者特定特征,来标识恶意配置,所述恶意配置或者特定特征是多个移动计算设备共同报告的用于表示恶意行为的特征。换句话说,网络服务器可以编译来自不同模型的移动计算设备的数以千计的报告,并且确定在移动计算设备检测出恶意行为时始终存在的配置特性。例如,网络服务器可以确定:当各种类型的移动计算设备的配置包括“屏幕关闭”、“访问联系人信息”、以及“传输数据”时,各种类型的移动计算设备几乎总是报告恶意行为。
在框406中,网络服务器可以基于所标识的恶意配置来标识通道配置。在一个方面中,通道配置可以是导致恶意配置的“前导”配置。换句话说,通道配置在一些情况下可能处于发展成恶意配置的危险中。例如,通道配置可能是远离恶意配置的一种或两种配置变化。
在一个方面中,在接收到多个配置历史之后,网络服务器可以实现模式识别或者状态机分析(如果配置历史被呈现为状态之间的转变)以发现导致最终的恶意配置的一种或多种模式或者配置。换句话说,网络服务器可以使用来自各种移动计算设备的配置历史来从恶意配置“返回”(即,沿“配置路径”),以标识更早的配置或者已经导致恶意配置的配置。当分析确定存在相当大的后续配置将是恶意的概率时,可以将这些较早的配置标识为如上面定义的通道配置。如下文参考图7A讨论的,任何给定的配置或者状态都可能发展成或者被转变成任何数量的后续配置或者状态,这取决于接下来执行的指令或者操作。因此,如果执行其它指令或者操作,则恶意配置之前的配置可能不必然地导致恶意配置。为了处理该问题,服务器分析可以根据所报告的信息来确定给定的配置直接导致恶意配置的频繁度,并且仅仅将那些频繁地(即,频率超过门限值或者概率)导致恶意配置的配置标识为“通道配置”。例如,只有当存在超过10%的配置将导致恶意行为的机会时,网络服务器才可以将该配置分类为通道配置。服务器分析还可以标识当被执行时将通道配置转变成恶意配置的指令/操作。
在一个方面中,网络服务器可以首先标识如上面参考框404讨论的恶意配置/状态、一个或多个中间配置、以及起始配置。例如,网络服务器可以首先将“在屏幕关闭时传输地址簿信息”标识为恶意配置,并且可以“返回”以发现“在显示屏关闭时访问地址簿信息”是频繁地导致“在屏幕关闭时传输地址簿信息”的通道配置。
在一个方面中,为了增加将通道配置用作未来恶意行为的早期警告标志的有效性,当配置在远离恶意配置的门限“步”数之内时,网络服务器可能才仅仅将该配置分类成“通道配置”。服务器分析还可以标识后续的直接导致恶意行为的通道配置,以及当被执行时使移动计算设备经过从所标识的通道配置到恶意配置的一系列的步骤的指令/操作。
在框408中,网络服务器可以生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库。在一个方面中,如下文参考图5、6、8、10和11讨论的,恶意和通道配置数据库可以包括可以使得移动计算设备能够评估移动计算设备是否处于进入恶意配置的风险中的信息。
如上文所述,在可选框410中,网络服务器可以针对每个标识的通道配置来计算转变至恶意配置的概率。为了计算概率,网络服务器可以分析数以千计的移动计算设备的配置历史,以确定多久发生一次从通道配置到恶意配置的转变。例如,在分析了来自100,000个移动计算设备的报告之后,网络服务器可以确定70,000个移动计算设备从某种通道配置转变至良性的配置(即,70%或者0.7),并且30,000个移动计算设备从某种通道配置转变成恶意配置(即,30%或者0.3)。在一个方面中,网络服务器可以用马尔可夫链分析来表示该信息,所述马尔可夫链分析包括每种配置(即,状态)和从一种配置转变到另一种配置的概率,如在下文的图9中示出的。在可选框412中,网络服务器还可以将所计算的概率包括在恶意和通道配置数据库中。
另外,如上文所述,在可选框414中,网络服务器可以标识恶意通道指令或者操作,所述恶意通道指令或者操作当在标识的通道配置中被执行时,导致恶意配置。在该操作中,网络服务器可以分析行为向量信息和配置历史,以标识使通道配置变成恶意配置的代码、参数或者其它指令。网络服务器可以在特定的通道配置的上下文中标识这样的指令。因此,网络服务器可以确定当被执行时使通道配置成为恶意的指令,从而使得移动计算设备能够更好地确定其是否处于发展为恶意配置的风险中。换句话说,网络服务器可以确定:处于特定的通道配置中的移动计算设备在执行了本文中被称为“恶意通道指令”的某些指令之后将变成恶意的。应当注意到的是,当移动计算设备处于通道配置中时,恶意通道指令可能仅仅在其被执行时,才产生恶意行为或者恶意配置。以这种方式,因为这些方面实现对在大多数情况下是安全的并且不与恶意行为相关的指令/操作的识别和反应,所以各个方面都不同于传统的恶意软件检测系统。
在可选框416中,网络服务器可以将当被执行时导致所标识的恶意配置的所标识的指令列表包括在恶意和通道配置数据库中。在另外的方面中,网络服务器还可以包括通道配置和将使通道配置变成恶意的恶意通道指令或者数个指令之间的关联。如下文参考图11进一步描述的,移动计算设备可以利用包括导致恶意行为的指令列表的恶意和通道配置数据库来避免这样的恶意行为。
在框418中,网络服务器可以将恶意和通道配置数据库发送给多个移动计算设备。在各个方面中,移动计算设备可以使用恶意和通道配置数据库来在抢先识别可能导致恶意行为的通道配置时使用。在一个方面中,恶意和通道配置数据库可以将恶意配置和通道配置呈现为有限状态机中的状态、路径,或者呈现为可以由运行在移动计算设备上的行为分析器单元204和/或分类器单元208使用的行为向量值。
在可选的方面中,随着网络服务器在框402中不断地从移动计算设备接收到行为向量信息和配置历史,网络服务器可以执行循环中的过程。在这样的方面中,网络服务器可以滚动地接收行为向量信息和配置历史。换句话说,网络服务器可以随着其发生不断地从移动计算设备接收到恶意行为的信息,并且网络服务器可以随着更多的行为向量信息和配置历史被接收,来不断地分析并且标识恶意配置和通道配置。照此,网络服务器可以重复该过程,以便基于接收的新的信息来不断地向移动计算设备发出更新的恶意和通道配置数据库。
图5示出了可以由移动计算设备实现的、用于抢先识别恶意配置的方面方法500。在一个方面中,移动计算设备可以利用标识恶意配置和通道配置的恶意和通道配置数据库,来确定移动计算设备的状态(或者移动计算设备的应用、进程或者部件的当前配置)何时正在导致恶意行为。基于该确定,移动计算设备可以实现各种措施来避免或者防止这样的恶意活动。
在框502中,移动计算设备可以接收恶意和通道配置数据库。如上面参考图4描述的方法400的框418中讨论的,网络服务器可以使用众包(crowd-sourced)配置信息和/或配置历史来对具有导致由其它移动计算设备报告的某种形式的恶意行为的风险的某些配置进行标识。网络服务器可以将关于恶意配置和通道配置的信息编译成恶意和通道配置数据库,并且可以将一个或多个恶意和通道配置数据库发送给移动计算设备。在另外的方面中,移动计算设备可以例行地接收恶意和通道配置数据库,作为网络服务管理的周期性服务的一部分(例如,移动计算设备可以向网络服务器注册,以接收恶意和通道配置数据库)。
在框504中,移动计算设备可以确定其当前配置。如上面参考图2描述的,在一个方面中,行为观测器单元202可以收集关于移动计算设备的当前操作/状况/状态的各种类型的信息(即,“行为观测数据”),以及移动计算设备已经经历的配置或者状态变化。
在一个方面中,移动计算设备可以参考行为向量来确定移动计算设备的当前配置。在另一个方面中,行为分析器单元204可以从行为观测器单元202接收行为观测数据,并且行为分析器单元204可以使用行为观测数据来生成行为向量或者移动计算设备的当前配置的另一个指示。例如,行为分析器单元204可以确定:移动计算设备的当前配置指示数据正在被传输并且屏幕是关闭的。行为分析器单元204可以使用行为观测数据来进行有限状态机分析,通过行为观测数据,行为分析器单元204可以通过追踪至当前状态(即,当前配置)的一系列状态转变来确定移动计算设备的当前配置。如参考图7A讨论的,下文进一步详细地描述了使用有限状态机分析来确定当前配置。
在确定框506中,移动计算设备可以基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置。换句话说,移动计算设备可以确定其当前配置是否是通道配置。在一个方面中,行为分析器单元204和/或分类器单元208可以将移动计算设备的当前配置(例如,表示移动计算设备的当前配置的行为向量)与被包括在从网络服务器接收的恶意和通道配置数据库中的通道配置和恶意配置进行比较,以确定当前配置是否与被包括在恶意和通道配置数据库中的通道配置相匹配。
当移动计算设备基于恶意和通道配置数据库确定当前配置不导致恶意配置时(即,确定框506=“否”),移动计算设备可以在框510中继续正常地执行。随着移动计算设备可以通过在框504中确定移动计算设备的当前配置来继续,该过程可以继续进入循环。因此,在一个方面中,移动计算设备可以不断地检查其当前配置,以确保其不处于未来的恶意行为的风险中。
当移动计算设备基于恶意和通道配置数据库确定当前配置正在导致恶意配置时(即,确定框506=“否”),移动计算设备可以在可选的确定框507中确定是否实现预防性措施来避免恶意配置。
在一些情况下,每当设备或者设备上的部件的当前配置被确定为导致恶意配置时,移动计算设备可能由于实现预防性措施,而经历差的或者不可接受的性能。因为不存在当前配置将实际上发展成恶意配置的确定性,所以仅仅当在不久的将来存在超过预先定义的门限的恶意行为的某个风险时,移动计算设备才可以选择性地实现预防性措施,以便实现安全性和性能的有效平衡。例如,如下文参考图8进一步描述的,只有在当前配置具有相当大的导致恶意配置的可能性时,移动计算设备才可以实现预防性措施。类似地,在另一个示例中,如下文参考图10进一步描述的,只有当计算的从当前配置进入恶意配置的风险超过预先定义的概率/风险门限时,移动通信设备才可以实现预防性措施。
在另外的方面中,预先定义的门限可以基于从移动计算设备上的用户接口部件接收的用户输入来设置,并且预先定义的门限可以反映用户的安全性对性能的偏好。例如,在情报局的用户可能要求较高的安全性(即,移动计算设备确定实现预防性措施来避免未来的恶意配置的更多情况)来确保所有的恶意应用被捕捉,并且这样的用户可以将移动计算设备配置为使用低的门限,使得大多数时间或者所有时间都采取预防性措施。在另一个示例中,另一个用户可能决定停止每一次恶意行为对于性能影响是不值得的,并且可以将移动计算设备配置为只有当进入恶意配置的风险超过高的门限时才实现预防性措施。
当移动计算设备确定不实现预防性措施来避免恶意配置时(即,可选的确定框507=“否”),移动计算设备可以在框510中继续正常地执行。随着移动计算设备可以通过在框504中确定移动计算设备的当前配置来继续,该过程可以继续进入循环。因此,在一个方面中,移动计算设备可以不断地检查其当前配置来确保其不处于未来的恶意行为的风险中。
当移动计算设备确定执行预防性措施来避免恶意配置时(即,可选的确定框507=“是”),设备可以在框508中实现预防性措施来避免恶意配置。在一个方面中,移动计算设备可以执行各种操作来避免未来的恶意配置,例如,确定与未来的恶意配置相关联的应用/进程,并且终止、隔离、和/或消除那些应用/进程。下文参考图6进一步详细地描述了对预防性措施的实现。
在实现了预防性措施之后,移动计算设备可以在框510中继续正常地执行。随着分析引擎可以通过在框504中确定移动计算设备的当前配置来继续,该过程可以继续进入循环。
虽然上面的描述涉及确定移动计算设备的当前配置是否正在导致恶意配置,但是在另外的方面中,移动计算设备或者运行在移动计算设备上的部件可以代替确定运行在移动计算设备上的单独的硬件或者软件部件的当前配置是否正在导致恶意配置。例如,移动计算设备可以确定应用的当前配置是导致恶意配置的通道配置。在这些替代的方面中,从网络服务器接收的恶意和通道配置数据库可以包括关于移动计算设备(或者运行在移动计算设备上的部件)确定单独的应用或者硬件部件是否在不久的将来处于恶意行为的风险中必需的恶意配置和通道配置的信息。
图6示出了可以在移动计算设备上实现的、用于当移动计算设备当前处于通道配置中时实现预防性措施来避免不久的将来的恶意配置的方面方法600。在一个方面中,在移动计算设备确定其当前处于通道配置中时,可以减缓或者暂停与当前的通道配置相关联的一个或多个进程,以给移动计算设备提供充足的时间来检查发生在移动计算设备上的其它行为,以便评估其在不久的将来是否实际上处于恶意行为的危险中。
方法600的操作实现了上面参考图5描述的方法500的框508的操作的方面。因此,在确定了移动计算设备当前处于导致恶意行为的通道配置中之后(即,确定框506=“是”),移动计算设备可以开始执行方法600。
在框602中,移动计算设备可以识别与当前配置相关联的一个或多个进程。在一个方面中,一个或多个进程可以是在移动计算设备上运行的应用、程序、脚本、硬件部件、或者其它部件。例如,当前配置可以包括:“照相机开启”和“屏幕关闭”,并且移动计算设备可以将这些特性与当前运行在移动计算设备上的照相机应用相关联。
在另一个方面中,移动计算设备可以接收被包括在恶意和通道配置数据库中的、对与移动计算设备的当前的通道配置相关联的一个或多个进程进行标识的信息,并且移动计算设备可以利用该信息来识别与当前配置有关的一个或多个进程。例如,在移动计算设备确定了其处于通道配置中之后,可以参考恶意和通道配置数据库来发现运行在移动计算设备上的社交媒体应用与通道配置相关联,并且因此可能是将移动计算设备引导至恶意行为的原因。在另外的方面中,恶意和通道配置数据库可以包括被链接至通道配置的一个以上的进程或者部件的标识。
在框604中,移动计算设备可以减缓对一个或多个进程的执行。在一个方面中,减缓一个或多个进程可以是阻止正在进行的恶意行为的发展的初步预防性措施,其可以在最初发现当前配置是通道配置(如上面参考图5描述的方法500的确定框506中描述的)之后不久发生。在另一个方面中,移动计算设备可以代替完全停止对一个或多个进程的执行。
虽然减缓或者暂停对一个或多个进程的执行可以暂时地降低移动计算设备的功能和性能,但是通过避免在不久的将来的恶意行为的潜在的利益可能超过这样的代价。因为只有在确定了移动计算设备当前处于通道配置中之后,移动计算设备才可能合理地干预进程的运行,所以各个方面还降低了这些代价。因此,通过仅仅当存在检测到的未来的恶意行为的风险时(即,当移动计算设备当前处于通道配置中时)才采取动作,移动计算设备可以保护其自己,同时对运行在移动计算设备上的一个或多个进程或者部件造成最小的影响。
返回到图6,在框606中,移动计算设备可以检查当前发生在移动计算设备上的其它行为。在一个方面中,当一个或多个进程被减缓或者被停止时,移动计算设备可以调查其它正在进行的活动,试图更好地预测当前配置是否趋向恶意行为。例如,移动计算设备可以扫描与一个或多个进程有关的或者由一个或多个进程使用的应用或者硬件部件,试图发现其它不寻常的或者可疑的行为。在另一个方面中,对其它行为的检查可以包括全面的或者彻底的扫描和分析,并且减缓一个或多个进程可以使得移动计算设备能够在当前配置发展成恶意配置之前完成这些全面的扫描。
在可选的确定框608中,移动计算设备可以确定:在作出当前配置是否正在变成恶意的决定性确定之前,是否需要更多的检查。当移动计算设备确定需要更多的检查时(即,可选的确定框608=“是”),移动计算设备可以在可选框610中继续检查当前发生在移动计算设备上的其它行为。移动计算设备可以继续检查其它行为,直到能够合理地作出当前配置是否正在变成恶意的、和/或什么可能导致移动计算设备趋向恶意行为的决定性确定为止。
因此,当移动计算设备确定不需要更多的检查时(即,可选的确定框608=“否”),移动计算设备可以在确定框612中基于对其它行为的检查来确定是否存在相当大的当前配置正在导致恶意配置的可能性。在一个或多个进程是在屏幕关闭时正在照相(即,当前配置是“照相机开启”和“屏幕关闭”)的照相机应用的示例中,移动计算设备可以推断出当前配置没有进入恶意状态(例如,“屏幕关闭”、“照相机开启”、以及“传输照相机数据开启”),这是因为移动计算设备上的其它活动指示响应于用户的输入而要开启屏幕。在该示例中,预期当前配置转变至“照相机开启”和“屏幕开启”,该当前配置可能不是恶意配置。
当移动计算设备确定不存在相当大的当前配置正在导致恶意配置的可能性时(即,确定框612=“否”),移动计算设备可以在框618中将一个或多个进程返回到正常操作。在一个方面中,一个或多个进程可以按照正常的速率继续运行。
当移动计算设备确定当前配置正在变成恶意的时(即,确定框612=“是”),移动计算设备可以在可选框614中中断一个或多个进程。在一个方面中,中断一个或多个进程可以包括完全停止对一个或多个进程的执行或者终止一个或多个进程。
在框616中,移动计算设备可以针对一个或多个进程来实现预防性措施。在一个方面中,移动计算设备可以实现各种技术来避免恶意行为,包括隔离一个或多个进程免于与移动计算设备上的其它应用或者部件相交互,以及从初始的、良性的配置起重置/重新启动一个或多个进程。其它技术可以包括:将一个或多个进程恢复到已知是良性的、较早的处理点(例如,将应用复原到较早的版本)。移动计算设备在框618中还可以将一个或多个进程返回到正常操作。
移动计算设备可以通过在上面参考图5描述的方法500的框504中确定当前配置来继续。
图7A示出了被表示为有限状态机(“FSM”)700的、一个方面的移动计算设备上的配置和配置之间的转变的状态图。
在一个方面中,FSM700可以包括针对移动计算设备的可能的配置(“屏幕开启”、“屏幕关闭”、“发送数据”等)中的每个配置的状态(即,配置)。FSM700还可以利用从一种状态/配置到另一种状态/配置的转变来表示移动计算设备的配置如何随着时间改变。例如,FSM700可以指示特定配置A702(例如,“屏幕开启”和“声音关闭”)可以转变至另一种配置B704(例如,“屏幕开启”和“声音开启”)。
在一个方面中,网络服务器可以基于从多个移动设备获得的配置信息和/或配置历史来生成FSM700。例如,网络服务器可以从多个移动计算设备接收配置信息,并且可以编译该信息以生成表示移动计算设备的配置/状态和那些配置之间的转变的FSM。在示例中,网络服务器可以接收来自数以千计的移动计算设备的配置历史,并且可以生成表示从初始配置(例如,“通电”状态)到各种中间配置和末端配置的配置转变的FSM。在另一个方面中,因为不同的移动计算设备可以具有不同的特征或者功能,所以网络服务器可以针对共享相似特性(例如,相同的型号、制造商等)的移动计算设备生成专用的FSM。
在另一个方面中,网络服务器可以将FSM700中的每种配置/状态分类成良性配置、可疑配置、或者恶意配置。在一个方面中,网络服务器可以基于从多个移动计算设备接收到的配置信息来执行行为分析。例如,网络服务器可以标识与恶意行为的报告始终链接的配置(即,恶意配置)、需要更多的检查来确定其是否是恶意的配置(即,可疑配置)、以及不指示恶意行为的配置(即,良性配置)。因此,在另外的方面中,网络服务器可以生成描述配置和那些配置之间的转变,以及每种配置的类别的FSM。
此外,在另一个方面中,如上面参考图4描述的,在对FSM700中的配置进行了分类之后,网络服务器可以从恶意配置“返回”以标识具有导致那些恶意配置的相当大的风险的配置(即,通道配置)。例如,网络服务器可以使用从多个移动设备接收的配置信息和配置历史来确定始终指示趋向恶意行为的开始的特定配置。
在另一个方面中,如上面参考图4描述的,在生成了FSM700、对FSM700中的配置进行了分类、并且标识FSM700中导致恶意配置的通道配置之后,网络服务器可以诸如用恶意和通道配置数据,来向移动计算设备发送关于FSM700的该信息。
在一个方面中,移动计算设备可以利用FSM700来实时地跟踪其配置。例如,在正常运行期间,移动计算设备可以追踪FSM700中的配置转变,以与其当前配置保持联系。在另一个方面中,移动计算设备可以确定其当前配置是否是通道配置(例如,如在从网络服务器接收的恶意和通道配置数据库中指示的)。当移动计算设备确定其当前处于通道配置中时,移动计算设备可以分析FSM700以确定移动计算设备在不久的将来可能转变至的、潜在的配置。换句话说,移动计算设备可以执行有限状态机分析,并且从移动计算设备的当前配置“返回”,以确定接下来可能出现的配置(即,潜在的未来配置)。
在一个方面中,潜在的未来配置可以是移动计算设备在特定数量的转变之后可能到达的配置。例如,移动计算设备的当前配置可以是“屏幕关闭和声音关闭”。因此,移动计算设备可以具有两种潜在的未来配置,例如,“屏幕开启和声音关闭”以及“屏幕关闭和声音开启”,所述两种潜在的未来配置在一次转变/配置变化中可能是可达的。在另外的示例中,移动计算设备可以转变至在两次转变中可达的另一种潜在的未来配置(例如,“屏幕开启和声音开启”)。
在一个方面中,在识别了潜在的未来配置之后,移动计算设备可以确定其类别,并且可以基于那些潜在的未来配置的类别来采取必要的措施,以防止或者避免在未来进入恶意配置。在示例中,移动计算设备当前可以处于配置A702中,其是良性的并且不是通道配置(即,给定当前配置,不存在标识的未来的恶意行为的风险)。在该事件中,移动计算设备可以继续正常地运行。换句话说,在不必须花费相当大的计算资源的情况下,移动计算设备可以实时地(即,在实际的、正常的操作期间)快速地检查其当前状态是否正在导致恶意行为。
在上面示例的延续中,移动计算设备可能随着时间经历一种或多种配置变化,其可能使移动计算设备从配置A702转变至配置B704。在进入配置B704时,移动计算设备可以确定其当前配置是通道配置。因此,移动计算设备可以确定在不久的将来存在转变至恶意配置的风险。在这时,移动计算设备可以减缓或者停止与配置B704有关的一个或多个进程,以留出额外的时间来评估将在不久的将来发生恶意行为的可能性。因此,通过等待开始预防性措施,直到存在标识的未来的恶意行为的风险为止,移动计算设备可以避免不必要的计算。
在一个方面中,如在参考图7B描述的表格725中示出的,在进入了通道配置之后,移动计算设备可以基于其当前配置的类别和潜在的未来配置的类别来确定在不久的将来是否存在相当大的恶意行为的可能性。在下文参考图9进一步描述的另一个方面中,移动计算设备可以利用从网络服务器接收到的信息来确定恶意行为在不久的将来发生的概率(例如,从0.0到1.0的值),并且当恶意行为的概率超过某个门限概率(例如,25%)时,设备可以确定存在相当大的恶意行为的可能性。
在示例中,在移动计算设备确定了配置B704是通道配置之后,移动计算设备可以确定配置B704是良性的并且在一个步骤可达到的潜在的未来配置(即,配置C706和配置D708)分别是良性的和恶意的。在一个方面中,移动计算设备可以参考表格725并且基于表格查找来推断出存在相当大的未来的恶意行为的可能性,因为配置B704直接导致恶意配置。
在另一个示例中,当移动计算设备的当前配置是配置E710时,移动计算设备可以确定存在非常小的最终导致恶意行为的可能性,因为唯一的潜在的未来配置(即,配置F712)是良性的。然而,如果移动计算设备转变至配置F712,则移动计算设备可以确定存在相当大的未来的恶意行为的风险,因为潜在的未来配置都是恶意的。
在移动计算设备的当前配置是配置G714的另一个示例中,移动计算设备可以确定存在相当大的当前配置正在导致恶意行为的可能性,因为配置G714是可疑的。在一个方面中,当需要更多的信息时,移动计算设备(或者网络服务器)可以将配置分类为可疑的,以便确定配置是良性的还是恶意的。
在一个方面中,在确定了未来的恶意行为的可能性之后,移动计算设备可以基于所确定的可能性来确定是否实现各种预防性措施来避免未来的恶意行为。下文参考图8描述了基于所确定的可能性来确定要采取的合适措施的过程。
图8示出了可以在移动计算设备上实现的、用于当存在相当大的当前配置导致恶意行为的可能性时实现预防性措施的方面方法800。在一个方面中,在确定了移动计算设备当前处于通道配置中时(即,在不久的将来存在恶意行为的风险),移动计算设备可以基于移动计算设备的当前配置和移动计算设备可能从其当前配置转变至的配置来确定在不久的将来是否存在相当大的经历恶意行为的可能性。
方法800的操作实现了上面参考图5描述的方法500的框508的操作的方面。因此,如上面参考图5描述的,移动计算设备在确定了当前配置是通道配置之后(确定框506=“是”),其可以开始执行方法800。
如上面参考图6描述的,在框602中,移动计算设备可以识别与当前配置相关联的一个或多个进程。移动计算设备在框604中还可以减缓对一个或多个进程的执行。在一个方面中,通过减缓对一个或多个进程的执行,移动计算设备可以有额外的时间来确定预防性措施对于避免在不久的将来的恶意行为是否是必需的。
在框802中,移动计算设备可以确定当前配置的类别。在一个方面中,移动计算设备可以确定当前配置是良性的、恶意的、还是可疑的。在一个方面中,如参考图7A-7B描述的(例如,作为描述移动计算设备的配置和那些配置之间的转变的FSM的一部分),网络服务器可能已经确定了移动计算设备的各种配置的类别,并且可能已经将类别作为由移动计算设备接收的恶意和通道配置数据库的一部分来发送。
在另一个方面中,如上面参考图2讨论的,运行在移动计算设备上的行为分析器单元204和/或分类器单元208可以代替地在本地确定移动计算设备的当前配置的类别,而不是从网络服务器接收作为恶意和通道配置数据库的一部分的移动计算设备的当前配置的类别。例如,行为分析器单元204可以从行为观测器单元接收当前的行为观测数据,并且可以生成表示移动计算设备的当前配置的行为向量。分类器单元208然后可以确定所生成的行为向量是否指示移动计算设备的当前配置是良性的、可疑的或者恶意的。
在可选的确定框804中,移动计算设备可以确定当前配置是否是恶意的。当移动计算设备确定当前配置是恶意的时(即,可选的确定框804=“是”),移动计算设备可以对与当前配置相关联的一个或多个进程实现补救性措施,以在可选框808中消除当前的恶意配置。在一个方面中,当移动计算设备的当前配置是恶意的时,其可能来不及防止恶意行为,并且因此移动计算设备可能需要实现补救性措施来停止正在进行的恶意行为。例如,移动计算设备可以扫描并且删除恶意软件、病毒、已损坏文件等。移动计算设备还可以在框618中将一个或多个进程返回到正常的操作。移动计算设备还可以通过在上面参考图5描述的方法500的框504中确定当前配置来继续执行。
当移动计算设备确定当前配置不是恶意的时(即,可选的确定框804=“否”),移动计算设备可以在框806中确定潜在的未来配置的类别。在一个方面中,如上面参考在框802中确定当前配置的类别所讨论的,移动计算设备可以确定潜在的未来配置的类别。例如,移动计算设备可能已经接收到了作为从网络服务器发送的恶意和通道配置数据库的一部分的潜在的未来配置的类别。在另一个示例中,移动计算设备(或者运行在移动计算设备上的一个或多个部件)可以基于潜在的未来配置来生成行为向量,并且对那些行为向量进行分类。
在框810中,移动计算设备可以基于当前配置和潜在的未来配置的类别来确定当前配置将导致恶意配置的可能性。在一个方面中,移动计算设备可以参考上面关于图7B描述的像表格725的查找表格来确定当前配置导致恶意行为的可能性。
在确定框812中,移动计算设备可以确定当前配置是否具有导致恶意配置的相当大的可能性。例如,在当前配置和所有的潜在的未来配置都是良性的时,移动计算设备可以确定在不久的将来存在非常小的恶意行为风险。在另一个示例中,即使当前配置是良性的,但是当潜在的未来配置中的一个或多个配置是恶意的时,移动计算设备也可以确定存在相当大的恶意行为风险。
当移动计算设备确定存在非常小的导致恶意配置的可能性时(即,确定框812=“否”),移动计算设备可以在框618中将一个或多个进程返回到正常的操作。移动计算设备可以通过在上面参考图5描述的方法500的框504中确定当前配置来继续执行。
当移动计算设备确定存在相当大的当前配置将导致恶意行为的可能性时(即,确定框812=“是”),移动计算设备可以在可选框614中可选地中断对一个或多个进程的执行。在一个方面中,移动计算设备可以停止对一个或多个进程的执行,以给移动计算设备提供充足的时间来避免任何未来的恶意行为。
在框616中,如上面图6中示出的方法600的框616中描述的,移动计算设备可以针对一个或多个进程来实现预防性措施。在一个方面中,实现预防性措施可以包括调整一个或多个进程的性能或者配置来避免预测的恶意行为。例如,可以将一个或多个进程复原到已知是良性的、较早的配置。
在框618中,计算设备可以将一个或多个进程返回到正常的操作。在一个方面(未示出)中,当移动计算设备确定在不久的将来不再存在相当大的恶意行为的可能性时,移动计算设备可以重新开始一个或多个进程的正常执行。移动计算设备可以通过在上面参考图5描述的方法500的框504中确定当前配置来继续执行。
图9示出了用于与预测移动计算设备上的恶意行为一起使用的马尔可夫链分析。在一个方面中,像上面参考图7A描述的FSM分析,马尔可夫链分析可以描述移动计算设备的各种配置和那些配置之间的转变。此外,马尔可夫链分析还可以包括从一种配置转变到下一种配置的概率。
在一个方面中,如上面参考图7A中示出的FSM700描述的,网络服务器可以根据从多个移动计算设备接收的配置信息/配置历史来生成FSM900。因此,FSM900可以包括各种配置/状态以及那些配置之间的转变。网络服务器还可以针对FSM900中的每种配置来确定类别(即,良性的、恶意的或者可疑的),并且确定导致恶意行为的一种或多种配置(即,通道配置)。
此外,在另一个方面中,网络服务器可以计算通道配置将直接转变至特定的潜在的未来配置(例如,从“屏幕关闭”到“屏幕开启”)的概率。例如,网络服务器可以从多个移动计算设备接收报告,并且可以确定报告的转变的总数当中的每种通道配置转变至潜在的未来配置的次数。例如,如在图9中示出的,网络服务器可能已经计算了处于配置B904中的移动计算设备10%的时间转变至配置C906,90%的时间转变至配置D908。
在另外的方面中,在确定了当前配置是通道配置之后,移动计算设备可以确定潜在的未来配置的类别,以及当前配置将转变至潜在的未来配置中的每种配置的概率。如果直接转变至恶意的潜在的未来配置的概率超过某个门限,则移动计算设备可以实现预防性措施来避免预测的恶意行为。例如,处于配置E910中的移动计算设备可能有0%的机会直接转变至恶意配置。在该情况下,移动计算设备可以不实现预防性措施,因为直接转变至恶意配置的概率低于门限概率。然而,处于配置F912中的移动计算设备可能有100%(0.7+0.3=1.0=100%)的机会直接转变至恶意状态,并且因此,移动计算设备可以实现预防性措施来避免非常高的当前配置将导致恶意行为的概率。
在另一个方面中,如上面参考图4中的可选框410描述的,网络服务器可以针对每种通道配置来计算最终转变至恶意配置的概率。在示例中,处于配置H916中的移动计算设备最终可以转变至两种恶意配置(即,配置D908和配置I918)。从配置H916转变至配置D的概率是9%(10%的概率转变至配置B904,以及接着90%的概率从配置B904转变至配置D908)。从配置H916转变至配置I918的概率可以是2.5%(5%的概率从配置H916转变至配置G914,以及50%的概率从配置G914转变至配置I918)。因此,处于配置H中的移动计算设备可以具有总的11.5%(9%+2.5%=11.5%)的机会最终导致恶意配置。
网络服务器可以向移动计算设备发送概率信息,所述概率信息使得移动计算设备能够确定通道配置将最终导致恶意行为的概率。在另一个方面中,移动计算设备可以接收从通道配置转变至潜在的未来配置的概率(即,直接从当前配置转变至下一种配置的概率),并且可以在本地计算当前的通道配置将最终导致恶意行为的概率。
图10示出了可以在移动计算设备上实现的、用于基于当前配置导致恶意配置的概率来实现预防性措施以避免恶意行为的方面方法1000。方法1000的操作实现了上面参考图5描述的方法500的操作的方面。在一个方面中,在确定了移动计算设备当前处于通道配置中之后,当从移动计算设备的当前配置转变至恶意配置的概率超过某个门限时,移动计算设备可以实现预防性措施来避免恶意行为。
在框1002中,移动计算设备可以从网络服务器接收包括配置转变概率的恶意和通道配置数据库。如参考图9讨论的,配置转变概率可以描述移动计算设备将从一种配置转变至另一种配置的可能性,包括通道配置将转变至恶意配置的概率。在一个方面中,配置转变概率可以描述从通道配置直接转变至恶意配置的概率(即,在单次转变中进入恶意配置的概率)。在另一个方面中,配置转变概率可以指示从通道配置最终转变至恶意配置的总的概率(即,在一次或多次转变中进入恶意配置的概率)。
如参考上面关于图5描述的方法500的框504讨论的,在框504中,移动计算设备可以确定其当前配置。例如,行为分析器单元可以基于行为观测数据来生成用于描述移动计算设备的当前配置的行为向量。
在确定框506中,移动计算设备可以基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置。换句话说,移动计算设备可以通过将移动计算设备的当前配置与被包括在从网络服务器接收的恶意和通道配置数据库中的通道配置列表进行比较,来确定移动计算设备是否是通道配置。当移动计算设备确定当前配置不是通道配置时(即,确定框506=“否”),该过程可以继续进入循环,直到移动计算设备确定其当前配置是通道配置为止(即,存在未来的恶意行为的风险)。
当移动计算设备确定当前配置是通道配置时(即,确定框506=“是”),移动计算设备可以在框602中识别与当前配置相关联的一个或多个进程。移动计算设备还可以在框604中减缓对一个或多个进程的执行。在一个方面中,移动计算设备可以以与上面参考图6描述的方式相类似的方式来识别并且减缓对一个或多个进程的执行。
在可选的方面中,移动计算设备可以在可选的确定框804中确定当前配置是否是恶意的。例如,等到移动计算设备从网络服务器接收到恶意和通道配置数据库的时候,移动计算设备的当前配置可能已经是恶意配置了。当移动计算设备确定当前配置是恶意的时(即,可选的确定框804=“是”),移动计算设备可以在可选框808中对一个或多个进程实现补救性措施以消除当前的恶意配置。例如,移动计算设备可以采用扫描和删除恶意软件的传统方法。移动计算设备可以在框618中将一个或多个进程返回到正常操作。随着移动计算设备可以继续识别,当移动计算设备进入框504中开始的通道配置时,该过程可以继续进入循环。
当移动计算设备确定当前配置不是恶意的时(即,可选的确定框804=“否”),移动计算设备可以在框1004中基于当前配置和配置转变概率来确定当前配置导致恶意配置的概率。在一个方面中,移动计算设备可以参考从网络服务器接收的配置转变概率,并且确定移动计算设备将从其当前配置直接转变至恶意配置的概率。
在另一个方面中,移动计算设备可以追踪从当前配置到一个或多个恶意配置的转变。移动计算设备可以利用从网络服务器接收的配置转变概率来计算移动计算设备从其当前配置在一次或多次转变之后转变到恶意配置的概率。例如,移动计算设备可以有75%的从其当前配置转变至中间配置的机会,以及50%的从中间配置转变至恶意配置的机会。因此,可以存在37.5%(75%*50%=37.5%)的当前配置将最终导致恶意配置的机会。
在确定框1006中,移动计算设备可以确定当前配置导致恶意配置的概率是否超过风险门限。在一个方面中,风险门限可以表示在其处实现预防性措施的代价可能超过避免恶意行为的利益的点。例如,当仅存在5%的当前配置将实际上发展成恶意配置的机会时,将与当前配置相关联的一个或多个进程恢复到先前的状态或者版本的代价可能是不划算的。当存在95%的当前配置将导致恶意行为的机会时,实现预防性措施的成本可以极大地使移动计算设备的整体性能受益。如上面参考图5提及的,风险门限可以基于从用户接口设备接收的用户输入来设置,从而使得用户能够指定期望的安全等级。
当移动计算设备确定当前配置导致恶意配置的概率不超过风险门限时(即,确定框1006=“否”),移动计算设备可以在如上面参考图6描述的框618中将一个或多个进程返回到正常操作。随着移动设备可以通过在框504中确定当前配置来继续,该过程可以继续进入循环。
当移动计算设备确定当前配置导致恶意配置的概率超过风险门限时(即,确定框1006=“是”),移动计算设备可以在可选框614中可选地中断对一个或多个进程的执行。移动计算设备还可以在如上面参考图6描述的框616中针对一个或多个进程来实现预防性措施。移动计算设备还可以在框618中将一个或多个进程返回到正常操作。
随着移动计算设备可以继续识别,当移动计算设备进入框504中开始的通道配置时,该过程可以继续进入循环。
图11示出了可以在移动计算设备上实现的、用于防止被确定为导致恶意行为的指令的执行的方面方法1100。方法1100的操作实现了上面参考图5描述的方法500的操作的方面。
在框1102中,移动计算设备可以从网络服务器接收包括恶意通道指令列表的恶意和通道配置数据库。如上面参考图4中的可选框414描述的,网络服务器可以根据从多个移动设备接收的配置信息和配置历史来编译与导致恶意行为相关联的指令列表。例如,移动计算设备可以报告在其发现恶意配置的时刻的其配置,以及移动计算设备执行的、导致恶意行为的指令列表二者。因此,在一个方面中,如下所述,网络服务器可以生成包括这些潜在的恶意通道指令的恶意和通道配置数据库,从而使得移动计算设备能够监控并且防止对这些指令的执行。
在框504中,移动计算设备可以如参考上面关于图5描述的方法500的框504讨论的来确定当前配置。例如,行为分析器单元可以基于行为观测数据来生成用于描述移动计算设备的当前配置的行为向量。
在确定框506中,移动计算设备可以基于恶意和通道配置数据库来确定当前配置是否正在导致恶意配置。换句话说,移动计算设备可以通过将移动计算设备的当前配置与被包括在从网络服务器接收的恶意和通道配置数据库中的通道配置列表进行比较,来确定移动计算设备是否是通道配置。当移动计算设备确定当前配置不是通道配置时(即,确定框506=“否”),该过程可以继续进入循环,直到移动计算设备确定其当前配置是通道配置为止(即,存在未来的恶意配置的风险)。
当移动计算设备确定当前配置是通道配置时(即,确定框506=“是”),移动计算设备可以在框602中识别与当前配置相关联的一个或多个进程。移动计算设备还可以在框604中减缓对一个或多个进程的执行。在一个方面中,移动计算设备可以以与上面参考图6描述的方式相类似的方式来识别并且减缓对一个或多个进程的执行。
在框1104中,移动计算设备可以确定要被一个或多个进程执行的一个或多个指令。在一个方面中,移动计算设备可以预览一个或多个进程即将执行的指令,并且将那些指令与被包括在从网络服务器接收的恶意和通道配置数据库中的恶意通道指令列表进行比较。
在确定框1106中,移动计算设备可以确定即将被执行的一个或多个指令是否在恶意通道指令列表中。例如,移动计算设备可以发现一个或多个进程即将调用的函数调用的名称,并且移动计算设备检查恶意和通道配置数据库以确定那些函数调用名称是否被包括在恶意通道指令列表中。
当移动计算设备确定即将被执行的一个或多个指令不在恶意通道指令列表中时(即,确定框1106=“否”),移动计算设备可以在如上面参考图6描述的框618中将一个或多个进程返回到正常操作。随着移动计算设备可以通过在框504中确定当前配置来继续,该过程可以继续进入循环。
当移动计算设备确定即将被执行的一个或多个指令在恶意通道指令列表中时(即,确定框1106=“否”),移动计算设备可以在可选框614中可选地中断对一个或多个进程的执行。
在框1108中,移动计算设备可以防止对即将被执行的一个或多个指令的执行。在一个方面中,移动计算设备可以重置/重新启动一个或多个进程,或者将一个或多个进程复原到较早的、良性的配置。在另一个方面中,移动计算设备可以仅仅防止一个或多个进程免于执行被确定为是恶意的一个或多个指令,并且移动计算设备可以在框618中另外地允许一个或多个进程正常地操作。
移动计算设备可以执行返回到框504的连续循环中的方面过程,使得移动计算设备连续地监控其是否已经进入了通道配置。
各个方面可以用各种各样的移动计算设备中的任何一个移动计算设备来实现,在图12中示出了其示例。移动计算设备1200可以包括被耦合至内部存储器1206的处理器1202。处理器1202可以是为一般的或者具体的处理任务指定的一个或多个多核集成电路。内部存储器1206可以是易失性存储器或者非易失性存储器,并且还可以是安全的和/或加密的存储器、或者非安全的和/或未加密的存储器、或者其任何组合。处理器1202还可以被耦合至触摸屏面板1212,例如,电阻感应触摸屏、电容感应触摸屏、红外感应触摸屏等。此外,移动计算设备1200的显示器不需要具有触摸屏能力。
移动计算设备1200可以具有彼此耦合的和/或被耦合至处理器1202的一个或多个无线信号收发机1208(例如,Wi-Fi、RF无线电)和天线1210,用于发送和接收通信。收发机1208和天线1210可以与上述电路一起使用来实现各种无线传输协议栈和接口。移动计算设备1200可以包括蜂窝网络无线调制解调器芯片1216,其经由蜂窝网络来实现通信并且被耦合至处理器。
移动计算设备1200可以包括被耦合至处理器1202的外围设备连接接口1218。外围设备连接接口1218可以被特别地配置为接受一种类型的连接,或者可以被配置为接受各种类型的物理连接和通信连接,公共的或者专用的,例如,USB、火线、雷电接口或者PCIe。外围设备连接接口1218还可以被耦合至类似配置的外围设备连接端口(未示出)。
移动计算设备1200还可以包括扬声器1214,用于提供音频输出。移动计算设备1200还可以包括外壳1220,由塑料制品、金属、或者材料的组合构造的,用于容纳本文讨论的部件中的所有部件或者一些部件。移动计算设备1200可以包括被耦合至处理器1202的电源1222,例如,一次性的或者可充电的电池。可充电的电池还可以被耦合至外围设备连接端口,以从移动计算设备1200之外的电源接收充电电流。移动计算设备1200还可以包括物理按钮1224,用于接收用户输入。移动计算设备1200还可以包括电源按钮1226,用于开启或者关闭移动计算设备1200。
上面描述的各个方面还可以在各种各样的移动计算设备(例如,图13中示出的膝上型计算机1300)内实现。许多膝上型计算机包括充当计算机的定点设备的触摸板触摸表面1317,并且因此,可以与在装备有触摸屏显示器以及上面描述的那样的移动计算设备上实现的那些类似,接收拖拽、滚动、以及轻击手势。膝上型计算机1300将通常包括被耦合至易失性存储器1312和大容量非易失性存储器(例如,闪存的磁盘驱动器1313)的处理器1311。此外,计算机1300可以具有一个或多个天线1308,用于发送和接收可以被连接至无线数据链路的电磁辐射和/或被耦合至处理器1311的蜂窝电话收发机1316。计算机1300还可以包括被耦合至处理器1311的软盘驱动器1314和压缩光盘(CD)驱动器1315。在笔记本配置中,计算机外壳包括均被耦合至处理器1311的触摸板1317、键盘1318、以及显示器1319。如公知的,计算设备的其它配置可以包括被耦合至处理器(例如,经由USB输入)的计算机鼠标或者轨迹球,其也可以结合各个方面来使用。
方面方法的部分可以用客户端-服务器架构来实现,其中,处理中的一些处理发生在服务器中,例如,维护正常操作行为的数据库,其可以由移动计算设备处理器在执行方面方法时访问。这样的方面可以在各种各样的市场上可买到的服务器设备中的任何一种服务器设备(例如,图14中示出的服务器1400)上实现。这样的服务器1400通常包括被耦合至易失性存储器1402和大容量非易失性存储器(例如,磁盘驱动器1403)的处理器1401。服务器1400还可以包括被耦合至处理器1401的软盘驱动器、压缩光盘(CD)或者DVD光盘驱动器1404。服务器1400还可以包括被耦合至处理器1401的网络访问端口1405,用于与网络1406建立数据连接,例如,被耦合至其它广播系统计算机和服务器的局域网。处理器1401可以是任何可编程的微处理器、微计算机、或者多个处理器芯片或者数个芯片,它们可以被软件指令(应用)配置为执行各种各样的功能,包括上面描述的各个方面的功能。通常地,软件应用在被访问和加载到处理器1401中之前,可以被存储在内部存储器1402、1403中。处理器1401可以包括足以存储应用软件指令的内部存储器。
前述的方法描述和过程流程图仅仅作为说明性示例被提供,并不旨在要求或者暗示各个方面的步骤必须以呈现的顺序来执行。如本领域的技术人员将意识到的是,可以以任何顺序来执行前述方面中的步骤的顺序。诸如“此后”、“然后”、“接下来”等词语不旨在限制步骤的顺序;这些词语仅仅被用来引导读者逐个浏览方法的描述。此外,任何以单数形式对权利要求要素的提及(例如,使用冠词“一”、“一个”或“所述”)不应当被解释为将该要素限制为单数形式。
如在本申请中使用的,术语“部件”、“模块”、“系统”、“引擎”、“发生器”、“管理器”等旨在包括计算机相关的实体,例如但不限于,被配置为执行特定操作或者功能的硬件、固件、硬件和软件的组合、软件、或者执行中的软件。例如,部件可以是,但不限于,运行在处理器上的进程、处理器、对象、可执行文件、执行的线程、程序、和/或计算机。通过说明的方式,运行在计算设备上的应用和计算设备二者可以被称为部件。一个或多个部件可以存在于进程和/或执行的线程内,并且部件可以集中在一个处理器或者内核上,和/或被分布在两个或更多个处理器或者内核之间。此外,这些部件可以根据具有被存储在其上的各种指令和/或数据结构的各种非暂时性计算机可读介质来执行。部件可以通过本地的和/或远程的进程、函数或者过程调用、电子信号、数据包、存储器读/写、以及其它已知的网络、计算机、处理器、和/或进程相关的通信方法论的方式来进行通信。
结合本文公开的方面描述的各种说明性的逻辑框、模块、电路、和算法步骤可以被实现为电子硬件、计算机软件、或者二者的组合。为了清楚地说明硬件和软件的该可交换性,上面已经根据各种说明性的部件、框、模块、电路和步骤的功能对其进行了概括地描述。至于这样的功能被实现为硬件还是软件,取决于特定的应用和被施加到整个系统上的设计约束。熟练的技术人员可以针对每个特定的应用以变通的方式实现所描述的功能,但是这样的实现决策不应当被解释为使得背离本发明的范围。
结合本文公开的方面描述的被用来实现各种说明性的逻辑、逻辑框、模块、以及电路的硬件可以利用被设计为执行本文描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑器件、离散门或者晶体管逻辑、分立硬件部件、或者其任意组合来实现或者执行。通用处理器可以是多处理器,但是在替代方案中,处理器可以是任何传统的处理器、控制器、微控制器、或者状态机。处理器还可以被实现为计算设备的组合,例如,DSP和多处理器的组合、多个多处理器、结合DSP内核的一个或多个多处理器、或者任何其它这样的配置。替代地,一些步骤或者方法可以由特定于给定功能的电路来执行。
在一个或多个示例性的方面中,描述的功能可以用硬件、软件、固件、或者其任何组合来实现。如果用软件来实现,则功能可以被存储为非暂时性计算机可读介质或者非暂时性处理器可读介质上的一个或多个指令或者代码。本文公开的方法或者算法的步骤可以被体现在处理器可执行软件模块中,其可以存在于非暂时性计算机可读的或者处理器可读的存储介质中。非暂时性计算机可读的或者处理器可读的存储介质可以是可以由计算机或者处理器存取的任何存储介质。通过示例而非限制的方式,这样的非暂时性计算机可读的或者处理器可读的介质可以包括RAM、ROM、EEPROM、FLASH存储器、CD-ROM或者其它光盘存储、磁盘存储、或者其它磁存储设备、或者可以被用来以指令或者数据结构的形式存储期望的程序代码并且可以由计算机存取的任何其它介质。如本文使用的,磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字多功能光盘(DVD)、软盘、以及蓝光光盘,其中磁盘通常磁性地复制数据,而光盘则利用激光来光学地复制数据。上述的组合也被包括在非暂时性计算机可读的和处理器可读的介质内。此外,方法或者算法的操作可以作为代码和/或指令中的一个或任何组合或集合存在于非暂时性处理器可读介质和/或计算机可读介质上,其可以被并入到计算机程序产品中。
提供所公开的方面的前述描述,以使得本领域的任何技术人员都能够实现或者使用本发明。对本领域的技术人员来说,对这些方面的各种修改将是显而易见的,并且可以在不背离本发明的精神或者范围的情况下,将本文定义的一般原理应用于其它方面。因此本发明不旨在被限制到本文示出的方面,而是要符合与所附权利要求和本文公开的原理和新颖性特征相一致的最宽的范围。
Claims (32)
1.一种标识导致恶意行为的移动计算设备配置的方法,包括:
从多个移动计算设备接收配置信息和配置历史;
分析所述配置信息以标识恶意配置;
基于所标识的恶意配置和所述配置历史来标识通道配置;
生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库;以及
将所述恶意和通道配置数据库发送给多个移动计算设备。
2.根据权利要求1所述的方法,还包括:
针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率;以及
将计算的概率包括在所述恶意和通道配置数据库中。
3.根据权利要求1所述的方法,还包括:
标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置;以及
将当被执行时导致所标识的恶意配置的标识的指令列表包括在所述恶意和通道配置数据库中。
4.一种在移动计算设备上的可能的恶意行为发生之前对其进行预测的方法,包括:
接收恶意和通道配置数据库;
确定当前配置;
基于所述恶意和通道配置数据库来确定所述当前配置是否正在导致恶意配置;以及
响应于确定所述当前配置正在导致恶意配置来实现预防性措施以避免所述恶意配置。
5.根据权利要求4所述的方法,其中,实现预防性措施以避免所述恶意配置包括:
识别与所述当前配置相关联的进程;以及
减缓对所述进程的执行。
6.根据权利要求5所述的方法,还包括:
检查发生在所述移动计算设备上的其它行为;
基于对所述其它行为的所述检查来确定是否存在相当大的所述当前配置正在导致恶意配置的可能性;以及
响应于确定存在相当大的所述当前配置正在导致恶意配置的可能性来针对所述进程实现预防性措施。
7.根据权利要求5所述的方法,还包括:
确定所述当前配置的类别;
确定潜在的未来配置的类别;
基于所述当前配置的所述类别以及所述潜在的未来配置的所述类别来确定所述当前配置导致恶意配置的可能性;
确定所述可能性是否是相当大的;以及
响应于确定所述可能性是相当大的来针对所述进程实现预防性措施。
8.根据权利要求5所述的方法,还包括:
基于所述当前配置和配置转变概率来确定所述当前配置导致恶意配置的概率,其中,所述配置转变概率被包括在所述恶意和通道配置数据库中;
确定所述当前配置导致恶意配置的所述概率是否超过风险门限;以及
响应于确定所述当前配置导致恶意配置的所述概率超过所述风险门限来针对所述进程实现预防性措施。
9.一种网络服务器,包括:
服务器处理器,其被配置有服务器可执行指令,以执行包括下列各项的操作:
从多个移动计算设备接收配置信息和配置历史;
分析所述配置信息以标识恶意配置;
基于所标识的恶意配置和所述配置历史来标识通道配置;
生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库;以及
将所述恶意和通道配置数据库发送给多个移动计算设备。
10.根据权利要求9所述的网络服务器,其中,所述服务器处理器被配置有服务器可执行指令,以执行还包括下列各项的操作:
针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率;以及
将计算的概率包括在所述恶意和通道配置数据库中。
11.根据权利要求9所述的网络服务器,其中,所述服务器处理器被配置有服务器可执行指令,以执行还包括下列各项的操作:
标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置;以及
将当被执行时导致所标识的恶意配置的标识的指令列表包括在所述恶意和通道配置数据库中。
12.一种移动计算设备,包括:
存储器;
收发机;以及
处理器,其被耦合至所述存储器和所述收发机,其中,所述处理器被配置有处理器可执行指令,以执行包括下列各项的操作:
接收恶意和通道配置数据库;
确定当前配置;
基于所述恶意和通道配置数据库来确定所述当前配置是否正在导致恶意配置;以及
响应于确定所述当前配置正在导致恶意配置来实现预防性措施以避免所述恶意配置。
13.根据权利要求12所述的移动计算设备,其中,所述处理器被配置有处理器可执行指令,以执行包括下列各项的操作使得实现预防性措施来避免所述恶意配置:
识别与所述当前配置相关联的进程;以及
减缓对所述进程的执行。
14.根据权利要求13所述的移动计算设备,其中,所述处理器被配置有处理器可执行指令,以执行还包括下列各项的操作:
检查发生在所述移动计算设备上的其它行为;
基于对所述其它行为的所述检查来确定是否存在相当大的所述当前配置正在导致恶意配置的可能性;以及
响应于确定存在相当大的所述当前配置正在导致恶意配置的可能性来针对所述进程实现预防性措施。
15.根据权利要求13所述的移动计算设备,其中,所述处理器被配置有处理器可执行指令,以执行还包括下列各项的操作:
确定所述当前配置的类别;
确定潜在的未来配置的类别;
基于所述当前配置的所述类别以及所述潜在的未来配置的所述类别来确定所述当前配置导致恶意配置的可能性;
确定所述可能性是否是相当大的;以及
响应于确定所述可能性是相当大的来针对所述进程实现预防性措施。
16.根据权利要求13所述的移动计算设备,其中,所述处理器被配置有处理器可执行指令,以执行还包括下列各项的操作:
基于所述当前配置和配置转变概率来确定所述当前配置导致恶意配置的概率,其中,所述配置转变概率被包括在所述恶意和通道配置数据库中;
确定所述当前配置导致恶意配置的所述概率是否超过风险门限;以及
响应于确定所述当前配置导致恶意配置的所述概率超过所述风险门限来针对所述进程实现预防性措施。
17.一种网络服务器,包括:
用于从多个移动计算设备接收配置信息和配置历史的单元;
用于分析所接收的配置信息以标识恶意配置的单元;
用于基于所标识的恶意配置和所述配置历史来标识通道配置的单元;
用于生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库的单元;以及
用于将所述恶意和通道配置数据库发送给多个移动计算设备的单元。
18.根据权利要求17所述的网络服务器,还包括:
用于针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率的单元;以及
用于将计算的概率包括在所述恶意和通道配置数据库中的单元。
19.根据权利要求17所述的网络服务器,还包括:
用于标识恶意通道指令的单元,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置;以及
用于将当被执行时导致所标识的恶意配置的标识的指令列表包括在所述恶意和通道配置数据库中的单元。
20.一种移动计算设备,包括:
用于接收恶意和通道配置数据库的单元;
用于确定当前配置的单元;
用于基于所述恶意和通道配置数据库来确定所述当前配置是否正在导致恶意配置的单元;以及
用于响应于确定所述当前配置正在导致恶意配置来实现预防性措施以避免所述恶意配置的单元。
21.根据权利要求20所述的移动计算设备,其中,用于实现预防性措施以避免所述恶意配置的单元包括:
用于识别与所述当前配置相关联的进程的单元;以及
用于减缓对所述进程的执行的单元。
22.根据权利要求21所述的移动计算设备,还包括:
用于检查发生在所述移动计算设备上的其它行为的单元;
用于基于对其它行为的检查来确定是否存在相当大的所述当前配置正在导致恶意配置的可能性的单元;以及
用于响应于确定存在相当大的所述当前配置正在导致恶意配置的可能性来针对所述进程实现预防性措施的单元。
23.根据权利要求21所述的移动计算设备,还包括:
用于确定所述当前配置的类别的单元;
用于确定潜在的未来配置的类别的单元;
用于基于所述当前配置的所述类别以及所述潜在的未来配置的所述类别来确定所述当前配置导致恶意配置的可能性的单元;
用于确定所述可能性是否是相当大的单元;以及
用于响应于确定所述可能性是相当大的来针对所述进程实现预防性措施的单元。
24.根据权利要求21所述的移动计算设备,还包括:
用于基于所述当前配置和配置转变概率来确定所述当前配置导致恶意配置的概率的单元,其中,所述配置转变概率被包括在所述恶意和通道配置数据库中;
用于确定所述当前配置导致恶意配置的所述概率是否超过风险门限的单元;以及
用于响应于确定所述当前配置导致恶意配置的所述概率超过所述风险门限来针对所述进程实现预防性措施的单元。
25.一种非暂时性服务器可读存储介质,其具有被存储在其上的服务器可执行指令,所述服务器可执行指令被配置为使服务器处理器执行包括下列各项的操作:
从多个移动计算设备接收配置信息和配置历史;
分析所述配置信息以标识恶意配置;
基于所标识的恶意配置和所述配置历史来标识通道配置;
生成包括所标识的恶意配置和所标识的通道配置的恶意和通道配置数据库;以及
将所述恶意和通道配置数据库发送给多个移动计算设备。
26.根据权利要求25所述的非暂时性服务器可读存储介质,其中,所存储的服务器可执行指令被配置为使服务器处理器执行还包括下列各项的操作:
针对所标识的通道配置中的每种通道配置来计算转变至恶意配置的概率;以及
将计算的概率包括在所述恶意和通道配置数据库中。
27.根据权利要求25所述的非暂时性服务器可读存储介质,其中,所存储的服务器可执行指令被配置为使服务器处理器执行还包括下列各项的操作:
标识恶意通道指令,所述恶意通道指令当在标识的通道配置中被执行时,导致标识的恶意配置;以及
将当被执行时导致所标识的恶意配置的标识的指令列表包括在所述恶意和通道配置数据库中。
28.一种非暂时性处理器可读存储介质,其具有被存储在其上的处理器可执行指令,所述处理器可执行指令被配置为使移动计算设备处理器执行包括下列各项的操作:
接收恶意和通道配置数据库;
确定当前配置;
基于所述恶意和通道配置数据库来确定所述当前配置是否正在导致恶意配置;以及
响应于确定所述当前配置正在导致恶意配置来实现预防性措施以避免所述恶意配置。
29.根据权利要求28所述的非暂时性处理器可读存储介质,其中,所存储的处理器可执行指令被配置为使移动计算设备处理器执行包括下列各项的操作使得实现预防性措施以避免所述恶意配置:
识别与所述当前配置相关联的进程;以及
减缓对所述进程的执行。
30.根据权利要求29所述的非暂时性处理器可读存储介质,其中,所存储的处理器可执行指令被配置为使移动计算设备处理器执行还包括下列各项的操作:
检查发生在所述移动计算设备上的其它行为;
基于对所述其它行为的检查来确定是否存在相当大的所述当前配置正在导致恶意配置的可能性;以及
响应于确定存在相当大的所述当前配置正在导致恶意配置的可能性来针对所述进程实现预防性措施。
31.根据权利要求29所述的非暂时性处理器可读存储介质,其中,所存储的处理器可执行指令被配置为使移动计算设备处理器执行还包括下列各项的操作:
确定所述当前配置的类别;
确定潜在的未来配置的类别;
基于所述当前配置的所述类别以及所述潜在的未来配置的所述类别来确定所述当前配置导致恶意配置的可能性;
确定所述可能性是否是相当大的;以及
响应于确定所述可能性是相当大的来针对所述进程实现预防性措施。
32.根据权利要求29所述的非暂时性处理器可读存储介质,其中,所存储的处理器可执行指令被配置为使移动计算设备处理器执行还包括下列各项的操作:
基于所述当前配置和配置转变概率来确定所述当前配置导致恶意配置的概率,其中,所述配置转变概率被包括在所述恶意和通道配置数据库中;
确定所述当前配置导致恶意配置的所述概率是否超过风险门限;以及
响应于确定所述当前配置导致恶意配置的所述概率超过所述风险门限来针对所述进程实现预防性措施。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/044,937 US9519775B2 (en) | 2013-10-03 | 2013-10-03 | Pre-identifying probable malicious behavior based on configuration pathways |
US14/044,937 | 2013-10-03 | ||
PCT/US2014/056666 WO2015050727A1 (en) | 2013-10-03 | 2014-09-19 | Pre-identifying probable malicious behavior based on configuration pathways |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105637833A true CN105637833A (zh) | 2016-06-01 |
Family
ID=51842755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480054606.1A Pending CN105637833A (zh) | 2013-10-03 | 2014-09-19 | 基于配置通道来预先识别可能的恶意行为 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9519775B2 (zh) |
EP (1) | EP3053319A1 (zh) |
JP (1) | JP6161807B2 (zh) |
KR (1) | KR101810346B1 (zh) |
CN (1) | CN105637833A (zh) |
WO (1) | WO2015050727A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109195154A (zh) * | 2018-08-13 | 2019-01-11 | 中国联合网络通信集团有限公司 | 物联网窜卡用户识别方法和装置 |
WO2019016628A1 (en) * | 2017-07-19 | 2019-01-24 | International Business Machines Corporation | COMPLIANCE-SUSTAINABLE EXECUTION GENERATION BASED ON REASONS FOR APPLICATION AND RISK ASSESSMENT |
CN109348065A (zh) * | 2018-11-27 | 2019-02-15 | 湘潭大学 | 一种基于qq聊天互动行为的手机电磁辐射预测方法 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9519775B2 (en) | 2013-10-03 | 2016-12-13 | Qualcomm Incorporated | Pre-identifying probable malicious behavior based on configuration pathways |
US9213831B2 (en) * | 2013-10-03 | 2015-12-15 | Qualcomm Incorporated | Malware detection and prevention by monitoring and modifying a hardware pipeline |
AU2013101573A4 (en) * | 2013-11-29 | 2014-01-09 | Macau University Of Science And Technology | Method for predicting and detecting network intrusion into a computer network |
RU2595511C2 (ru) * | 2014-12-05 | 2016-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений |
US9785776B2 (en) | 2015-04-27 | 2017-10-10 | Iboss, Inc. | High risk program identification based on program behavior |
US10148678B2 (en) * | 2015-10-01 | 2018-12-04 | The Boeing Company | Cybersecurity system with differentiated capacity to deal with complex cyber attacks |
US9906551B2 (en) * | 2016-02-09 | 2018-02-27 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using crossover neural embeddings |
WO2017137804A1 (en) * | 2016-02-11 | 2017-08-17 | Morphisec Information Security Ltd. | Automated classification of exploits based on runtime environmental features |
US11108816B2 (en) * | 2016-03-17 | 2021-08-31 | Johann Schlamp | Constructible automata for internet routes |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10491610B2 (en) | 2016-05-20 | 2019-11-26 | International Business Machines Corporation | Remote monitoring of software |
US10462162B2 (en) * | 2017-07-24 | 2019-10-29 | Rapid7, Inc. | Detecting malicious processes based on process location |
CN109936545B (zh) * | 2017-12-18 | 2020-07-24 | 华为技术有限公司 | 暴力破解攻击的检测方法和相关装置 |
US11431748B2 (en) | 2017-12-20 | 2022-08-30 | Mounir Talal NSOULI | Predictive crowdsourcing-based endpoint protection system |
US11301568B1 (en) * | 2018-04-05 | 2022-04-12 | Veritas Technologies Llc | Systems and methods for computing a risk score for stored information |
US10885226B1 (en) * | 2018-06-06 | 2021-01-05 | NortonLifeLock, Inc. | Systems and methods for enforcing secure shared access on computing devices by content state pinning |
US11201855B1 (en) | 2018-06-22 | 2021-12-14 | Vmware, Inc. | Distributed firewall that learns from traffic patterns to prevent attacks |
WO2019246573A1 (en) * | 2018-06-22 | 2019-12-26 | Avi Networks | A statistical approach for augmenting signature detection in web application firewall |
BR112021000558B1 (pt) * | 2018-07-17 | 2023-11-07 | Netflix, Inc | Método, meios legíveis não transitórios e sistema de diferenciação para ciência forense digital |
WO2021009870A1 (ja) * | 2019-07-17 | 2021-01-21 | 日本電気株式会社 | 分析システム、方法およびプログラム |
US20210342441A1 (en) * | 2020-05-01 | 2021-11-04 | Forcepoint, LLC | Progressive Trigger Data and Detection Model |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060025962A1 (en) * | 2004-07-27 | 2006-02-02 | Microsoft Corporation | Method and system for troubleshooting a misconfiguration of a computer system based on product support services information |
CN101479709A (zh) * | 2006-06-30 | 2009-07-08 | 微软公司 | 在引导环境中标识恶意软件 |
CN101483658A (zh) * | 2009-01-09 | 2009-07-15 | 招商银行股份有限公司 | 浏览器输入内容保护的系统和方法 |
US20090248497A1 (en) * | 2008-04-01 | 2009-10-01 | Certona Corporation | System and method for quantifying and detecting non-normative behavior |
US20130097660A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257523B1 (en) * | 1999-05-06 | 2007-08-14 | Fisher-Rosemount Systems, Inc. | Integrated distributed process control system functionality on a single computer |
JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
US7028338B1 (en) * | 2001-12-18 | 2006-04-11 | Sprint Spectrum L.P. | System, computer program, and method of cooperative response to threat to domain security |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
TW200416542A (en) | 2003-02-26 | 2004-09-01 | Osaka Ind Promotion Org | Determination method of improper processing, data processing device, computer program and recording media (II) |
US7024548B1 (en) * | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
US7409593B2 (en) * | 2003-06-30 | 2008-08-05 | At&T Delaware Intellectual Property, Inc. | Automated diagnosis for computer networks |
EP1661025A4 (en) | 2003-08-11 | 2010-05-26 | Chorus Systems Inc | SYSTEMS AND METHOD FOR GENERATING AND USING AN ADAPTIVE REFERENCE MODEL |
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
EP1619572A1 (en) | 2004-07-23 | 2006-01-25 | Texas Instruments Incorporated | System and method of identifying and preventing security violations within a computing system |
US20060075494A1 (en) | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
US7770785B2 (en) | 2005-06-13 | 2010-08-10 | Qualcomm Incorporated | Apparatus and methods for detection and management of unauthorized executable instructions on a wireless device |
JP4528680B2 (ja) * | 2005-07-05 | 2010-08-18 | 株式会社日立製作所 | 自己再組織化システム |
US8832827B2 (en) | 2005-07-14 | 2014-09-09 | Gryphonet Ltd. | System and method for detection and recovery of malfunction in mobile devices |
WO2007053708A2 (en) * | 2005-10-31 | 2007-05-10 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for securing communications between a first node and a second node |
US7774843B1 (en) | 2005-11-16 | 2010-08-10 | Mcafee, Inc. | System, method and computer program product for preventing the execution of unwanted code |
US20090271863A1 (en) * | 2006-01-30 | 2009-10-29 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
US8365286B2 (en) | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
WO2008043109A2 (en) * | 2006-10-06 | 2008-04-10 | Smobile Systems, Inc. | System and method of reporting and visualizing malware on mobile networks |
US8201246B1 (en) | 2008-02-25 | 2012-06-12 | Trend Micro Incorporated | Preventing malicious codes from performing malicious actions in a computer system |
US8745703B2 (en) | 2008-06-24 | 2014-06-03 | Microsoft Corporation | Identifying exploitation of vulnerabilities using error report |
US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
US8528080B2 (en) | 2009-09-15 | 2013-09-03 | Reefedge Networks, Llc | Short-range mobile honeypot for sampling and tracking threats |
US8375450B1 (en) | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
US8464345B2 (en) | 2010-04-28 | 2013-06-11 | Symantec Corporation | Behavioral signature generation using clustering |
US20120137369A1 (en) * | 2010-11-29 | 2012-05-31 | Infosec Co., Ltd. | Mobile terminal with security functionality and method of implementing the same |
US8875286B2 (en) | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
TW201227385A (en) | 2010-12-16 | 2012-07-01 | Univ Nat Taiwan Science Tech | Method of detecting malicious script and system thereof |
US8412945B2 (en) * | 2011-08-09 | 2013-04-02 | CloudPassage, Inc. | Systems and methods for implementing security in a cloud computing environment |
ES2755780T3 (es) | 2011-09-16 | 2020-04-23 | Veracode Inc | Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil |
US9832211B2 (en) | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
AU2012375309A1 (en) * | 2012-03-30 | 2014-09-25 | Intel Corporation | Reporting malicious activity to an operating system |
US20130311385A1 (en) * | 2012-05-18 | 2013-11-21 | Park S. Foreman | Third Party Security Monitoring & Audit |
US8819772B2 (en) * | 2012-06-25 | 2014-08-26 | Appthority, Inc. | In-line filtering of insecure or unwanted mobile device software components or communications |
US10180851B2 (en) * | 2013-01-14 | 2019-01-15 | Cisco Technology, Inc. | Detection of unauthorized use of virtual resources |
US20140259167A1 (en) * | 2013-03-11 | 2014-09-11 | Samsung Electronics Co. Ltd. | Behavior based application blacklisting |
US9069955B2 (en) * | 2013-04-30 | 2015-06-30 | International Business Machines Corporation | File system level data protection during potential security breach |
US9519775B2 (en) | 2013-10-03 | 2016-12-13 | Qualcomm Incorporated | Pre-identifying probable malicious behavior based on configuration pathways |
US9213831B2 (en) | 2013-10-03 | 2015-12-15 | Qualcomm Incorporated | Malware detection and prevention by monitoring and modifying a hardware pipeline |
-
2013
- 2013-10-03 US US14/044,937 patent/US9519775B2/en active Active
-
2014
- 2014-09-19 KR KR1020167009425A patent/KR101810346B1/ko active IP Right Grant
- 2014-09-19 EP EP14790806.5A patent/EP3053319A1/en not_active Withdrawn
- 2014-09-19 WO PCT/US2014/056666 patent/WO2015050727A1/en active Application Filing
- 2014-09-19 JP JP2016519988A patent/JP6161807B2/ja not_active Expired - Fee Related
- 2014-09-19 CN CN201480054606.1A patent/CN105637833A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060025962A1 (en) * | 2004-07-27 | 2006-02-02 | Microsoft Corporation | Method and system for troubleshooting a misconfiguration of a computer system based on product support services information |
CN101479709A (zh) * | 2006-06-30 | 2009-07-08 | 微软公司 | 在引导环境中标识恶意软件 |
US20090248497A1 (en) * | 2008-04-01 | 2009-10-01 | Certona Corporation | System and method for quantifying and detecting non-normative behavior |
CN101483658A (zh) * | 2009-01-09 | 2009-07-15 | 招商银行股份有限公司 | 浏览器输入内容保护的系统和方法 |
US20130097660A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019016628A1 (en) * | 2017-07-19 | 2019-01-24 | International Business Machines Corporation | COMPLIANCE-SUSTAINABLE EXECUTION GENERATION BASED ON REASONS FOR APPLICATION AND RISK ASSESSMENT |
CN110914809A (zh) * | 2017-07-19 | 2020-03-24 | 国际商业机器公司 | 基于应用程序模式和风险评估的合规感知的运行时生成 |
GB2578066A (en) * | 2017-07-19 | 2020-04-15 | Ibm | Compliance-aware runtime generation based on application patterns and risk assessment |
US10789368B2 (en) | 2017-07-19 | 2020-09-29 | International Business Machines Corporation | Compliance-aware runtime generation based on application patterns and risk assessment |
US10803177B2 (en) | 2017-07-19 | 2020-10-13 | International Business Machines Corporation | Compliance-aware runtime generation based on application patterns and risk assessment |
GB2578066B (en) * | 2017-07-19 | 2022-02-16 | Ibm | Compliance-aware runtime generation based on application patterns and risk assessment |
CN110914809B (zh) * | 2017-07-19 | 2023-08-29 | 国际商业机器公司 | 基于应用程序模式和风险评估的合规感知的运行时生成 |
CN109195154A (zh) * | 2018-08-13 | 2019-01-11 | 中国联合网络通信集团有限公司 | 物联网窜卡用户识别方法和装置 |
CN109348065A (zh) * | 2018-11-27 | 2019-02-15 | 湘潭大学 | 一种基于qq聊天互动行为的手机电磁辐射预测方法 |
Also Published As
Publication number | Publication date |
---|---|
KR101810346B1 (ko) | 2018-01-18 |
KR20160065863A (ko) | 2016-06-09 |
JP2016538618A (ja) | 2016-12-08 |
US20150101047A1 (en) | 2015-04-09 |
US9519775B2 (en) | 2016-12-13 |
WO2015050727A1 (en) | 2015-04-09 |
EP3053319A1 (en) | 2016-08-10 |
JP6161807B2 (ja) | 2017-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105637833A (zh) | 基于配置通道来预先识别可能的恶意行为 | |
CN104541293B (zh) | 用于客户端‑云行为分析器的架构 | |
US10089459B2 (en) | Malware detection and prevention by monitoring and modifying a hardware pipeline | |
JP6050560B1 (ja) | 挙動契約を使用する、起こり得る悪意のあるルートキット挙動の事前識別 | |
CN104272788B (zh) | 在移动计算装置中传达行为信息 | |
US9330257B2 (en) | Adaptive observation of behavioral features on a mobile device | |
EP2949144B1 (en) | Adaptive observation of behavioral features on a mobile device | |
Garg et al. | A novel parallel classifier scheme for vulnerability detection in android | |
US20130091539A1 (en) | System and method for insider threat detection | |
KR20160132394A (ko) | 주변 디바이스들을 보안하기 위한 거동 분석 | |
CN105531712A (zh) | 移动设备上的基于数据流的行为分析 | |
CN106133642A (zh) | 在移动设备中通过执行行为分析操作推断应用状态的方法和系统 | |
CN107209825A (zh) | 经由存储器监测的数据流跟踪 | |
CN104272787A (zh) | 用于自主还原到行为检查点的技术 | |
WO2013173044A2 (en) | Collaborative learning for efficient behavioral analysis in networked mobile device | |
CN105074718A (zh) | 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎 | |
CN102004923A (zh) | 在监视系统中检测行动的方法和装置 | |
CN105637522A (zh) | 使用受信证书的世界驱动访问控制 | |
CN105745663A (zh) | 包括机器学习快照评估的保护系统 | |
CN114039794A (zh) | 基于半监督学习的异常流量检测模型训练方法及装置 | |
TW201710960A (zh) | 使用標準化之信賴值為行動裝置行為分類 | |
Sharma et al. | 1 Transforming Urban Spaces and Industries | |
Sharma et al. | Transforming Urban Spaces and Industries: The Power of Machine Learning and Deep Learning in Smart Cities, Smart Industries, and Smart Homes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160601 |
|
WD01 | Invention patent application deemed withdrawn after publication |