CN110781496A - 用以检测恶意软件的计算装置 - Google Patents
用以检测恶意软件的计算装置 Download PDFInfo
- Publication number
- CN110781496A CN110781496A CN201910919572.2A CN201910919572A CN110781496A CN 110781496 A CN110781496 A CN 110781496A CN 201910919572 A CN201910919572 A CN 201910919572A CN 110781496 A CN110781496 A CN 110781496A
- Authority
- CN
- China
- Prior art keywords
- processor
- behavior
- activities
- vector information
- information structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及用以检测恶意软件的计算装置。所述计算装置可包含:查询记录器,其记录所述计算装置上的所述应用程序的行为以产生日志;行为分析引擎,其分析来自所述查询记录器的所述日志以产生特性化所述应用程序的所述行为的行为向量;和分类器,其将所述应用程序的所述行为向量分类为良性或恶意软件。
Description
分案申请的相关信息
本案是分案申请。该分案的母案是申请日为2013年3月14日、申请号为201380015079.9、发明名称为“用以检测恶意软件的计算装置”的发明专利申请案。
技术领域
本发明一般来说涉及一种能够检测应用程序是否为恶意软件的计算装置。
背景技术
计算装置常常用以执行起源于许多源的相异应用程序。不幸的是,常常将具有恶意意图的应用程序(例如,恶意软件)安装到用户的计算装置上。用户通常未意识到此情形,这是因为恶意应用程序常常伪装为众所熟知的应用程序。另外,这些恶意应用程序更多地利用对于其功能来说必要的许可。
保护计算装置免受安全威胁(例如,恶意软件)为现代计算装置的关注点。恶意软件包含试图损害计算装置或用户的不希望的应用程序。不同类型的恶意软件包含特洛伊、蠕虫、键盘记录器、病毒、后门和间谍软件。恶意软件创作者可能受搜集个人信息(例如,信用卡号码和银行账户号码)或致使蜂窝电话连接到付费服务的需要而促动。因此,存在促动恶意软件创作者开发用于规避检测的更复杂方法的财务奖励。
传统的恶意软件签名检测方法从目标应用程序的实际可执行部分的不变部分提取签名。基于签名的恶意软件检测需要用于每一恶意软件变体的签名(例如,恶意软件的代码中的独特样式)。因此,不可能利用基于签名的恶意软件检测来检测未知的恶意软件。另外,甚至对于已知的恶意软件,在检测到签名与实际上在计算装置上更新签名之间往往也会存在延迟。另外,使用签名进行的恶意软件检查常常为处理器和存储器密集的。对于移动计算装置来说,此情形尤其更困难。而且,因为移动装置(例如,蜂窝电话)上的签名检查昂贵,所以许多检测器仅检查应用程序文件名以查找众所熟知的恶意应用程序。
由于这些问题,因此以下情形将为有益的:利用行为分析来实现特性化、比较及分类计算装置上的应用程序以确定应用程序是否为恶意软件的目的,-所述操作为处理器和存储器较不密集的且可以更迅速方式发生。
发明内容
本发明的方面可涉及一种用于计算装置以确定应用程序是否为恶意软件的设备和方法。所述计算装置可包含:查询记录器,其记录所述计算装置上的所述应用程序的行为以产生日志;行为分析引擎,其分析来自所述查询记录器的所述日志以产生特性化所述应用程序的所述行为的行为向量;和分类器,其将所述应用程序的所述行为向量分类为良性或恶意软件。
本发明的方面还可涉及一种用于服务器以确定对于计算装置来说应用程序是否为恶意软件的设备和方法。所述服务器可包含:处理电路,其从多个计算装置接收多个行为向量集,其中每一行为向量集可特性化应用程序的行为;和行为分析引擎。所述行为分析引擎可基于所述所接收行为向量集将全局分类器更新为良性或恶意软件。
附图说明
图1为可在其中实践本发明的方面的系统的框图。
图2为说明可基于行为分析引擎和对日志的一组查询而产生的行为向量的框图。
图3为说明查询、动作和动作属性的实例的表格。
图4为说明利用应用程序代码和原生代码在计算装置上操作的应用程序的框图。
图5为说明利用行为分析引擎分析来自查询记录器的日志以便产生特性化应用程序的行为的行为向量以便将应用程序识别为良性或恶意软件的结果的表格。
图6为说明可用以聚集来自众多计算装置的行为报告的服务器的图。
具体实施方式
词语“示范性”在本文中用于意味着“充当实例、例子或说明”。本文中描述为“示范性”或描述为“实例”的任何方面或实施例未必应被解释为比其它方面或实施例优选或有利。
参看图1,图1为可在其中实践本发明的方面的系统100的框图。明确地说,系统100说明可用以确定应用程序是否为恶意软件的计算装置102。计算装置102可包括查询记录器108、行为分析引擎122和分类器132。在一个方面中,查询记录器108可记录计算装置上的应用程序的行为以产生日志120。日志120可为由应用程序执行或与应用程序相关联的动作的日志。动作日志120因此展示应用程序的行为。行为分析引擎122可分析来自查询记录器的日志120以产生特性化应用程序的行为的行为向量130。分类器132可将应用程序的行为向量130分类为良性140或恶意软件150。如果行为向量130经分类为恶意软件150,那么可将与行为向量130相关联的应用程序删除或限制其使用。如将描述的,可产生许多不同的行为向量130以特性化应用程序的行为且基于这些行为,分类器132可将应用程序分类为良性140或恶意软件150。
计算装置102可包含处理器104、存储器106和接口110。应了解,计算装置102可包含显示装置、用户接口(例如,键盘、触摸屏等)、供电装置(例如,电池),以及通常与计算装置相关联的其它组件。计算装置102可为移动装置或非移动装置。举例来说,接口110可为无线收发器以通过无线链路将呼叫和数据发射到无线网络/从无线网络接收呼叫和数据,或可为用于直接连接到网络(例如,因特网)的有线接口。因此,计算装置102可为:移动装置、无线装置、蜂窝电话、个人数字助理、移动计算机、平板计算机、个人计算机、膝上型计算机、服务器计算机或任何类型的计算装置。
计算装置102可包含处理器104,其经配置以执行指令以用于实施查询记录器108、行为分析引擎122和分类器132。存储器106可耦合到处理器104以存储供处理器104执行的指令。在一个方面中,计算装置102可包含处理器104,其经配置以执行指令以用于实施以下各者:查询记录器108,其可记录计算装置102上的应用程序的行为以产生动作日志120;行为分析引擎122,其可分析来自查询记录器108的动作日志120以产生特性化应用程序的行为的行为向量130;和分类器132,其可将应用程序的行为向量130分类为良性140或恶意软件150。如果行为向量130经分类为恶意软件150,那么可将与行为向量130相关联的应用程序删除或限制其由计算装置102使用。
应了解,如下文将描述的本发明的方面可结合由计算装置102的处理器104和/或计算装置102的其它电路和/或其它装置进行的指令的执行来实施。明确地说,计算装置102的电路(包含但不限于处理器104)可在程序、例行程序或指令的执行的控制下操作以执行根据本发明的实施例的方法或过程。举例来说,此程序可在固件或软件中加以实施(例如,存储在存储器106和/或其它地点)且可由处理器来实施,例如,处理器104和/或计算装置102的其它电路。另外,应了解,术语“处理器”、“微处理器”、“电路”、“控制器”等是指能够执行逻辑、命令、指令、软件、固件、功能性等的任何类型的逻辑或电路。
另外,应了解,查询记录器108、行为分析引擎122和分类器132的一些或所有功能可由计算装置102自身来执行及/或一些或所有功能可由经由接口110(以无线方式或有线方式)连接到计算装置102的另一计算装置来执行。因此,一些和/或所有功能可由另一计算装置来执行且将结果传送回到计算装置102。而且,根据特定方面,分类器132可为机器学习分类器且计算装置102可为移动装置。
考虑特定实例,如图1中所展示,可将四个应用程序加载(具有或不具有用户的同意)到计算装置102:新闻应用程序160(例如,CNN)、游戏(例如,保龄球戏)162、游戏(例如,蛇)164和游戏(例如,鸟)166。计算装置102可自动地确定这些应用程序为良性还是恶意软件。明确地说,查询记录器108可记录计算装置上的应用程序160、162、164和166的动作或行为以产生动作日志120。行为分析引擎122可分析所述应用程序中的每一者的动作日志120以产生所述应用程序中的每一者的行为向量130,所述行为向量特性化每一应用程序160、162、164和166的行为。分类器132可将应用程序160、162、164和166中的每一者的行为向量130分类为良性140或恶意软件150。在此实例中,基于新闻应用程序160和游戏应用程序166的行为向量130将新闻应用程序160和游戏应用程序166分类为良性140且允许其由计算装置102使用。另一方面,基于游戏应用程序162和164的行为向量130将游戏应用程序162和164分类为恶意软件150且将其删除或限制其由计算装置102使用。下文将更详细描述查询记录器、动作日志、行为分析引擎和行为向量的各方面。
额外参看图2,可基于对动作日志120的一组查询210产生行为向量130。行为分析引擎122可基于查询210分析通过日志120记录的动作以产生特性化应用程序的行为的行为向量130,以使得分类器可将应用程序的行为向量130确定及分类为良性或恶意软件。还参看图3,展示图表300,其提供可供行为分析引擎122利用的查询310、动作320和动作属性330的实例。
举例来说,一组查询310可至少包含存在查询、量查询、次序查询或类别查询中的一或多者(框312)。查询310可为所观测到的行为或期望的行为。作为另一描述,行为分析引擎122可分析相依于装置的动作220和独立于装置的动作222。作为实例,如图3中所展示,动作320可包含应用程序安装、装置信息、通信和用户交互。其它动作320可包含:存取装置信息、启动时开始、用户数据、包安装、传感器、地点、媒体、摄像机、SMS、电话呼叫、电话信息(框322)。而且,动作属性330可供行为分析引擎122利用,例如:开始时间、结束时间、之前、之后、存在(框332)。应了解,这些仅为可供行为分析引擎122利用的查询、动作和动作属性的数个实例且可利用许多其它类型。
如先前所描述,可利用三个组件:1)查询记录器108,其实施用以记录计算装置102上的应用程序的行为以产生动作日志120的机制;2)行为分析引擎122,其分析动作日志120且产生描述正在计算装置102上执行的应用程序的行为的行为向量130;和3)分类器132,其将行为向量130分类为良性或恶意类别。
以此方式,可在行为分析框架中使用行为向量130以检测计算装置上的恶意软件。所得行为向量130包含从记录提取的目标观测。作为实例,行为分析引擎122回答关于动作的查询210(例如,“应用程序安装无用户的同意?”、“应用程序表现得像游戏?”、“网站看上去像新闻网站?”、“应用程序正处理SMS消息?”、“应用程序正处理电话呼叫?”等等)。对这些查询210的回答产生行为向量130。
作为实例,每一动作可与四种类型的查询310中的一或多者相关联:存在查询、量查询、次序查询和类别查询。举例来说,存在查询310可指动作集的存在。作为此查询的实例,查询可为确定应用程序是否存取装置信息(例如,已存取电话信息,已存取地点信息等)。行为分析引擎122可确定动作日志120是否包含由应用程序进行的装置存取的任何日志且可基于此来设置行为向量130。举例来说,可设置行为向量130从而指示已存取电话信息。
另外,量查询310可指动作的出现次数。作为此查询的实例,查询可为确定由应用程序进行的动作的出现次数。作为实例,此情形可为所发送的SMS的次数(例如,经由SMS的去话通信)。因此,行为分析引擎122可从动作日志120确定所发送的SMS的次数。此查询可用以产生指示已发送多少次SMS的行为向量130。
作为另一实例,次序查询310可指一序列动作的出现次数。作为此查询的实例,查询可为确定在安装应用程序之前(例如,在安装之前30秒内)出现的用户交互的次数。因此,行为分析引擎122可从动作日志120确定在安装应用程序之前出现的用户交互(例如,UI事件)的次数。此查询可用以产生指示在应用程序安装之前的UI事件的量的行为向量130。
作为另一实例,类别查询310可指应用程序是否属于一类别。作为此查询的实例,查询可为确定应用程序是否为基于地点的服务。因此,行为分析引擎122可从动作日志120确定应用程序是否为基于地点的服务及应用程序是否属于地点信息正被存取的类别(基于日志)。作为实例,当正检索关于地点信息的次数的行为向量130时,可使用此查询。
另外,行为分析引擎122可利用以下广泛多种不同类型的动作320来产生行为向量130:应用程序安装、装置信息、通信、用户交互、存取装置信息、启动时开始、用户数据、包安装、传感器、地点、媒体、摄像机、SMS、电话呼叫和电话信息(框322)。可行为分析引擎122利用如通过动作日志120记录的这些动作中的每一者来产生特性化应用程序的行为的行为向量130。此外,行为分析引擎122可利用以下广泛多种不同类型的动作属性330来产生行为向量130:开始时间、结束时间、之前、之后和存在(框332)。行为分析引擎122可利用如通过动作日志120记录的这些动作属性中的每一者来辅助产生特性化应用程序的行为的行为向量130。
明确地说,如图2中所展示,行为分析引擎122可基于如通过动作日志120记录的查询、动作、动作属性等产生行为向量130[1,0,0.207,0,2,5,…]以特性化应用程序的行为。作为实例,对于不同类型的动作,大约为5的行为向量可表明频繁使用,大约为1到2的行为向量可表明罕见使用,且大约为0的行为向量可表明无用。下文将描述广泛多种不同类型的应用程序、受监视的动作和由行为分析引擎122对其进行的用以产生行为向量130的分析。
关于基于如通过动作日志102记录及如通过行为分析引擎122分析的所观测到的动作进行的行为向量130的产生,欲观测或监视的这些动作可基于识别应进行监视的行为或动作的类型,这是因为其表示识别恶意软件的较高概率。举例来说,系统专家可识别哪一组系统事件是关于具有为恶意软件的较高概率的高层次行为或动作。
简要地参看图4,应用程序可能利用应用程序代码402和原生代码404在计算装置102上操作。应用程序代码402可与计算装置102的系统接口的应用程序库412交互且原生代码404可与原生库414和内核416交互。原生代码404可允许应用程序和应用程序代码402利用原生库414和内核416的基础功能。明确地说,基础功能可允许应用程序与计算装置102的一些或所有资源交互,例如:传感器420(例如,加速度计、压力传感器等)、SMS电话呼叫422、联系人列表424、地点传感器426、网络接口428等。程序库(应用程序库412和原生库414)和内核416中的每一者可通过查询记录器108来监视。以此方式,查询记录器108可监视并记录计算装置上的应用程序的动作以产生动作日志120。另外,行为分析引擎122可接着分析来自查询记录器108的应用程序的动作日志120以产生应用程序的特性化应用程序的行为的行为向量130。
作为实例,对于游戏应用程序,查询记录器108可产生以下动作的日志:关于网络428使用情况(例如,与网站进行网络通信)、用户接口事件和传感器使用情况420(例如,触摸传感器,其中用户在播放游戏时握持计算装置)的应用程序库412和原生库414的实质使用情况的动作,以及例如实质媒体动作等其它动作。以此方式,行为分析引擎122可分析来自查询记录器108的应用程序的动作日志120以产生应用程序的特性化应用程序的行为的行为向量130,所述行为例如:频繁网络使用情况、传感器使用情况和媒体使用情况。下文将描述广泛多种不同类型的应用程序、受监视的动作和由行为分析引擎122对其进行的用以产生行为向量130的分析。
参看图5,图5为说明利用行为分析引擎122分析来自查询记录器108的动作日志120以便产生特性化应用程序的行为的行为向量130以使得分类器132可将应用程序分类为良性或恶意软件的结果的表格500。
如表格500中所展示,利用行为分析引擎分析多个应用程序。明确地说,将以下应用程序分类为良性538或恶意软件536:游戏502、视频网站(youtube)504、记事本506、健身508、新闻510、假视频网站(fake youtube)520、假酒店搜索522、间谍软件524、假游戏526和假影片播放器528。
对于这些应用程序中的每一者,由行为分析引擎基于分析来自查询记录器的动作日志产生行为向量529。将行为向量简化为频繁使用530、罕见使用532和无用534。作为数值实例,大约为5的行为向量可表明频繁使用,大约为1到2的行为向量可表明罕见使用,且大约为0的行为向量可表明无用。当然,可利用任何数值名称。行为向量是基于用户接口(UI)动作550、通信动作552、传感器动作554、地点556、媒体动作558、摄像机动作560、SMS动作562、电话呼叫动作564和电话信息566来产生。基于此情形,将应用程序表明为恶意软件应用程序536或良性应用程序538。
现在将描述展示利用行为分析引擎分析来自查询记录器的动作日志以产生特性化应用程序的行为的行为向量以使得可将应用程序分类为良性或恶意软件的结果的各种实例。举例来说,将具有指示以下各动作的行为向量529的游戏应用程序502分类为良性538:频繁530UI动作550、频繁530通信动作552、频繁530媒体动作558和无534或罕见532电话、SMS、摄像机、地点等动作。将具有指示以下各动作的行为向量529的视频网站应用程序504分类为良性538:频繁530UI动作550、频繁530通信动作552和频繁530媒体动作558和无534电话、SMS、摄像机、地点等动作。将具有指示以下各动作的行为向量529的记事本应用程序506分类为良性538:频繁530UI动作550和无534电话、SMS、摄像机、地点等动作。将具有指示以下各动作的行为向量529的健身应用程序508分类为良性538:频繁530UI动作550、频繁530通信动作552、频繁530传感器动作554和无534或罕见532电话、SMS、摄像机、地点等动作。将具有指示以下各动作的行为向量529的新闻应用程序510分类为良性538:频繁530UI动作550、频繁530通信动作552、频繁530传感器动作554和频繁媒体动作558,和无534或罕见532电话、SMS、摄像机、地点等动作。
另一方面,将具有指示以下各动作的行为向量529的假视频网站应用程序520分类为恶意软件536:罕见532UI动作550和罕见SMS动作562,但频繁530通信动作552、频繁530地点动作556和频繁530电话信息566。将具有指示以下各动作的行为向量529的假酒店搜索应用程序522分类为恶意软件536:罕见532UI动作550和罕见SMS动作562,但频繁530通信动作552、频繁530地点动作556和频繁530电话信息566。将具有指示以下各动作的行为向量529的间谍软件应用程序524分类为恶意软件536:罕见532UI动作550,但频繁530通信动作552、频繁530地点动作556、频繁530电话呼叫564和频繁530电话信息566。将具有指示以下各动作的行为向量529的假游戏应用程序526分类为恶意软件536:无534UI动作550,但频繁530通信动作552、频繁530SMS动作562和频繁530电话信息566。将具有指示以下各动作的行为向量529的假影片播放器应用程序528分类为恶意软件536:无534UI动作550和媒体动作558,但频繁530SMS动作562。
已发现,通过具有由行为分析引擎122根据来自查询记录器108的动作日志120分析以便产生一组广泛行为向量130的一组广泛动作,因此,可分析足够区分特性以确定应将应用程序分类为恶意软件还是良性。已观测到,许多恶意应用程序试图窃取用户信息及/或进行错误收费以收取金钱(例如,假SMS收费)。此外,通过利用行为分析来实现特性化、比较及分类计算装置102上的应用程序以便确定应用程序为恶意软件还是良性的目的,利用有限处理器和存储器功能性(与基于签名的恶意软件检测形成对比)且可立即发生而不必等待来自服务器的关于新恶意软件或新的所需签名的更新。
额外参看图6,根据本发明的另一方面,可利用包含服务器620的系统600来聚集来自众多计算装置602的行为报告。尽管仅展示一个计算装置602,但下文中所描述的方面涉及多个或众多计算装置602。计算装置602的组件和功能以与先前参考计算装置102所描述的方式相同的方式操作,因此为了简洁起见,将不再详细重复这些组件和功能。在一个方面中,服务器620包括组件622,所述组件622包含至少一处理电路624、行为分析引擎626和全局分类器628。处理电路624可包含发射器和接收器。先前已详细描述行为分析引擎、查询记录器、行为向量、分类器等以及其它组件和功能的使用。处理电路624可经配置以基于存储于耦合到处理电路624的存储器或其它组件中的指令执行指令以用于用接收器、发射器实施及操作行为分析引擎626、全局分类器628以及其它组件。所属领域的技术人员应了解,利用处理器和存储器的服务器为所属领域中众所熟知的。
在一个方面中,服务器620的处理电路624的接收器可接收来自多个不同计算装置602的多个行为向量集610(例如,当计算装置602通过其行为分析引擎608确定应用程序的行为可能为可疑的或偶然的行为向量集更新时(参见决策框612))。如先前所描述,行为向量集610特性化应用程序的行为。服务器620的行为分析引擎626可基于来自计算装置602的所接收行为向量集610更新全局分类器628。另外,如将描述的,全局分类器628可将来自计算装置602的关于应用程序的识别应用程序具有可疑行为(例如,框612)的所接收行为向量集分类为良性或恶意软件。
在一个特定方面中,计算装置602可确定应用程序的行为为可疑的且可将应用程序的行为向量集610发射到服务器620以使服务器620分析行为向量集610。服务器620的全局分类器628可将所发射的行为向量集610分类为良性或恶意软件。如果应用程序的行为向量集610经分类为恶意软件,那么可将恶意软件指示符发射到所述多个计算装置602且计算装置602可删除632所述应用程序。
另外,服务器620可经由处理电路624的发射器将更新发射到所述多个计算装置602,其中所述更新用以更新所述多个计算装置602的行为分析引擎608。以此方式,基于从众多计算装置602接收的所有行为向量集和其它数据,服务器620可周期性地更新由计算装置自身执行的行为分析。
因此,服务器620通过聚集来自众多计算装置602的行为报告而作为众包服务器操作。通过随着时间收集大输入集,以加速方式产生更准确且经更新的行为模型且可将所述模型传递到所有操作计算装置602上。而且,当确定应用程序为恶意软件时,可向所有计算装置602通知此情形。
作为操作的实例,如图6中所展示,计算装置602的查询记录器604可记录应用程序的行为以产生动作日志606。接下来,计算装置602的行为分析引擎608可分析动作日志608以产生特性化应用程序的行为的行为向量集610。作为实例,行为向量集610可包含至少一个数值。在决策框612处,如果计算装置602的分类器并未发现行为向量集指示关于应用程序的任何可疑处(例如,应用程序具有为恶意软件的较低可能性),那么删除日志(框616)且过程结束(框618)。先前已详细描述许多这些功能。
然而,如果计算装置602确定行为为可疑的(决策框612),那么计算装置602可阻止对应用程序的使用(框614)且可将行为向量集610发射到服务器620。服务器620可经由处理电路624接收行为向量集610且可检查行为向量集610以确定应用程序为良性还是恶意软件。而且,从计算装置602发射到服务器620的行为向量集610还可包含关于应用程序已被阻止的指示符。另外,计算装置602可将日志以及其它数据发射到服务器620。应注意,此步骤可实时地发生(即,在分类行为时)或可在稍后时间发生(例如,在装置能够更好地接入带宽或电力时)。
基于所接收的行为向量集610,服务器620的全局分类器628可将应用程序分类为良性或恶意软件。如果应用程序的行为向量集610经分类为恶意软件,那么可将恶意软件指示符发射到所述多个计算装置602。基于此情形,如果计算装置602接收到恶意软件指示(决策框630),那么计算装置602可删除所述应用程序(框632)。然而,如果应用程序并非恶意软件,那么可删除日志(框616)且过程完成或结束(框618),因此计算装置602维持正常操作,包含利用应用程序。
在另一方面中,当计算装置602确定应用程序的行为并非可疑时(框612),计算装置602偶尔将其关于应用程序的行为向量集610(以及日志、查询,和其它信息)发射到服务器620,以使得服务器620的行为分析引擎626和全局分类器628接收关于由计算装置602利用的应用程序的广泛范围的信息。以此方式,所有计算装置602合作以使服务器620在其行为模型化中保持经更新。
类似地,服务器620偶尔经由处理电路624将更新发射到所述多个计算装置602,其中所述更新可供计算装置602使用以更新其行为分析引擎608和分类器且一般更新其对应用程序的行为模型化和分析。而且,服务器620偶尔可经由处理电路624将经更新的查询发射到所述多个计算装置602,使得所述计算装置可利用所述更新查询其动作日志606,更新其查询记录器604,且可结合其行为分析引擎608和分类器来利用以更新对应用程序的行为模型化和分析。以此方式,基于行为更新、行为向量集、查询以及从服务器620接收的其它数据,服务器620可周期性地更新由计算装置602自身执行的行为分析。
因此,服务器620通过聚集来自众多计算装置602的行为报告而作为众包服务器操作。本质上,服务器620可对照根据来自众多计算装置602的合作上传获得的良性和恶意行为的模型评估应用程序的行为。通过随着时间收集大输入集,以加速方式产生更准确且经更新的行为模型且可将所述模型传递到所有操作计算装置602上。可考虑对个别计算装置的偏爱。此外,个别计算装置602可利用基于来自其它计算装置的众多报告产生的行为模型。而且,当确定应用程序为恶意软件时,可向所有计算装置602通知此情形。另外,可通过利用基于群的服务器620来减少个别计算装置602上的监视和计算开销(用于恶意软件检测的目的)。明确地说,通过利用合作分析,可由服务器620来累积来自众多计算装置602的大量行为向量和日志以用于进行及时的恶意软件检测。因此,所得行为模型可为准确的(低的错误肯定和错误否定)及通用的(可俘获广泛多种不同类型的恶意软件)。应注意,每一计算装置602处的行为分析引擎608的行为模型为独特的。另外,从服务器620接收的总特性经独特地修改以用于计算装置602。
作为一个实例,可在使众多计算装置602与服务器620合作中利用三个不同步骤:初始化;合作行为模型化和恶意软件检测;和行为模型更新。关于初始化,可通过一组已知的不良应用程序或恶意软件和一组已知的良好应用程序来训练行为分析引擎和分类器(例如,用于计算装置602)。可使用标准监督机器学习技术来实现训练过程。在将计算装置602提供给用户之前,可能需要计算装置602从服务器620获得其行为分析引擎608的最新的行为模型。另外,服务器620可为计算装置602提供应记录的API列表和关于如何利用行为分析引擎根据API产生行为向量(例如,应用程序的行为的简明表示)的指令。
关于合作行为监视和恶意软件检测,如先前所描述,当用户利用其计算装置602时,计算装置602针对每一执行中的应用程序周期性地利用行为分析引擎608监视及计算行为向量610且通过利用分类器,可确定此应用程序表现得类似于恶意软件还是良性应用程序。由计算装置602分类为恶意的应用程序可通过服务器620来确认,且应将其从计算装置602中去除(例如,框632)或拒绝其安装。经分类为良性的应用程序可全面许可地执行。对于经确定为可疑的应用程序(决策框612),例如,由计算装置602自身局部地检测到可疑但需要进一步调查,在这些情况下,计算装置602可将应用程序置于受约束环境中且可仅允许受限访问。可接着将此应用程序报告给服务器620以用于进一步调查,如先前所描述。
关于行为模型更新,为了实现合作,计算装置602周期性地将其行为向量610和其它数据上传到服务器620,如先前所描述。服务器620另外还可向计算装置602请求原始日志。服务器620(其可为资源丰富的机器(或群集))可执行深入分析且接着经由行为分析引擎626和全局分类器628更新行为模型。如果模型在更新之后显著地改变,那么服务器620可将经更新的行为模型推送到计算装置602的行为分析引擎608和分类器。当收集更多数据且模型变得稳定时,改变可为不频繁的。
因此,先前所描述的系统可充当额外保护层,作为对静态分析和基于签名的反病毒途径的补充。关于一个特定益处,可检测未被添加到反病毒数据库中的恶意软件或在安装时伪装为良性的恶意软件。明确地说,服务器620通过聚集来自众多计算装置602的行为报告而作为众包服务器操作。本质上,服务器620可对照根据来自众多计算装置602的合作上传获得的良性和恶意行为的模型评估应用程序的行为。通过随着时间收集大输入集,以加速方式产生更准确且经更新的行为模型且可将所述模型传递到所有操作计算装置602上。
应了解,当计算装置或服务器为移动或无线装置时,其可经由无线网络中的基于或以其它方式支持任何合适的无线通信技术的一或多个无线通信链路通信。举例来说,在一些方面中,计算装置或服务器可与包含无线网络的网络相关联。在一些方面中,网络可包括人体区域网络或个人局域网(例如,超宽带网络)。在一些方面中,网络可包括局域网或广域网。无线装置可支持或以其它方式使用多种无线通信技术、协议或标准(例如,CDMA、TDMA、OFDM、OFDMA、WiMAX和Wi-Fi)中的一或多者。类似地,无线装置可支持或以其它方式使用多种对应调制或多路复用方案中的一或多者。无线装置因此可包含适当组件(例如,空中接口)以使用上文或其它无线通信技术建立一或多个无线通信链路及经由一或多个无线通信链路来通信。举例来说,装置可包括具有相关联的发射器和接收器组件(例如,发射器和接收器)的无线收发器,其可包含促进无线介质上的通信的各种组件(例如,信号产生器和信号处理器)。如众所熟知的,移动无线装置因此可以无线方式与其它移动装置、蜂窝电话、其它有线和无线计算机、因特网网站等通信。
本文中所描述的技术可用于各种无线通信系统,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波FDMA(SC-FDMA)及其它系统。术语“系统”与“网络”常常可互换地使用。CDMA系统可实施例如通用陆地无线接入(UTRA)、CDMA2000等无线电技术。UTRA包含宽带CDMA(W-CDMA)和CDMA的其它变体。CDMA2000涵盖暂定标准(IS)-2000、IS-95和IS-856标准。TDMA系统可实施例如全球移动通信系统(GSM)等无线电技术。OFDMA系统可实施例如以下各者等无线电技术:演进型通用陆地无线接入(演进型UTRA或E-UTRA)、超移动宽带(UMB)、电气电子工程师学会(IEEE)802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE 802.20、闪存-OFDM.RTM等。通用陆地无线接入(UTRA)和E-UTRA为通用移动电信系统(UMTS)的部分。3GPP长期演进(LTE)为UMTS的使用E-UTRA的即将到来的版本,其在下行链路上使用OFDMA且在上行链路上使用SC-FDMA。UTRA、E-UTRA、UMTS、LTE和GSM描述于来自名为“第三代合作伙伴计划”(3GPP)的组织的文献中。CDMA2000和UMB描述于来自名为“第三代合作伙伴计划2”(3GPP2)的组织的文献中。
可将本文中的教示并入到多种设备(例如,装置)内(例如,实施于多种设备内或由多种设备执行)。举例来说,可将本文中所教示的一或多个方面并入到以下各者中:电话(例如,蜂窝电话)、个人数据助理(“PDA”)、平板计算机、移动计算机、膝上型计算机、平板计算机、娱乐装置(例如,音乐或视频装置)、耳机(例如,头戴式耳机、听筒等)、医疗装置(例如,生物测定传感器、心率监视器、步数计、EKG装置等)、用户I/O装置、计算机、服务器、销售点装置、娱乐装置、机顶盒或任何其它合适的装置。这些装置可具有不同的功率和数据要求。
在一些方面中,无线装置可包括用于通信系统的接入装置(例如,Wi-Fi接入点)。此接入装置可提供(例如)经由有线或无线通信链路到另一网络(例如,广域网,例如因特网或蜂窝式网络)的连接性。因此,接入装置可使得另一装置(例如,Wi-Fi站)能够接入另一网络或一些其它功能性。另外,应了解,所述装置中的一者或两者可为便携式,或在一些情况下,相对非便携式。
所属领域的技术人员将理解,可使用多种不同技术和技艺中的任一者来表示信息和信号。举例来说,可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在以上描述中始终参考的数据、指令、命令、信息、信号、位、符号及码片。
所属领域的技术人员将进一步了解,可将结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块、电路和算法步骤实施为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件与软件的此互换性,上文已大致关于其功能性而描述了各种说明性组件、块、模块、电路及步骤。所述功能性是实施为硬件还是软件取决于特定应用及强加于整个系统的设计约束。所属领域的技术人员可针对每一特定应用以不同方式来实施所描述的功能性,但此类实施方案决策不应被解释为会导致脱离本发明的范围。
可使用经设计以执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行结合本文中所揭示的实施例而描述的各种说明性逻辑块、模块和电路。通用处理器可为微处理器,但在替代例中,处理器可为任何常规的处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合,例如,DSP与微处理器的组合、多个微处理器的组合、一或多个微处理器与DSP核心的联合,或任何其它此配置。
可直接以硬件、以由处理器执行的软件模块或以上述两者的组合来体现结合本文所揭示的实施例而描述的方法或算法的步骤。软件模块可驻留于RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可卸除式磁盘、CD-ROM或所属领域中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,以使得处理器可从存储媒体读取信息及将信息写入到存储媒体。在替代例中,存储媒体可与处理器成一体式。处理器和存储媒体可驻留于ASIC中。ASIC可驻留于用户终端中。在替代例中,处理器和存储媒体可作为离散组件驻留于用户终端中。
在一或多个示范性实施例中,所描述的功能可在硬件、软件、固件或其任何组合中实施。如果以软件实施为计算机程序产品,那么可将功能作为一或多个指令或代码存储于计算机可读媒体上或经由计算机可读媒体予以传输。计算机可读媒体包含计算机存储媒体与包含促进计算机程序从一处传送到另一处的任何媒体的通信媒体两者。存储媒体可为可由计算机存取的任何可用媒体。以实例说明而非限制,此类计算机可读媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置,或可用于载送或存储呈指令或数据结构的形式的所要程序码且可由计算机存取的任何其它媒体。而且,可恰当地将任何连接称作计算机可读媒体。举例来说,如果使用同轴电缆、光缆、双绞线、数字订户线(DSL)或例如红外线、无线电及微波等无线技术从网站、服务器或其它远程源传输软件,那么同轴电缆、光缆、双绞线、DSL或例如红外线、无线电及微波等无线技术包含于媒体的定义中。如本文中所使用,磁盘及光盘包含紧密光盘(CD)、激光光盘、光学光盘、数字影音光盘(DVD)、软磁盘及蓝光光盘,其中磁盘通常磁性地复制数据,而光盘使用激光光学地复制数据。上述各者的组合也应包含在计算机可读媒体的范围内。
提供所揭示实施例的先前描述以使得任何所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易显而易见对这些实施例的各种修改,且在不脱离本发明的精神或范围的情况下,本文所界定的一般原理可应用于其它实施例。因此,本发明并不既定限于本文中所展示的实施例,而应符合与本文中所揭示的原理及新颖特征一致的最广范围。
Claims (25)
1.一种分析移动装置中的移动装置行为以识别与所述移动装置的正常操作模式不一致的行为的方法,所述方法包括:
由所述移动装置的处理器监视软件过程的活动;
由所述处理器从经监视的所述活动中收集行为信息;
由所述处理器使用经收集的所述行为信息产生向量信息结构,其中:
经产生的所述向量信息结构包括多个数值,
所述多个数值中的至少一个数值识别所述软件过程的动作的出现次数,
所述多个数值中的至少一个数值根据对类别查询的回答而指示所述软件过程的类别,且
所述多个数值共同地特性化经监视的所述活动;以及
由所述处理器将经产生的所述向量信息结构应用至机器学习分类器模型;以及
由所述处理器使用通过将经产生的所述向量信息结构应用至所述机器学习分类器模型所产生的结果来确定所述软件过程是否为非良性的。
2.根据权利要求1所述的方法,其进一步包含响应于确定所述软件过程是非良性的而由所述处理器终止所述软件过程。
3.根据权利要求1所述的方法,其中经产生的所述向量信息结构包括可被输入至所述机器学习分类器模型中的决策节点的信息。
4.根据权利要求1所述的方法,其中产生所述向量信息结构包括产生向量,所述向量包括适于对以下项目中的至少一者产生回答的信息:
存在查询;
量查询;
次序查询;或
所述类别查询。
5.根据权利要求1所述的方法,其中:
监视所述软件过程的所述活动包括由所述处理器监视软件应用程序的多个活动;以及
使用经收集的所述行为信息来产生经产生的所述向量信息结构包括由处理器产生所述向量信息结构,以使得所述多个数值特性化所述软件应用程序的所述多个活动中的一者。
6.根据权利要求1所述的方法,其中使用经收集的所述行为信息来产生经产生的所述向量信息结构包括:
由所述处理器确定经监视的所述活动是否具有识别恶意软件的高可能性;
由所述处理器响应于确定经监视的所述活动具有识别恶意软件的所述高可能性而产生经产生的所述向量信息结构;以及
响应于确定经监视的所述活动不具有识别恶意软件的所述高可能性而监视不同类型的活动。
7.根据权利要求1所述的方法,其中从经监视的所述活动中收集所述行为信息包括由所述处理器从存储在所述移动装置的存储器中的动作日志中收集信息。
8.根据权利要求1所述的方法,其中从经监视的所述活动中收集所述行为信息包括收集关于以下项目的信息:
至少一个相依于装置的动作;以及
至少一个独立于装置的动作。
9.根据权利要求1所述的方法,其中:
监视所述软件过程的所述活动,从经监视的所述活动中收集所述行为信息以及使用经收集的所述行为信息来产生所述向量信息结构是由在所述移动装置的所述处理器中执行的行为分析引擎实现的;且
所述行为分析引擎是基于以下项目定制的:
至少一个独立于装置的动作;以及
至少一个相依于装置的动作。
10.一种移动计算装置,其包括:
硬件处理器,其配置有处理器可执行指令以:
监视软件过程的活动;
从经监视的所述活动中收集行为信息;
使用经收集的所述行为信息产生向量信息结构,其中:
经产生的所述向量信息结构包括多个数值,
所述多个数值中的至少一个数值识别所述软件过程的动作的出现次数,
所述多个数值中的至少一个数值根据对类别查询的回答而指示所述软件过程的类别,且
所述多个数值共同地特性化经监视的所述活动;
将经产生的所述向量信息结构应用至机器学习分类器模型;以及
使用通过将经产生的所述向量信息结构应用至所述机器学习分类器模型所产生的结果来确定所述软件过程是否为非良性的。
11.根据权利要求10所述的移动计算装置,其中所述处理器配置有处理器可执行指令以通过产生所述向量信息结构以包含可被输入至所述机器学习分类器模型中的决策节点的信息来使用经收集的所述行为信息产生所述向量信息结构。
12.根据权利要求10所述的移动计算装置,其中用以产生所述向量信息结构的所述处理器可执行指令包括用以产生向量的处理器可执行指令,所述向量包括适于对以下项目中的至少一者产生回答的信息:
存在查询;
量查询;
次序查询;或
所述类别查询。
13.根据权利要求10所述的移动计算装置,其中所述处理器配置有处理器可执行指令以:
通过监视软件应用程序的多个活动,监视所述软件过程的所述活动;以及
通过产生所述向量信息结构来使用经收集的所述行为信息以产生所述向量信息结构,以使得所述多个数值特性化所述软件应用程序的所述多个活动中的一者。
14.根据权利要求10所述的移动计算装置,其中所述处理器配置有处理器可执行指令以通过以下项目使用经收集的所述行为信息来产生所述向量信息结构:
确定经监视的所述活动是否具有识别恶意软件的高可能性;
响应于确定经监视的所述活动具有识别恶意软件的所述高可能性而产生所述向量信息结构;以及
响应于确定经监视的所述活动不具有识别恶意软件的所述高可能性而监视不同类型的活动。
15.根据权利要求10所述的移动计算装置,其中所述处理器配置有处理器可执行指令以通过从存储在所述移动计算装置的存储器中的动作日志中收集信息来从经监视的所述活动中收集所述行为信息。
16.根据权利要求10所述的移动计算装置,其中所述处理器配置有处理器可执行指令以通过收集关于以下项目的信息,从经监视的所述活动中收集所述行为信息:
至少一个相依于装置的动作;以及
至少一个独立于装置的动作。
17.根据权利要求10所述的移动计算装置,其中:
所述处理器配置有处理器可执行指令以监视所述软件过程的所述活动,经由行为分析引擎从经监视的所述活动中收集所述行为信息并使用经收集的所述行为信息来产生所述向量信息结构;且
所述行为分析引擎是基于以下项目定制的:
至少一个独立于装置的动作;以及
至少一个相依于装置的动作。
18.一种非易失性计算机可读存储介质,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以致使移动装置中的处理器执行以下操作:
监视软件过程的活动;
从经监视的所述活动中收集行为信息;
使用经收集的所述行为信息产生向量信息结构,其中:
所述向量信息结构包括多个数值,
所述多个数值中的至少一个数值识别所述软件过程的动作的出现次数,
所述多个数值中的至少一个数值根据对类别查询的回答而指示所述软件过程的类别,且
所述多个数值共同地特性化经监视的所述活动;以及
将所述向量信息结构应用至机器学习分类器模型;以及
使用通过将所述向量信息结构应用至所述机器学习分类器模型所产生的结果来确定所述软件过程是否为非良性的。
19.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以通过产生所述向量信息结构以包含可被输入至所述机器学习分类器模型中的决策节点的信息来使用经收集的所述行为信息来产生所述向量信息结构。
20.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以通过产生包括适于对以下项目中的至少一者产生回答的信息的向量来产生所述向量信息结构:
存在查询;
量查询;
次序查询;或
所述类别查询。
21.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以:
通过监视软件应用程序的多个活动,监视所述软件过程的所述活动;以及
通过产生所述向量信息结构来使用经收集的所述行为信息以产生所述向量信息结构,以使得所述多个数值特性化所述软件应用程序的所述多个活动中的一者。
22.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以通过以下项目使用经收集的所述行为信息来产生所述向量信息结构:
确定经监视的所述活动是否具有识别恶意软件的高可能性;
响应于确定经监视的所述活动具有识别恶意软件的所述高可能性而产生所述向量信息结构;以及
响应于确定经监视的所述活动不具有识别恶意软件的所述高可能性而监视不同类型的活动。
23.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以通过从可由所述处理器存取的存储器中的动作日志中收集信息来从经监视的所述活动中收集所述行为信息。
24.根据权利要求18所述的非易失性计算机可读存储介质,其中所存储的所述处理器可执行软件指令经配置以通过收集关于以下项目的信息来从经监视的所述活动中收集所述行为信息:
至少一个相依于装置的动作;以及
至少一个独立于装置的动作。
25.根据权利要求20所述的非易失性计算机可读存储介质,其中:
所存储的所述处理器可执行软件指令经配置以监视所述软件过程的所述活动,经由行为分析引擎从经监视的所述活动中收集所述行为信息,并使用经收集的所述行为信息来产生所述向量信息结构,且
所存储的所述处理器可执行软件指令进一步经配置以基于以下项目定制所述行为分析引擎:
至少一个独立于装置的动作;以及
至少一个相依于装置的动作。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/424,251 US9832211B2 (en) | 2012-03-19 | 2012-03-19 | Computing device to detect malware |
US13/424,251 | 2012-03-19 | ||
CN201380015079.9A CN104205111A (zh) | 2012-03-19 | 2013-03-14 | 用以检测恶意软件的计算装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380015079.9A Division CN104205111A (zh) | 2012-03-19 | 2013-03-14 | 用以检测恶意软件的计算装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110781496A true CN110781496A (zh) | 2020-02-11 |
Family
ID=48045057
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910919572.2A Pending CN110781496A (zh) | 2012-03-19 | 2013-03-14 | 用以检测恶意软件的计算装置 |
CN201380015079.9A Pending CN104205111A (zh) | 2012-03-19 | 2013-03-14 | 用以检测恶意软件的计算装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380015079.9A Pending CN104205111A (zh) | 2012-03-19 | 2013-03-14 | 用以检测恶意软件的计算装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9832211B2 (zh) |
EP (1) | EP2828789A1 (zh) |
JP (1) | JP6228966B2 (zh) |
KR (1) | KR102057565B1 (zh) |
CN (2) | CN110781496A (zh) |
WO (1) | WO2013142228A1 (zh) |
Families Citing this family (84)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8973137B1 (en) * | 2012-02-29 | 2015-03-03 | Symantec Corporation | Systems and methods for detecting illegitimate out-of-band authentication attempts |
US9832211B2 (en) | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
US9690635B2 (en) * | 2012-05-14 | 2017-06-27 | Qualcomm Incorporated | Communicating behavior information in a mobile computing device |
US9298494B2 (en) | 2012-05-14 | 2016-03-29 | Qualcomm Incorporated | Collaborative learning for efficient behavioral analysis in networked mobile device |
US9609456B2 (en) | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
US20130304677A1 (en) * | 2012-05-14 | 2013-11-14 | Qualcomm Incorporated | Architecture for Client-Cloud Behavior Analyzer |
US9324034B2 (en) | 2012-05-14 | 2016-04-26 | Qualcomm Incorporated | On-device real-time behavior analyzer |
US9202047B2 (en) | 2012-05-14 | 2015-12-01 | Qualcomm Incorporated | System, apparatus, and method for adaptive observation of mobile device behavior |
US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
US20140006616A1 (en) * | 2012-06-29 | 2014-01-02 | Nokia Corporation | Method and apparatus for categorizing application access requests on a device |
US9495537B2 (en) | 2012-08-15 | 2016-11-15 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
US9319897B2 (en) | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
US9330257B2 (en) | 2012-08-15 | 2016-05-03 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
US9298916B2 (en) * | 2012-12-10 | 2016-03-29 | Lookout, Inc. | Method and apparatus for enhanced file system monitoring on mobile communications devices |
US9208215B2 (en) | 2012-12-27 | 2015-12-08 | Lookout, Inc. | User classification based on data gathered from a computing device |
US9684870B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors |
US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
US9686023B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors |
US9742559B2 (en) | 2013-01-22 | 2017-08-22 | Qualcomm Incorporated | Inter-module authentication for securing application execution integrity within a computing device |
US9330256B2 (en) * | 2013-02-01 | 2016-05-03 | Qualcomm Incorporated | Location based process-monitoring |
US9491187B2 (en) | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
US9519775B2 (en) | 2013-10-03 | 2016-12-13 | Qualcomm Incorporated | Pre-identifying probable malicious behavior based on configuration pathways |
US9213831B2 (en) * | 2013-10-03 | 2015-12-15 | Qualcomm Incorporated | Malware detection and prevention by monitoring and modifying a hardware pipeline |
US9444804B2 (en) | 2013-11-25 | 2016-09-13 | Roy S. Melzer | Dynamic security question generation |
US9652362B2 (en) * | 2013-12-06 | 2017-05-16 | Qualcomm Incorporated | Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors |
US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
EP3090375A4 (en) * | 2013-12-30 | 2017-08-30 | Nokia Technologies Oy | Method and apparatus for malware detection |
US9591015B1 (en) * | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9684787B2 (en) | 2014-04-08 | 2017-06-20 | Qualcomm Incorporated | Method and system for inferring application states by performing behavioral analysis operations in a mobile device |
CN103955645B (zh) | 2014-04-28 | 2017-03-08 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9710752B2 (en) * | 2014-09-11 | 2017-07-18 | Qualcomm Incorporated | Methods and systems for aggregated multi-application behavioral analysis of mobile device behaviors |
US20160078362A1 (en) * | 2014-09-15 | 2016-03-17 | Qualcomm Incorporated | Methods and Systems of Dynamically Determining Feature Sets for the Efficient Classification of Mobile Device Behaviors |
CN104573515A (zh) | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US9378364B1 (en) * | 2014-12-27 | 2016-06-28 | Intel Corporation | Technologies for managing security threats to a computing system utilizing user interactions |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9680646B2 (en) * | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
US9875357B2 (en) * | 2015-02-06 | 2018-01-23 | Qualcomm Incorporated | Methods and systems for detecting fake user interactions with a mobile device for improved malware protection |
US20160232353A1 (en) * | 2015-02-09 | 2016-08-11 | Qualcomm Incorporated | Determining Model Protection Level On-Device based on Malware Detection in Similar Devices |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US10659479B2 (en) * | 2015-03-27 | 2020-05-19 | Mcafee, Llc | Determination of sensor usage |
US9477837B1 (en) | 2015-03-31 | 2016-10-25 | Juniper Networks, Inc. | Configuring a sandbox environment for malware testing |
CA2982463C (en) | 2015-05-01 | 2019-03-05 | Lookout, Inc. | Determining source of side-loaded software |
US10104107B2 (en) * | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
US10021123B2 (en) * | 2015-06-29 | 2018-07-10 | Qualcomm Incorporated | Customized network traffic models to detect application anomalies |
US9544798B1 (en) * | 2015-07-23 | 2017-01-10 | Qualcomm Incorporated | Profiling rogue access points |
US20170024660A1 (en) * | 2015-07-23 | 2017-01-26 | Qualcomm Incorporated | Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors |
US20170046510A1 (en) * | 2015-08-14 | 2017-02-16 | Qualcomm Incorporated | Methods and Systems of Building Classifier Models in Computing Devices |
US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10255434B2 (en) * | 2015-09-17 | 2019-04-09 | Qualcomm Incorporated | Detecting software attacks on processes in computing devices |
CN105223455B (zh) * | 2015-11-11 | 2018-04-10 | 无锡中感微电子股份有限公司 | 安全监测系统、方法以及便携式电子设备 |
US9838405B1 (en) * | 2015-11-20 | 2017-12-05 | Symantec Corporation | Systems and methods for determining types of malware infections on computing devices |
SE542513C2 (en) | 2015-12-15 | 2020-05-26 | Saab Ab | A method for authenticating software |
US10333949B1 (en) * | 2016-03-15 | 2019-06-25 | Symantec Corporation | Proactive protection of mobile operating system malware via blocking of infection vector |
CN105868394A (zh) * | 2016-04-19 | 2016-08-17 | 中山大学 | 一种基于web和日志信息的app分类方法及其装置 |
US20170308701A1 (en) * | 2016-04-22 | 2017-10-26 | Qualcomm Incorporated | Methods and Systems for Intelligently Detecting Malware and Attacks on Client Computing Devices and Corporate Networks |
CN107025547B (zh) * | 2016-09-19 | 2020-10-16 | 创新先进技术有限公司 | 支付通道检测方法、装置及终端 |
CN106845228A (zh) * | 2016-12-28 | 2017-06-13 | 微梦创科网络科技(中国)有限公司 | 一种检测恶意程序的方法和装置 |
EP3563555A1 (en) * | 2016-12-29 | 2019-11-06 | Avast Software S.R.O. | System and method for detecting malicious device by using a behavior analysis |
CN106803039B (zh) * | 2016-12-30 | 2019-09-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意文件的同源判定方法及装置 |
US10491616B2 (en) * | 2017-02-13 | 2019-11-26 | Microsoft Technology Licensing, Llc | Multi-signal analysis for compromised scope identification |
US10581887B1 (en) * | 2017-05-31 | 2020-03-03 | Ca, Inc. | Employing a relatively simple machine learning classifier to explain evidence that led to a security action decision by a relatively complex machine learning classifier |
US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
KR102033354B1 (ko) | 2017-11-01 | 2019-10-17 | 국민대학교산학협력단 | Cnn 학습 기반의 멀웨어 분석 장치, 이를 수행하는 cnn 학습 기반의 멀웨어 분석 방법 및 이를 저장하는 기록매체 |
US10567156B2 (en) | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
KR101851351B1 (ko) * | 2017-12-07 | 2018-04-23 | (주)시큐레이어 | 악성 코드 분석을 수행하는 방법 및 클러스터링 서버 |
CN108491720B (zh) * | 2018-03-20 | 2023-07-14 | 腾讯科技(深圳)有限公司 | 一种应用识别方法、系统以及相关设备 |
US10834112B2 (en) | 2018-04-24 | 2020-11-10 | At&T Intellectual Property I, L.P. | Web page spectroscopy |
US10771485B2 (en) * | 2018-07-12 | 2020-09-08 | Bank Of America Corporation | Systems and methods for cross-channel electronic communication security with dynamic targeting |
JP7198617B2 (ja) * | 2018-09-21 | 2023-01-04 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
US10880328B2 (en) * | 2018-11-16 | 2020-12-29 | Accenture Global Solutions Limited | Malware detection |
CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
CN109726601A (zh) * | 2018-12-29 | 2019-05-07 | 360企业安全技术(珠海)有限公司 | 违规行为的识别方法及装置、存储介质、计算机设备 |
WO2020264118A1 (en) * | 2019-06-25 | 2020-12-30 | Paypal, Inc. | Threat detection using machine learning query analysis |
US11616795B2 (en) * | 2019-08-23 | 2023-03-28 | Mcafee, Llc | Methods and apparatus for detecting anomalous activity of an IoT device |
US11687717B2 (en) * | 2019-12-03 | 2023-06-27 | Morgan State University | System and method for monitoring and routing of computer traffic for cyber threat risk embedded in electronic documents |
JP2022007238A (ja) * | 2020-06-26 | 2022-01-13 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
US11513878B2 (en) | 2020-06-26 | 2022-11-29 | Acronis International Gmbh | Systems and methods for detecting behavioral anomalies in applications |
WO2022137403A1 (ja) * | 2020-12-23 | 2022-06-30 | 日本電気株式会社 | 情報収集制御装置、情報収集システム、情報収集制御方法、及び情報収集制御プログラム |
US11818219B2 (en) * | 2021-09-02 | 2023-11-14 | Paypal, Inc. | Session management system |
CN116414269B (zh) * | 2023-06-06 | 2023-10-20 | 荣耀终端有限公司 | 流氓应用的识别方法和电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070074289A1 (en) * | 2005-09-28 | 2007-03-29 | Phil Maddaloni | Client side exploit tracking |
US20080274716A1 (en) * | 2007-05-01 | 2008-11-06 | Qualcomm Incorporated | Application logging interface for a mobile device |
US20090031162A1 (en) * | 2007-07-23 | 2009-01-29 | Abhijit Bose | Apparatus and method for repairing computer system infected by malware |
US20100180344A1 (en) * | 2009-01-10 | 2010-07-15 | Kaspersky Labs ZAO | Systems and Methods For Malware Classification |
US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7150045B2 (en) * | 2000-12-14 | 2006-12-12 | Widevine Technologies, Inc. | Method and apparatus for protection of electronic media |
JP4142868B2 (ja) * | 2001-12-06 | 2008-09-03 | 日本情報通信コンサルティング株式会社 | 病症データ集中収集管理システム、サーバ装置 |
US7509679B2 (en) | 2002-08-30 | 2009-03-24 | Symantec Corporation | Method, system and computer program product for security in a global computer network transaction |
US20040205419A1 (en) * | 2003-04-10 | 2004-10-14 | Trend Micro Incorporated | Multilevel virus outbreak alert based on collaborative behavior |
JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
US8161554B2 (en) * | 2005-04-26 | 2012-04-17 | Cisco Technology, Inc. | System and method for detection and mitigation of network worms |
US7809670B2 (en) | 2005-12-09 | 2010-10-05 | Microsoft Corporation | Classification of malware using clustering that orders events in accordance with the time of occurance |
WO2007117574A2 (en) | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Non-signature malware detection system and method for mobile platforms |
CN200962655Y (zh) | 2006-09-08 | 2007-10-17 | 上海尚茂电子技术有限公司 | 一种用于移动设备的活动图像压缩系统 |
US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
JP4232828B2 (ja) * | 2007-02-01 | 2009-03-04 | 沖電気工業株式会社 | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
US8713680B2 (en) | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
KR20090027000A (ko) * | 2007-09-11 | 2009-03-16 | 한국전자통신연구원 | 상황 인식 시스템 환경에서 발생한 이벤트 로그에 기초하여사용자 행동 패턴을 구축하는 장치 및 방법 |
IL191744A0 (en) * | 2008-05-27 | 2009-02-11 | Yuval Elovici | Unknown malcode detection using classifiers with optimal training sets |
US8763071B2 (en) | 2008-07-24 | 2014-06-24 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
KR101010302B1 (ko) * | 2008-12-24 | 2011-01-25 | 한국인터넷진흥원 | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 |
JP2010262609A (ja) | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
JP2010267128A (ja) | 2009-05-15 | 2010-11-25 | Ntt Docomo Inc | 解析システム、解析装置、検知方法、解析方法及びプログラム |
US8549641B2 (en) | 2009-09-03 | 2013-10-01 | Palo Alto Research Center Incorporated | Pattern-based application classification |
US8739283B1 (en) * | 2009-12-07 | 2014-05-27 | Trend Micro, Inc. | Automatic generation of malware clean pattern |
US8474040B2 (en) * | 2010-02-19 | 2013-06-25 | International Business Machines Corporation | Environmental imaging |
KR101051641B1 (ko) | 2010-03-30 | 2011-07-26 | 주식회사 안철수연구소 | 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법 |
JP5478384B2 (ja) * | 2010-06-24 | 2014-04-23 | Kddi株式会社 | アプリケーション判定システムおよびプログラム |
US8875286B2 (en) | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
RU2454714C1 (ru) * | 2010-12-30 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов |
US8392408B1 (en) * | 2011-05-04 | 2013-03-05 | Google Inc. | Coordinating successive search queries using a query cursor |
US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
US9158919B2 (en) * | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
EP2610776B1 (en) | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
US9832211B2 (en) | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
-
2012
- 2012-03-19 US US13/424,251 patent/US9832211B2/en active Active
-
2013
- 2013-03-14 JP JP2015501765A patent/JP6228966B2/ja active Active
- 2013-03-14 CN CN201910919572.2A patent/CN110781496A/zh active Pending
- 2013-03-14 CN CN201380015079.9A patent/CN104205111A/zh active Pending
- 2013-03-14 KR KR1020147029226A patent/KR102057565B1/ko active IP Right Grant
- 2013-03-14 EP EP13713630.5A patent/EP2828789A1/en not_active Ceased
- 2013-03-14 WO PCT/US2013/031184 patent/WO2013142228A1/en active Application Filing
-
2014
- 2014-01-07 US US14/149,471 patent/US9973517B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070074289A1 (en) * | 2005-09-28 | 2007-03-29 | Phil Maddaloni | Client side exploit tracking |
US20080274716A1 (en) * | 2007-05-01 | 2008-11-06 | Qualcomm Incorporated | Application logging interface for a mobile device |
US20090031162A1 (en) * | 2007-07-23 | 2009-01-29 | Abhijit Bose | Apparatus and method for repairing computer system infected by malware |
US20100180344A1 (en) * | 2009-01-10 | 2010-07-15 | Kaspersky Labs ZAO | Systems and Methods For Malware Classification |
US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
CN102332072A (zh) * | 2010-11-01 | 2012-01-25 | 卡巴斯基实验室封闭式股份公司 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
US9973517B2 (en) | 2018-05-15 |
US20140123289A1 (en) | 2014-05-01 |
JP6228966B2 (ja) | 2017-11-08 |
US9832211B2 (en) | 2017-11-28 |
WO2013142228A1 (en) | 2013-09-26 |
KR20140137003A (ko) | 2014-12-01 |
CN104205111A (zh) | 2014-12-10 |
US20130247187A1 (en) | 2013-09-19 |
KR102057565B1 (ko) | 2019-12-19 |
EP2828789A1 (en) | 2015-01-28 |
JP2015511047A (ja) | 2015-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9973517B2 (en) | Computing device to detect malware | |
Schmidt et al. | Monitoring smartphones for anomaly detection | |
Shabtai et al. | Mobile malware detection through analysis of deviations in application network behavior | |
US9357397B2 (en) | Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device | |
EP3077949B1 (en) | Methods and systems of generating application-specific models for the targeted protection of vital applications | |
US9910984B2 (en) | Methods and systems for on-device high-granularity classification of device behaviors using multi-label models | |
US10104107B2 (en) | Methods and systems for behavior-specific actuation for real-time whitelisting | |
KR102474048B1 (ko) | 개선된 멀웨어 보호를 위해 모바일 디바이스와의 페이크 사용자 상호작용들을 검출하기 위한 방법들 및 시스템들 | |
US9787695B2 (en) | Methods and systems for identifying malware through differences in cloud vs. client behavior | |
US9609456B2 (en) | Methods, devices, and systems for communicating behavioral analysis information | |
Sharma et al. | Mining api calls and permissions for android malware detection | |
EP3256979A1 (en) | Determining model protection level on-device based on malware detection in similar devices | |
KR101657667B1 (ko) | 악성 앱 분류 장치 및 악성 앱 분류 방법 | |
Su et al. | An Informative and Comprehensive Behavioral Characteristics Analysis Methodology of Android Application for Data Security in Brain-Machine Interfacing. | |
US20240070268A1 (en) | Aggregate Event Profiles for Detecting Malicious Mobile Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |