TWI530141B - 動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統 - Google Patents

動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統 Download PDF

Info

Publication number
TWI530141B
TWI530141B TW103100075A TW103100075A TWI530141B TW I530141 B TWI530141 B TW I530141B TW 103100075 A TW103100075 A TW 103100075A TW 103100075 A TW103100075 A TW 103100075A TW I530141 B TWI530141 B TW I530141B
Authority
TW
Taiwan
Prior art keywords
mobile device
classifier model
test conditions
behavior
mobile
Prior art date
Application number
TW103100075A
Other languages
English (en)
Other versions
TW201440465A (zh
Inventor
維那伊 斯瑞德哈拉
雷賈席 吉普塔
卡斯安 法瓦茲
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201440465A publication Critical patent/TW201440465A/zh
Application granted granted Critical
Publication of TWI530141B publication Critical patent/TWI530141B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B17/00Monitoring; Testing
    • H04B17/30Monitoring; Testing of propagation channels
    • H04B17/391Modelling the propagation channel
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Electromagnetism (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Telephonic Communication Services (AREA)

Description

動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統 相關申請案
本申請案主張以下各案之優先權的權利:2013年9月5日申請之題目為「Dynamic Device-Specific and Device-State-Specific Classifier」的美國臨時申請案第61/874,109號;2013年9月5日申請之題目為「Methods and Systems of Using Boosted Decision Stumps and Joint Feature Selection and Pruning Algorithms for the Efficient Classification of Mobile Device Behaviors」的美國臨時申請案第61/874,129號;2013年1月2日申請之題目為「On-Device Real-Time Behavior Analyzer」的美國臨時專利申請案第61/748,217號;及2013年1月2日申請之題目為「Architecture for Client-Cloud Behavior Analyzer」的美國臨時專利申請案第61/748,220號,所有以上各案之全部內容特此以引用之方式併入本文中。
本發明基本上係關於動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統。
蜂巢式及無線通信技術已在過去若干年中突飛猛進。此成長受 到更好之通信、硬體、較大之網路及較可靠之協定助力。結果,無線服務提供者現能夠向其客戶提供前所未有的程度的對資訊、資源及通信之存取。
為了跟上此等服務增強,行動電子裝置(例如,蜂巢式電話、平板電腦、膝上型電腦等)已變得越發強大及複雜。此複雜性已為惡意軟體、軟體衝突、硬體故障及其他類似之錯誤或現象負面地影響行動裝置之長期及持續效能與功率利用水準創造了新的機會。因此,識別及校正可負面地影響行動裝置之長期及持續效能與功率利用水準的條件及/或行動裝置行為係有益於消費者的。
各種態樣包括在行動裝置中產生資料模型之方法,該等方法包括:在行動裝置之處理器中接收一識別複數個測試條件之完整分類器模型;使用行動裝置之裝置特定資訊來識別該複數個測試條件中之與分類行動裝置之行為相關的行動裝置特定測試條件;在行動裝置中產生一僅包括所識別之行動裝置特定測試條件的精實分類器模型;及在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為。
在一態樣中,接收識別複數個測試條件之完整分類器模型可包括接收一包括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者,且產生僅包括所識別之行動裝置特定測試條件的精實分類器模型包括產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點。在另外之態樣中,產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點可包括:判定在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為的獨特測試條件之數目;藉由順序地周遊完整分類器模型中之複數個測試條件且將與分類行動 裝置之行為相關的彼等測試條件插入至一測試條件清單中直至該測試條件清單包括該所判定之數目之獨特測試條件來產生該測試條件清單;及產生精實分類器模型以包括完整分類器模型中之測試被包括於所產生之測試條件清單中之條件中之一者的決策節點。
在另外之態樣中,在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為可包括藉由以下步驟來使用精實分類器模型以將行為分類為非良性型:將所收集之行為資訊應用至精實分類器模型中之每一決策節點;計算將所收集之行為資訊應用至精實分類器模型中之每一決策節點的結果之加權平均值;及將該加權平均值與一臨限值相比較。在另外之態樣中,該方法可包括:監視行動裝置以偵測行動裝置之狀態、行動裝置之組態、行動裝置之能力及行動裝置之功能性中之一者的改變;回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件;及使用經修改之精實分類器模型來分類行動裝置之行為。
在另外之態樣中,監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:識別一與所偵測到之改變相關聯的被添加之行動裝置特徵;判定所識別之特徵是否被包括於所產生之精實分類器模型中;及回應於判定所識別之特徵未被包括於所產生之精實分類器模型中而將所識別之特徵添加至所產生之精實分類器模型。
在另外之態樣中,監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:藉由偵測輔助組件被添加至行動裝置來偵測行動裝置之能力的改變;判定精實分類器模型是否包括評估被添加之組件之任何測試條件;回應於判定精實分類器模型不包括評估被添加之組件之任何測試條件而判定完整分類器模型是否包括用於被添加之組件之任何測試條件;及回應 於判定完整分類器模型包括用於被添加之組件之測試條件而將用於被添加之組件之測試條件添加至精實分類器模型。
在另外之態樣中,監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:偵測行動裝置之功能性的改變;判定所偵測到之功能性改變表示被添加抑或被移除之功能性;回應於判定所偵測到之功能性改變表示被添加之功能性而判定精實分類器模型是否包括評估受所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定精實分類器模型不包括評估行動裝置特徵之任何測試條件而判定完整分類器模型是否包括評估行動裝置特徵之任何測試條件;及回應於判定完整分類器模型包括評估行動裝置特徵之測試條件而將評估受所偵測到之改變影響之行動裝置特徵的測試條件添加至精實分類器模型。
在另外之態樣中,監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:判定在行動裝置上是否已存在狀態改變;回應於判定在行動裝置上已存在狀態改變而識別與行動裝置之先前狀態相關但與行動裝置之當前狀態不相關的特徵;及自精實分類器模型移除與所識別之特徵相關聯的測試條件。
另外之態樣包括一行動裝置,其包括一經組態有處理器可執行指令以執行操作的處理器,該等操作包括:接收一識別複數個測試條件之完整分類器模型;使用行動裝置之裝置特定資訊來識別該複數個測試條件中之與分類行動裝置之行為相關的行動裝置特定測試條件;產生一僅包括所識別之行動裝置特定測試條件的精實分類器模型;及在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為。
在一態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得接收識別複數個測試條件之完整分類器模型可包括接收一包 括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者,且產生僅包括所識別之行動裝置特定測試條件的精實分類器模型包括產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點可包括:判定在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為的獨特測試條件之數目;藉由順序地周遊完整分類器模型中之複數個測試條件且將與分類行動裝置之行為相關的彼等測試條件插入至一測試條件清單中直至該測試條件清單包括所判定之數目之獨特測試條件來產生該測試條件清單;及產生精實分類器模型以包括完整分類器模型中之測試被包括於所產生之測試條件清單中之條件中之一者的決策節點。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為可包括藉由以下步驟來使用精實分類器模型以將該行為分類為非良性型:將所收集之行為資訊應用至精實分類器模型中之每一決策節點;計算將所收集之行為資訊應用至精實分類器模型中之每一決策節點的結果之加權平均值;及將該加權平均值與一臨限值相比較。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,該等操作另外包括:監視行動裝置以偵測行動裝置之狀態、行動裝置之組態、行動裝置之能力及行動裝置之功能性中之一者的改變;回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件;及使用經修改之精實分類器模型來分類行動裝置之行為。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:識別一與所偵測到之改變相關聯的被添加之行動裝置特徵;判定所識別之特徵是否被包括於所產生之精實分類器模型中;及回應於判定所識別之特徵未被包括於所產生之精實分類器模型中而將所識別之特徵添加至所產生之精實分類器模型。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:藉由偵測輔助組件被添加至行動裝置來偵測行動裝置之能力的改變;判定精實分類器模型是否包括評估被添加之組件之任何測試條件;回應於判定精實分類器模型不包括評估被添加之組件之任何測試條件而判定完整分類器模型是否包括用於被添加之組件之任何測試條件;及回應於判定完整分類器模型包括用於被添加之組件之測試條件而將用於被添加之組件之測試條件添加至精實分類器模型。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:偵測行動裝置之功能性的改變;判定所偵測到之功能性改變表示被添加抑或被移除之功能性;回應於判定所偵測到之功能性改變表示被添加之功能性而判定精實分類器模型是否包括評估受所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定精實分類器模型不包括評估行動裝置特徵之任何測試條件而判定完整分類器模型是否包括評估行動裝置特徵之任何測試條件;及回應於判定完整分類器模型包括評估行動裝置特徵之測試條件而將評估受所偵測到之改變影響之行動裝置特 徵的測試條件添加至精實分類器模型。
在另外之態樣中,該處理器可經組態有處理器可執行指令以執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:判定在行動裝置上是否已存在狀態之改變;回應於判定在行動裝置上已存在狀態之改變而識別與行動裝置之先前狀態相關但與行動裝置之當前狀態無關的特徵;及自精實分類器模型移除與所識別之特徵相關聯的測試條件。
另外之態樣包括一非暫時性電腦可讀儲存媒體,其上儲存有處理器可執行軟體指令,該等處理器可執行軟體指令經組態以使行動裝置之處理器執行操作,該等操作包括:在行動裝置之處理器中接收一識別複數個測試條件之完整分類器模型;使用行動裝置之裝置特定資訊來識別該複數個測試條件中之與分類行動裝置之行為相關的行動裝置特定測試條件;在行動裝置中產生一僅包括所識別之行動裝置特定測試條件的精實分類器模型;及在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為。
在一態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得接收識別複數個測試條件之完整分類器模型可包括接收一包括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者,且產生僅包括所識別之行動裝置特定測試條件的精實分類器模型包括產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點可包括:判定在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下應 加以評估以分類該行為的獨特測試條件之數目;藉由順序地周遊完整分類器模型中之複數個測試條件且將與分類行動裝置之行為相關的彼等測試條件插入至一測試條件清單中直至該測試條件清單包括所判定之數目之獨特測試條件來產生該測試條件清單;及產生精實分類器模型以包括完整分類器模型中之測試被包括於所產生之測試條件清單中之條件中之一者的決策節點。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為可包括藉由以下步驟來使用精實分類器模型以將該行為分類為非良性型:將所收集之行為資訊應用至精實分類器模型中之每一決策節點;計算將所收集之行為資訊應用至精實分類器模型中之每一決策節點的結果之加權平均值;及將該加權平均值與一臨限值相比較。在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,該等操作另外包括:監視行動裝置以偵測行動裝置之狀態、行動裝置之組態、行動裝置之能力及行動裝置之功能性中之一者的改變;回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件;及使用經修改之精實分類器模型來分類行動裝置之行為。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:識別一與所偵測到之改變相關聯的被添加之行動裝置特徵;判定所識別之特徵是否被包括於所產生之精實分類器模型中;及回應於判定所識別之特徵未被包括於所產生之精實分類器模型中而將所識別之特徵添加至所產生之精實分類器模型。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以 使處理器執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:藉由偵測輔助組件被添加至行動裝置來偵測行動裝置之能力的改變;判定精實分類器模型是否包括評估被添加之組件之任何測試條件;回應於判定精實分類器模型不包括評估被添加之組件之任何測試條件而判定完整分類器模型是否包括用於被添加之組件之任何測試條件;及回應於判定完整分類器模型包括用於被添加之組件之測試條件而將用於被添加之組件之測試條件添加至精實分類器模型。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:偵測行動裝置之功能性的改變;判定所偵測到之功能性改變表示被添加抑或被移除之功能性;回應於判定所偵測到之功能性改變表示被添加之功能性而判定精實分類器模型是否包括評估受所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定精實分類器模型不包括評估行動裝置特徵之任何測試條件而判定完整分類器模型是否包括評估行動裝置特徵之任何測試條件;及回應於判定完整分類器模型包括評估行動裝置特徵之測試條件而將評估受所偵測到之改變影響之行動裝置特徵的測試條件添加至精實分類器模型。
在另外之態樣中,所儲存之處理器可執行軟體指令可經組態以使處理器執行操作,使得監視行動裝置以偵測改變及回應於偵測到該改變而修改精實分類器模型以包括一組更新之測試條件可包括:判定在行動裝置上是否已存在狀態之改變;回應於判定在行動裝置上已存在狀態之改變而識別與行動裝置之先前狀態相關但與行動裝置之當前狀態無關的特徵;及自精實分類器模型移除與所識別之特徵相關聯的測試條件。
一另外之態樣包括一行動裝置,該行動裝置具有用於執行上文所描述之方法之功能的構件。該行動裝置可包括:用於接收一識別複數個測試條件之完整分類器模型的構件;用於使用行動裝置之裝置特定資訊來識別該複數個測試條件中之與分類行動裝置之行為相關之行動裝置特定測試條件的構件;用於產生一僅包括所識別之行動裝置特定測試條件之精實分類器模型的構件;及用於在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為的構件。
在一態樣中,用於接收識別複數個測試條件之完整分類器模型的構件可包括用於接收一包括適合於轉換至複數個決策節點之資訊之有限狀態機的構件,該複數個決策節點中之每一者評估該複數個測試條件中之一者。在另外之態樣中,用於產生僅包括所識別之行動裝置特定測試條件之精實分類器模型的構件可包括用於產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵之決策節點的構件。
在一態樣中,用於產生精實分類器模型以僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵之決策節點的構件可包括:用於判定在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為之獨特測試條件之數目的構件;用於藉由順序地周遊完整分類器模型中之複數個測試條件且將與分類行動裝置之行為相關的彼等測試條件插入至一測試條件清單中直至該測試條件清單包括所判定之數目之獨特測試條件來產生該測試條件清單的構件;用於產生精實分類器模型以包括完整分類器模型中之測試被包括於所產生之測試條件清單中之條件中之一者的決策節點的構件。
100‧‧‧通信系統
102‧‧‧行動裝置
104‧‧‧蜂巢式電話網路
106‧‧‧蜂巢式基地台
108‧‧‧網路操作中心
110‧‧‧網際網路
112‧‧‧網路伺服器
114‧‧‧伺服器
116‧‧‧網際網路
118‧‧‧雲端服務提供者網路
202‧‧‧行為觀察器模組
204‧‧‧行為分析器模組
208‧‧‧分類器模組
210‧‧‧致動器模組
300‧‧‧系統
302‧‧‧雲端模組
304‧‧‧模型產生器
306‧‧‧訓練資料模組
314‧‧‧狀態特定特徵產生器
316‧‧‧裝置特定特徵產生器
318‧‧‧狀態監視引擎
320‧‧‧裝置特徵監視引擎
400‧‧‧考慮到行動裝置之裝置特定及裝置狀態特定特徵之產生精實分類器的態樣方法
500‧‧‧修改分類器模型以包括行動裝置之裝置特定特徵的態樣方法
600‧‧‧可實施於行動裝置上的用於藉由移除行動裝置之裝置特定特徵來修改精實分類器模型的態樣方法
700‧‧‧可實施於行動裝置上的用於修改精實分類器模型以考慮到行動裝置之裝置特定特徵之改變的態樣方法
800‧‧‧用於藉由添加與行動裝置之狀態有關之行動裝置特徵來修改精實分類器模型的態樣方法
900‧‧‧產生精實或集中之分類器/行為模型之態樣方法
1000‧‧‧行動計算裝置
1002‧‧‧處理器
1004‧‧‧觸控螢幕控制器
1006‧‧‧內部記憶體
1008‧‧‧無線電信號收發器
1010‧‧‧天線
1012‧‧‧觸控螢幕面板
1014‧‧‧揚聲器
1016‧‧‧蜂巢式網路無線數據機晶片
1018‧‧‧周邊裝置連接介面
1020‧‧‧處理器
1022‧‧‧電源
1024‧‧‧實體按鈕
1026‧‧‧電源按鈕
1100‧‧‧膝上型電腦
1108‧‧‧天線
1111‧‧‧處理器
1112‧‧‧揮發性記憶體
1113‧‧‧碟機
1114‧‧‧軟性磁碟機
1115‧‧‧緊密光碟(CD)機
1116‧‧‧蜂巢式電話收發器
1117‧‧‧觸控板
1118‧‧‧鍵盤
1119‧‧‧顯示器
被併入本文中且構成此說明書之部分的隨附圖式說明了本發明之實例態樣,且與上文所給出之一般描述及下文所給出之詳細描述一 起用來解釋本發明之特徵。
圖1為說明一實例電信系統之網路組件的通信系統方塊圖,該實例電信系統適合於與各種態樣一起使用。
圖2為說明一態樣行動裝置中之實例邏輯組件及資訊流的方塊圖,該行動裝置經組態以判定一特定行動裝置行為是惡意型、效能降級型、可疑型抑或良性型。
圖3為說明一態樣系統中之實例組件及資訊流的方塊圖,該系統包括一經組態以結合行動裝置來工作之網路伺服器,該行動裝置經組態以:自完整分類器模型產生一目標精實分類器模型;及使用該精實分類器模型來判定一特定行動裝置行為是惡意型、效能降級型、可疑型抑或良性型。
圖4為處理程序流程圖,其說明一種在行動裝置中產生精實分類器模型以包括被包括於自網路伺服器接收之完整分類器模型中之特徵及資料點之子集的態樣方法。
圖5為處理程序流程圖,其說明根據各種態樣之一種藉由選擇行動裝置之裝置特定特徵並將其添加至精實分類器模型來在行動裝置中產生或修改精實分類器模型的方法。
圖6為處理程序流程圖,其說明根據各種態樣之一種藉由自完整分類器模型移除行動裝置之裝置特定特徵來在行動裝置中產生或修改精實分類器的方法。
圖7為處理程序流程圖,其說明根據各種態樣之另一種藉由將行動裝置之裝置特定及裝置狀態特定特徵添加至分類器模型來在行動裝置中產生或修改精實分類器模型的方法。
圖8為處理程序流程圖,其說明根據各種態樣之另一種用於藉由將行動裝置之裝置狀態特定特徵添加至分類器模型來在行動裝置中產生或修改精實分類器模型的方法。
圖9為處理程序流程圖,其說明根據各種態樣之另一種用於藉由將行動裝置之裝置狀態特定特徵添加至分類器模型來在行動裝置中產生或修改精實分類器模型的方法。
圖10為適合於在一態樣中使用之行動裝置之組件方塊圖。
圖11為適合於在一態樣中使用之伺服器裝置之組件方塊圖。
將參看隨附圖式來詳細描述各種態樣。在任何可能之處,將貫穿圖式而使用相同參考數字以指代相同或相似部分。對特定實例及實施所做之參考係用於說明性目的且並不意欲限制本發明或申請專利範圍之範疇。
當前,存在用於將在計算裝置上執行之應用程式的行為模型化的各種解決方案,且可將此等解決方案與機器學習技術一起使用以判定軟體應用程式是惡意型抑或良性型的。然而,此等解決方案並不適合於在行動裝置上使用,因為該等解決方案需要評估非常大的行為資訊主體(corpus),不動態地產生行為模型,不考慮計算裝置之裝置特定特徵或裝置狀態特定特徵,不智慧地對行為模型中之特徵進行優先級排序,被限制至評估個別應用程式或處理程序,及/或需要在行動裝置中執行計算密集型處理程序。因而,在行動裝置中實施或執行此等現有解決方案可對行動裝置之回應性、效能或功率消耗特性具有顯著之負面及/或使用者可察覺的影響。
舉例而言,計算裝置可經組態以:使用現有之基於機器學習之解決方案來存取及使用訓練資料之大型主體;導出一將特徵向量作為輸入之模型;及使用此模型來判定計算裝置之軟體應用程式是惡意型抑或良性型。然而,此解決方案不產生一完整分類器模型(亦即,強健的資料或行為模型),該完整分類器模型以可供行動裝置使用以快速地產生精實分類器模型之格式或資訊結構(例如,有限狀態機等)來 描述大的行為資訊主體。至少出於此原因,此解決方案不允許行動裝置產生一包括、測試或考慮裝置特定或裝置狀態特定特徵之精實分類器模型。另外,此解決方案不允許行動裝置產生一精實分類器模型,該精實分類器模型根據特徵與分類特定行動裝置(在該特定行動裝置中使用該模型)中之特定行為的相關性來智慧地識別該等特徵或對該等特徵進行優先級排序。出於此等及其他原因,此解決方案無法在不對行動裝置之回應性、效能或功率消耗特性具有顯著之負面或使用者可察覺的影響的情況下由行動裝置處理器使用以快速地且高效地識別、分析或分類複雜的行動裝置行為。
除現有解決方案之上述限制之外,許多行為模型化解決方案還實施「一刀切」方法以將計算裝置之行為模型化,且因此不適合於在行動裝置中使用。亦即,此等解決方案通常產生行為模型,使得該等行為模型為泛用的且可用於許多計算裝置中及/或與多種不同硬體及軟體組態一起使用。因而,此等泛用之行為模型常常包括/測試非常大數目之特徵,該等特徵中之許多特徵與識別、分析或分類特定計算裝置(在該特定計算裝置中實際使用該等行為模型)中之行為不相關(且因此不能用於識別、分析或分類特定計算裝置中之行為)。另外,此等解決方案並不基於特徵與分類特定行動裝置(在該特定行動裝置中使用該模型)中之特定行為的相關性來將相對優先級指派給該等特徵。因此,此等解決方案通常需要計算裝置應用包括大量無組織、經不恰當地優先級排序或不相關之特徵的行為模型。此等模型不適合於在資源受約束之行動裝置中使用,此係因為該等模型可使行動裝置處理器分析對識別行動裝置隨時間的過去而降級之原因或起因無用的大量特徵。因而,此等現有解決方案不適合於在複雜卻又資源受約束之行動裝置中使用。
現代行動裝置為非常可組態及複雜之系統。因而,對判定一特 定行動裝置行為是非良性型(例如,惡意型或效能降級型)最為重要的特徵在每一行動裝置中可為不同的。另外,一不同特徵組合可需要在每一行動裝置中進行監視及/或分析以便使彼行動裝置快速地且高效地判定一特定行為是非良性型。但是,可常常僅使用自特定行動裝置(將在該特定行動裝置中監視或分析行為)獲得之裝置特定資訊來判定需要監視及分析之特徵之精確組合及每一特徵或特徵組合之相對優先級或重要性。出於此等及其他原因,在不同於特定裝置(在該特定裝置中使用行為模型)之任何計算裝置中所產生的行為模型無法包括識別對分類彼裝置中之行為最為重要之特徵之精確組合的資訊。
舉例而言,若第一行動裝置經組態以使用其生物測定感測器(例如,指紋讀取器、語音辨識子系統、視網膜掃描器等)來授權金融交易,則測試與對該等生物測定感測器之存取及使用有關之條件的特徵很可能與判定所觀察到的存取金融軟體之行為在彼行動裝置中是惡意型抑或良性型的過程相關。舉例而言,對第一行動裝置中之生物測定感測器的存取及使用可指示一惡意應用程式正在使用者不知道或不同意的情況下授權金融交易。另一方面,測試與對此等感測器之存取及使用有關之條件的特徵不太可能與判定所觀察到的存取金融軟體之行為在第二行動裝置(其未經組態成使用其生物測定感測器來授權金融交易)中是惡意型抑或良性型的過程相關。亦即,由於第一裝置及第二裝置可在除其使用其生物測定感測器之組態之外的所有態樣均相同(亦即,為相同類型、型號、作業系統、軟體等),所以產生一準確地識別評估兩個裝置之與對生物測定感測器之存取及使用有關之條件的特徵的泛用行為模型將具挑戰性。產生一測試數十萬(或數百萬)個經類似地配備卻又可獨立地組態之行動裝置上之複雜得多的條件或特徵的泛用模型將甚至更具挑戰性。
概言之,各種態樣藉由將網路伺服器及行動裝置組態成彼此結合地工作以高效地識別、分類、模型化、防止及/或校正常常使行動裝置之效能及/或功率利用水準隨時間的過去而降級的條件及/或行動裝置行為來克服當前解決方案之此等限制。網路伺服器可經組態以:自中心資料庫(例如,「雲端」)接收關於各種條件、特徵、行為及校正動作的資訊;及使用此資訊來產生一完整分類器模型(亦即,資料或行為模型),該完整分類器模型以可被行動裝置快速地轉換為一或多個精實分類器模型之格式或結構(例如,有限狀態機等)來描述大的行為資訊主體。
在一態樣中,完整分類器模型可為大的行為資訊主體的有限狀態機描述或表示。在一態樣中,有限狀態機可包括適合於表現為複數個節點、加速決策樹或決策樹樁(stump)(每一者測試一或多個特徵)之資訊。舉例而言,有限狀態機可為一可被表現為一系列加速決策樹樁的資訊結構,該等加速決策樹樁共同地識別、描述、測試或評估與判定一行動裝置行為是良性型抑或促成彼行動裝置之效能隨時間的過去而降級相關的特徵及資料點中之所有或許多特徵及資料點。網路伺服器可接著將完整分類器模型(亦即,包括有限狀態機及/或加速決策樹樁之系列的資訊結構等)發送至行動裝置。
行動裝置可經組態以接收及使用完整分類器模型來產生裝置特定及/或裝置狀態特定之精實分類器模型或具不同等級之複雜性(或「精實性」)之精實分類器模型之系列。為了實現此,行動裝置可剪除或淘汰被包括於自網路伺服器接收之完整分類器模型中的強健的加速決策樹系列(本文中為「完整加速決策樹分類器模型」)以產生一精實分類器模型,該精實分類器模型包括減少之數目之加速決策樹及/或評估有限數目之測試條件或特徵。行動裝置可接著使用此本端地產生之裝置特定及/或裝置狀態特定分類器模型來執行即時行為監視及分 析操作,且識別不合意或使效能降級的行動裝置行為之起因或原因。
藉由產生將大的行為資訊主體描述或表現為有限狀態機、決策節點、決策樹或可加以修改、淘汰、擴充或以其他方式使用以產生精實分類器模型之其他類似之資訊結構的完整分類器模型,各種態樣允許行動裝置快速地、高效地且在不存取訓練資料或另外與網路伺服器、中心資料庫或雲端網路/伺服器通信的情況下產生精實分類器模型。此顯著地減小了行動裝置對網路之依賴性,且改良了行動裝置之效能及功率消耗特性。
另外,藉由在行動裝置中本端地產生精實分類器模型以考慮裝置特定或裝置狀態特定特徵,各種態樣允許行動裝置將其監視操作集中於對識別不合意或破壞效能的行動裝置行為之起因或原因最為重要的特徵或因素。此允許行動裝置在不引起該行動裝置之回應性、效能或功率消耗特性方面之顯著負面或使用者可察覺之改變的情況下識別並回應於不合意或使效能降級的行動裝置行為。
諸多不同蜂巢式及行動通信服務與標準在未來係可用的或預期的,所有該等蜂巢式及行動通信服務與標準可實施各種態樣及受益於各種態樣。此等服務及標準包括(例如)第三代合作夥伴計劃(3GPP)、長期演進(LTE)系統、第三代無線行動通信技術(3G)、第四代無線行動通信技術(4G)、全球行動通信系統(GSM)、通用行動電信系統(UMTS)、3GSM、通用封包無線電服務(GPRS)、分碼多重存取(CDMA)系統(例如,cdmaOne、CDMA1020TM)、GSM演進增強資料速率(EDGE)、進階行動電話系統(AMPS)、數位AMPS(IS-136/TDMA)、演進資料最佳化(EV-DO)、數位增強無線電信(DECT)、微波存取全球互通(WiMAX)、無線區域網路(WLAN)、Wi-Fi保護存取I & II(WPA、WPA2)及整合數位增強網路(iden)。此等技術中之每一者涉及(例如)語音、資料、傳訊及/或內容訊息之傳輸及接收。應理 解,除非在申請專利範圍語言中具體敍述,否則對與個別電信標準或技術有關之術語及/或技術細節的任何參考係僅用於說明性目的且並不意欲將申請專利範圍之範疇限制至特定通信系統或技術。
術語「行動計算裝置」及「行動裝置」在本文中可互換地使用以指以下各者中之任一者或全部:蜂巢式電話、智慧電話、個人或行動多媒體播放器、個人資料助理(PDA)、膝上型電腦、平板電腦、智慧筆記型電腦、輕量級筆記型電腦、掌上型電腦、無線電子郵件接收器、多媒體具網際網路能力之蜂巢式電話、無線遊戲控制器,及包括記憶體、可程式化處理器(對於該可程式化處理器而言,效能係重要的)且由電池供電而操作(使得省電方法有益處)之類似之個人電子裝置。儘管各種態樣對於具有有限資源且依靠電池供電而執行之行動計算裝置(諸如,智慧電話)特別有用,但該等態樣大體上在包括處理器且執行應用程式之任何電子裝置中有用。
大體而言,行動裝置之效能及功率效率隨時間的過去而降級。近年來,防毒公司(例如,McAfee、Symantec等)已開始銷售旨在減緩此降級之行動防毒、防火牆及加密產品。然而,許多此等解決方案依賴於在行動裝置上週期性地執行計算密集型掃描引擎,此可消耗行動裝置之許多處理及電池資源,在延長之時間週期中減緩行動裝置或使行動裝置不能使用及/或以其他方式使使用者體驗降級。另外,此等解決方案通常被限制至偵測已知之病毒及惡意軟體,且未解決常常相組合以促成行動裝置隨時間的過去而降級的多個複雜因素及/或互動(例如,當效能降級並非由病毒或惡意軟體引起時)。出於此等及其他原因,現有之防毒、防火牆及加密產品不提供適當解決方案來識別可促成行動裝置隨時間的過去而降級之眾多因素,防止行動裝置降級或高效地使老化之行動裝置恢復至其原始條件。
行動裝置為具有相對有限之處理、記憶體及能量資源之資源受 約束之系統。現代行動裝置亦為複雜系統,其具有可促成行動裝置之效能及功率利用水準隨時間的過去而降級之各種各樣的因素。可促成效能降級之因素之實例包括拙劣設計之軟體應用程式、惡意軟體、病毒、片斷的記憶體及背景處理程序。歸因於此等因素之數目、多樣性及複雜性,評估可使現代行動裝置之複雜卻又資源受約束之系統之效能及/或功率利用水準降級的所有各種組件、行為、處理程序、操作、條件、狀態或特徵(或其組合)常常係不可行的。因而,使用者、作業系統或應用程式(例如,防毒軟體等)難以準確且高效地識別此等問題之起因。結果,行動裝置使用者當前幾乎不具有用於防止行動裝置之效能及功率利用水準隨時間的過去而降級或用於使老化之行動裝置恢復至其原始之效能及功率利用水準的補救法。
各種態樣亦包括一綜合性行為監視及分析系統,其用於智慧地且高效地識別、防止及/或校正常常使行動裝置之效能及/或功率利用水準隨時間的過去而降級的條件、因素及/或行動裝置行為。在一態樣中,行動裝置之觀察器處理程序、精靈協助程式、模組或子系統(本文中統稱作「模組」)可檢測(instrument)或協調在行動裝置系統之各種層級處的各種應用程式設計介面(API)、暫存器、計數器或其他組件(本文中統稱作「被檢測組件」)。觀察器模組可藉由自被檢測組件收集行為資訊來持續地(或接近持續地)監視行動裝置行為。行動裝置亦可包括一分析器模組,且觀察器模組可將所收集之行為資訊傳達(例如,經由記憶體寫入操作、函式呼叫等)至該分析器模組。分析器模組可接收並使用行為資訊來產生行為向量,基於行為向量來產生空間及/或時間相關,且使用此資訊來判定一特定行動裝置行為、條件、子系統、軟體應用程式或處理程序是非良性型(亦即,惡意型或效能降級型)。行動裝置可接著使用此分析之結果來消除、補救、隔離或以其他方式修復或回應於所識別之問題。
分析器模組亦可經組態以執行即時行為分析操作,該等即時行為分析操作可包括實行、執行資料、演算法、分類器或模型(本文中統稱作「分類器模型」)及/或將資料、演算法、分類器或模型應用至所收集之行為資訊以判定一行動裝置行為是非良性型(例如,惡意型或效能降級型)。每一分類器模型可為一行為模型,其包括可供行動裝置處理器使用以評估行動裝置之行為之特定特徵或態樣的資料及/或資訊結構(例如,特徵向量、行為向量、組件清單等)。每一分類器模型亦可包括用於監視行動裝置中之諸多特徵、因素、資料點、輸入項、API、狀態、條件、行為、應用程式、處理程序、操作、組件等(本文中統稱為「特徵」)的決策準則。分類器模型可被預安裝於行動裝置上,自網路伺服器下載或接收,在行動裝置中產生,或其任何組合。可藉由使用群眾外包(crowd sourcing)解決方案、行為模型化技術、機器學習演算法等來產生分類器模型。
可將每一分類器模型歸類為完整分類器模型或精實分類器模型。完整分類器模型可為經產生作為大型訓練資料集之函數的強健資料模型,其可包括數千個特徵及數十億個輸入項。精實分類器模型可為自精簡資料集產生之較集中之資料模型,其僅包括/測試對於判定一特定行動裝置行為是非良性型(例如,惡意型或效能降級型)最為相關的特徵/輸入項。
如上文所提及,可存在需要分析以恰當地識別行動裝置的降級之原因或起因的數千個特徵/因素及數十億個資料點。因此,可對非常大數目之特徵來訓練分類器模型以便支援所有款式及型號之行動裝置,且使每一行動裝置做出關於一特定行動裝置行為是非良性型(例如,惡意型或效能降級型)的準確決策。但是,由於行動裝置為資源受約束之系統,所以對於行動裝置而言評估所有此等特徵常常係不可行的。此外,行動裝置呈現許多不同組態及種類,但很少有 行動裝置(若有的話)包括可在完整分類器模型中提及之每一特徵或功能性。各種態樣產生精實分類器模型,分析器模組可應用該等精實分類器模型以評估與行動裝置最為相關之特徵之目標子集,從而限制在分類行動裝置行為時使用完整分類模式的情況下原本會執行的測試條件及分析之數目。
各種態樣包括行動裝置及網路伺服器,該等行動裝置及網路伺服器經組態成彼此結合地工作以智慧地且高效地識別與判定一行動裝置行為是非良性型(例如,惡意型或效能降級型)最為相關的特徵、因素及資料點。藉由在行動裝置中本端地產生考慮到裝置特定特徵及/或裝置狀態特定特徵的精實分類器模型,各種態樣允許行動裝置處理器在不引起行動裝置之回應性、效能或功率消耗特性方面之顯著負面或使用者可察覺之改變的情況下應用集中之分類器模型以快速且高效地識別、分析或分類複雜之行動裝置行為(例如,經由觀察器模組及分析器模組等)。
可藉由網路伺服器來產生完整分類器模型,該網路伺服器經組態以自雲端服務/網路接收關於行動裝置行為及在彼等行為期間或特徵化彼等行為的狀態、特徵及條件的大量資訊。此資訊可呈行動裝置行為向量之非常大的雲端主體的形式。網路伺服器可使用此資訊來產生一準確地描述行為向量之非常大雲端主體的完整分類器模型(亦即,強健資料/行為模型)。網路伺服器可產生完整分類器模型以包括可促成諸多不同款式、型號及組態的行動裝置中之任一者隨時間的過去而降級的特徵、資料點及/或因素中之所有或大部分特徵、資料點及/或因素。
在一態樣中,網路伺服器可產生完整分類器模型以包括有限狀態機表現或表示,諸如可被快速且高效地淘汰、修改或轉換為適合於在行動裝置處理器中使用或執行之精實分類器模型的一加速決策樹/ 樹樁或加速決策樹/樹樁之系列。該有限狀態機表現或表示可為一包括測試條件、狀態資訊、狀態轉變規則及其他類似資訊的資訊結構。在一態樣中,有限狀態機表現或表示可為一包括大型或強健的加速決策樹樁系列的資訊結構,該等加速決策樹樁中之每一者評估或測試一行動裝置行為之特徵、條件或態樣。
行動裝置可經組態以:自網路伺服器接收完整分類器模型;及使用所接收之完整分類器模型來產生特定用於行動裝置之特徵及功能性的精實分類器模型(亦即,資料/行為模型)。
在各種態樣中,行動裝置可使用行為模型化及機器學習技術來智慧地且動態地產生精實分類器模型,使得該等精實分類器模型:考慮到行動裝置之裝置特定及/或裝置狀態特定特徵(例如,與行動裝置組態、功能性、所連接/所包括硬體等相關的特徵);包括、測試或評估經判定為對於識別行動裝置隨時間的過去而降級之原因或起因重要的特徵之集中且目標子集;及/或基於識別特徵對於成功地分類特定行動裝置(在該特定行動裝置中使用/評估該等特徵)中之行為之相對重要性的機率或信賴度值來對特徵之目標子集進行優先級排序。
藉由在行動裝置(在該行動裝置中使用分類器模型)中產生分類器模型,各種態樣允許行動裝置準確地識別在判定彼特定行動裝置上之行為是良性型抑或促成彼裝置效能降級的過程中最為重要的特定特徵。此等態樣亦允許行動裝置根據精實分類器模型中之特徵對分類彼特定行動裝置中之行為的相對重要性來準確地對該等特徵進行優先級排序。
裝置特定或裝置狀態特定資訊之使用允許行動裝置快速地識別應被包括於精實分類器模型中之特徵且對該等特徵進行優先級排序,以及識別應自精實分類器模型排除之特徵。舉例而言,行動裝置可經組態以識別被包括於完整模型中之特徵/節點/樹/樹樁且自精實分類器 模型排除該等特徵/節點/樹/樹樁,該等特徵/節點/樹/樹樁測試基於行動裝置之特定特徵集合而不存在於或不能存在於該行動裝置中的條件且因此與該行動裝置不相關。舉例而言,不包括生物測定感測器之行動裝置可自精實分類器模型排除測試或評估與生物測定感測器之使用有關之條件的所有特徵/節點/樹樁。
另外,由於精實分類器模型包括必須加以評估之狀態、特徵、行為或條件之精簡子集(亦即,與完整分類器模型相比較),所以觀察器模組及/或分析器模組可在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下使用精實分類器模型來快速地且準確地判定一行動裝置行為是非良性型(例如,惡意型或效能降級型)。
在一態樣中,行動裝置可經組態以使用完整分類器模型來產生具不同等級的複雜性(或「精實性」)的精實分類器模型之系列。可常規地應用精實分類器模型之最精實系列(亦即,基於最少數目之測試條件的精實分類器模型)直至遇到該模型不能歸類為良性型抑或惡意型(且因此由該模型歸類為可疑型)的行為為止,此時,可應用較強健(亦即,較不精實)之精實分類器模型以嘗試將該行為歸類為良性型抑或惡意型。可應用所產生之精實分類器模型之系列內的愈發強健之精實分類器模型直至達成對行為之明確分類為止。以此方式,觀察器模組及/或分析器模組可藉由將對最完全但為資源密集之精實分類器模型的使用限制至需要強健分類器模型來明確地分類一行為的彼等情形而在效率與準確度之間達到平衡。
在各種態樣中,行動裝置可經組態以藉由以下步驟來產生一或多個精實分類器模型:將有限狀態機表示/表現轉換為加速決策樹樁;基於行動裝置特定狀態、特徵、行為、條件或組態來剪除或淘汰該組完整之加速決策樹樁以包括被包括於完整分類器模型中之加速決策樹樁之一或多個子集;及使用加速決策樹樁之該一或多個子集來智 慧地監視、分析及/或分類一行動裝置行為。
加速決策樹樁之使用允許觀察器模組及/或分析器模組在不與雲端或網路通信的情況下產生及應用精實資料模型以重新訓練資料,此舉顯著地減少行動裝置對網路伺服器及雲端的依賴性。此消除了行動裝置與網路伺服器之間的反饋通信,從而進一步改良了行動裝置之效能及功率消耗特性。
加速決策樹樁為具有正好一個節點(及因此一個測試問題或測試條件)及一權值之一級決策樹,且因此非常適合於用於資料/行為之二進位分類中。亦即,將行為向量應用至加速決策樹樁產生了二進位回答(例如,是或否)。舉例而言,若由加速決策樹樁所測試的問題/條件為「簡訊服務(SMS)傳輸之頻率小於每分鐘x次?」,則將值「3」應用至加速決策樹樁將產生「是」回答(對於「小於3次」SMS傳輸而言)抑或「否」回答(對於「3或大於3次」SMS傳輸而言)。
加速決策樹樁係高效的,此係因為其非常簡單且原始(且因此不需要顯著之處理資源)。加速決策樹樁亦為非常可並行化的,且因此可並行/同時應用或測試許多樹樁(例如,藉由行動裝置中之多個核心或處理器)。
如下文所描述,網路伺服器(或另一計算裝置)可自行動裝置行為之另一更複雜模型(諸如,加速決策樹模型)產生一加速決策樹樁型完整分類器模型。此等複雜模型可使特徵化尖端分類系統中的行動裝置行為的裝置狀態、操作及受監視節點間的互動之完整(或接近完整)集合相關。如上文所提及,伺服器或其他計算裝置可藉由應用機器學習技術以產生描述自大量行動裝置收集之行動裝置行為向量之雲端主體的模型來產生一完整、複雜之分類器模型。作為一實例,加速決策樹分類器模型可追蹤穿過可測試條件之決策節點而實現對一當前行動裝置行為是惡意型抑或良性型之判定的數百條路徑。可使用許多已知之 學習及相關模型化技術在伺服器中產生此等複雜模型。儘管此等複雜模型可藉由向來自成百上千個行動裝置之資料學習而在準確地辨識惡意行為方面變得非常有效,但將該等複雜模型應用至一特定行動裝置之組態及行為可需要顯著處理(尤其係在模型涉及複雜、多級決策樹的情況下)。由於行動裝置通常在資源方面受限制,所以使用此等模型可影響裝置效能及電池壽命。
為了提供更有助於供行動裝置使用之強健分類器模型,伺服器(例如,雲端伺服器或網路伺服器)或另一計算裝置(例如,行動裝置或將耦接至行動裝置之電腦)可將複雜之分類器模型變換為大型加速決策樹樁模型。決策樹樁中所涉及之較簡單判定及在並行處理程序中應用此等分類器模型的能力可使得行動裝置能夠更好地受益於由網路伺服器執行之分析。又,如下文所論述,可由行動裝置使用加速決策樹樁完整分類器模型來產生一精實分類器模型以基於裝置特定或裝置狀態特定資訊而包括(或排除)特徵。此可藉由組態行動裝置處理器以執行下文所描述之態樣方法來實現。
在另外之態樣中,行動裝置可包括各種組件,該等組件經組態以將特定針對行動裝置或行動裝置之當前狀態的特徵併入至用以偵測行動裝置上之惡意行為的一精實分類器模型或一組精實分類器模型中。
在一態樣中,行動裝置可經組態以產生一精實分類器模型以包括被包括於完整分類器模型中之分類器準則之子集,且僅包括對應於與行動裝置組態、功能性及所連接/所包括硬體相關之特徵的彼等分類器準則。行動裝置可使用此(等)精實分類器模型來僅監視存在的或與裝置相關的彼等特徵及功能。行動裝置可接著週期性地修改或重新產生該(等)精實分類器模型以基於行動裝置之當前狀態及組態來包括或移除各種特徵及對應之分類器準則。
作為一實例且在一態樣中,操作於行動裝置上之行為分析器模組可接收一大型加速決策樹樁分類器模型(其中決策樹樁與行為模型之一完整特徵集合相關聯),且該行為分析器模組可藉由以下步驟而自大型分類器模型導出一或多個精實分類器模型:僅選擇來自該(等)大型分類器模型的與行動裝置之當前組態、功能性、操作狀態及/或所連接/所包括硬體相關的特徵;及將對應於該等所選特徵之加速決策樹樁之子集包括於精實分類器模型中。在此態樣中,對應於與行動裝置相關之特徵的分類器準則可為被包括於大型分類器模型中的測試所選特徵中之至少一者的彼等加速決策樹樁。在一態樣中,行為分析器模組可接著週期性地修改或重新產生加速決策樹樁精實分類器模型以基於行動裝置之當前狀態及組態而包括或移除各種特徵,使得精實分類器模型繼續包括裝置特定特徵加速決策樹樁。
在一態樣中,操作於行動計算裝置上之裝置狀態監視引擎可持續地監視行動裝置以發現行動裝置之組態及/或狀態的改變。在另外之態樣中,裝置狀態監視引擎可尋找可能影響行為分析器模組(或分類器模組)偵測惡意行為之效能或有效性的組態及/或狀態改變。舉例而言,裝置狀態監視引擎可監視行動裝置之行為直至偵測到「低電池狀態」為止,此時行為分析器模組可改變精實分類器模型以分析行動裝置上之較少特徵來發現惡意行為,以便節省能量。
在另一態樣中,當裝置狀態監視引擎偵測到狀態改變時,該裝置狀態監視引擎可通知裝置狀態特定特徵產生器,且裝置狀態特定特徵產生器可向行為分析器模組傳訊以基於行動裝置之狀態改變而添加或移除某些特徵。
在另一態樣中,行動裝置可包括一經組態以判定與行動裝置自身有關之特徵的裝置特定特徵產生器。舉例而言,裝置特定特徵產生器可判定行動裝置包括近場通信、Wi-Fi及Bluetooth®能力。在另外之 態樣中,裝置特定特徵產生器可向行為分析器傳訊以基於與行動裝置自身有關之特徵而在精實分類器模型中包括或移除特徵。因此,行動裝置上之各種組件可修改精實分類器模型以反映特定針對行動裝置之組態及/或行動裝置之當前狀態的特徵,此可使得各種組件能夠藉由基於行動裝置之當前狀態對受監視之特徵進行優先級排序來更好地偵測惡意行為或改良行動裝置之總效能。
如上文所提及,可由行動裝置處理以產生用於監視行為之精實分類器模型的一種類型之大型分類器模型之一個實例為加速決策樹樁分類器模型。在以下之詳細描述中,可參考加速決策樹樁分類器模型;然而,除非技術方案明確敍述加速決策樹樁分類器模型,否則此等參考係用於實例目的,且並不意欲限制申請專利範圍之範疇。
可將各種態樣實施於多種通信系統(諸如,圖1中所說明之實例通信系統100)內。典型蜂巢式電話網路104包括耦接至網路操作中心108之複數個蜂巢式基地台106,該網路操作中心108操作以連接行動裝置102(例如,蜂巢式電話、膝上型電腦、平板電腦等)與其他網路目的地之間的語音通話及資料(諸如,經由電話陸線(例如,POTS網路,未圖示)及網際網路110)。可經由雙向無線通信鏈路112(諸如,4G、3G、CDMA、TDMA、LTE及/或其他蜂巢式電話通信技術)來實現行動裝置102與電話網路104之間的通信。電話網路104亦可包括耦接至網路操作中心108或位於網路操作中心108內之一或多個伺服器114,該一或多個伺服器114提供至網際網路110之連接。
通信系統100可另外包括連接至電話網路104及網際網路110之網路伺服器116。網路伺服器116與電話網路104之間的連接可經由網際網路110或經由專用網路(如由虛線箭頭說明)來達成。亦可將網路伺服器116實施為雲端服務提供者網路118之網路基礎架構內的伺服器。可經由電話網路104、網際網路110、專用網路(未說明)或其任何組合 來達成網路伺服器116與行動裝置102之間的通信。
網路伺服器116可將完整分類器模型發送至行動裝置102,該行動裝置102可接收及使用完整分類器模型以識別可疑型或效能降級型行動裝置行為、軟體應用程式、處理程序等。網路伺服器116亦可將分類及模型化資訊發送至行動裝置102以代替、更新、建立及/或維持行動裝置分類模型。行動裝置102可接收及使用完整分類器模型以產生適合於用於識別可疑型或效能降級型行動裝置行為、軟體應用程式、處理程序等之精實分類器模型。網路伺服器116亦可將分類及模型化資訊發送至行動裝置102以代替、更新、建立及/或維持行動裝置資料/行為模型。
在一態樣中,行動裝置102可經組態以使用所收集之行為、狀態、分類、模型化、成功率及/或統計資訊來產生、更新或改進精實分類器模型(或資料/行為模型),該等精實分類器模型包括行動裝置102中之特徵之另一目標及/或精簡的子集。此減少了行動裝置與網路伺服器116之間的反饋通信量,且改良了行動裝置102之效能及功率消耗特性。
圖2說明態樣行動裝置102中之實例邏輯組件及資訊流,該行動裝置102經組態以判定一特定行動裝置行為、軟體應用程式或處理程序是惡意型/效能降級型、可疑型抑或良性型。在圖2中所說明之實例中,行動裝置102包括行為觀察器模組202、行為分析器模組204、分類器模組208及致動器模組210。在一態樣中,可將分類器模組208實施為行為分析器模組204之部分。在一態樣中,行為分析器模組204可經組態以產生一或多個分類器模組208,該一或多個分類器模組208中之每一者可包括一或多個分類器。
可將模組202至210中之每一者實施於軟體、硬體或其任何組合中。在各種態樣中,可將模組202至210實施於作業系統之部分內(例 如,在內核內、在內核空間中、在使用者空間中等)、分開之程式或應用程式內、特殊化硬體緩衝器或處理器中,或其任何組合。在一態樣中,可將模組202至210中之一或多者實施為執行於行動裝置102之一或多個處理器上的軟體指令。
行為觀察器模組202可經組態以檢測或協調在行動裝置之各種層級/模組處的應用程式設計介面(API),且經由經檢測API來監視/觀察在各種層級/模組處的行動裝置操作及事件(例如,系統事件、狀態改變等)、收集關於所觀察到之操作/事件之資訊、智慧地過濾所收集之資訊、基於經過濾之資訊來產生一或多個觀察及將所產生之觀察儲存於記憶體中(例如,在記錄檔案等中)及/或將所產生之觀察發送(例如,經由記憶體寫入、函式呼叫等)至行為分析器模組204。
行為觀察器模組202可藉由收集關於以下各者之資訊來監視/觀察行動裝置操作及事件:應用程式構架或執行階段程式庫中之程式庫應用程式設計介面(API)呼叫、系統呼叫API、檔案系統及網路連接子系統操作、裝置(包括感測器裝置)狀態改變及其他類似之事件。行為觀察器模組202亦可監視檔案系統活動,其可包括搜尋檔案名、檔案存取之類別(個人資訊或普通資料檔案)、建立或刪除檔案(例如,類型exe、zip等)、檔案讀取/寫入/搜尋操作、改變檔案權限等。
行為觀察器模組202亦可監視資料網路活動,其可包括連接類型、協定、埠號、裝置所連接至之伺服器/用戶端、連接數目、通信之量或頻率等。行為觀察器模組202可監視電話網路活動,其可包括監視被發出、接收或截獲之通話或訊息(例如,SMS等)的類型及數目(例如,所撥打之高階電話的數目)。
行為觀察器模組202亦可監視系統資源使用率,其可包括監視分支(fork)之數目、記憶體存取操作、開啟之檔案的數目等。行為觀察器模組202可監視行動裝置之狀態,其可包括監視各種因素,諸如顯 示器是接通抑或關斷、裝置被鎖定抑或被解鎖、剩餘之電池電量、相機狀態等。行為觀察器模組202亦可藉由(例如)監視對關鍵性服務(瀏覽器、合同提供者等)之意圖、處理程序間通信之程度、快顯視窗等來監視處理程序間通信(IPC)。
行為觀察器模組202亦可監視/觀察驅動程式統計資料及/或一或多個硬體組件之態勢,該一或多個硬體組件可包括相機、感測器、電子顯示器、WiFi通信組件、資料控制器、記憶體控制器、系統控制器、存取埠、計時器、周邊裝置、無線通信組件、外部記憶體晶片、電壓調節器、振盪器、鎖相迴路、周邊橋接器及用以支援執行於行動計算裝置上之處理器及用戶端的其他類似組件。
行為觀察器模組202亦可監視/觀察一或多個硬體計數器,該一或多個硬體計數器表示行動計算裝置及/或行動裝置子系統之狀態或態勢。硬體計數器可包括處理器/核心之專用暫存器,該專用暫存器經組態以儲存發生於行動計算裝置中之與硬體有關之活動或事件的計數或狀態。
行為觀察器模組202亦可監視/觀察以下各者之動作或操作:軟體應用程式、自應用程式下載伺服器(例如,Apple® App Store伺服器)之軟體下載、由軟體應用程式使用之行動裝置資訊、通話資訊、文字訊息傳遞資訊(例如,SendSMS、BlockSMS、ReadSMS等)、媒體訊息傳遞資訊(例如,ReceiveMMS)、使用者帳戶資訊、位置資訊、相機資訊、加速計資訊、瀏覽器資訊、基於瀏覽器之通信之內容、基於語音之通信之內容、短程無線電通信(例如,Bluetooth®、WiFi等)、基於文字之通信之內容、所記錄之音訊檔案之內容、電話簿或聯繫人資訊、聯繫人清單等。
行為觀察器模組202可監視/觀察行動裝置之傳輸或通信,其包括包括以下各者之通信:語音郵件(VoiceMailComm)、裝置識別符 (DeviceIDComm)、使用者帳戶資訊(UserAccountComm)、日曆資訊(CalendarComm)、位置資訊(LocationComm)、所記錄之音訊資訊(RecordAudioComm)、加速計資訊(AccelerometerComm)等。
行為觀察器模組202可監視/觀察對羅盤資訊、行動裝置設定、電池壽命、陀螺儀資訊、壓力感測器、磁體感測器、螢幕活動等之使用及更新/改變。行為觀察器模組202可監視/觀察被傳達至軟體應用程式及自軟體應用程式傳達之通知(AppNotifications)、應用程式更新等。行為觀察器模組202可監視/觀察關於第一軟體應用程式請求下載及/或安裝第二軟體應用程式的條件或事件。行為觀察器模組202可監視/觀察關於使用者驗證之條件或事件(諸如,密碼之鍵入等)。
行為觀察器模組202亦可監視/觀察在行動裝置之多個層級(包括應用程式層級、無線電層級及感測器層級)處之條件或事件。應用程式層級觀察可包括:經由面部辨識軟體來觀察使用者、觀察社交串流(social stream)、觀察由使用者鍵入之筆記、觀察關於PassBook/Google Wallet/Paypal之使用的事件等。應用程式層級觀察亦可包括觀察關於虛擬專用網路(VPN)之使用的事件,及關於同步、語音搜尋、語音控制(例如,藉由說一個詞來鎖定/解鎖電話)、語言翻譯器、供計算之資料的卸載、視訊串流傳輸、在無使用者活動之情況下的相機使用、在無使用者活動之情況下的麥克風使用等的事件。
無線電層級觀察可包括判定以下各者中之任何一或多者的出現、存在或量:在建立無線電通信鏈路或傳輸資訊之前使用者與行動裝置之互動、雙/多用戶身分模組(SIM)卡、網際網路無線電、行動電話系留、卸載供計算之資料、裝置狀態通信、作為遊戲控制器或家用控制器之使用、車輛通信、行動裝置同步等。無線電層級觀察亦可包括監視用於定位、對等式(p2p)通信、同步、車輛至車輛通信及/或機器至機器(m2m)之無線電(WiFi、WiMax、Bluetooth®等)的使用。無線 電層級觀察可另外包括監視網路訊務使用率、統計資料或設定檔。
感測器層級觀察可包括監視磁體感測器或其他感測器以判定行動裝置之使用及/或外部環境。舉例而言,行動裝置處理器可經組態以判定電話是在護套中(例如,經由經組態以感測護套內之磁體的磁體感測器)抑或在使用者口袋中(例如,經由由相機或光感測器偵測到之光的量)。偵測到行動裝置是在護套中可與辨識可疑行為相關,例如,因為當行動裝置被放入護套中時發生與使用者之有效使用有關的活動及功能(例如,拍攝照片或視訊、發送訊息、進行語音通話、記錄聲音等)可為有惡意之處理程序在裝置上執行(例如,以追蹤或暗中監視使用者)的徵兆。
與使用或外部環境有關之感測器層級觀察的其他實例可包括:偵測近場通信(NFC);收集來自信用卡掃描器、條碼掃描器或行動標籤讀取器之資訊;偵測通用串列匯流排(USB)充電源之存在;偵測到鍵盤或輔助裝置已耦接至行動裝置;偵測到行動裝置已耦接至計算裝置(例如,經由USB等);判定LED、閃光、閃光燈或光源是否已被修改或停用(例如,惡意地停用緊急傳訊應用程式等);偵測到揚聲器或麥克風已被接通或通電;偵測充電或供電事件;偵測到行動裝置正被用作遊戲控制器,等。感測器層級觀察亦可包括收集來自醫學或保健感測器或來自掃描使用者身體的資訊、收集來自被塞至USB/音訊插孔中之外部感測器的資訊、收集來自觸感或觸覺感測器之資訊(例如,經由振動器介面等)、收集關於行動裝置之熱狀態的資訊,等。
為了將受監視之因素的數目減小至一可管理水準,在一態樣中,行為觀察器模組202可藉由監視/觀察一組初始之行為或因素來執行粗略觀察,該等行為或因素為可促成行動裝置降級之所有因素之小子集。在一態樣中,行為觀察器模組202可自網路伺服器116及/或雲端服務或網路118中之組件接收該組初始行為及/或因素。在一態樣 中,可在自網路伺服器116或雲端服務/網路118接收之資料/行為模型中指定該組初始之行為/因素。在一態樣中,可在精簡特徵模型(RFM)中指定該組初始之行為/因素。
行為分析器模組204及/或分類器模組208可自行為觀察器模組202接收觀察、將所接收之資訊(亦即,觀察)與自外部模組接收之內容脈絡資訊相比較,及識別與所接收之觀察相關聯的正促成(或很可能促成)裝置隨時間的過去而降級或可以其他方式引起裝置上之問題的子系統、處理程序及/或應用程式。
在一態樣中,行為分析器模組204及/或分類器模組208可包括用於利用一組有限之資訊(亦即,粗略觀察)來識別正促成(或很可能促成)裝置隨時間的過去而降級或可以其他方式引起裝置上之問題之行為、處理程序或程式的智慧。舉例而言,行為分析器模組204可經組態以分析自各種模組(例如,行為觀察器模組202、外部模組等)收集之資訊(例如,呈觀察之形式)、學習行動裝置之正常操作行為,及基於比較之結果來產生一或多個行為向量。行為分析器模組204可將所產生之行為向量發送至分類器模組208以供進一步分析。
分類器模組208可接收該等行為向量且將其與一或多個行為模組相比較以判定一特定行動裝置行為、軟體應用程式或處理程序是效能降級型/惡意型、良性型抑或可疑型。
當分類器模組208判定一行為、軟體應用程式或處理程序為惡意型或效能降級型時,分類器模組208可通知致動器模組210,該致動器模組210可執行各種動作或操作以校正經判定為惡意型或效能降級型的行動裝置行為及/或執行操作以消除、補救、隔離或以其他方式修復所識別之問題。
當分類器模組208判定一行為、軟體應用程式或處理程序為可疑型時,分類器模組208可通知行為觀察器模組202,該行為觀察器模組 202可調整其觀察之粒度(亦即,觀察行動裝置行為的詳細級別)及/或基於自分類器模組208接收之資訊(例如,即時分析操作之結果)來改變所觀察到之行為、產生或收集新的或額外之行為資訊及將該新的/額外資訊發送至行為分析器模組204及/或分類器模組208以供進一步分析/分類。行為觀察器模組202與分類器模組208之間的此反饋通信使得行動裝置102能夠遞歸地增加觀察之粒度(亦即,進行較精細或較詳細之觀察)或改變所觀察到之特徵/行為直至識別可疑型或效能降級型行動裝置行為之起因為止、直至達到處理或電池消耗臨限為止,或直至行動裝置處理器判定不能自觀察粒度之進一步增加來識別可疑型或效能降級型行動裝置行為之起因為止。此反饋通信亦使得行動裝置102能夠在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下在行動裝置中本端地調整或修改資料/行為模型。
在一態樣中,行為觀察器模組202及行為分析器模組204可提供(個別地抑或共同地)對計算系統之行為的即時行為分析以自有限及粗略之觀察識別可疑型行為、動態地判定待更詳細地觀察之行為,及動態地判定進行該等觀察所需的詳細程度。以此方式,行為觀察器模組202使得行動裝置102能夠在不需要裝置上之大量處理器、記憶體或電池資源的情況下高效地識別問題並防止在行動裝置上發生該等問題。
圖3說明態樣系統300中之實例組件及資訊流,該系統300包括行動裝置102,該行動裝置102經組態以結合網路伺服器116來工作從而在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下智慧地且高效地識別行動裝置102上之有惡意或拙劣地撰寫之軟體應用程式及/或可疑型或效能降級型行動裝置行為。
在圖3中所說明之實例中,網路伺服器116包括雲端模組302、模型產生器304模組及訓練資料模組306。行動裝置102包括行為觀察器模組202、分析器模組204、致動器模組210、狀態監視引擎312、狀態 特定特徵產生器314、裝置特定特徵產生器316及裝置特徵監視引擎318。在各種態樣中,可包括以下各者或可將以下各者實施為行為分析器模組204之部分或分類器模組208(圖3中未說明)之部分:狀態監視引擎312、狀態特定特徵產生器314、裝置特定特徵產生器316及/或裝置特徵監視引擎318。
雲端模組302可經組態以自雲端服務/網路118接收大量資訊,該資訊包括可促成行動裝置隨時間的過去而降級之特徵、資料點及/或因素中之所有或大部分特徵、資料點及/或因素。
模型產生器304可使用在雲端模組302中所接收之資訊及訓練資料(例如,經由訓練資料模組306)來產生一完整或強健分類器模型,該完整或強健分類器模型包括或識別可促成行動裝置隨時間的過去而降級之特徵、資料點及/或因素中之所有或大部分特徵、資料點及/或因素。
在各種態樣中,網路伺服器116可經組態以藉由實行、執行機器學習及/或內容脈絡模型化技術及/或將機器學習及/或內容脈絡模型化技術應用至行為資訊及/或由許多行動裝置提供之行為分析之結果或自雲端服務/網路118接收之其他資訊來產生完整分類器模型。因此,網路伺服器116可自許多行動裝置接收大量報告且分析、合併此群眾外包之資訊或以其他方式將此群眾外包之資訊變成可用資訊(尤其係可供所有行動裝置使用或存取的行為模型)。網路伺服器116可在自行動裝置接收到新的行為/分析報告時持續地重新評估現有之行為模型,及/或基於歷史資訊(例如,自先前執行所收集、行為模型之先前應用等)、新資訊、機器學習、內容脈絡模型化及在可用資訊、行動裝置狀態、環境條件、網路條件、行動裝置效能、電池消耗級別等方面之所偵測到之改變來產生新的或更新之行為模型。
在一態樣中,模型產生器304可產生完整分類器模型以包括有限 狀態機表示,諸如可被快速地且高效地淘汰、修改或被轉換為適合於在行動裝置處理器中使用或執行之精實分類器模型的加速決策樹樁或加速決策樹樁之系列。該有限狀態機表現或表示可為一包括測試條件、狀態資訊、狀態轉變規則及其他類似之資訊的資訊結構。在一態樣中,有限狀態機表現或表示可為一包括加速決策樹樁之大型或強健系列的資訊結構,該等加速決策樹樁中之每一者評估或測試一行動裝置行為之條件、特徵、因素或態樣。
模型產生器304模組可將完整分類器模組發送至行動裝置102,該行動裝置102可經組態以基於在雲端模組302中所產生之完整模型來產生精實資料/行為模型。在一態樣中,行動裝置102可經組態以使用完整分類器模型來產生具不同等級之複雜性(或「精實性」)之精實分類器模型之系列。
在一態樣中,產生精實資料/行為模型可包括產生一或多個精簡特徵模型(RFM),該一或多個RFM包括被包括於在網路伺服器112中所產生之完整模型中的特徵及資料點之子集。在一態樣中,行動裝置可產生一精實資料/行為模型,該精實資料/行為模型包括一初始特徵集合(例如,初始精簡特徵模型),該初始特徵集合包括經判定為具有使得行為分析器模組204能夠結論性地判定一特定行動裝置行為是良性型抑或惡意型/效能降級型之最高機率的資訊。
在一態樣中,行動裝置102可經組態以淘汰被包括於自網路伺服器112接收之完整分類器模型中的加速決策樹樁之系列,從而產生一精實分類器模型,該精實分類器模型包括減少之數目之加速決策樹樁及/或評估有限數目之測試條件。可藉由以下步驟來實現對完整加速決策樹樁分類器模型的此淘汰:選擇一加速決策樹樁;識別與所選之決策樹樁取決於相同之行動裝置特定狀態、特徵、行為或條件(及因此可基於一個判定結果加以應用)的所有其他加速決策樹樁;將取決 於相同之行動裝置特定狀態、特徵、行為或條件的所選之加速決策樹樁及所有所識別之其他加速決策樹樁包括於精實分類器模型中;及針對尚未被包括於精實分類器模型中的有限數目之所選之加速決策樹樁而重複該處理程序。以此方式,可產生一包括取決於有限數目之不同行動裝置特定狀態、特徵、行為或條件之所有加速決策樹樁的精實分類器模型。行動裝置可接著在不消耗其過多量之處理、記憶體或能量資源的情況下使用此本端地產生之精實分類器模型來快速地分類行動裝置行為。
加速決策樹樁為具有正好一個節點(及因此一個測試問題或測試條件)及一權值之一級決策樹,且因此非常適合於用於資料/行為之二進位分類中。亦即,將行為向量應用至加速決策樹樁產生了二進位回答(例如,是或否)。舉例而言,若由加速決策樹樁所測試的問題/條件為「SMS傳輸之頻率小於每分鐘x次?」,則將值「3」應用至加速決策樹樁將產生「是」回答(對於「小於3次」SMS傳輸而言)抑或「否」回答(對於「3或大於3次」SMS傳輸而言)。
樹樁係高效的,因為其非常簡單且係原始的(及因此不需要顯著之處理資源)。樹樁亦為非常可並行化的,且因此可並行/同時應用許多樹樁(例如,藉由行動裝置中之多個核心或處理器)。
在一態樣中,行動裝置102之行為分析器模組204可在不存取網路伺服器116上之訓練資料(例如,來自訓練資料模組306)的情況下以決策樹樁之形式產生精實分類器模型,藉此消除對行動裝置102與網路伺服器116之間的反饋通信的需求。換言之,行為分析器模組204可在不與雲端或網路通信以重新訓練資料的情況下產生及應用精實分類器模型,此顯著地減少了行動裝置對雲端的依賴性(及因此改良了行動裝置之效能及功率消耗特性)。行為分析器模組204亦可使用加速決策樹樁來分類計算裝置行為以識別惡意軟體或惡意行為。
在一態樣中,行動裝置可經組態以執行「聯合特徵選擇及剪除」操作,該等操作允許行動裝置:在無需存取雲端訓練資料的情況下在運作中產生精實分類器模型、每應用程式動態地重新組態該等分類器以增強分類準確度,及指定每一分類器之判定複雜性(例如,O(樹樁之數目))。
在一態樣中,「聯合特徵選擇及剪除」操作可包括執行特徵選擇操作。舉例而言,行為分析器模組204可判定其需要產生一測試2個獨特特徵(例如,F1及F3)之精實分類器模型,在該狀況下,特徵選擇操作可包括周遊100個加速決策樹樁之清單直至發現最初2個獨特特徵(例如,F1及F3)為止。
行為分析器模組204可接著僅測試由特徵選擇操作所識別之特徵(例如,F1及F3),此可藉由周遊100個加速決策樹樁之整個清單且刪除測試一不同特徵/條件(例如,F5)之任何樹樁來實現。可在不重新訓練資料的情況下將剩餘之加速決策樹樁(亦即,測試條件「F1」及「F3」之樹樁)用作精實分類器模型。行為分析器模組204可將行為資訊(例如,呈行為向量之形式)應用至剩餘之加速決策樹樁中之每一者、計算自剩餘樹樁接收之所有回答的加權平均值,及使用該加權平均值來判定行動裝置行為是惡意型抑或良性型。
一旦已經由特徵選擇及剪除處理程序產生了加速決策樹樁,行為分析器模組204便可將所選之決策樹樁用作一行為模型,行為分析器模組204可將該行為模型與當前裝置狀態、設定及行為相比較。由於決策樹樁為獨立之二進位測試,所以行為分析器模組204可並行地執行將所觀察到之行為(其可被概述於行為向量中)與模型相比較的行為分析處理程序。又,由於樹樁非常簡單(基本上為二進位),所以用以執行每一樹樁之處理可非常簡單且因此可以較少之處理額外耗用而快速地實現。由於每一決策樹樁產生具有權值之回答,所以可將行為 分析器模組204之關於行為是惡意型抑或良性型的最終決策判定為所有結果之加權總和,其亦可為一簡單計算。
因此,在一態樣中,行為分析器模組204可自行動裝置102上之正在進行之行為的觀察(自行為觀察器模組202接收)而產生一行為向量,且行為分析器模組204可將該行為向量應用至加速決策樹樁以判定行動裝置102上之正在進行之行為是惡意型抑或良性型。
在另外之態樣中,行為分析器模組204可修改由於執行聯合特徵選擇及剪除操作所產生之精實分類器模型以併有特定針對行動裝置102及/或特定針對行動裝置102之當前狀態/組態的特徵。在一態樣中,行為分析器模組204自大型分類器模型(自網路伺服器116接收)產生之精實分類器模型可不充分地表示行動裝置102之特徵及當前行為。舉例而言,自網路伺服器116接收之大型分類器模型可僅包括與近場通信有關之少量行為向量/模型,因此若行為分析器模組204在不顧被包括於行動裝置上之特徵的情況下產生精實分類器模型,則其可能會省略與近場通信有關之少數特徵。然而,考慮到近場通信在實行某些金融交易(例如,Google Wallet)中之重要性,可十分需要將近場通信特徵包括於精實分類器模型中以便偵測可具有顯著金融意義之惡意活動(例如,將信用卡資訊發送至駭客)。作為另一實例,若行動裝置102連接至不安全之無線存取點,則由於未授權存取或其他惡意活動之風險增加,行動裝置可受益於對Wi-Fi行為之增加之警惕性。各種態樣藉由在將全域模型剪除直至用以監視行動裝置行為及狀態之精實分類器模型時考慮被包括於行動裝置上或連接至行動裝置之所有特徵及功能來解決此等顧慮。
另外,若精實分類器模型包括不再與行動裝置102相關之特徵(歸因於行動裝置102之組態或狀態改變),則該模型監視惡意行為之有效性可變得低於原本可能的程度。舉例而言,若行動裝置被置於「飛航 模式」,從而切斷無線連接,則與數據機活動及訊息傳輸有關之特徵變得不相關。作為另一實例,若WiFi收發器被停用,則與WiFi通信活動有關之特徵變得不相關。
在一態樣中,藉由在行動裝置之狀態及組態發生改變及演進時修改或更新自大型分類器模型導出之精實分類器模型,行為分析器模組204可確保與行動裝置及/或行動裝置之當前狀態有關的重要特徵被包括於精實分類器模型中,而不相關特徵被移除。藉由包括重要特徵,行為分析器模組204可以較高信賴度來偵測惡意行為,因為行動裝置之更多相關特徵正受監視。
行為分析器模組204可自操作於行動裝置102上之狀態特定特徵產生器314及/或裝置特定特徵產生器316獲悉待添加至精實分類器模型或自其移除之特徵。在一態樣中,狀態特定特徵產生器314及/或裝置特定特徵產生器316可被分開地實施或實施為行為分析器模組204之一部分。
在一態樣中,狀態特定特徵產生器314可與狀態監視引擎318通信。狀態監視引擎318可持續地監視行動裝置102上之組態及/或狀態改變。此等組態及/或狀態改變可與行動裝置102之各種特徵或組件有關。舉例而言,狀態監視引擎318可偵測行動裝置102何時連接至一新的無線網路、行動裝置102之電池電量何時下降到一臨限以下(例如,一低電池電量狀態)、行動裝置102何時漫遊及與一無線周邊裝置(例如,一無線鍵盤或遊戲控制器)建立Bluetooth®連接。在另一態樣中,狀態監視引擎可僅監視行動裝置102上之顯著改變/事件(例如,啟用行動裝置102上之「飛航模式」)。
在偵測到組態及/或狀態改變之後,狀態監視引擎318可通知狀態特定特徵產生器314。狀態特定特徵產生器314可識別與組態及/或狀態改變有關之一或多個特徵,且可將一信號發送至行為分析器模組 204以添加此等特徵或自精實分類器模型移除此等特徵。舉例而言,當狀態監視引擎318通知狀態特定特徵產生器314行動裝置102已進入「飛航模式」時(亦即,已關斷其無線通信能力),狀態特定特徵產生器314可判定當前在精實分類器模型中不需要與行動裝置之Wi-Fi有關之特徵。
基於自狀態特定特徵產生器314接收之反饋,行為分析器模組204可修改精實分類器模型以添加或移除特徵,藉此增強行為分析器模組204的偵測惡意行為之總體能力且確保僅與行動裝置有關之特徵受監視。
在另一態樣中,裝置特定特徵產生器316可與裝置特徵監視引擎320通信,該裝置特徵監視引擎320經組態以監視行動裝置之功能性/能力之改變。換言之,裝置特徵監視引擎320可偵測行動裝置102何時添加或移除一特定功能,諸如鍵盤、滑鼠或另一周邊裝置。
回應於偵測到一新的或被移除之能力,裝置特徵監視引擎320可向裝置特定特徵產生器314警告行動裝置102之功能性的改變。裝置特定特徵產生器314可判定與功能性改變相關聯之特徵且可向行為分析器單元204傳訊以添加或移除與該改變相關聯之特徵。
在另一態樣中,裝置特定特徵產生器314可判定精實分類器模型中之不相關的特徵,或判定自精實分類器模型遺漏且與行動裝置102相關的特徵。舉例而言,行為分析器模組204之初始精實分類器模型可不包括與Bluetooth®無線電之行為有關的特徵,該等行為可使行動裝置易受在其Bluetooth®無線電上之惡意行為的攻擊,此係因為Bluetooth®上之活動不在精實分類器模型中且因此被忽略/未受監視。在此實例中,行為分析器模組204可在自伺服器接收之大型分類器模型中探尋Bluetooth®特徵且可將彼等Bluetooth®特徵添加至精實分類器模型,藉此確保可適當監視行動裝置之Bluetooth®無線電以發現惡 意行為。因此,裝置特定特徵產生器314可判定精實分類器模型中之遺漏或多餘之特徵且將反饋發送至行為分析器模組204以添加或移除彼等特徵。
圖4說明一種考慮到行動裝置之裝置特定及裝置狀態特定特徵之產生精實分類器的態樣方法400。可藉由行動裝置中之處理核心來執行方法400。
在一態樣中,方法400可包括:在行動裝置之處理器中接收一識別複數個測試條件之完整分類器模型(例如,一包括適合於轉換至複數個決策節點(該複數個決策節點中之每一者評估該複數個測試條件中之一者)之資訊的有限狀態機,等);使用行動裝置之裝置特定資訊來識別複數個測試條件中之與分類行動裝置之行為相關的行動裝置特定測試條件;在行動裝置中產生一僅包括所識別之行動裝置特定測試條件(例如,僅包括評估與行動裝置之當前操作狀態或組態相關之行動裝置特徵的決策節點)的精實分類器模型;及在行動裝置中使用所產生之精實分類器模型來分類行動裝置之行為。
返回至圖4,在區塊402中,處理核心可接收一包括或識別大量特徵及/或與該等特徵相關聯之複數個測試條件的完整分類器模型。在一態樣中,完整分類器模型可包括複數個加速決策樹或樹樁,該複數個加速決策樹或樹樁適合於供行動裝置用於將一行為分類為良性型或惡意型,諸如,藉由將行為向量值作為輸入而應用至加速決策樹樁/樹以測試與行動裝置之特徵有關的條件。
將行為向量值應用至大量樹樁/樹以測試大型分類器模型中之多個特徵可使行動裝置102承受沉重負擔。舉例而言,此等操作可佔用處理器及記憶體功能,以致於對行動裝置之其他處理程序之執行造成危害。此等操作亦可耗盡行動裝置102之電池電力。為了幫助減少對行動裝置102之效能的此等不利影響,行動裝置102可實施一聯合特徵 選擇及剪除演算法以自大型分類器模型產生精實分類器模型。
在區塊404中,在處理核心中操作之行為分析器模組204可自大型分類器模型選擇待監視及評估以便分類有關之行動裝置行為的特徵。各種準則可用以自大型分類器模型選擇特徵及加速決策樹樁。舉例而言,聯合特徵選擇及剪除演算法之規則可指定選擇被認為對行動裝置102之恰當操作至關重要的特徵(如處理器、記憶體及通信特徵)。在以自最重要或最常用行動裝置特徵至最不重要或最不常用行動裝置特徵之方式對大型分類器模型排序時,該規則亦可指定可為適當的最初數目個特徵(例如,最初50、100、200、1,000等)。
在區塊406中,在處理核心中操作之行為分析器模組204可自所選特徵產生精實分類器模型以測試行動裝置102之至少一個特徵的行為。在一態樣中,行為分析器模組204可掃描被包括於大型分類器模組中之加速決策樹樁清單且將測試所選特徵中之至少一者或由所選特徵中之至少一者回答的每一加速決策樹樁併入至精實分類器模型中。因此,在一態樣中,精實分類器模型可包括所選特徵與和彼等所選特徵相關聯之加速決策樹樁兩者。
在區塊408中,在處理核心中操作之行為分析器模組204可基於裝置特定特徵/功能性及/或裝置狀態特定特徵來修改精實分類器模型。由於網路伺服器116使用來自各種類型之行動裝置之資訊來建立大型分類器模型,所以精實分類器模型(其係自大型分類器模型導出)可包括與行動裝置無關之眾多特徵(亦即,與其他類型之行動裝置有關之特徵)或可不包括一些極端重要之特徵(亦即,在大型分類器模型中未被選擇之特徵)。由於不相關特徵之存在或重要特徵之缺乏,所以精實分類器模型可在前一種狀況下浪費資源(例如,電池電力、CPU循環等)來監視不相關特徵,抑或在後一種狀況下由於不監視關鍵性特徵而提供無效的安全性。因此,行動裝置之總體安全性及效能 可受益於修改精實分類器模型以更密切地反映行動裝置之特徵及與行動裝置之當前狀態有關之特徵。下文參看圖5至圖8來進一步描述修改精實分類器模型之處理程序。
在一態樣中,在處理核心中操作之行為分析器模組204可在無需聯繫網路伺服器116的情況下藉由併有由行動裝置102所識別之未選特徵且自所接收之大型分類器模型併入有有關之加速決策樹樁來修改精實分類器模型以反映行動裝置102之特定特徵及狀態的改變。亦可藉由基於裝置特定及裝置狀態特定資訊而自精實分類器模型移除不必要之特徵及加速決策樹樁來修改精實分類器模型。排除對聯繫網路伺服器116以重新訓練由行動裝置之改變產生之資訊的需求可節約行動裝置之電力、處理及通信資源。移除不必要之特徵及加速決策樹樁亦可藉由避免處理過多或不相關資訊來節約電力及處理資源。
在區塊410中,在處理核心中操作之行為觀察器202可監視/觀察由精實分類器模型指示之行動裝置特徵之行為。行為觀察器202可記錄與特徵有關的資料,如上文參看圖2所描述。
在區塊412中,行為分析器模組204可產生被包括於精實分類器模型中之行動裝置特徵之行為的行為向量。在一態樣中,該等行為向量可利用自行為觀察器202接收之觀察以產生行為向量,如上文參看圖2所描述。
在區塊414中,在處理核心中操作之分類器208及/或行為分析器模組204可將所產生之行為向量應用至加速決策樹樁。在一態樣中,分類器208及/或行為分析器模組204可將表示一特定特徵之行為向量中的值應用至測試彼特定特徵之一或多個加速決策樹樁。將行為向量值應用至加速決策樹樁的結果為二進位結果,諸如,「是」或「否」,其中每一結果被指派有一指示特徵之行為為良性型或惡意型之信賴度因素的加權機率。舉例而言,行為分類器208可藉由將行動裝置102之 行為向量值(例如,表示在最近十分鐘中所發送之SMS訊息之數目的值)用於簡訊服務(SMS)來測試行動裝置102上之SMS特徵以解析與該SMS特徵有關之加速決策樹樁。與該SMS特徵相關聯之加速決策樹樁可包括對以下各者之測試:「在最近十分鐘中是否發送150個或150個以下之SMS訊息」、「在最近十分鐘中是否發送100個或100個以下之SMS訊息」、「在最近十分鐘中是否發送50個或50個以下之SMS訊息」等。加速決策樹樁測試之每一解析可產生行動裝置102之SMS特徵之行為為惡意型或良性型的某一加權機率,且行為分類器208可將加權機率相組合以判定行動裝置102之當前組態是惡意型抑或良性型及彼結論之某一信賴度(例如,當前組態為良性型且具有35%信賴度)。
在判定區塊416中,分類器模組208及/或行為分析器模組204可基於將所產生之行為向量應用至精實分類器模型中之加速決策樹樁的結果來判定行動裝置是否正經歷惡意行為。
當分類器模組208判定行動裝置正經歷惡意行為時(亦即,判定區塊416=「是」),致動器210可在區塊418中終止惡意行為。為了終止惡意行為,致動器可限制對具有違法行為之有關特徵的存取,或識別造成該行為之元件且隔離或刪除該元件。當分類器208判定行動裝置未正經歷惡意行為時(亦即,判定區塊416=「否」),因為行為觀察器202可藉由在區塊410中監視/觀察由精實分類器模型所指示之行動裝置特徵之行為而繼續,該處理程序可在一迴圈中繼續。
大體而言,行動裝置共用多種常用元件/特徵;然而,對於某些元件/特徵而言,在行動裝置之間存在廣泛差異。製造商可在其產品範圍之高端或接近高端的行動裝置中提供如近場通信之特徵。所開發之供政府或商業使用的特製裝置可包括諸如安全通信或生物測定使用者識別能力的特徵。此等特徵可為未通常被包括於其他行動裝置中之裝置特定特徵。
類似地,周邊裝置及軟體可將行動裝置之特徵擴充超出其原始特徵集合。舉例而言,具Bluetooth®功能之耳機或鍵盤、經由音訊插孔所連接之磁條讀取器、所連接之醫學裝置(例如,起搏器)或HDMI連接之外部顯示器(例如,電視、監視器或投影器)為現常用之周邊裝置,以上各者在被連接時擴充行動裝置之特徵集合。所有此等特徵可為十分依賴且特定針對特定行動裝置(在該特定行動裝置中實施、包括、監視及/或評估該等特徵)之裝置特定特徵。
圖5說明一種修改分類器模型以包括行動裝置(在該行動裝置中使用該模型)之裝置特定特徵的態樣方法500。可在行動裝置102之處理核心中執行方法500。
在區塊502中,在處理核心中操作之裝置特徵監視引擎320可辨識與行動裝置之功能性有關的特徵。在初始化了行動裝置或惡意行為監視應用程式時及/或在初始化了特徵時,就可辨識該特徵。舉例而言,裝置特徵監視引擎320可在啟動行動裝置時進行判定以識別行動裝置之功能性/能力,諸如Bluetooth®、一或多個WAN無線電、輸入/輸出裝置(例如,相機、揚聲器、滑鼠、鍵盤等)。在另一實例中,裝置特徵監視引擎320可辨識與和行動裝置通信或受行動裝置控制之周邊裝置(諸如,遠端處理裝置)有關的其他功能性/能力。
在判定區塊504中,在處理核心中操作之裝置特定特徵產生器316可判定已辨識特徵是否被包括於選自大型分類器模型以供包括於精實分類器模型中之特徵當中。在一態樣中,裝置特定特徵產生器316可自裝置特徵監視引擎320接收關於當前存在於行動裝置上之功能性/能力的通知。舉例而言,裝置特定特徵產生器316可辨識出行動裝置包括Bluetooth®無線電且可向裝置特定特徵產生器316警告此能力。作為回應,裝置特定特徵產生器316可判定與Bluetooth®無線電有關之特徵是否被或應被包括於精實分類器模型中。
當裝置特定特徵產生器316判定已辨識特徵為被包括於精實分類器模型中之特徵中的一者時(亦即,判定區塊504=「是」),處理核心可判定將不做出精實分類器模型之改變且在處理核心中操作之行為觀察器模組202可繼續在區塊410中藉由收集關於由精實分類器模型指示之特徵的資訊來監視/觀察行動裝置之行為。換言之,裝置特定特徵產生器316可判定不需要另外之動作,此係因為精實分類器模型業已包括所辨識特徵。
當裝置特定特徵產生器316判定所辨識特徵並非被包括於精實分類器模型中之特徵中的一者時(亦即,判定區塊=「否」),在區塊506中,行為分析器模組204可將由裝置特定特徵產生器316所識別之特徵連同來自大型分類器模型之有關之對應加速決策樹樁一起添加至精實分類器模型。在一態樣中,行為分析器模組204可添加所辨識特徵以便確保精實分類器模型充分表示行動裝置之能力及功能性(亦即,以確保行動裝置之裝置特定特徵/功能性受到充分監視/保護)。
行為觀察器202可接著繼續在區塊410中監視/觀察由經更新之精實分類器模型指示之行動裝置特徵之行為。
將特徵添加至精實分類器可幫助使精實分類器不會落後於行動裝置之組態及操作狀態改變。如上文所提及,具有最新之精實分類器可改良行為分析器模組204監視行動裝置102上之惡意行為的能力,此係因為可監視一組較完整之作用中特徵。在一態樣中,一些特徵(當在作用中時)對監視而言變得日益重要,此係因為該等特徵可提供對敏感資訊(諸如,金融資訊)之存取。舉例而言,近場通信與電子商務密切有關。此特徵常常能存取信用卡資訊及電子商務帳戶資訊(諸如,Google Wallet及PayPal帳戶資訊)。因此,添加具有對敏感資訊之存取權的作用中特徵對於保護此資訊免遭惡意行為侵害而言可為重要的。
圖6說明一種可實施於行動裝置上的用於藉由移除行動裝置之裝置特定特徵來修改精實分類器模型的態樣方法600。當行動裝置102之特徵發生改變時(例如,自行動裝置移除周邊裝置),該特徵可不再被包括於行動裝置102上但可仍定址於精實分類器模型中。此將不必要之複雜性添加至行為向量之處理,此係因為行動裝置現可包括對於監視行動裝置之行為而言無用或與監視行動裝置之行為不相關(因為不存在之特徵不可能為惡意的)的資訊。一個殘留特徵可能對行動裝置102之資源及能力不具有太多影響。但是,隨時間的過去,所移除之特徵的數目可增加且引起行為監視處理程序之明顯劣化。因此,當特徵不再與行動裝置之當前組態或操作狀態相關時,自精實分類器模型移除該等特徵及對應之加速決策樹樁可為有益的。
在區塊602中,裝置特徵監視引擎320可辨識與行動裝置102之功能性有關之特徵清單。該清單可含有與行動裝置之功能性有關的每一特徵(諸如,其近場通信能力、周邊裝置、WAN無線電等)。
在判定區塊604中,裝置特定特徵產生器316可判定被包括於精實分類器模型中之與裝置特定能力有關的特徵是否被包括於與行動裝置之功能性有關之特徵清單中。換言之,特定特徵產生器316可判定精實分類器模型中之任何特徵(例如,Bluetooth®、近場通信或其他裝置特定功能)是否因為彼等特徵或有關功能性並不存在於行動裝置上而過剩。當裝置特定特徵產生器316判定精實分類器模型中之所有特徵係在清單上時(亦即,判定區塊604=「是」),可不做出精實分類器模型之改變且行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。
當裝置特定特徵產生器316判定在精實分類器模型中之與行動裝置能力/功能性有關的一或多個特徵不在行動裝置能力/功能性之清單上時(亦即,判定區塊604=「否」),行為分析器模組204可在區塊606 中自精實分類器模型移除不相關或過剩之特徵及對應之加速決策樹樁。舉例而言,當Bluetooth®無線電在行動裝置上被去啟動時,行為分析器模組204可自精實分類器模型移除與Bluetooth®無線電有關之特徵。行為觀察器202可接著繼續在區塊410中使用經更新之精實分類器模型來監視/觀察行動裝置特徵之行為。
圖7說明一種可實施於行動裝置上的用於修改精實分類器模型以考慮到行動裝置之裝置特定特徵之改變的態樣方法700。可在行動裝置之處理核心中執行方法700。在行動裝置102之特徵為靜態的態樣中,使處理核心(例如,在整個行動裝置102首次被通電時)檢查行動裝置102之特徵一次可已足夠。在特徵可被間歇地改變的其他態樣中,檢查行動裝置102之特徵可發生於(例如)當行動裝置102執行一更新程序或用於監視行動裝置102之行為的軟體被初始化時。然而,在行動裝置102之特徵為動態(亦即,其中可在行動裝置102之正常操作期間添加及移除功能性及/或特徵)的態樣中,識別該等改變且在發生該等改變時調適精實分類器模型以適應特徵可為有利的。連接及斷開連接周邊裝置(類似於先前所提及之周邊裝置)可引發裝置功能性及/或特徵之此等改變。
在判定區塊702中,在行動裝置之處理核心中操作的裝置特徵監視引擎320可監視行動裝置以判定是否存在或是否已存在行動裝置之狀態、組態、能力或功能性之任何改變。在一態樣中,特徵監視引擎320可經組態以不斷地監視行動裝置102,從而判定何時已添加或移除與行動裝置之裝置特定特徵有關的功能性。在另一態樣中,裝置特徵監視引擎320可經組態以接收在添加或移除一功能性及/或特徵時通知裝置特定特徵產生器320的提示。舉例而言,在內核空間中接收到中斷以自行動裝置102連接或斷開連接周邊裝置時,可通知裝置特定特徵產生器320。
當裝置特徵監視引擎320判定已不存在行動裝置102之功能性改變時(亦即,判定區塊702=「否」),則可不做出精實分類器模型之改變且行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。當裝置特徵監視引擎320判定存在或已存在行動裝置102之功能性改變時(亦即,判定區塊702=「是」),在區塊704中,裝置特定特徵產生器316可辨識或識別與所偵測到之功能性改變相關聯的行動裝置特徵。多個特徵可共用一給定功能性或與一給定功能性有關。在一態樣中,裝置特定特徵產生器316可自裝置特徵監視引擎320接收已改變之功能性之指示。裝置特定特徵產生器316可使該功能性與一或多個特徵相關且識別該等特徵中之哪一者受該功能性改變影響。舉例而言,連接至行動裝置102之不同周邊裝置可經由無線連接(如Bluetooth®)自行動裝置102串流傳輸媒體。一個此周邊裝置可為一組無線揚聲器,而另一周邊裝置可為無線連接之電視。兩個周邊裝置皆可在功能上允許串流傳輸媒體;然而,裝置特定特徵產生器316可區分出揚聲器可提供用以串流傳輸音訊媒體之特徵且電視可提供用以串流傳輸音訊媒體、視訊媒體及音訊/視訊多媒體的特徵。因此,僅在串流傳輸音訊之功能性方面之改變可導致裝置特定特徵產生器316做出以下結論:受該改變影響之特徵為至無線揚聲器而非至無線電視之音訊串流。
在判定區塊706中,裝置特定特徵產生器316可判定行動裝置之功能性改變是功能性之添加抑或功能性之移除。亦即,在判定區塊706中,處理核心可判定所偵測到之功能性改變是表示被添加之功能性抑或被移除之功能性。此判定可幫助維持最新之精實分類器模型。如先前所論述,維持精實分類器模型可改良監視惡意行為之效能且減小監視對行動裝置102之效能的影響。
當裝置特定特徵產生器316判定改變係功能性之添加時(亦即,判 定區塊706=「添加(Addition)」),在判定區塊708中,裝置特定特徵產生器316可判定與所改變之功能性相關聯的已辨識特徵是否被包括於精實分類器模型中。舉例而言,處理核心可在判定區塊708中回應於判定所偵測到之功能性改變表示被添加之功能性而判定精實分類器模型是否包括評估受該所偵測到之功能性改變影響之行動裝置特徵的任何測試條件。當裝置特定特徵產生器316判定已辨識特徵被包括於精實分類器模型之特徵中時(亦即,判定區塊708=「是」),處理核心可判定將不對精實分類器模型做出改變,且行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。
當裝置特定特徵產生器316判定行動裝置之已辨識特徵未被包括於精實分類器模型中時(亦即,判定區塊708=「否」),在區塊710中,行為分析器模組204可將由裝置特定特徵產生器316識別之特徵及其有關加速決策樹樁自大型分類器模型添加至精實分類器模型。亦即,在區塊710中,處理核心可回應於判定精實分類器模型不包括評估行動裝置特徵之任何測試條件而判定完整分類器模型是否包括評估行動裝置特徵之任何測試條件,且回應於判定完整分類器模型包括評估行動裝置特徵之測試條件而將一評估受所偵測到之改變影響之行動裝置特徵的測試條件添加至精實分類器模型。當新功能性被添加至行動裝置時將新特徵添加至精實分類器使得能夠在行動裝置102之組態改變時對行動裝置102之所有特徵及功能性進行有效之惡意行為監視。行為觀察器202可繼續在區塊410中監視/觀察由經更新之精實分類器模型指示之行動裝置特徵之行為。
當裝置特定特徵產生器316判定改變涉及到功能性及/或特徵之移除時(亦即,判定區塊708=「移除」),在判定區塊712中,裝置特定特徵產生器316可判定已辨識特徵是否被包括於精實分類器模型中。當裝置特定特徵產生器316判定該(等)特徵係在精實分類器模型中時 (亦即,判定區塊712=「是」),在區塊714中,行為分析器模組204可自精實分類器模型移除彼(等)特徵及有關加速決策樹樁。移除不再與行動裝置102相關之特徵及加速決策樹樁可減少用以監視惡意行為所需之資源,因此減小對行動裝置102之效能的影響。行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。當裝置特定特徵產生器316判定該(等)已辨識特徵不在精實分類器模型中時(亦即,判定區塊714=「否」),可不做出精實分類器模型之改變且行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。
圖8說明一種用於藉由添加與行動裝置之狀態有關之行動裝置特徵來修改精實分類器模型的態樣方法800。行動裝置之狀態可正不斷地改變;且發生於行動裝置102上之每一事件可改變與特徵有關之狀態。舉例而言,當行動裝置102變為在作用中或閒置、產生通信連接或結束連接,及被塞至充電器中或被拔去插塞使得其由電池供電時,狀態可發生改變。狀態可如此頻繁地改變以致於在每一狀態改變時識別特徵可為繁重的,此係因為將不得不自網路伺服器116獲得特徵資訊或甚至獲得所接收之大型分類器模型。狀態亦可非常快速地改變,且若針對每一狀態改變來更新特徵,則到發生更新的時候該更新可已過時,此係因為有關狀態再次改變。因此,行動裝置102可要求:在識別待添加至精實分類器模型或自精實分類器模型移除的功能之前,狀態改變應為實質的。實質狀態改變可包括斷開連接所有無線連接(如當啟動「飛航模式」時)、在連接至安全網路存取點時減小安全協定級別,或進入及退出蜂巢式通信之漫遊模式。
在判定區塊802中,狀態監視引擎318可判定在行動裝置上是否已存在狀態改變。狀態監視引擎318可監視行動裝置之所有狀態或狀態之子集。在一態樣中,可不將行動裝置之一些狀態視為指示可促成 或涉及惡意行為之特徵,且因此無需監視該等狀態。在另外之態樣中,可不斷地監視受狀態監視引擎318監視之狀態以發現狀態改變。當狀態監視引擎318判定已不存在狀態改變時(亦即,判定區塊802=「否」),則可不做出精實分類器模型之改變,且行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。
如上文所論述,可不將所有狀態改變視為重要的,且許多狀態改變發生得如此快速及/或頻繁以致於基於狀態改變來監視(或停止監視)有關特徵可並非有效的。當狀態監視引擎318判定存在狀態改變時(亦即,判定區塊802=「是」),在判定區塊806中,狀態監視引擎318可判定行動裝置之一或多個狀態改變是否為實質的。當狀態監視引擎318判定行動裝置之該/該等狀態改變並非實質時(亦即,判定區塊806=「否」),行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。當狀態監視引擎318判定行動裝置之該/該等狀態改變為實質時(亦即,判定區塊806=「是」),在區塊808中,狀態監視引擎318可辨識行動裝置之當前狀態及先前狀態。在一態樣中,可預先判定是什麼使狀態改變為實質的,且可藉由由狀態監視引擎318存取之規則來識別實質狀態改變。
在區塊810中,狀態特定特徵產生器314可辨識與當前狀態及先前狀態有關之特徵。在一態樣中,狀態特定特徵產生器314可自狀態監視引擎318接收實質狀態改變之通知,其可觸發狀態特定特徵產生器314以使一特徵與該實質狀態改變相關或辨識一具有該實質狀態改變之特徵。在一態樣中,特徵與實質狀態改變之間的相關可為直接相關。舉例而言,正經由WiFi建立之無線連接之狀態可與行動裝置102之WiFi特徵直接有關。在另一態樣中,特徵與實質狀態改變之間的相關可為切向相關。舉例而言,指示快速網路連接之狀態可指示與雲端 伺服器之較好互動,其可涉及行動裝置102上之惡意行為(諸如,將資訊卸載至雲端伺服器)。在另一態樣中,該等相關可為間接相關。舉例而言,可使行動裝置102之電池狀態與各組特徵相關。在高電池電量狀態期間,當行動裝置102具有用以處置對範圍廣之一組特徵(包括高及低優先級特徵)的監視的足夠電力資源時,可監視範圍廣之該組特徵以發現惡意行為。類似地,在低電池電量狀態期間,當行動裝置102不具有用以處置對範圍廣之該組特徵的監視之足夠電力資源時,可監視範圍窄的一組特徵(包括高優先級特徵)以發現惡意行為。
在區塊812中,行為分析器模組204可將由狀態特定特徵產生器314所識別之與當前狀態有關但與先前狀態無關的任何特徵(亦即,新近相關特徵)連同添加至精實分類器模型。可自大型分類器模型獲得被添加至精實分類器模型之該等特徵及該等相關聯之加速決策樹樁。在區塊814中,行為分析器模組204可自精實分類器模型移除經辨識為與先前狀態有關但與當前狀態無關(亦即,不再相關)的任何特徵及相關聯之加速決策樹樁。行為觀察器202可繼續在區塊410中監視/觀察由精實分類器模型指示之行動裝置特徵之行為。以此方式添加及移除與實質狀態改變有關之特徵及加速決策樹樁可使精實分類器保持不落伍,如上文所論述。
圖9說明一種產生精實或集中之分類器/行為模型之態樣方法900,該等精實或集中之分類器/行為模型考慮到行動裝置之裝置特定及裝置狀態特定特徵。可由行動裝置中之處理核心來執行方法900。
在方法900之區塊902中,處理核心可接收一完整分類器模型,該完整分類器模型為以下各者或包括以下各者:有限狀態機、加速決策樹的清單、加速決策樹樁的清單或識別複數個測試條件之其他類似資訊結構。在一態樣中,完整分類器模型包括一有限狀態機,該有限狀態機包括適合於表現複數個加速決策樹樁的資訊及/或包括適合於 由行動裝置轉換為複數個加速決策樹樁的資訊。在一態樣中,有限狀態機可為(或可包括)加速決策樹樁之有序或經優先級排序之清單。該等加速決策樹樁中之每一者可包括一測試條件及一權值。
如上文所論述,加速決策樹樁為具有正好一個節點(及因此一個測試問題或測試條件)及一權值之一級決策樹,且因此非常適合於用於資料/行為之二進位分類中。此意謂將特徵向量或行為向量應用至加速決策樹樁會產生二進位回答(例如,是或否)。舉例而言,若由加速決策樹樁測試的問題/條件為「SMS傳輸之頻率小於每分鐘x次?」,則將值「3」應用至加速決策樹樁將產生「是」回答(對於「小於3次」SMS傳輸而言)抑或「否」回答(對於「3或大於3次」SMS傳輸而言)。
返回至圖9,在方法900之區塊904中,處理核心可判定在不消耗行動裝置之過多量之處理、記憶體或能量資源的情況下應加以評估以將一行動裝置行為準確地分類為惡意型抑或良性型的獨特測試條件之數目。此可包括判定在行動裝置中可用之處理、記憶體及/或能量資源的量、行動裝置之測試一條件所需之處理、記憶體或能量資源的量;判定(由於測試條件)與待在行動裝置中加以分析或評估之行為或條件相關聯的優先級及/或複雜性;及選擇/判定獨特測試條件之數目以便在行動裝置之可用處理、記憶體或能量資源之消耗、待自測試條件達成之行為分類之準確度以及由該條件測試之行為之重要性或優先級之間達到平衡或折中。
在區塊906中,處理核心可使用裝置特定或裝置狀態特定資訊來快速地識別應被包括或自精實分類器模型排除的特徵及/或測試條件。舉例而言,處理核心可識別歸因於行動裝置之當前硬體或軟體組態、操作狀態等而不可能存在於行動裝置中之測試條件、特徵或因素。作為另一實例,處理核心可識別及自精實分類器模型排除被包括 於完整模型中之特徵/節點/樹樁及不可能存在於行動裝置中及/或與行動裝置不相關的測試條件。
在一態樣中,在區塊908中,處理核心可自開始周遊加速決策樹樁之清單以用所判定數目之獨特測試條件來填入所選測試條件之清單,及排除區塊906中所識別之測試條件。舉例而言,處理核心可跳過、忽略或刪除其測試條件歸因於行動裝置之當前硬體或軟體組態而不可能存在於行動裝置中之被包括於完整分類器模型中的特徵。在一態樣中,處理核心亦可判定所選測試條件中之每一者之絕對或相對優先級值,且將該等絕對或相對優先級值儲存成與在所選測試條件之清單中之其對應測試條件相關聯。
在一態樣中,在區塊908中,處理核心可藉由順序地周遊完整分類器模型中之複數個測試條件且將與分類行動裝置之行為相關的彼等測試條件插入至一測試條件清單中直至該測試條件清單包括所判定之數目之獨特測試條件來產生該測試條件清單。在另外之態樣中,產生測試條件清單可包括:順序地周遊完整分類器模型之決策節點;忽略與和分類行動裝置之行為不相關之測試條件相關聯的決策節點;及將與未被忽略之每一順序地周遊之決策節點相關聯的測試條件插入至測試條件清單中直至該測試條件清單包括所判定之數目之獨特測試條件。
在區塊910中,處理核心可產生一精實分類器模型,該精實分類器模型包括被包括於完整分類器模型中的測試在所產生之測試條件清單中所識別之所選測試條件中之一者(及因此排除在區塊906中所識別之測試條件)的所有加速決策樹樁。在一態樣中,處理核心可產生精實分類器模型以按加速決策樹樁之重要性或優先級值的次序來包括或表現該等加速決策樹樁。
在任選區塊912中,可增加獨特測試條件之數目以便藉由重複以 下操作來產生另一較強健(亦即,較不精實)之精實分類器模型:在區塊908中針對較大數目之測試條件來周遊加速決策樹樁之清單;及在區塊910中產生另一精實分類器模型。可重複此等操作以產生精實分類器模型之系列。
各種態樣可實施於多種行動計算裝置中之任一者中,該等行動計算裝置之實例說明於圖10中。行動計算裝置1000可包括一耦接至觸控螢幕控制器1004及內部記憶體1006之處理器1002。該處理器1002可為經指定用於一般或特定處理任務之一或多個多核心積體電路。內部記憶體1006可為揮發性或非揮發性記憶體,且亦可為安全及/或加密之記憶體,或不安全及/或未加密之記憶體,或其任何組合。觸控螢幕控制器1004及處理器1002亦可耦接至觸控螢幕面板1012,諸如電阻性感測觸控螢幕、電容性感測觸控螢幕、紅外線感測觸控螢幕等。另外,行動計算裝置1000之顯示器無需具有觸控螢幕能力。
行動計算裝置1000可具有彼此耦接及/或耦接至處理器1002之一或多個無線電信號收發器1008(例如,Peanut、Bluetooth®、Zigbee、Wi-Fi、射頻無線電)及天線1010,以用於發送及接收通信。可將該等收發器1008及天線1010與上述電路一起使用以實施各種無線傳輸協定堆疊及介面。行動計算裝置1000可包括一蜂巢式網路無線數據機晶片1016,該蜂巢式網路無線數據機晶片1016允許實現經由蜂巢式網路的通信且耦接至處理器。
行動計算裝置1000可包括一耦接至處理器1002之周邊裝置連接介面1018。該周邊裝置連接介面1018可被特殊地組態以接受一種類型之連接,或可經組態以接受各種類型之實體及通信連接(普通或專屬)(諸如,USB、FireWire、Thunderbolt或PCIe)。周邊裝置連接介面1018亦可耦接至一經類似地組態之周邊裝置連接埠(未圖示)。
行動計算裝置1000亦可包括用於提供音訊輸出之揚聲器1014。 行動計算裝置1000亦可包括外殼1020,該外殼1020由塑膠、金屬或材料之組合建構,且用於含有本文中所論述之組件中之所有或一些組件。行動計算裝置1000可包括一耦接至處理器1002之電源1022,諸如拋棄式或可再充電型電池。可再充電型電池亦可耦接至周邊裝置連接埠以自位於行動計算裝置1000外部之源接收充電電流。行動計算裝置1000亦可包括一用於接收使用者輸入之實體按鈕1024。行動計算裝置1000亦可包括一用於接通及關斷行動計算裝置1000之電源按鈕1026。
上文所描述之各種態樣亦可實施於多種行動計算裝置(諸如,圖11中所說明之膝上型電腦1100)內。許多膝上型電腦包括一觸控板型觸控表面1117,該觸控板型觸控表面1117充當電腦之指標裝置,且因此可接收拖曳、捲動及撥動示意動作(類似於被實施於配備有觸控螢幕顯示器及上文所描述之行動計算裝置上的彼等示意動作)。膝上型電腦1110將通常包括一耦接至揮發性記憶體1112及大容量非揮發性記憶體(諸如,快閃記憶體之碟機1113)之處理器1111。另外,電腦1100可具有耦接至處理器1111的一或多個天線1108及/或蜂巢式電話收發器1116,該一或多個天線1108用於發送及接收可連接至無線資料鏈路之電磁輻射。電腦1100亦可包括耦接至處理器111之軟性磁碟機1114及緊密光碟(CD)機1115。在筆記型電腦組態中,電腦外殼包括觸控板1117、鍵盤1118及顯示器1119,以上各者皆耦接至處理器1111。計算裝置之其他組態可包括如為熟知之耦接至處理器(例如,經由USB輸入)之電腦滑鼠或軌跡球,該電腦滑鼠或軌跡球亦可結合各種態樣加以使用。
可以高階程式設計語言(諸如,C、C++、C#、Smalltalk、Java、JavaScript、Visual Basic、結構化查詢語言(例如,Transact-SQL)、Perl)或以各種其他程式設計語言來撰寫供執行於可程式化處理器上以用於實行各種態樣之操作的電腦程式碼或「程式碼」。如本申請案中 所使用,儲存於電腦可讀儲存媒體上之程式碼或程式可指機器語言碼(諸如,目的碼),該機器語言碼之格式可被處理器理解。
許多行動計算裝置作業系統內核被組織成使用者空間(其中執行非特權程式碼)及內核空間(其中執行特權程式碼)中。此分開在Android及作為內核空間之部分的程式碼必須經通用公共授權(general public license,GPL)授權而執行於使用者空間中的程式碼可不經GPL授權的其他GPL環境中尤為重要。應理解,除非另有明確闡述,否則此處所論述之各種軟體組件/模組可實施於內核空間抑或使用者空間中。
上述方法描述及處理程序流程圖係僅僅被提供作為說明性實例且並不意欲要求或暗示必須以所呈現之次序來執行各種態樣之步驟。如由熟習此項技術者將瞭解,可以任何次序來執行上述態樣中之步驟之次序。諸如「其後」、「接著」、「接下來」等之詞語並不意欲限制步驟之次序;此等詞語僅用以引導讀者閱讀該等方法之描述。另外,對呈單數(例如,使用冠詞「一」或「該」)之技術方案元件的任何參考不應被解釋為將該元件限制至單數。
如此申請案中所使用,術語「組件」、「模組」、「系統」、「引擎」、「產生器」、「管理器」及其類似者意欲包括電腦有關實體,諸如(但不限於)經組態以執行特定操作或功能之硬體、韌體、硬體與軟體之組合、軟體或執行中之軟體。舉例而言,組件可為(但不限於)執行於處理器上之處理程序、處理器、物件、可執行程式、執行線緒、程式及/或電腦。藉由說明,可將執行於計算裝置上之應用程式與計算裝置兩者稱作組件。一或多個組件可駐留於處理程序及/或執行線緒內,且一組件可被區域化於一個處理器或核心上及/或分佈於兩個或兩個以上之處理器或核心中。另外,此等組件可自各種非暫時性電腦可讀媒體來執行,該等非暫時性電腦可讀媒體具有儲存於其上之各種 指令及/或資料結構。組件可藉由本端及/或遠端處理程序、函式或程序呼叫、電子信號、資料封包、記憶體讀取/寫入及其他已知之與網路、電腦、處理器及/或處理程序有關之通信方法來通信。
結合本文中所揭示之態樣而描述之各種說明性邏輯區塊、模組、電路及演算法步驟可經實施為電子硬體、電腦軟體或兩者之組合。為了清楚地說明硬體與軟體之此可互換性,上文已大體在功能性方面描述了各種說明性組件、區塊、模組、電路及步驟。此功能性經實施為硬體抑或軟體取決於特定應用及強加於整個系統之設計約束而定。熟習此項技術者可針對每一特定應用而以變化之方式來實施所描述之功能性,但此等實施決策不應解釋為導致背離本發明之範疇。
可藉由通用處理器、數位信號處理器(DSP)、特殊應用積體電路(ASIC)、場可程式化閘陣列(FPGA)或其他可程式化邏輯裝置、離散閘或電晶體邏輯、離散硬體組件或其經設計以執行本文中所描述之功能的任何組合來實施或執行用以實施結合本文中所揭示之態樣而描述之各種說明性邏輯、邏輯區塊、模組及電路的硬體。通用處理器可為多處理器;但在替代例中,處理器可為任何習知之處理器、控制器、微控制器或狀態機。亦可將處理器實施為計算裝置之組合,例如DSP與多處理器之組合、複數個多處理器、結合DSP核心之一或多個多處理器,或任何其他此組態。或者,可藉由特定針對一給定功能之電路來執行一些步驟或方法。
可將一或多個態樣中所描述之功能實施於硬體、軟體、韌體或其任何組合中。若實施於軟體中,則該等功能可作為一或多個指令或程式碼而儲存於非暫時性電腦可讀媒體或非暫時性處理器可讀媒體上。本文中所揭示之方法或演算法的步驟可體現於可駐存於非暫時性電腦可讀或處理器可讀儲存媒體上之處理器可執行軟體模組中。非暫時性電腦可讀或處理器可讀儲存媒體可為可由電腦或處理器存取之任 何儲存媒體。藉由實例但非限制,此等非暫時性電腦可讀或處理器可讀媒體可包括RAM、ROM、EEPROM、快閃記憶體、CD-ROM或其他光碟儲存器、磁碟儲存器或其他磁性儲存裝置或可用以以指令或資料結構之形式來儲存所要程式碼且可由電腦存取的任何其他媒體。如本文中所使用,磁碟及光碟包括緊密光碟(CD)、雷射光碟、光碟、數位影音光碟(DVD)、軟性磁碟及藍光光碟,其中磁碟通常以磁性方式再生資料,而光碟藉由雷射以光學方式再生資料。以上各物之組合亦被包括於非暫時性電腦可讀及處理器可讀媒體之範疇內。另外,方法或演算法之操作可作為程式碼及/或指令中之一者或任一組合或集合而駐存於非暫時性處理器可讀媒體及/或電腦可讀媒體上,可將該非暫時性處理器可讀媒體及/或電腦可讀媒體併入至電腦程式產品中。
提供對所揭示態樣之上述描述以使得任何熟習此項技術者能夠製造或使用本發明。對此等態樣之各種修改將容易為熟習此項技術者所顯而易見,且可在不背離本發明之精神或範疇的情況下將本文中所定義之一般原理應用至其它態樣。因此,本發明並不意欲受限於本文中所展示之態樣,而是應符合與以下申請專利範圍及本文中所揭示之原理及新穎特徵一致的最廣範疇。
102‧‧‧行動裝置
116‧‧‧網際網路
118‧‧‧雲端服務提供者網路
202‧‧‧行為觀察器模組
204‧‧‧行為分析器模組
210‧‧‧致動器模組
300‧‧‧系統
302‧‧‧雲端模組
304‧‧‧模型產生器
306‧‧‧訓練資料模組
314‧‧‧狀態特定特徵產生器
316‧‧‧裝置特定特徵產生器
318‧‧‧狀態監視引擎
320‧‧‧裝置特徵監視引擎

Claims (30)

  1. 一種在一行動裝置中產生精實分類器模型之方法,其包含:在該行動裝置之一處理器中自一伺服器計算裝置接收一包括複數個決策節點之完整分類器模型,該複數個決策節點之每一者評估複數個測試條件之一者;基於該行動裝置之裝置特定資訊來識別包括在該所接收之完整分類器模型中評估與分類該行動裝置之一行為相關的多個行動裝置特定測試條件之多個決策節點;經由該行動裝置之該處理器產生一僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的精實分類器模型;及藉由該處理器使用該所產生之精實分類器模型來分類該行動裝置之該行為。
  2. 如請求項1之方法,其中:接收包括複數個決策節點之該完整分類器模型,該複數個決策節點之每一者評估該複數個測試條件之一者包含接收一包括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者;及產生僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的該精實分類器模型包含產生該精實分類器模型以僅包括評估一與該行動裝置之一當前操作狀態或組態相關之行動裝置特徵的多個決策節點。
  3. 如請求項2之方法,其中產生該精實分類器模型以僅包括評估一與該行動裝置之該當前操作狀態或組態相關之行動裝置特徵的多個決策節點包含: 判定在不消耗該行動裝置之一過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為的一數目之獨特測試條件;藉由順序地周遊該完整分類器模型中之該複數個測試條件且將經判定與分類該行動裝置之該行為相關的該複數個測試條件之該等測試條件插入至一測試條件清單中直至該測試條件清單包括該所判定之數目之獨特測試條件來產生該測試條件清單;及產生該精實分類器模型以包括該完整分類器模型中之測試被包括於該所產生之測試條件清單中之該等測試條件中之一者的多個決策節點。
  4. 如請求項2之方法,其中在該行動裝置中使用該所產生之精實分類器模型來分類該行動裝置之該行為包含藉由以下步驟來使用該精實分類器模型以判定該行為是否為非良性型:將所收集之行為資訊應用至該精實分類器模型中之每一決策節點;計算將該所收集之行為資訊應用至該精實分類器模型中之每一決策節點的結果之一加權平均值;及將該加權平均值與一臨限值相比較。
  5. 如請求項1之方法,其另外包含:監視該行動裝置以偵測以下各者中之一者之一改變:該行動裝置之一狀態、該行動裝置之一組態、該行動裝置之一能力及該行動裝置之一功能性;回應於偵測到該改變而修改該精實分類器模型以包括一組更新之測試條件;及使用該經修改之精實分類器模型來分類該行動裝置之該行 為。
  6. 如請求項5之方法,其中監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:識別一與該所偵測到之改變相關聯的被添加之行動裝置特徵;判定該所識別之被添加之行動裝置特徵是否被包括於該所產生之精實分類器模型中;及回應於判定該所識別之特徵未被包括於該所產生之精實分類器模型中而將該所識別之特徵添加至該所產生之精實分類器模型。
  7. 如請求項5之方法,其中監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:藉由偵測一輔助組件被添加至該行動裝置來偵測該行動裝置之該能力的該改變;判定該精實分類器模型是否包括評估該輔助組件之任何測試條件;回應於判定該精實分類器模型不包括評估該輔助組件之任何測試條件而判定該完整分類器模型是否包括用於該輔助組件之任何測試條件;及回應於判定該完整分類器模型包括用於該輔助組件之測試條件而將一與該輔助組件相關聯之測試條件添加至該精實分類器模型。
  8. 如請求項5之方法,其中監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:偵測該行動裝置之該功能性的該改變;判定該所偵測到之功能性改變表示被添加抑或被移除之功 能性;回應於判定該所偵測到之功能性改變表示被添加之功能性而判定該精實分類器模型是否包括評估一受該所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定該精實分類器模型不包括評估該行動裝置特徵之任何測試條件而判定該完整分類器模型是否包括評估該行動裝置特徵之任何測試條件;及回應於判定該完整分類器模型包括評估該行動裝置特徵之測試條件而將一評估受該所偵測到之改變影響之該行動裝置特徵的測試條件添加至該精實分類器模型。
  9. 如請求項5之方法,其中監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:判定在該行動裝置上是否已存在該狀態改變;回應於判定在該行動裝置上已存在該狀態改變而識別一與該行動裝置之一先前狀態相關且與該行動裝置之一當前狀態不相關的特徵;及自該精實分類器模型移除與該所識別之特徵相關聯的測試條件。
  10. 一種行動計算裝置,其包含:一經組態有處理器可執行指令以執行操作的處理器,該等操作包含:自一伺服器計算裝置接收一包括複數個決策節點之完整分類器模型,該複數個決策節點之每一者評估複數個測試條件之一者;基於該行動計算裝置之裝置特定資訊來識別包括在該所接收之完整分類器模型中評估與分類該行動計算裝置之一行為 相關的多個行動裝置特定測試條件之多個決策節點;產生一僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的精實分類器模型;及在該行動計算裝置中使用該所產生之精實分類器模型來分類該行動計算裝置之該行為。
  11. 如請求項10之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作使得:接收包括複數個決策節點之該完整分類器模型,該複數個決策節點之每一者評估該複數個測試條件之一者包含接收一包括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者;及產生僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的該精實分類器模型包含產生該精實分類器模型以僅包括評估一與該行動計算裝置之一當前操作狀態或組態相關之行動裝置特徵的該等決策節點。
  12. 如請求項11之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作使得產生該精實分類器模型以僅包括評估一與該行動計算裝置之該當前操作狀態或組態相關之行動裝置特徵的多個決策節點包含:判定在不消耗該行動計算裝置之一過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為的一數目之獨特測試條件;藉由順序地周遊該完整分類器模型中之該複數個測試條件且將經判定與分類該行動計算裝置之該行為相關的該複數個測試條件之該等測試條件插入至一測試條件清單中直至該測試條件清單包括該所判定之數目之獨特測試條件來產生該測試條件清 單;及產生該精實分類器模型以包括該完整分類器模型中之測試被包括於該所產生之測試條件清單中之該等測試條件中之一者的該等決策節點。
  13. 如請求項11之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,使得在該行動計算裝置中使用該所產生之精實分類器模型來分類該行動計算裝置之該行為包含藉由以下步驟來使用該精實分類器模型以判定該行為是否為非良性型:將所收集之行為資訊應用至該精實分類器模型中之每一決策節點;計算將該所收集之行為資訊應用至該精實分類器模型中之每一決策節點的結果之一加權平均值;及將該加權平均值與一臨限值相比較。
  14. 如請求項10之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,該等操作另外包含:監視該行動計算裝置以偵測以下各者中之一者之一改變:該行動計算裝置之一狀態、該行動計算裝置之一組態、該行動計算裝置之一能力及該行動計算裝置之一功能性;回應於偵測到該改變而修改該精實分類器模型以包括一組更新之測試條件;及使用該經修改之精實分類器模型來分類該行動計算裝置之該行為。
  15. 如請求項14之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,使得監視該行動計算裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含: 識別一與該所偵測到之改變相關聯的被添加之行動裝置特徵;判定該所識別之被添加之行動裝置特徵是否被包括於該所產生之精實分類器模型中;及回應於判定該所識別之特徵未被包括於該所產生之精實分類器模型中而將該所識別之特徵添加至該所產生之精實分類器模型。
  16. 如請求項14之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,使得監視該行動計算裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:藉由偵測一輔助組件被添加至該行動計算裝置來偵測該行動計算裝置之該能力的該改變;判定該精實分類器模型是否包括評估該輔助組件之任何測試條件;回應於判定該精實分類器模型不包括評估該輔助組件之任何測試條件而判定該完整分類器模型是否包括用於該輔助組件之任何測試條件;及回應於判定該完整分類器模型包括用於該輔助組件之測試條件而將一與該輔助組件相關聯之測試條件添加至該精實分類器模型。
  17. 如請求項14之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,使得監視該行動計算裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:偵測該行動計算裝置之該功能性的該改變; 判定該所偵測到之功能性改變表示被添加抑或被移除之功能性;回應於判定該所偵測到之功能性改變表示被添加之功能性而判定該精實分類器模型是否包括評估一受該所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定該精實分類器模型不包括評估該行動裝置特徵之任何測試條件而判定該完整分類器模型是否包括評估該行動裝置特徵之任何測試條件;及回應於判定該完整分類器模型包括評估該行動裝置特徵之測試條件而將一評估受該所偵測到之改變影響之該行動裝置特徵的測試條件添加至該精實分類器模型。
  18. 如請求項14之行動計算裝置,其中該處理器經組態有處理器可執行指令以執行操作,使得監視該行動計算裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:判定在該行動計算裝置上是否已存在該狀態改變;回應於判定在該行動計算裝置上已存在該狀態改變而識別一與該行動計算裝置之一先前狀態相關且與該行動計算裝置之一當前狀態不相關的特徵;及自該精實分類器模型移除與該所識別之特徵相關聯的測試條件。
  19. 一種非暫時性電腦可讀儲存媒體,其上儲存有處理器可執行軟體指令,該等軟體指令經組態以使一行動裝置之一處理器執行操作,該等操作包含:自一伺服器計算裝置接收一包括複數個決策節點之完整分類器模型,該複數個決策節點之每一者評估複數個測試條件之一 者;基於該行動裝置之裝置特定資訊來識別包括在該所接收之完整分類器模型中評估與分類該行動裝置之一行為相關的多個行動裝置特定測試條件之多個決策節點;產生一僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的精實分類器模型;及在該行動裝置中使用該所產生之精實分類器模型來分類該行動裝置之該行為。
  20. 如請求項19之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作使得:接收包括該複數個決策節點之該完整分類器模型,該複數個決策節點之每一者評估該複數個測試條件之一者包含接收一包括適合於轉換至複數個決策節點之資訊的有限狀態機,該複數個決策節點中之每一者評估該複數個測試條件中之一者;及產生僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點的該精實分類器模型包含產生該精實分類器模型以僅包括評估一與該行動裝置之一當前操作狀態或組態相關之行動裝置特徵的該等決策節點。
  21. 如請求項20之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得產生該精實分類器模型以僅包括評估一與該行動裝置之該當前操作狀態或組態相關之行動裝置特徵的多個決策節點包含:判定在不消耗該行動裝置之一過多量之處理、記憶體或能量資源的情況下應加以評估以分類該行為的一數目之獨特測試條件;藉由順序地周遊該完整分類器模型中之該複數個測試條件且 將經判定與分類該行動裝置之該行為相關的該複數個測試條件之該等測試條件插入至一測試條件清單中直至該測試條件清單包括該所判定之數目之獨特測試條件來產生該測試條件清單;及產生該精實分類器模型以包括該完整分類器模型中之測試被包括於該所產生之測試條件清單中之該等測試條件中之一者的該等決策節點。
  22. 如請求項20之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得在該行動裝置中使用該所產生之精實分類器模型來分類該行動裝置之該行為包含藉由以下步驟來使用該精實分類器模型以判定該行為是否為非良性型:將所收集之行為資訊應用至該精實分類器模型中之每一決策節點;計算將該所收集之行為資訊應用至該精實分類器模型中之每一決策節點的結果之一加權平均值;及將該加權平均值與一臨限值相比較。
  23. 如請求項19之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,該等操作另外包含:監視該行動裝置以偵測以下各者中之一者之一改變:該行動裝置之一狀態、該行動裝置之一組態、該行動裝置之一能力及該行動裝置之一功能性;回應於偵測到該改變而修改該精實分類器模型以包括一組更新之測試條件;及使用該經修改之精實分類器模型來分類該行動裝置之該行 為。
  24. 如請求項23之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:識別一與該所偵測到之改變相關聯的被添加之行動裝置特徵;判定該所識別之特徵是否被包括於該所產生之精實分類器模型中;及回應於判定該所識別之特徵未被包括於該所產生之精實分類器模型中而將該所識別之特徵添加至該所產生之精實分類器模型。
  25. 如請求項23之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:藉由偵測一輔助組件被添加至該行動裝置來偵測該行動裝置之該能力的該改變;判定該精實分類器模型是否包括評估該輔助組件之任何測試條件;回應於判定該精實分類器模型不包括評估該輔助組件之任何測試條件而判定該完整分類器模型是否包括用於該輔助組件之任何測試條件;及回應於判定該完整分類器模型包括用於該輔助組件之測試條件而將一與該輔助組件相關聯之測試條件添加至該精實分類器模型。
  26. 如請求項23之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:偵測該行動裝置之該功能性的該改變;判定該所偵測到之功能性改變表示被添加抑或被移除之功能性;回應於判定該所偵測到之功能性改變表示被添加之功能性而判定該精實分類器模型是否包括評估一受該所偵測到之功能性改變影響之行動裝置特徵的任何測試條件;回應於判定該精實分類器模型不包括評估該行動裝置特徵之任何測試條件而判定該完整分類器模型是否包括評估該行動裝置特徵之任何測試條件;及回應於判定該完整分類器模型包括評估該行動裝置特徵之測試條件而將一評估受該所偵測到之改變影響之該行動裝置特徵的測試條件添加至該精實分類器模型。
  27. 如請求項23之非暫時性電腦可讀儲存媒體,其中該等所儲存之處理器可執行軟體指令經組態以使一處理器執行操作,使得監視該行動裝置及回應於偵測到該改變而修改該精實分類器模型以包括該組更新之測試條件包含:判定在該行動裝置上是否已存在該狀態改變;回應於判定在該行動裝置上已存在該狀態改變而識別一與該行動裝置之一先前狀態相關且與該行動裝置之一當前狀態不相關的特徵;及自該精實分類器模型移除與該所識別之特徵相關聯的測試條件。
  28. 一種行動計算裝置,其包含:用於自一伺服器計算裝置接收一包括複數個決策節點之完整分類器模型的構件,該複數個決策節點之每一者評估複數個測試條件之一者;用於基於該行動計算裝置之裝置特定資訊來識別包括在該所接收之完整分類器模型中評估與分類該行動計算裝置之一行為相關的多個行動裝置特定測試條件之多個決策節點的構件;用於產生一僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點之精實分類器模型的構件;及用於在該行動計算裝置中使用該所產生之精實分類器模型來分類該行動計算裝置之該行為的構件。
  29. 如請求項28之行動計算裝置,其中:用於接收包括該複數個決策節點之該完整分類器模型,該複數個決策節點之每一者評估該複數個測試條件之一者的構件包含用於接收一包括適合於轉換至複數個決策節點之資訊之有限狀態機的構件,該複數個決策節點中之每一者評估該複數個測試條件中之一者;及用於產生僅包括評估該等所識別之行動裝置特定測試條件之一者之該等所識別之決策節點之該精實分類器模型的構件包含用於產生該精實分類器模型以僅包括評估一與該行動計算裝置之一當前操作狀態或組態相關之行動裝置特徵之該等決策節點的構件。
  30. 如請求項29之行動計算裝置,其中用於產生該精實分類器模型以僅包括評估一與該行動計算裝置之該當前操作狀態或組態相關之行動裝置特徵之該等決策節點的構件包含:用於判定在不消耗該行動計算裝置之一過多量之處理、記憶 體或能量資源的情況下應加以評估以分類該行為之一數目之獨特測試條件的構件;用於藉由順序地周遊該完整分類器模型中之該複數個測試條件且將經判定與分類該行動計算裝置之該行為相關的該複數個測試條件之該等測試條件插入至一測試條件清單中直至該測試條件清單包括該所判定之數目之獨特測試條件來產生該測試條件清單的構件;及用於產生該精實分類器模型以包括該完整分類器模型中之測試被包括於該所產生之測試條件清單中之該等測試條件中之一者的該等決策節點的構件。
TW103100075A 2013-01-02 2014-01-02 動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統 TWI530141B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361748220P 2013-01-02 2013-01-02
US201361748217P 2013-01-02 2013-01-02
US201361874129P 2013-09-05 2013-09-05
US201361874109P 2013-09-05 2013-09-05
US14/091,707 US9686023B2 (en) 2013-01-02 2013-11-27 Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors

Publications (2)

Publication Number Publication Date
TW201440465A TW201440465A (zh) 2014-10-16
TWI530141B true TWI530141B (zh) 2016-04-11

Family

ID=51017716

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103100075A TWI530141B (zh) 2013-01-02 2014-01-02 動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統

Country Status (6)

Country Link
US (1) US9686023B2 (zh)
EP (1) EP2941740A2 (zh)
JP (1) JP6227666B2 (zh)
CN (1) CN104903918A (zh)
TW (1) TWI530141B (zh)
WO (1) WO2014107438A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI735594B (zh) * 2016-08-08 2021-08-11 香港商阿里巴巴集團服務有限公司 識別及輔助識別虛假流量的方法、裝置及系統

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
US8913838B2 (en) * 2013-02-28 2014-12-16 Alcatel Lucent Visual information processing allocation between a mobile device and a network
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
US8966074B1 (en) * 2013-09-13 2015-02-24 Network Kinetix, LLC System and method for real-time analysis of network traffic
US9489514B2 (en) 2013-10-11 2016-11-08 Verisign, Inc. Classifying malware by order of network behavior artifacts
US20170019313A1 (en) * 2013-12-17 2017-01-19 Hewlett Packard Enterprise Development Lp A generic model to implement a cloud computing service
US10098069B2 (en) * 2014-02-06 2018-10-09 Microsoft Technology Licensing, Llc Determining cause of energy spike using energy reports
US9710752B2 (en) * 2014-09-11 2017-07-18 Qualcomm Incorporated Methods and systems for aggregated multi-application behavioral analysis of mobile device behaviors
US9703962B2 (en) * 2014-10-09 2017-07-11 Qualcomm Incorporated Methods and systems for behavioral analysis of mobile device behaviors based on user persona information
US9467460B1 (en) * 2014-12-23 2016-10-11 Fireeye, Inc. Modularized database architecture using vertical partitioning for a state machine
US9875357B2 (en) * 2015-02-06 2018-01-23 Qualcomm Incorporated Methods and systems for detecting fake user interactions with a mobile device for improved malware protection
US20160350657A1 (en) * 2015-06-01 2016-12-01 Qualcomm Incorporated Cross-Module Behavioral Validation
US10943181B2 (en) * 2015-06-26 2021-03-09 Microsoft Technology Licensing, Llc Just in time classifier training
WO2017023416A1 (en) 2015-07-31 2017-02-09 Northrop Grumman Systems Corporation System and method for in-situ classifier retraining for malware identification and model heterogeneity
US10419458B2 (en) * 2016-01-21 2019-09-17 Cyiot Ltd Distributed techniques for detecting atypical or malicious wireless communications activity
US10275955B2 (en) * 2016-03-25 2019-04-30 Qualcomm Incorporated Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks
CN106503499A (zh) * 2016-09-22 2017-03-15 天津大学 基于机器学习的智能手机触摸屏输入识别方法
EP3340106B1 (en) * 2016-12-23 2023-02-08 Hexagon Technology Center GmbH Method and system for assigning particular classes of interest within measurement data
JP6680945B2 (ja) * 2017-03-03 2020-04-15 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
WO2018209106A2 (en) 2017-05-10 2018-11-15 Embee Mobile, Inc. System and method for the capture of mobile behavior, usage, or content exposure
US10805377B2 (en) * 2017-05-18 2020-10-13 Cisco Technology, Inc. Client device tracking
JP6767924B2 (ja) 2017-05-19 2020-10-14 東芝映像ソリューション株式会社 システム、方法及びプログラム
JP6767926B2 (ja) 2017-05-23 2020-10-14 東芝映像ソリューション株式会社 電子装置、方法及びプログラム
US11855971B2 (en) * 2018-01-11 2023-12-26 Visa International Service Association Offline authorization of interactions and controlled tasks
JP7006396B2 (ja) * 2018-03-12 2022-01-24 株式会社リコー 保守システム、保守サーバ、保守方法
US20200007411A1 (en) * 2018-06-28 2020-01-02 International Business Machines Corporation Cognitive role-based policy assignment and user interface modification for mobile electronic devices
US11025486B2 (en) 2018-10-19 2021-06-01 Cisco Technology, Inc. Cascade-based classification of network devices using multi-scale bags of network words
TW201921893A (zh) * 2018-12-14 2019-06-01 就肆電競股份有限公司 資料傳輸加速裝置
US11200318B2 (en) * 2018-12-28 2021-12-14 Mcafee, Llc Methods and apparatus to detect adversarial malware
CN110457912B (zh) * 2019-07-01 2020-08-14 阿里巴巴集团控股有限公司 数据处理方法、装置和电子设备
US12056590B2 (en) * 2019-08-14 2024-08-06 Capital One Services, Llc Systems and methods for diagnosing computer vision model performance issues
JP7309533B2 (ja) * 2019-09-06 2023-07-18 株式会社日立製作所 モデル改善支援システム
US11304033B2 (en) * 2019-09-27 2022-04-12 Apple Inc. Context-based disabling wireless radios while on an airplane
CN111652130B (zh) * 2020-06-02 2023-09-15 上海语识信息技术有限公司 一种非特定字体的数字、符号和字母组的识别方法
US20220129324A1 (en) * 2020-08-16 2022-04-28 observIQ, Inc. Remotely Controllable Monitoring Agent with a Dynamic Set of Subcomponents
US11323342B1 (en) 2020-10-29 2022-05-03 Red Hat, Inc. Host auto role classifier

Family Cites Families (197)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870735A (en) 1996-05-01 1999-02-09 International Business Machines Corporation Method and system for generating a decision-tree classifier in parallel in a multi-processor system
US9195784B2 (en) 1998-08-31 2015-11-24 Cadence Design Systems, Inc. Common shared memory in a verification system
US6532541B1 (en) 1999-01-22 2003-03-11 The Trustees Of Columbia University In The City Of New York Method and apparatus for image authentication
US6647260B2 (en) 1999-04-09 2003-11-11 Openwave Systems Inc. Method and system facilitating web based provisioning of two-way mobile communications devices
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6643802B1 (en) 2000-04-27 2003-11-04 Ncr Corporation Coordinated multinode dump collection in response to a fault
EP1182552A3 (en) 2000-08-21 2003-10-01 Texas Instruments France Dynamic hardware configuration for energy management systems using task attributes
US7234126B2 (en) 2000-08-23 2007-06-19 Interuniversitair Microelektronica Centrum Task concurrency management design method
US7600014B2 (en) 2000-11-16 2009-10-06 Symantec Corporation Method and system for monitoring the performance of a distributed application
US20040068721A1 (en) 2000-11-17 2004-04-08 O'neill Patrick Network for updating firmware and / or software in wireless communication devices
US20030037237A1 (en) 2001-04-09 2003-02-20 Jean-Paul Abgrall Systems and methods for computer device authentication
US7051327B1 (en) 2001-05-08 2006-05-23 Gateway Inc. System for providing data backup and restore with updated version by creating data package based upon configuration data application data and user response to suggestion
US7849360B2 (en) 2001-05-21 2010-12-07 Vir2Us, Inc. Computer system and method of controlling communication port to prevent computer contamination by virus or malicious code
US7401359B2 (en) 2001-12-21 2008-07-15 Mcafee, Inc. Generating malware definition data for mobile computing devices
US7290282B1 (en) 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
US7694139B2 (en) 2002-10-24 2010-04-06 Symantec Corporation Securing executable content using a trusted computing platform
US7103772B2 (en) 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US8201249B2 (en) 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US8458805B2 (en) 2003-06-23 2013-06-04 Architecture Technology Corporation Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data
WO2005060396A2 (en) 2003-08-18 2005-07-07 The General Hospital Corporation Nanotopographic compositions and methods for cellular organization in tissue engineered structures
KR100623552B1 (ko) 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
US7694150B1 (en) 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
TW200618610A (en) 2004-07-20 2006-06-01 Qualcomm Inc Method and apparatus for motion vector processing
US7793262B2 (en) 2004-07-29 2010-09-07 International Business Machines Corporation Method and apparatus for facilitating software testing and report generation with interactive graphical user interface
US7559053B2 (en) 2004-08-24 2009-07-07 Microsoft Corporation Program and system performance data correlation
WO2006028558A1 (en) 2004-09-03 2006-03-16 Virgina Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
KR100645735B1 (ko) 2004-10-14 2006-11-15 주식회사 팬택 모바일 플랫폼의 컨텐츠 오동작 통신 검출 장치 및 방법
US8108929B2 (en) 2004-10-19 2012-01-31 Reflex Systems, LLC Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms
US7561877B2 (en) 2005-03-18 2009-07-14 Qualcomm Incorporated Apparatus and methods for managing malfunctions on a wireless device
US7881291B2 (en) 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US20060288209A1 (en) 2005-06-20 2006-12-21 Vogler Dean H Method and apparatus for secure inter-processor communications
US20070006304A1 (en) 2005-06-30 2007-01-04 Microsoft Corporation Optimizing malware recovery
US8161548B1 (en) 2005-08-15 2012-04-17 Trend Micro, Inc. Malware detection using pattern classification
US8045958B2 (en) 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
US7809670B2 (en) 2005-12-09 2010-10-05 Microsoft Corporation Classification of malware using clustering that orders events in accordance with the time of occurance
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
EP1977334A4 (en) 2006-01-25 2011-01-12 Greystripe Inc SYSTEM AND METHOD FOR MANAGING CONTENT IN PRE-EXISTING MOBILE APPLICATIONS
US8490194B2 (en) 2006-01-31 2013-07-16 Robert Moskovitch Method and system for detecting malicious behavioral patterns in a computer, using machine learning
IL181041A0 (en) 2007-01-29 2007-07-04 Deutsche Telekom Ag Improved method and system for detecting malicious behavioral patterns in a computer, using machine learning
US7831237B2 (en) 2006-02-03 2010-11-09 Broadcom Corporation Authenticating mobile network provider equipment
KR100791290B1 (ko) 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US20070220327A1 (en) 2006-02-23 2007-09-20 Evergrid, Inc., A Delaware Corporation Dynamically Controlled Checkpoint Timing
EP1999925B1 (en) 2006-03-27 2011-07-06 Telecom Italia S.p.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
WO2007117636A2 (en) 2006-04-06 2007-10-18 Smobile Systems, Inc. Malware detection system and method for comprssed data on mobile platforms
US20070283170A1 (en) 2006-06-05 2007-12-06 Kabushiki Kaisha Toshiba System and method for secure inter-process data communication
KR101225374B1 (ko) 2006-06-09 2013-01-22 삼성전자주식회사 이동 통신 단말에 대한 디바이스 관리 장치 및 방법
US20080016339A1 (en) 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US20080047009A1 (en) 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
US8788829B2 (en) 2006-08-17 2014-07-22 Aol Inc. System and method for interapplication communications
US7774599B2 (en) 2006-09-15 2010-08-10 Panasonic Corporation Methodologies to secure inter-process communication based on trust
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
WO2008043109A2 (en) 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
EP1921545A3 (en) 2006-11-07 2013-09-04 Magix Ag Application-Specific Intelligent Backup and Restore System
WO2008067335A2 (en) 2006-11-27 2008-06-05 Smobile Systems, Inc. Wireless intrusion prevention system and method
US8225093B2 (en) 2006-12-05 2012-07-17 Qualcomm Incorporated Providing secure inter-application communication for a mobile operating environment
US7650317B2 (en) 2006-12-06 2010-01-19 Microsoft Corporation Active learning framework for automatic field extraction from network traffic
US7778792B2 (en) 2006-12-08 2010-08-17 Chumby Industries, Inc. Systems and methods for location, motion, and contact detection and tracking in a networked audiovisual device
JP4805116B2 (ja) 2006-12-11 2011-11-02 株式会社日立製作所 情報処理システム、情報処理システムの制御方法、サービス利用装置及びサービス提供装置
US7945955B2 (en) 2006-12-18 2011-05-17 Quick Heal Technologies Private Limited Virus detection in mobile devices having insufficient resources to execute virus detection software
US8769099B2 (en) 2006-12-28 2014-07-01 Yahoo! Inc. Methods and systems for pre-caching information on a mobile computing device
US9021605B2 (en) 2007-01-03 2015-04-28 International Business Machines Corporation Method and system for protecting sensitive data in a program
US7996005B2 (en) 2007-01-17 2011-08-09 Eagency, Inc. Mobile communication device monitoring systems and methods
JP2008271126A (ja) 2007-04-19 2008-11-06 Ntt Docomo Inc 移動端末装置、移動端末装置の診断方法
US8331987B2 (en) 2007-04-19 2012-12-11 Apple Inc. Personal area network systems and devices and methods for use thereof
JP4956292B2 (ja) 2007-06-25 2012-06-20 パナソニック株式会社 情報セキュリティ装置およびカウンタ制御方法
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US8245295B2 (en) 2007-07-10 2012-08-14 Samsung Electronics Co., Ltd. Apparatus and method for detection of malicious program using program behavior
US7890443B2 (en) 2007-07-13 2011-02-15 Microsoft Corporation Learning classifiers using combined boosting and weight trimming
WO2009017231A2 (ja) 2007-08-02 2009-02-05 Nec Corporation パターン検査システム、パターン検査装置、方法およびパターン検査用プログラム
CN101350054B (zh) 2007-10-15 2011-05-25 北京瑞星信息技术有限公司 计算机有害程序自动防护方法及装置
EP2249253A1 (en) 2008-01-02 2010-11-10 SanDisk IL Ltd. Storage device having direct user access
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8719936B2 (en) 2008-02-01 2014-05-06 Northeastern University VMM-based intrusion detection system
US8595834B2 (en) 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US7676573B2 (en) 2008-02-08 2010-03-09 Microsoft Corporation Node monitor client cache synchronization for mobile device management
US8320329B2 (en) 2008-03-24 2012-11-27 Cisco Technology, Inc. Policy for a roaming terminal based on a home internet protocol (IP) address
US20090288080A1 (en) 2008-05-13 2009-11-19 Partridge Lucas W Method of Delivering Software Over a Network
US8108323B2 (en) 2008-05-19 2012-01-31 Yahoo! Inc. Distributed spam filtering utilizing a plurality of global classifiers and a local classifier
US20090293121A1 (en) 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
IL191744A0 (en) 2008-05-27 2009-02-11 Yuval Elovici Unknown malcode detection using classifiers with optimal training sets
US20090327168A1 (en) 2008-06-26 2009-12-31 Yahoo! Inc. Playful incentive for labeling content
JP2010016443A (ja) 2008-07-01 2010-01-21 Toshiba Corp 状況認識装置、状況認識方法、及び無線端末装置
JP4710933B2 (ja) 2008-07-09 2011-06-29 ソニー株式会社 学習装置、学習方法、およびプログラム
GB2461870B (en) 2008-07-14 2012-02-29 F Secure Oyj Malware detection
US8069128B2 (en) 2008-08-08 2011-11-29 Yahoo! Inc. Real-time ad-hoc spam filtering of email
US8775333B1 (en) * 2008-08-20 2014-07-08 Symantec Corporation Systems and methods for generating a threat classifier to determine a malicious process
US8095964B1 (en) 2008-08-29 2012-01-10 Symantec Corporation Peer computer based threat detection
US8245315B2 (en) 2008-09-10 2012-08-14 Qualcomm Incorporated Remote diagnosis of unauthorized hardware change
US8504504B2 (en) 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US8490188B2 (en) 2008-10-16 2013-07-16 Qualys, Inc. Systems and methods for assessing the compliance of a computer across a network
US8984628B2 (en) * 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US9537613B2 (en) 2008-10-24 2017-01-03 Qualcomm Incorporated Acknowledgment based on short cell radio network temporary identifier
US20100107257A1 (en) 2008-10-29 2010-04-29 International Business Machines Corporation System, method and program product for detecting presence of malicious software running on a computer system
IL195081A0 (en) 2008-11-03 2011-08-01 Deutche Telekom Ag Acquisition of malicious code using active learning
JP4576452B2 (ja) 2008-11-06 2010-11-10 イーソル株式会社 オペレーティングシステムおよび情報処理装置
DE102008043954A1 (de) 2008-11-21 2010-05-27 Robert Bosch Gmbh Sensornetzwerksystem, Übertragunsprotokoll, Verfahren zum Wiedererkennen eines Objekts sowie Computerprogramm
US8549625B2 (en) 2008-12-12 2013-10-01 International Business Machines Corporation Classification of unwanted or malicious software through the identification of encrypted data communication
US20100153371A1 (en) 2008-12-16 2010-06-17 Yahoo! Inc. Method and apparatus for blending search results
CN101770453A (zh) 2008-12-31 2010-07-07 华建机器翻译有限公司 基于领域本体结合机器学习模型的汉语文本共指消解方法
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US20100192201A1 (en) 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
EP2222048A1 (en) 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
US8266698B1 (en) 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
US8763127B2 (en) 2009-03-13 2014-06-24 Rutgers, The State University Of New Jersey Systems and method for malware detection
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
US8683554B2 (en) 2009-03-27 2014-03-25 Wavemarket, Inc. System and method for managing third party application program access to user information via a native application program interface (API)
US8161130B2 (en) * 2009-04-10 2012-04-17 Microsoft Corporation Bottom-up analysis of network sites
EP2425365A4 (en) 2009-04-30 2016-08-24 Ericsson Telefon Ab L M DEVIATING BEHAVIOR OF A USER TERMINAL
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
US8694624B2 (en) 2009-05-19 2014-04-08 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
US8332945B2 (en) 2009-06-05 2012-12-11 The Regents Of The University Of Michigan System and method for detecting energy consumption anomalies and mobile malware variants
US9074897B2 (en) 2009-06-15 2015-07-07 Qualcomm Incorporated Real-time data with post-processing
US8701192B1 (en) 2009-06-30 2014-04-15 Symantec Corporation Behavior based signatures
US20110013528A1 (en) 2009-07-16 2011-01-20 Chen Byron H Method for providing presence and location information of mobiles in a wireless network
US8776218B2 (en) 2009-07-21 2014-07-08 Sophos Limited Behavioral-based host intrusion prevention system
US8311956B2 (en) 2009-08-11 2012-11-13 At&T Intellectual Property I, L.P. Scalable traffic classifier and classifier training system
US8953472B2 (en) 2009-09-01 2015-02-10 Nec Europe Ltd. Method for monitoring a network and network including a monitoring functionality
CA2712002C (en) 2009-09-09 2016-08-30 Aastra Technologies Limited Diagnostics methods for a communications device
US8509755B2 (en) 2009-10-30 2013-08-13 Research In Motion Limited System and method for activating a component on an electronic device
US8397301B2 (en) 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US20110161452A1 (en) 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
JP2011138219A (ja) 2009-12-25 2011-07-14 Toshiba Corp 並列プログラム解析結果表示装置および並列プログラム解析結果表示方法
US20120254333A1 (en) 2010-01-07 2012-10-04 Rajarathnam Chandramouli Automated detection of deception in short and multilingual electronic messages
US8458809B2 (en) 2010-01-20 2013-06-04 Research In Motion Limited Apparatus, and an associated method, for facilitating secure operations of a wireless device
CN102859967A (zh) 2010-03-01 2013-01-02 诺基亚公司 用于基于用户交互数据来估计用户特征的方法和设备
US20110219449A1 (en) 2010-03-04 2011-09-08 St Neitzel Michael Malware detection method, system and computer program product
KR101051641B1 (ko) 2010-03-30 2011-07-26 주식회사 안철수연구소 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법
US8694744B1 (en) 2010-03-31 2014-04-08 Emc Corporation Mobile device snapshot backup
US9043254B2 (en) 2010-04-12 2015-05-26 Siemens Aktiengesellschaft Method for computer-aided closed-loop and/or open-loop control of a technical system
US8521836B2 (en) 2010-04-26 2013-08-27 Blackberry Limited Mobile wireless communications device providing enhanced file transfer management features and related methods
US8570993B2 (en) 2010-05-20 2013-10-29 At&T Mobility Ii Llc Wi-Fi intelligent selection engine
DE102010021825A1 (de) 2010-05-28 2011-12-01 Christmann Informationstechnik + Medien Gmbh & Co. Kg Mehrprozessor-Computersystem
US9449175B2 (en) 2010-06-03 2016-09-20 Nokia Technologies Oy Method and apparatus for analyzing and detecting malicious software
CN101882000B (zh) 2010-06-18 2012-08-22 华南理工大学 一种基于加速度传感器的手势识别方法
US20120180126A1 (en) 2010-07-13 2012-07-12 Lei Liu Probable Computing Attack Detector
US20120016633A1 (en) 2010-07-16 2012-01-19 Andreas Wittenstein System and method for automatic detection of anomalous recurrent behavior
US9294946B2 (en) 2010-08-27 2016-03-22 Qualcomm Incorporated Adaptive automatic detail diagnostic log collection in a wireless communication system
US8424093B2 (en) 2010-11-01 2013-04-16 Kaspersky Lab Zao System and method for updating antivirus cache
US8683591B2 (en) 2010-11-18 2014-03-25 Nant Holdings Ip, Llc Vector-based anomaly detection
US8875286B2 (en) 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
US20120151479A1 (en) 2010-12-10 2012-06-14 Salesforce.Com, Inc. Horizontal splitting of tasks within a homogenous pool of virtual machines
US9710645B2 (en) 2010-12-23 2017-07-18 Ebay Inc. Systems and methods to detect and neutralize malware infected electronic communications
US20120167218A1 (en) 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
US8762298B1 (en) 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
CN102591696A (zh) 2011-01-14 2012-07-18 中国科学院软件研究所 一种手机软件行为数据提取方法及系统
US9326698B2 (en) 2011-02-18 2016-05-03 The Trustees Of The University Of Pennsylvania Method for automatic, unsupervised classification of high-frequency oscillations in physiological recordings
US8695095B2 (en) 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US8554912B1 (en) 2011-03-14 2013-10-08 Sprint Communications Company L.P. Access management for wireless communication devices failing authentication for a communication network
JP5665188B2 (ja) 2011-03-31 2015-02-04 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ソフトウエア更新を適用した情報処理装置を検査するシステム
US8533857B2 (en) 2011-04-12 2013-09-10 Teletech Holdings, Inc. Methods for providing cross-vendor support services
KR101906834B1 (ko) 2011-04-19 2018-10-11 삼성전자주식회사 휴대단말기의 어플리케이션 리소스 선택장치 및 방법
US9323928B2 (en) 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8819471B2 (en) 2011-06-03 2014-08-26 Apple Inc. Methods and apparatus for power state based backup
US20120317306A1 (en) 2011-06-10 2012-12-13 Microsoft Corporation Statistical Network Traffic Signature Analyzer
US9152882B2 (en) 2011-06-17 2015-10-06 Microsoft Technology Licensing, Llc. Location-aided recognition
US9286182B2 (en) 2011-06-17 2016-03-15 Microsoft Technology Licensing, Llc Virtual machine snapshotting and analysis
CN102202102B (zh) 2011-07-05 2014-08-13 施昊 基于云计算架构的网络服务聚合系统及其聚合方法
WO2013015994A1 (en) 2011-07-27 2013-01-31 Seven Networks, Inc. Monitoring mobile application activities for malicious traffic on a mobile device
US20130203440A1 (en) 2011-07-27 2013-08-08 Qualcomm Labs, Inc. Selectively performing a positioning procedure at an access terminal based on a behavior model
US8782412B2 (en) 2011-08-31 2014-07-15 AstherPal Inc. Secured privileged access to an embedded client on a mobile device
US20130066815A1 (en) * 2011-09-13 2013-03-14 Research In Motion Limited System and method for mobile context determination
EP2610776B1 (en) 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
US8793593B2 (en) 2011-09-21 2014-07-29 Facebook, Inc. Integrating structured objects and actions generated on external systems into a social networking system
US8886925B2 (en) 2011-10-11 2014-11-11 Citrix Systems, Inc. Protecting enterprise data through policy-based encryption of message attachments
WO2013080096A1 (en) 2011-11-29 2013-06-06 Sony Mobile Communications Ab System and method for providing secure inter-process communications
US9413538B2 (en) 2011-12-12 2016-08-09 Microsoft Technology Licensing, Llc Cryptographic certification of secure hosted execution environments
US9071636B2 (en) 2011-12-21 2015-06-30 Verizon Patent And Licensing Inc. Predictive scoring management system for application behavior
JP2015508540A (ja) 2012-01-06 2015-03-19 オプティオ ラブス リミテッド ライアビリティ カンパニー モバイルコンピューティングにおけるセキュリティを強化するためのシステムおよび方法
US8943204B2 (en) 2012-01-23 2015-01-27 Cellco Partnership Method and system for conserving network resources when sending information to mobile devices
US9832211B2 (en) 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
US9439077B2 (en) 2012-04-10 2016-09-06 Qualcomm Incorporated Method for malicious activity detection in a mobile station
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US20130304677A1 (en) 2012-05-14 2013-11-14 Qualcomm Incorporated Architecture for Client-Cloud Behavior Analyzer
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
EP2680182B1 (en) 2012-06-29 2016-03-16 GSMK Gesellschaft für sichere Mobile Kommunikation mbH Mobile device and method to monitor a baseband processor in relation to the actions on an application processor
US20140032358A1 (en) 2012-07-25 2014-01-30 Aro, Inc. Sharing Recommendation Agents
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US20140150100A1 (en) 2012-08-15 2014-05-29 Qualcomm Incorporated Adaptive Observation of Driver and Hardware Level Behavioral Features on a Mobile Device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US20140096246A1 (en) 2012-10-01 2014-04-03 Google Inc. Protecting users from undesirable content
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
WO2014165230A1 (en) 2013-03-13 2014-10-09 Lookout, Inc. System and method for changing security behavior of a device based on proximity to another device
US20140279745A1 (en) 2013-03-14 2014-09-18 Sm4rt Predictive Systems Classification based on prediction of accuracy of multiple data models

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI735594B (zh) * 2016-08-08 2021-08-11 香港商阿里巴巴集團服務有限公司 識別及輔助識別虛假流量的方法、裝置及系統

Also Published As

Publication number Publication date
WO2014107438A3 (en) 2014-12-18
US9686023B2 (en) 2017-06-20
US20140187177A1 (en) 2014-07-03
EP2941740A2 (en) 2015-11-11
JP6227666B2 (ja) 2017-11-08
JP2016505984A (ja) 2016-02-25
WO2014107438A2 (en) 2014-07-10
CN104903918A (zh) 2015-09-09
TW201440465A (zh) 2014-10-16

Similar Documents

Publication Publication Date Title
TWI530141B (zh) 動態地產生及使用裝置特定及裝置狀態特定之分類器模型以高效率分類行動裝置行為之方法及系統
US9491187B2 (en) APIs for obtaining device-specific behavior classifier models from the cloud
EP3485415B1 (en) Devices and methods for classifying an execution session
JP6231688B2 (ja) 重要なアプリケーションの選択的な保護のためにアプリケーション固有のモデルを生成する方法およびシステム
EP3117361B1 (en) Behavioral analysis for securing peripheral devices
JP6345271B2 (ja) モバイルデバイスにおいて挙動分析動作を実行することによってアプリケーション状態を推論するための方法およびシステム
US10089459B2 (en) Malware detection and prevention by monitoring and modifying a hardware pipeline
US9721212B2 (en) Efficient on-device binary analysis for auto-generated behavioral models
JP6235000B2 (ja) クライアントクラウド挙動アナライザのためのアーキテクチャ
US20160253498A1 (en) Methods and Systems for On-Device High-Granularity Classification of Device Behaviors using Multi-Label Models
US20160232353A1 (en) Determining Model Protection Level On-Device based on Malware Detection in Similar Devices
US20150101047A1 (en) Pre-Identifying Probable Malicious Behavior Based on Configuration Pathways

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees