用于检测可疑或劣化性能的移动设备行为的方法、设备和系统,智能地、动态地和/或适应性地确定要进行观察的计算设备行为、要进行观察的行为的数量、以及要对移动设备行为进行观察的细节或粒度级别。各个方面在无需过多的处理、存储器或能量资源量的情况下,高效地识别可疑或劣化性能的移动设备行为。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】移动设备上的基于数据流的行为分析
技术介绍
蜂窝和无线通信技术在最近几年已出现了爆炸性的增长。更佳的通信、硬件、更大 的网络和更可靠的协议激发了运种增长。无线服务提供商现在能够向它们的客户提供不断 扩展的大量的功能和服务,并向用户提供信息、资源和通信的空前水平的访问。为了跟上运 些服务的增强,移动电子设备(例如,蜂窝电话、平板设备、膝上型计算机等等)与过去相比 已变得更强大和更复杂。运种复杂度产生了针对恶意软件、软件冲突、硬件故障的新的机 会,W及产生了负面地影响移动设备的长期持续性能和功率利用水平的其它类似故障或现 象。因此,识别和校正会负面地影响移动设备的长期持续性能和功率利用水平的状况和/或 移动设备行为对于消费者是有益的。
技术实现思路
各个方面包括通过W下操作来分析移动设备行为W识别恶意软件应用的方法:识 别需要密切监测的关键数据资源;识别与所述关键数据资源相关联的中间资源;当访问所 述关键数据资源和所述中间资源时,监测由软件应用做出的API调用;识别由所述API调用 消耗或产生的移动设备资源;将API调用的模式识别成指示所述软件应用的恶意活动;基于 所识别的API调用的模式和所识别的移动设备资源,生成轻量级的行为特征;使用所述轻量 级的行为特征来执行行为分析操作;W及基于所述行为分析操作,确定所述软件应用是恶 意还是善意。 在一个方面,识别由所述API调用消耗或产生的移动设备资源可W包括:识别由所 述API调用产生的幽灵(ghost)资源。在另外的方面,识别与所述关键数据资源相关联的所 述中间资源可W包括:基于由所述软件应用针对所述关键数据资源做出的API调用,识别需 要API调用监测的资源。在另外的方面,该方法可W包括:观察一段时间的移动设备行为,W 识别与正常操作模式不一致的移动设备行为,其中,使用所述轻量级的行为特征来执行行 为分析操作可W包括:基于所述轻量级的行为特征中包括的信息,来动态地确定要进行观 察的所述移动设备行为。在另外的方面,使用所述轻量级的行为特征来执行行为分析操作 可W包括:基于所述轻量级的行为特征中包括的信息,识别需要更深入分析的移动设备行 为。 在另外的方面,该方法可W包括:更详细地观察所确定的移动设备行为;生成更全 面地描述所观察的移动设备行为的稳健行为特征;使用所生成的行为特征来执行所观察的 移动设备行为的更深入分析。在另外的方面,该方法可W包括:根据所监测的API调用,识别 所述软件应用的两个或更多操作;W及确定是否应当将所识别的两个或更多操作作为单个 移动设备行为进行一起分析。在另外的方面,使用所述轻量级的行为特征来执行行为分析 操作可W包括:基于所述轻量级的行为特征中包括的信息,确定要对所述软件应用的操作 进行分析的时间段。 另外的方面包括一种计算设备,其包括:用于识别需要密切监测的关键数据资源 的单元;用于识别与所述关键数据资源相关联的中间资源的单元;用于当访问所述关键数 据资源和所述中间资源时,监测由软件应用做出的API调用的单元;用于识别由所述API调 用消耗或产生的移动设备资源的单元;用于将API调用的模式识别成指示所述软件应用的 恶意活动的单元;用于基于所识别的API调用的模式和所识别的移动设备资源,生成轻量级 的行为特征的单元;用于使用所述轻量级的行为特征来执行行为分析操作的单元;W及用 于基于所述行为分析操作,确定所述软件应用是恶意还是善意的单元。 在一个方面,用于识别由所述API调用消耗或产生的移动设备资源的单元可W包 括:用于识别由所述API调用产生的幽灵资源的单元。在另外的方面,用于识别与所述关键 数据资源相关联的所述中间资源的单元可W包括:用于基于由所述软件应用针对所述关键 数据资源做出的API调用,识别需要API调用监测的资源的单元。在一个方面,该计算设备可 W包括:用于观察一段时间的移动设备行为,W识别与正常操作模式不一致的移动设备行 为的单元,其中,用于使用所述轻量级的行为特征来执行行为分析操作的单元可W包括:用 于基于所述轻量级的行为特征中包括的信息,来动态地确定要进行观察的所述移动设备行 为的单元。在另外的方面,用于使用所述轻量级的行为特征来执行行为分析操作的单元可 W包括:用于基于所述轻量级的行为特征中包括的信息,识别需要更深入分析的移动设备 行为的单元。 在另外的方面,该计算设备可W包括:用于更详细地观察所确定的移动设备行为 的单元;用于生成更全面地描述所观察的移动设备行为的稳健行为特征的单元;用于使用 所生成的行为特征来执行所观察的移动设备行为的更深入分析的单元。在另外的方面,该 计算设备可W包括:用于根据所监测的API调用,识别所述软件应用的两个或更多操作的单 元;用于确定是否应当将所识别的两个或更多操作作为单个移动设备行为进行一起分析的 单元。在另外的方面,用于使用所述轻量级的行为特征来执行行为分析操作的单元可W包 括:用于基于所述轻量级的行为特征中包括的信息,确定要对所述软件应用的操作进行分 析的时间段的单元。 另外的方面包括一种具有处理器的移动计算设备,其中该处理器被配置为通过处 理器可执行指令来执行包括W下各项的操作:识别需要密切监测的关键数据资源;识别与 所述关键数据资源相关联的中间资源;当访问所述关键数据资源和所述中间资源时,监测 由软件应用做出的API调用;识别由所述API调用消耗或产生的移动设备资源;将API调用的 模式识别成指示所述软件应用的恶意活动;基于所识别的API调用的模式和所识别的移动 设备资源,生成轻量级的行为特征;使用所述轻量级的行为特征来执行行为分析操作;W及 基于所述行为分析操作,确定所述软件应用是恶意还是善意。 在一个方面,所述处理器可W被配置为通过处理器可执行指令来执行操作,使得 识别由所述API调用消耗或产生的移动设备资源可W包括:识别由所述API调用产生的幽灵 资源。在另外的方面,所述处理器可W被配置为通过处理器可执行指令来执行操作,使得识 别与所述关键数据资源相关联的所述中间资源可W包括:基于由所述软件应用针对所述关 键数据资源做出的API调用,识别需要API调用监测的资源。在另外的方面,所述处理器可W 被配置为通过处理器可执行指令来执行还包括W下各项的操作:观察一段时间的移动设备 行为,W识别与正常操作模式不一致的移动设备行为,其中,使用所述轻量级的行为特征来 执行行为分析操作可W包括:基于所述轻量级的行为特征中包括的信息,来动态地确定要 进行观察的所述移动设备行为。 在另外的方面,所述处理器可W被配置为通过处理器可执行指令来执行操作,使 得使用所述轻量级的行为特征来执行行为分析操作可W包括:基于所述轻量级的行为特征 中包括的信息,识别需要更深入分析的移动设备行为。在另外的方面,所述处理器可W被配 置为通过处理器可执行指令来执行还包括W下各项的操作:更详细地观察所确定的移动设 备行为;生成更全面地描述所观察的移动设备行为的稳健行为特征;W及使用所生成的行 为特征来执行所观察的移动设备行为的更深入分析。在另外的方面,所述处理器可W被配 置为通过处理器可执行指令来执行还包括W下各项的操作:根据所监测的API调用,识别所 述软件应用的两个或更多操本文档来自技高网...
【技术保护点】
一种分析移动设备行为以识别恶意软件应用的方法,包括:在处理器中识别需要密切监测的关键数据资源;识别与所述关键数据资源相关联的中间资源;当访问所述关键数据资源和所述中间资源时,监测由软件应用做出的API调用;识别由所述API调用消耗或产生的移动设备资源;将API调用的模式识别成指示由所述软件应用进行的恶意活动;基于所识别的API调用的模式和所识别的移动设备资源,生成轻量级的行为特征;使用所述轻量级的行为特征来执行行为分析操作;以及基于所述行为分析操作,确定所述软件应用是恶意还是善意。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:V·斯里哈拉,S·A·K·加塔拉,R·古普塔,
申请(专利权)人:高通股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。