CN104272787A - 用于自主还原到行为检查点的技术 - Google Patents

Abstract

本发明方面的方法、系统及装置可经配置以创建/捕获检查点而不显著地影响移动装置的性能、电力消耗或响应性。所述移动装置的观测器模块可装备或协调在移动装置系统的各种级别处的各种应用程序编程接口API，且不断地监视所述移动装置(经由低功率进程、后台进程等等)，以鉴别所述移动装置的正常操作样式及/或鉴别与先前计算的正常操作样式不一致的行为。当移动装置确定所述移动装置行为与正常操作样式一致时，所述移动装置可将移动装置状态信息存储在存储器中作为经存储检查点，且当所述移动装置确定所述移动装置行为与正常操作样式不一致时，所述移动装置可将先前经存储检查点上传到备份存储系统。

Description

用于自主还原到行为检查点的技术

相关申请案

本申请案主张如下两个申请案的优先权利：2012年5月14日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时专利申请案第61/646,590号；及2012年8月15日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时申请案第61/683,274号，这两个申请案的全部内容是出于所有目的而据此以引用方式并入。

背景技术

蜂窝及无线通信技术已在过去的若干年内得到急速增长。这种增长已受到较好通信、硬件、较大网络及较可靠协议推动。无线服务提供者现在能够向其客户提供不断扩充的特征及服务阵列，且向用户提供对信息、资源及通信的空前程度的存取。为了跟上这些服务增强，移动电子装置(例如，蜂窝电话、平板计算机、膝上型计算机等等)相比于以前已变得较强大且复杂。这种复杂性已产生使恶意软件、软件冲突、硬件故障及其它相似错误或现象负面地影响移动装置的长期且持续的性能及功率利用水平的新机会。因此，校正可负面地影响移动装置的长期且持续的性能及功率利用水平的条件及/或移动装置行为会有益于消费者。

发明内容

各种方面包含在移动装置中进行检查点操作的方法，其包含：在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点；及响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。在一方面中，将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复所述移动装置的状态信息作为所述经存储检查点。在另外方面中，将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。在另外方面中，所述方法可包含：确定软件应用程序与签名是否相关联；及响应于确定所述软件应用程序与签名不相关联而产生检查点触发。在另外方面中，响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统可包含响应于检测响应于将软件应用程序更新安装在所述移动装置上而产生的触发来上传所述经存储检查点。在另外方面中，将所述经存储检查点上传到备份存储系统可包含将所述经存储检查点上传到云服务提供者网络中的服务器。在另外方面中，所述方法可包含：确定所述移动装置与WiFi接入点是否相关联，其中将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。在另外方面中，所述方法可包含：确定所述移动装置是否连接到外部电源，其中将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动装置连接到外部电源而将所述经存储检查点上传到网络服务器。

另外方面包含一种计算装置，其可包含：用于在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为的装置；用于当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点的装置；及用于响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统的装置。在一方面中，用于将移动装置状态信息存储在存储器中作为经存储检查点的装置可包含用于存储用于恢复所述移动计算装置的状态信息作为所述经存储检查点的装置。在另外方面中，用于将移动装置状态信息存储在存储器中作为经存储检查点的装置可包含用于存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点的装置。在另外方面中，所述计算装置可包含：用于确定软件应用程序与签名是否相关联的装置；及用于响应于确定所述软件应用程序与签名不相关联而产生检查点触发的装置。在另外方面中，用于响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统的装置可包含：用于响应于检测响应于将软件应用程序更新安装在所述移动计算装置上而产生的触发来上传所述经存储检查点的装置。在另外方面中，用于将所述经存储检查点上传到备份存储系统的装置可包含用于将所述经存储检查点上传到云服务提供者网络中的服务器的装置。在另外方面中，所述计算装置可包含：用于确定所述移动计算装置与WiFi接入点是否相关联的装置，其中用于将所述经存储检查点上传到备份存储系统的装置可包含用于响应于确定所述移动计算装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器的装置。在另外方面中，所述计算装置可包含：用于确定所述移动计算装置是否连接到外部电源的装置，其中用于将所述经存储检查点上传到备份存储系统的装置可包含用于响应于确定所述移动计算装置连接到外部电源而将所述经存储检查点上传到网络服务器的装置。

另外方面包含一种移动计算装置，其可包含处理器，所述处理器经配置有处理器可执行指令以执行操作，所述操作可包含：在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点；及响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。在一方面中，所述处理器可经配置有处理器可执行指令以执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复所述移动计算装置的状态信息作为所述经存储检查点。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，所述操作进一步包含：确定软件应用程序与签名是否相关联；及响应于确定所述软件应用程序与签名不相关联而产生检查点触发。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，使得响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统可包含响应于检测响应于将软件应用程序更新安装在所述移动计算装置而产生的触发来上传所述经存储检查点。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统可包含将所述经存储检查点上传到云服务提供者网络中的服务器。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，所述操作进一步包含确定所述移动计算装置与WiFi接入点是否相关联；且所述处理器可经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动计算装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。在另外方面中，所述处理器可经配置有处理器可执行指令以执行操作，所述操作进一步包含确定所述移动计算装置是否连接到外部电源；且所述处理器可经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动计算装置连接到外部电源而将所述经存储检查点上传到网络服务器。

另外方面包含一种非暂时性服务器可读存储媒体，其上存储有处理器可执行指令，所述处理器可执行指令经配置以使移动计算装置执行操作，所述操作可包含：在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点；及响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。在一方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复所述移动装置的状态信息作为所述经存储检查点。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点可包含存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，所述操作包含：确定软件应用程序与签名是否相关联；及响应于确定所述软件应用程序与签名不相关联而产生检查点触发。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，使得响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统可包含响应于检测响应于将软件应用程序更新安装在所述移动装置上而产生的触发来上传所述经存储检查点。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，使得将所述经存储检查点上传到备份存储系统可包含将所述经存储检查点上传到云服务提供者网络中的服务器。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，所述操作包含：确定所述移动装置与WiFi接入点是否相关联，其中将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。在另外方面中，所述经存储处理器可执行软件指令可经配置以使处理器执行操作，所述操作包含：确定所述移动装置是否连接到外部电源，其中将所述经存储检查点上传到备份存储系统可包含响应于确定所述移动装置连接到外部电源而将所述经存储检查点上传到网络服务器。

附图说明

并入本文中且构成本说明书的部分的随附图式说明本发明的示范性方面，且与上文所给出的一般描述及下文所给出的详细描述一起用来解释本发明的特征。

图1为说明适合于供各种方面中使用的实例电信系统的网络组件的通信系统框图。

图2为说明经配置以确定特定移动装置行为、软件应用程序或进程是造成性能降级、可疑还是良性的方面移动装置中的实例逻辑组件及信息流的框图。

图3A为说明自动地产生及还原到检查点的方面移动装置方法的进程流程图。

图3B为说明响应于检测事件或触发的发生而将移动装置状态信息存储在存储器中作为经存储检查点的方面移动装置方法的进程流程图。

图3C为说明响应于检测组件、资源或条件的存在而将经存储检查点上传到备份存储系统(例如，网络服务器或云服务提供者网络)的方面移动装置方法的进程流程图。

图4为根据一方面的说明经配置以执行动态及自适应观测以产生适合于用来产生检查点的信息的观测器模块中的实例逻辑组件及信息流的框图。

图5为根据一方面的说明实施观测器守护程序的计算系统中的逻辑组件及信息流的框图。

图6为说明用于对移动装置执行自适应观测的本发明方面的方法的进程流程图。

图7为适合于供一方面中使用的移动装置的组件框图。

图8为适合于供一方面中使用的服务器装置的组件框图。

具体实施方式

将参看随附图式详细地描述各种方面。在任何可能之处，将贯穿所述图式而使用相同参考编号以指相同或类似部分。对特定实例及实施方案进行的参考是出于说明性目的，且不意欲限制本发明或权利要求书的范围。

词语“示范性”在本文中用以意谓“充当实例、例子或说明”。在本文中被描述为“示范性”的任何实施方案未必被解释为比其它实施方案优选或有利。

术语“移动计算装置”及“移动装置”在本文中可互换地用以指以下各者中的任一者或全部：蜂窝电话、智能电话、个人或移动多媒体播放器、个人数据助理(PDA)、膝上型计算机、平板计算机、智能本、超级本、掌上型计算机、无线电子邮件接收器、启用多媒体因特网的蜂窝电话、无线游戏控制器，及相似个人电子装置，其包含存储器、包含性能重要的可编程处理器且在电池电力下操作以使得省电方法有益。虽然各种方面特别有用于具有有限资源且依靠电池电力而运行的例如智能电话的移动计算装置，但所述方面通常有用于包含处理器且执行应用程序的任何电子装置中。

各种方面包含经配置以创建/捕获检查点而不消耗移动装置的显著量或数目的处理或电池资源且不影响移动装置的性能或响应性的方法、系统及装置。

存在用于捕获及记录呈可用以使移动装置恢复到先前操作状态或条件的格式的移动装置状态信的各种备份及恢复解决方案。举例来说，“检查点操作”为众所周知的容错技术，其通常包含拍摄计算系统的当前状态的快照及存储所述快照以供以后在故障状况下使用。检查点可包含移动装置的软件图像，以及适合于在必要时(例如，在硬件故障、数据破坏、病毒等等的事件中)使移动装置恢复到先前操作状态或条件的其它状态信息。每一检查点可包含：完整备份图像，其包含在所述检查点被创建时在移动装置上可得到的所有数据及状态信息；或部分或增量备份图像，其仅包含自先前检查点被捕获或创建以来已改变的数据及状态信息。

用于创建或捕获检查点的现有解决方案通常要求在移动装置中执行功率及计算密集型进程。这种习知处理可消耗移动装置的许多处理及电池资源、使移动装置变慢或致使移动装置无用历时延长的时段，且以其它方式使用户体验降级。

通常，移动装置的性能及功率效率随着时间而降级。最近，防病毒公司(例如，McAfee、Symantec等等)已开始营销旨在减缓这种降级的移动防病毒、防火墙及加密产品。然而，许多这些解决方案依赖于移动装置上的计算密集型扫描引擎的周期性执行，这种情形可消耗移动装置的许多处理及电池资源、使移动装置变慢或致使移动装置无用历时延长的时段，及/或以其它方式使用户体验降级。另外，这些解决方案通常限于检测已知病毒及恶意软件，且未处理常常组合以促成移动装置随着时间的降级的多个复杂因素及/或交互(例如，当性能降级未由病毒或恶意软件造成时)。术语“性能降级”在本文中用以指多种不良移动装置操作及特性，例如，较长处理时间、较低电池寿命、专用数据遗失、恶意经济活动(例如，发送未经授权的获奖SMS消息)、与强占移动装置或利用电话进行间谍活动或僵尸网络活动有关的操作等等。出于这些及其它原因，现有防病毒、防火墙及加密产品未提供用于鉴别可促成移动装置随着时间的降级的众多因素、防止移动装置降级或有效地使老化移动装置恢复到其原始条件的充足解决方案。

移动装置为具有相对有限处理、存储器及能量资源的资源约束系统。现代移动装置也为复杂系统，且可存在可需要分析以适当地鉴别移动装置降级的起因或来源的数千个特征/因素及亿万个数据点。归因于这些约束，常常不可行的是评估可促成现代移动装置的复杂又资源约束的系统的性能及/或功率利用水平的降级的所有因素。同样地归因于这些约束，通常不可行的是收集大量检查点或频繁地捕获检查点，这是因为每一检查点的收集及存储可消耗显著量或数目的处理及电力资源。

另外，存在可促成移动装置的性能及功率利用水平随着时间的降级的多种因素，包含经不良设计的软件应用程序、恶意软件、病毒、碎片存储器、后台进程等等。归因于这些因素的数目、种类及复杂性，现有备份及恢复解决方案不能适当地或智能地确定检查点应被捕获、存储或上传到网络服务器的时间或频率。

出于这些及其它原因，许多现有解决方案仅支持将移动装置配置成手动地捕获检查点(例如，响应于用户手动地启动检查点操作进程)或周期性地(例如，每星期三的1:00AM等等)自动地捕获检查点。周期性检查点是任意的，这是因为时间推移并非始终为已在装置上发生的改变量的良好指示符，且手动检查点操作易于发生错误及用户疲劳，这是因为人们可能厌烦(或忘记)捕获检查点以备份其移动装置。

各种方面通过提供经配置以进行如下操作的方法、系统及装置来克服现有解决方案的这些及其它限制：连续地或近乎连续地捕获检查点，而不显著地影响移动装置的响应性、性能或电力消耗；智能地确定在每一检查点中应包含哪些因素或特征；及/或智能地确定何时应将检查点存储或上传到网络服务器。作为实施于移动装置中的综合行为分析解决方案的一部分，各种方面可捕获及上传检查点。

各种方面可包含用于有效地鉴别、分类、建模、防止及/或校正常常使移动装置的性能及/或功率利用水平随着时间降级的条件及/或移动装置行为的网络服务器、移动装置、系统及方法。

在一方面中，移动装置的观测器进程、守护程序、模块或子系统(在本文中被共同地称为“模块”)可装备或协调在移动装置系统的各种级别处的各种应用程序编程接口(API)，且从经装备API收集行为信息。观测器模块可不断地监视移动装置(经由低功率进程、后台进程等等)，以鉴别移动装置的正常操作样式及/或鉴别与先前计算的正常操作样式不一致的行为。观测器模块可将经收集行为信息传达(例如，经由存储器写入操作、函数调用等等)到移动装置的分析器模块(例如，经由存储器写入操作等等)，分析器模块可分析及/或分类经收集行为信息、产生行为矢量、基于行为矢量及从各种其它移动装置子系统收集的信息而产生空间及/或时间相关，且确定特定移动装置行为、软件应用程序或进程是良性、可疑还是恶意/造成性能降级。

在一方面中，移动装置可经配置以使用上述行为分析技术的结果来智能地且自治地执行检查点操作。如此，根据一方面而配置的移动装置可拍摄及存储系统状态的快照以在经检测装置行为是标称时产生检查点，但响应于确定移动装置行为与正常操作样式不一致而仅将经存储检查点上传到备份存储系统。举例来说，移动装置可经配置以产生包含由观测器模块在识别移动装置的正常操作样式时收集的信息的检查点。通过使用由观测器模块先前收集的信息来产生检查点，可使移动装置免于与检查点操作相关联的显著数目个额外处理器或电池密集型操作。如此，各种方面可频繁地捕获检查点而不消耗移动装置的任何或显著数目个处理或电池资源。

在一方面中，移动装置可经配置以在操作行为样式是标称时连续地或频繁地捕获检查点，且将每一检查点存储在本地存储器或高速缓冲存储器中，例如，通过改写先前存储在本地存储器或高速缓冲存储器中的检查点。只要移动装置行为由观测器模块确定为在正常操作样式内，这种进程或更新本地经存储检查点就可继续。移动装置可经进一步配置以在分析器模块确定移动装置行为、软件应用程序或进程正以可疑或恶意的方式操作或展现性能降级行为时自动地且立即将最新的本地经存储检查点上传到备份存储存储库、网络服务器，或云计算网络中的服务器。

通过只要移动装置行为在正常操作样式内就连续地(或频繁地)捕获检查点，各种方面可确保移动装置始终维持包含在检测任何可疑或恶意行为之前收集的最新或最当前信息的经更新检查点。另外，通过仅在移动装置确定特定移动装置行为、软件应用程序或进程潜在地恶意或造成性能降级时才将本地经存储检查点上传到备份存储存储库，各种方面可缩减或最小化检查点上传的数目，且因此缩减或最小化经由网络而传到到网络服务器的信息的量。最小化检查点上传还会节省装置资源(例如，电池电力、通信带宽及处理器可用性)，由此改善用户体验，甚至同时提供稳健的备份能力。

在一方面中，移动装置可经配置以响应于检测事件或触发的发生而自动地捕获检查点。在一方面中，移动装置可经配置以响应于检测事件或触发的发生而自动地上传存储在本地存储器或高速缓冲存储器中的检查点。在一方面中，分析器模块可经配置以在分析器模块确定特定移动装置行为、软件应用程序或进程可疑或恶意/造成性能降级时自动地产生或启动检查点操作触发。

在各种方面中，移动装置可经配置以在移动装置与WiFi接入点相关联时、在移动装置连接到电源时或在其它适宜时间/情形时将经高速缓冲存储检查点上传到网络服务器(例如，云计算网络中的服务器、份存储存储库等等)。

在一方面中，移动装置可经配置以从网络服务器(例如，云计算网络中的服务器、备份存储存储库等等)自动地下载最新或最当前检查点，且使用经下载检查点以使移动装置恢复到移动装置被知道已根据正常操作样式而操作的先前状态或条件。在一方面中，移动装置可经配置以在移动装置确定不能校正或防止恶意或造成性能降级的移动装置行为时从网络服务器自动地下载最近或最新检查点。

在各种方面中，移动装置可经配置以产生包含关于(或适合于恢复)整个移动装置、系统、子系统、模块、特定软件应用程序、进程等等的信息的检查点。举例来说，移动装置可经配置以捕获包含特定软件应用程序的图像(与硬盘驱动器或整个移动装置的图像相对)的所专注检查点，及/或仅恢复关于那个特定软件应用程序或用于使那个应用程序恢复到其先前状态(例如，在安装针对所述软件应用程序的最近软件更新之前、在打开所述应用程序中的文件之前等等的状态)的软件或模块。

各种方面可实施于例如图1所说明的实例通信系统100的多种通信系统内。典型的蜂窝电话网络104包含耦合到网络操作中心108的多个蜂窝基站106，网络操作中心108操作以(例如)经由电话陆线(例如，未图示的POTS网络)及因特网110而在移动装置102(例如，蜂窝电话、膝上型计算机、平板计算机等等)与其它网络目的地之间连接语音呼叫及数据。移动装置102与电话网络104之间的通信可经由例如4G、3G、CDMA、TDMA、LTE及/或其它蜂窝电话通信技术的双向无线通信链路112而实现。电话网络104还可包含耦合到网络操作中心108或耦合在网络操作中心108内的一或多个服务器114，其提供对因特网110的连接。

通信系统100可进一步包含连接到电话网络104及因特网110的网络服务器116。网络服务器116与电话网络104之间的连接可经由因特网110或经由专用网络(如虚线箭头所说明)。网络服务器116还可被实施为云服务提供者网络118的网络基础结构内的服务器。网络服务器116与移动装置102之间的通信可经由电话网络104、因特网110、专用网络(未说明)或其任何组合而实现。

移动装置102可经配置以产生检查点且将经产生检查点发送到网络服务器116(例如，经由电话网络104)以供分析及/或存储。同样地，网络服务器116可经配置以将经存储检查点发送到移动装置102，移动装置102可接收及使用所述检查点以使所述移动装置恢复到先前状态或条件。

图2说明经配置以确定特定移动装置行为、软件应用程序或进程是恶意/造成性能降级、可疑还是良性的方面移动装置102中的实例逻辑组件及信息流。在图2所说明的实例中，移动装置102包含行为观测器模块202、行为分析器模块204、外部上下文信息模块206、致动器模块208及检查点产生器模块210。在一方面中，检查点产生器模块210可被包含为致动器模块208的部分。

模块202到210中的每一者可实施于软件、硬件或其任何组合中。在各种方面中，模块202到210可实施于操作系统的部分内(例如，内核内、内核空间中、用户空间中等等)、分离程序或应用程序内、专用硬件缓冲器或处理器中，或其任何组合。在一方面中，模块202到210中的一或多者可被实施为执行于移动装置102的一或多个处理器上的软件指令。

行为观测器模块202可经配置以装备或协调在移动装置的各种级别/模块处的应用程序编程接口(API)，且经由经装备API而监视/观测在各种级别/模块处的移动装置操作及事件(例如，系统事件、状态改变等等)、收集关于经观测操作/事件的信息、智能地筛选经收集信息、基于经筛选信息而产生一或多个观测，且将经产生观测存储在存储器中(例如，日志文件等等中)，及/或将经产生观测发送(例如，经由存储器写入、函数调用等等)到行为分析器模块204。

行为观测器模块202可通过收集关于应用程序框架或运行时间库中的库应用程序编程接口(API)调用、系统调用API、文件系统及网络连接子系统操作、装置(包含传感器装置)状态改变及其它相似事件的信息来监视/观测移动装置操作及事件。行为观测器模块202还可监视文件系统活动，其可包含搜索文件名、文件存取类别(个人信息或正常数据文件)、创建或删除文件(例如，类型exe、zip等等)、文件读取/写入/寻道操作、改变文件权限等等。

行为观测器模块202还可监视数据网络活动，其可包含连接的类型、协议、端口号、装置被连接到的服务器/客户端、连接的数目、通信的容量或频率等等。行为观测器模块202可监视电话网络活动，其可包含监视所发出、接收或拦截的呼叫或消息(例如，SMS等等)的类型及数目(例如，所拨获奖呼叫的数目)。

行为观测器模块202还可监视系统资源使用情况，其可包含监视分叉的数目、存储器存取操作、打开文件的数目等等。行为观测器模块202可监视移动装置的状态，其可包含监视各种因素，例如，显示器接通还是关闭、装置被锁定还是解锁、电池剩余的电量、相机的状态等等。行为观测器模块202还可通过(例如)监视对关键服务(浏览器、合同提供者等等)的意图、进程间通信的程度、弹出窗口等等来监视进程间通信(IPC)。

为了将经监视因素的数目缩减到可管理水平，在一方面中，行为观测器模块202可通过监视/观测初始行为或因素集合来执行粗略观测，初始行为或因素集合为可促成移动装置的降级的所有因素的小子集。在一方面中，行为观测器模块202可从网络服务器116及/或云服务提供者网络118中的组件接收初始行为及/或因素集合。在一方面中，初始行为/因素集合可被指定在从网络服务器116或云服务提供者网络118接收的数据/行为模型中。

行为分析器模块204可从行为观测器模块202接收观测、比较经接收信息(即，观测)与从外部上下文信息模块206接收的上下文信息，且鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的与经接收观测相关联的子系统、进程及/或应用程序。

在一方面中，行为分析器模块204可包含用于利用有限信息集合(即，粗略观测)以鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的行为、进程或程序的智能。举例来说，行为分析器模块204可经配置以分析从各种模块(例如，行为观测器模块202、外部上下文信息模块206等等)收集的信息(例如，呈观测的形式)、获悉移动装置的正常操作行为、基于比较的结果而产生一或多个行为矢量，且比较经产生行为矢量与其它行为模块以确定特定移动装置行为、软件应用程序或进程是造成性能降级/恶意、良性还是可疑。

当行为分析器模块204确定行为、软件应用程序或进程可疑、恶意或造成性能降级时，行为分析器模块204可通知致动器模块208及/或检查点产生器模块210。致动器模块208可执行各种动作或操作以校正被确定为恶意或造成性能降级的移动装置行为，及/或执行操作以修复、处置、隔离或以其它方式修正经鉴别问题。

在一方面中，行为观测器模块202及行为分析器模块204可个别地或共同地提供近连续实时行为监视及分析，以从有限及粗略观测鉴别可疑行为、动态地确定待较详细地观测的行为，且动态地确定观测所需要的细节级别。如此，移动装置102可有效地鉴别问题且防止问题发生于移动装置上，而在装置上无需大量处理器、存储器或电池资源。另外，通过进行近连续实时行为监视及分析，行为观测器模块202及/或行为分析器模块204可确定移动装置行为何时与正常样式一致。

在一方面中，行为分析器模块204可设置旗标或以其它方式指示移动装置行为当前在正常样式内。这个信息可由检查点产生器模块210用以确定其可产生经更新检查点且将新检查点存储在本地存储器或高速缓冲存储器中。由检查点产生器模块210产生检查点可基于时钟或其它间隔确定机制，使得相对频繁地产生检查点，同时可使用来自行为分析器模块204的正常行为样式的旗标或其它指示作为用于启动经存储检查点的周期性更新的权限。

在一方面中，当行为分析器模块204确定行为、软件应用程序或进程可疑、恶意或造成性能降级时，行为分析器模块204可发送触发警报消息以使检查点产生器模块210将存储在本地存储器或高速缓冲存储器中的最近/最新检查点发送到网络服务器116或云服务提供者网络118(例如，经由因特网110)。

在各种方面中，行为分析器模块204可经配置以响应于在移动装置102上下载、安装或更新软件应用程序而发送触发警报消息。在一方面中，行为分析器模块204可经配置以在应用程序的来源(例如，应用程序商店)未知时发送触发警报消息。在一方面中，行为分析器模块204可经配置以响应于执行或下载未签名的应用程序或应用程序更新而发送触发警报消息。

在一方面中，行为分析器模块204可经配置以在移动装置被确定为物理上位于高熵位置(即，用户通常并不经常访问的位置)时发送触发警报消息。在一方面中，行为分析器模块204可经配置以响应于确定用户已尝试且未能登录到系统达“x”次数或当行为分析器模块204以其它方式确定某人正试图黑客进攻或窃取电话时发送触发警报消息。

在一方面中，行为分析器模块204可经配置以在移动装置行为、电力消耗及/或应用程序调用与正常操作样式不一致(这种情形可根据移动装置的历史操作信息来确定)时发送触发警报消息。

在一方面中，行为分析器模块204可经配置以响应于检测到特定软件应用程序或软件应用程序类型的使用或执行而发送触发警报消息。举例来说，行为分析器模块204可经配置以响应于检测到文档创建应用程序(例如，Evernote、Quickoffice等等)的使用或执行而发送触发警报消息。

图3A说明自动地产生及还原到检查点的方面移动装置方法300。在块302中，移动装置处理器可在一段时间中观测移动装置行为，且收集适合于用来鉴别与正常操作样式不一致的移动装置行为的行为信息。在确定块304中，移动装置处理器可通过将数据/行为模型应用于经收集行为信息以确定移动装置行为是可疑还是恶意/造成性能降级而确定经观测行为与正常操作样式是否不一致。

当移动装置处理器确定经观测行为与正常操作样式一致(即，确定块304＝“否”)时，在块306中，移动装置处理器可将移动装置状态信息存储在本地存储器中作为经存储检查点。在各种方面中，移动装置状态信息可包含用于使移动装置及/或移动装置的一或多个软件应用程序恢复到其当前操作状态或条件的信息。在存储检查点之后，处理器可返回到在块302中观测移动装置行为，且只要经观测行为与正常操作样式一致(即，确定块304＝“否”)，进程就可继续。

当移动装置处理器确定经观测行为与正常操作样式不一致(即，确定块304＝“是”)时，在块308中，移动装置处理器可迅速地将经存储检查点上传到备份存储系统，例如，网络服务器或云服务提供者网络。

在块310中，移动装置处理器可鉴别负责造成不一致移动装置行为的进程、应用程序及/或子系统。在确定块312中，移动装置处理器可确定经鉴别进程、应用程序及/或子系统是否恶意及/或潜在造成性能降级。当移动装置处理器确定经鉴别进程、应用程序及/或子系统不是恶意或潜在造成性能降级(即，确定块312＝“否”)时，移动装置处理器可返回到在块302中观测移动装置行为。另一方面，如果移动装置处理器确定经鉴别进程、应用程序及/或子系统恶意或潜在造成性能降级(即，确定块312＝“是”)，那么在块314中，移动装置处理器可执行各种动作或操作以尝试校正被确定为恶意或造成性能降级的移动装置行为。这种情形可包含执行操作以修复、处置、隔离或以其它方式修正经鉴别问题。

在确定块316中，移动装置处理器可确定被确定为恶意或造成性能降级的移动装置行为是否已被解决，及/或经鉴别问题是否已被以其它方式修正或处置。当移动装置处理器确定经鉴别问题已被解决(即，确定块316＝“是”)时，移动装置处理器可返回到在块302中观测移动装置行为。如果移动装置处理器确定经鉴别问题尚未被修正(即，确定块316＝“否”)，那么在块318中，移动装置处理器可从网络备份存储系统下载最近经上传检查点，且执行操作以用于基于包含在下载检查点中的信息而恢复移动装置或软件应用程序。

图3B说明用于响应于检测事件或触发的发生而将经存储检查点上传到备份存储系统的实例移动装置方法340。在块342中，执行于移动装置处理器中的第一进程可在一段时间中观测移动装置行为，且收集适合于用来鉴别与正常操作样式不一致的移动装置行为的行为信息。在块344中，移动装置处理器可检测或确定新软件应用程序已开始执行于移动装置处理器中。

在定块346中，移动装置处理器可确定软件应用程序与存储在移动装置的存储器中的签名是否相关联。当移动装置处理器确定软件应用程序与签名相关联(即，确定块346＝“是”)时，移动装置处理器可继续以在块342中观测移动装置行为。如果移动装置处理器确定软件应用程序与签名不相关联(即，确定块346＝“否”)，那么在块348中，移动装置处理器可产生适合于使计算装置的一或多个模块将经存储检查点上传到备份存储系统的检查点触发。

在块350中，执行于移动装置处理器中的第二进程可检测检查点触发。在块350中，第二进程可存取本地存储在移动装置内的经存储检查点，且启动所述检查点到备份存储系统的上传。

图3C说明响应于检测组件、资源或条件的存在而将经存储检查点上传到备份存储系统(例如，网络服务器或云服务提供者网络)的方面移动装置方法360。在块362中，移动装置处理器可在一段时间中观测移动装置行为，且收集适合于用来鉴别与正常操作样式不一致的移动装置行为的行为信息。在块364中，移动装置处理器可检测外部组件(例如，WiFi接入点)的存在，或确定可得到新资源(例如，外部电源)。举例来说，在块364中，移动装置处理器可确定经由WiFi接入点可得到高带宽及/或低成本网络连接，或移动装置已连接到电源插座(即，可得到新资源)。在块366中，移动装置处理器可立即将经存储检查点上传到备份存储系统，例如，网络服务器或云服务提供者网络。

图4说明根据一方面的经配置以执行动态及自适应观测的计算系统的行为观测器模块202中的实例逻辑组件及信息流。行为观测器模块202可包含自适应筛选器模块402、节流器模块404、观测器模式模块406、高级别行为检测模块408、行为矢量产生器410及安全缓冲器412。高级别行为检测模块408可包含空间相关模块414及时间相关模块416。

观测器模式模块406可从各种来源接收控制信息，所述来源可包含分析器单元(例如，上文参看图2所描述的行为分析器模块204)及/或应用程序API。观测器模式模块406可将关于各种观测器模式的控制信息发送到自适应筛选器模块402及高级别行为检测模块408。

自适应筛选器模块402可从多个来源接收数据/信息，且智能地筛选经接收信息以产生选自经接收信息的较小信息子集。这个筛选器可基于从分析器模块接收的信息或控制或经由API而通信的较高级别进程予以适配。可将经筛选信息发送到节流器模块404，节流器模块404可负责控制从筛选器流动的信息的量以确保高级别行为检测模块408不会变得被溢满或超载有请求或信息。

高级别行为检测模块408可从节流器模块404接收数据/信息、从观测器模式模块406接收控制信息且从移动装置的其它组件接收上下文信息。高级别行为检测模块408可使用经接收信息以执行空间及时间相关以检测或鉴别可造成装置在次最佳级别处执行的高级别行为。可将空间及时间相关的结果发送到行为矢量产生器410，其可接收相关信息且产生描述特定进程、应用程序或子系统的行为的行为矢量。在一方面中，行为矢量产生器410可产生行为矢量，使得特定进程、应用程序或子系统的每一高级别行为是所述行为矢量的元素。在一方面中，可将经产生行为矢量存储在安全缓冲器412。高级别行为检测的实例可包含检测特定事件的存在、另一事件的量或频率、多个事件之间的关系、事件发生的顺序、某些事件的发生之间的时间差等等。

在各种方面中，行为观测器模块202可执行自适应观测且控制观测粒度。即，行为观测器模块202可动态地鉴别待观测的相关行为，且动态地确定经鉴别行为将被观测的细节级别。如此，行为观测器模块202使系统能够在各种级别(例如，多个粗略及精细级别)处监视移动装置的行为。行为观测器模块202可使系统能够适应于正被观测的事项。行为观测器模块202可使系统能够基于所专注信息子集而动态地改变正被观测的因素/行为，所述子集是可从多种来源获得。

如上文所论述，行为观测器模块202可执行自适应观测技术且基于从多种来源接收的信息而控制观测粒度。举例来说，高级别行为检测模块408可从节流器模块404接收信息、从观测器模式模块406接收信息，且接收从移动装置的其它组件(例如，传感器)接收的上下文信息。作为一实例，执行时间相关的高级别行为检测模块408可能检测到相机已被使用且移动装置正试图将图片上传到服务器。高级别行为检测模块408还可执行空间相关以确定在移动装置被放入用户的皮套且附加到用户的皮带时所述装置上的应用程序是否拍摄图片。高级别行为检测模块408可确定这种经检测高级别行为(例如，在放入皮套时相机的使用情况)是否为可接受或常见的行为，这种情形是可通过比较移动装置的当前行为与过去行为及/或存取从多个装置收集的信息(例如，从群智服务器接收的信息)而实现。因为在放入皮套时拍摄图片且将图片上传到服务器为异常行为(如在被放入皮套的上下文中可从经观测正常行为所确定)，所以在这种情形中高级别行为检测模块408可将这种行为识别为潜在威胁行为且启动适当响应(例如，关闭相机、发告警声等等)。

在一方面中，行为观测器模块202可实施于多个部分中。

图5说明实施方面观测器守护程序的计算系统500中的逻辑组件及信息流。在图5所说明的实例中，计算系统500包含在用户空间中的行为检测器502模块、数据库引擎504模块及行为分析器模块204，以及在内核空间中的环形缓冲器514、筛选器规则516模块、节流规则518模块、安全缓冲器管理器520及安全缓冲器522。计算系统500可进一步包含观测器守护程序，观测器守护程序包含在用户空间中的行为检测器502及数据库引擎504，以及在内核空间中的安全缓冲器管理器520、规则管理器510及系统运行状况监视器508。计算系统500可进一步包含用于将存储在环形缓冲器514中的信息传达到行为检测器502模块的环形缓冲器API 506。

各种方面可提供对包涵webkit、SDK、NDK、内核、驱动器及硬件的移动装置的交叉层观测，以便表征系统行为。可实时地进行行为观测。

观测器模块可执行自适应观测技术且控制观测粒度。如上文所论述，存在可促成移动装置的降级的大量(即，数千个)因素，且可能不可行的是监视/观测可促成装置性能的降级的所有不同因素。为了克服这种情形，各种方面动态地鉴别待观测的相关行为，且动态地确定经鉴别行为将被观测的细节级别。

图6说明根据一方面的用于执行动态及自适应观测的实例方法600。在块602中，移动装置处理器可通过监视/观测可促成移动装置的降级的大量因素/行为的子集来执行粗略观测。在块603中，移动装置处理器可基于粗略观测而产生表征粗略观测及/或移动装置行为的行为矢量。在块604中，移动装置处理器可鉴别可潜在地促成移动装置的降级的与粗略观测相关联的子系统、进程及/或应用程序。这种情形是可(例如)通过比较从多个来源接收的信息与从移动装置的传感器接收的上下文信息而实现。在块606中，移动装置处理器可基于粗略观测而执行行为分析操作。在一方面中，作为块603及604的部分，移动装置处理器可执行上文参看图3所论述的操作中的一或多者。

在确定块608中，移动装置处理器可确定是否可基于行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定可基于行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“是”)时，在块618中，所述处理器可启动用以校正所述行为的进程且返回到块602以执行额外粗略观测。

当移动装置处理器确定不能基于行为分析的结果而鉴别及/或校正可疑行为或潜在问题(即，确定块608＝“否”)时，在确定块609中，移动装置处理器可确定是否存在问题的可能性。在一方面中，移动装置处理器可通过计算移动装置遭遇潜在问题及/或参与可疑行为的概率且确定经计算概率是否大于预定阈值而确定存在问题的可能性。当移动装置处理器确定经计算概率不大于预定阈值及/或不存在可疑行为或潜在问题存在及/或可被检测的可能性(即，确定块609＝“否”)时，所述处理器可返回到块602以执行额外粗略观测。

当移动装置处理器确定存在可疑行为或潜在问题存在及/或可被检测的可能性(即，确定块609＝“是”)时，在块610中，移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入记录/观测或最终记录。在块612中，移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入及较详细观测。在块614中，移动装置处理器可基于较深入及较详细观测而执行进一步及/或较深入行为分析。在确定块608中，移动装置处理器可再次确定是否可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定不能基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“否”)时，所述处理器可重复块610到614中的操作，直到细节级别足够精细以鉴别问题为止，或直到确定不能以额外细节鉴别所述问题或不存在问题为止。

当移动装置处理器确定可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“是”)时，在块618中，移动装置处理器可执行操作以校正问题/行为，且所述处理器可返回到块602以执行额外操作。

在一方面中，作为方法600的块602到618的部分，移动装置处理器可执行系统行为的实时行为分析，以从有限及粗略观测鉴别可疑行为、动态地确定待较详细地观测的行为，且动态地确定观测所需要的精确细节级别。这种情形使移动装置处理器能够有效地鉴别问题且防止发生问题，而无需在装置上使用大量处理器、存储器或电池资源。

各种方面可实施于多种移动计算装置上，图7中以智能电话的形式说明所述移动计算装置的实例。智能电话700可包含耦合到内部存储器702、显示器703及扬声器的处理器701。另外，智能电话700可包含可连接到无线数据链路的用于发送及接收电磁辐射的天线704及/或耦合到处理器701的蜂窝电话收发器705。智能电话700通常还包含用于接收用户输入的菜单选择按钮或摇臂开关706。

典型智能电话700还包含声音编码/解码(CODEC)电路712，声音CODEC电路712将从麦克风接收的声音数字化成适合于无线传输的数据包且解码经接收声音数据包以产生提供到扬声器以产生声音的模拟信号。同样地，处理器701、无线收发器705及CODEC 712中的一或多者可包含数字信号处理器(DSP)电路(未分离地图示)。

本发明方面的方法的部分可在客户端-服务器体系结构中实现，其中一些处理发生于服务器中，例如，维护正常操作行为的数据库，所述数据库可由移动装置处理器在执行本发明方面的方法时存取。这些方面可实施于多种市售服务器装置中的任一者上，例如，图8所说明的服务器800。此类服务器800通常包含耦合到易失性存储器802及大容量非易失性存储器(例如，磁盘驱动器803)的处理器801。服务器800还可包含耦合到处理器801的软盘驱动器、压缩光盘(CD)或DVD光盘驱动器804。服务器800还可包含耦合到处理器801以用于与网络805(例如，耦合到其它广播系统计算机及服务器的局域网)建立数据连接的网络存取端口806。

处理器701、801可为任何可编程微处理器、微计算机或多处理器芯片，其可由软件指令(应用程序)配置以执行多种功能，包含下文所描述的各种方面的功能。在一些移动装置中，可提供多个处理器701，例如，专用于无线通信功能的一个处理器，及专用于运行其它应用程序的一或多个处理器。通常，软件应用程序可在被存取及加载到处理器701、801中之前存储在内部存储器702、802、803中。处理器701、801可包含足以存储应用程序软件指令的内部存储器。

前述方法描述及进程流程图是仅仅作为说明性实例被提供且不意欲要求或暗示必须以所呈现顺序执行各种方面的步骤。所属领域的技术人员应了解，可以任何顺序执行前述方面中的步骤顺序。例如“此后”、“接着”、“紧接着”等等的词语不意欲限制步骤顺序；这些词语仅仅用以指导读者阅读所述方法的描述。另外，对呈单数形式的权利要求书元件的任何参考(例如，使用数词“一”或“所述”)不应被解释为将元件限于单数形式。

结合本文所揭露的方面而描述的各种说明性逻辑块、模块、电路及算法步骤可被实施为电子硬件、计算机软件或这两者的组合。为了清楚地说明硬件与软件的这种可互换性，上文已大体上在功能性方面描述各种说明性组件、块、模块、电路及步骤。此类功能性被实施为硬件还是软件取决于特定应用及强加于整个系统上的设计约束。所属领域的技术人员可针对每一特定应用而以变化方式实施所描述功能性，但不应将这些实施决策解释为导致脱离本发明的范围。

许多移动计算装置操作系统内核经组织成用户空间(其中运行无特权代码)及内核空间(其中运行有特权代码)。这种分离在及其它通用公共许可证(GPL)环境中特别重要，在所述环境中，为内核空间的部分的代码必须具有GPL许可证，而运行于用户空间中的代码可不具有GPL许可证。应理解，除非另有明确叙述，否则此处所论述的各种软件组件/模块可实施于内核空间或用户空间中。

可运用经设计成执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行用以实施结合本文所揭露的方面而描述的各种说明性逻辑、逻辑块、模块及电路的硬件。通用处理器可为多处理器，但在替代例中，所述处理器可为任何习知处理器、控制器、微控制器或状态机。处理器还可被实施为计算装置的组合，例如，DSP与多处理器的组合、多个多处理器、结合DSP核心的一或多个多处理器，或任何其它此类配置。替代地，一些步骤或方法可由特定于给定功能的电路系统执行。

在一或多个示范性方面中，所描述功能可实施于硬件、软件、固件或其任何组合中。如果实施于软件中，那么所述功能可作为一或多个指令或代码而存储在非暂时性计算机可读媒体或非暂时性处理器可读媒体上。本文所揭露的方法或算法的步骤可具体化在可驻留于非暂时性计算机可读或处理器可读存储媒体上的处理器可执行软件模块中。非暂时性计算机可读或处理器可读存储媒体可为可由计算机或处理器存取的任何存储媒体。作为实例而非限制，这些非暂时性计算机可读或处理器可读媒体可包含RAM、ROM、EEPROM、FLASH存储器、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置，或可用以存储呈指令或数据结构的形式的所要程序代码且可由计算机存取的任何其它媒体。如本文所使用，磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软盘及蓝光光盘，其中磁盘通常以磁性方式重现数据，而光盘通过激光以光学方式重现数据。以上各者的组合也包含在非暂时性计算机可读及处理器可读媒体的范围内。另外，方法或算法的操作可作为代码及/或指令中的一者或其任何组合或集合而驻留于非暂时性处理器可读媒体及/或计算机可读媒体上，所述非暂时性处理器可读媒体及/或计算机可读媒体可并入到计算机程序产品中。

提供所揭露方面的前述描述以使任何所属领域的技术人员能够进行或使用本发明。对这些方面的各种修改对于所属领域的技术人员将易于显而易见，且可在不脱离本发明的精神或范围的情况下将本文所定义的一般原理应用于其它方面。因此，本发明不意欲限于本文所展示的方面，而应符合与所附权利要求书以及本文所揭露的原理及新颖特征相一致的最广范围。

Claims (32)

1.一种在移动装置中进行检查点操作的方法，其包括：

在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；

当确定所述移动装置行为与正常操作样式一致时，将移动装置状态信息存储在存储器中作为经存储检查点；以及

响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。

2.根据权利要求1所述的方法，其中将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复所述移动装置的状态信息作为所述经存储检查点。

3.根据权利要求1所述的方法，其中将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。

4.根据权利要求1所述的方法，其进一步包括：

确定软件应用程序与签名是否相关联；以及

响应于确定所述软件应用程序与签名不相关联而产生检查点触发。

5.根据权利要求1所述的方法，其中响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统包括：响应于检测到响应于将软件应用程序更新安装在所述移动装置上而产生的触发来上传所述经存储检查点。

6.根据权利要求1所述的方法，其中将所述经存储检查点上传到备份存储系统包括将所述经存储检查点上传到云服务提供者网络中的服务器。

7.根据权利要求1所述的方法，其进一步包括：

确定所述移动装置与WiFi接入点是否相关联，

其中将所述经存储检查点上传到备份存储系统包括响应于确定所述移动装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。

8.根据权利要求1所述的方法，其进一步包括：

确定所述移动装置是否连接到外部电源，

其中将所述经存储检查点上传到备份存储系统包括响应于确定所述移动装置连接到外部电源而将所述经存储检查点上传到网络服务器。

9.一种移动计算装置，其包括：

用于在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为的装置；

用于当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点的装置；以及

用于响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统的装置。

10.根据权利要求9所述的移动计算装置，其中用于将移动装置状态信息存储在存储器中作为经存储检查点的装置包括用于存储用于恢复所述移动计算装置的状态信息作为所述经存储检查点的装置。

11.根据权利要求9所述的移动计算装置，其中用于将移动装置状态信息存储在存储器中作为经存储检查点的装置包括用于存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点的装置。

12.根据权利要求9所述的移动计算装置，其进一步包括：

用于确定软件应用程序与签名是否相关联的装置；以及

用于响应于确定所述软件应用程序与签名不相关联而产生检查点触发的装置。

13.根据权利要求9所述的移动计算装置，其中用于响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统的装置包括：

用于响应于检测到响应于将软件应用程序更新安装在所述移动计算装置上而产生的触发来上传所述经存储检查点的装置。

14.根据权利要求9所述的移动计算装置，其中用于将所述经存储检查点上传到备份存储系统的装置包括用于将所述经存储检查点上传到云服务提供者网络中的服务器的装置。

15.根据权利要求9所述的移动计算装置，其进一步包括：

用于确定所述移动计算装置与WiFi接入点是否相关联的装置，

其中用于将所述经存储检查点上传到备份存储系统的装置包括用于响应于确定所述移动计算装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器的装置。

16.根据权利要求9所述的移动计算装置，其进一步包括：

用于确定所述移动计算装置是否连接到外部电源的装置，

其中用于将所述经存储检查点上传到备份存储系统的装置包括用于响应于确定所述移动计算装置连接到外部电源而将所述经存储检查点上传到网络服务器的装置。

17.一种移动计算装置，其包括：

处理器，其经配置有处理器可执行指令以执行操作，所述操作包括：

在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；

当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点；以及

响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。

18.根据权利要求17所述的移动计算装置，其中所述处理器经配置有处理器可执行指令以执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复所述移动计算装置的状态信息作为所述经存储检查点。

19.根据权利要求17所述的移动计算装置，其中所述处理器经配置有处理器可执行指令以执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。

20.根据权利要求17所述的移动计算装置，其中所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括：

确定软件应用程序与签名是否相关联；以及

响应于确定所述软件应用程序与签名不相关联而产生检查点触发。

21.根据权利要求17所述的移动计算装置，其中所述处理器经配置有处理器可执行指令以执行操作，使得响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统包括：响应于检测到响应于将软件应用程序更新安装在所述移动计算装置而产生的触发来上传所述经存储检查点。

22.根据权利要求17所述的移动计算装置，其中所述处理器经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统包括将所述经存储检查点上传到云服务提供者网络中的服务器。

23.根据权利要求17所述的移动计算装置，其中：

所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括确定所述移动计算装置与WiFi接入点是否相关联；且

所述处理器经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统包括响应于确定所述移动计算装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。

24.根据权利要求17所述的移动计算装置，其中：

所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括确定所述移动计算装置是否连接到外部电源；且

所述处理器经配置有处理器可执行指令以执行操作，使得将所述经存储检查点上传到备份存储系统包括响应于确定所述移动计算装置连接到外部电源而将所述经存储检查点上传到网络服务器。

25.一种非暂时性计算机可读存储媒体，其上存储有处理器可执行软件指令，所述处理器可执行软件指令经配置以使处理器执行用于在移动装置中进行检查点操作的操作，所述操作包括：

在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；

当确定所述移动装置行为与正常操作样式一致时将移动装置状态信息存储在存储器中作为经存储检查点；以及

响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统。

26.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复所述移动装置的状态信息作为所述经存储检查点。

27.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，使得将移动装置状态信息存储在存储器中作为经存储检查点包括存储用于恢复特定软件应用程序的状态信息作为所述经存储检查点。

28.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，所述操作进一步包括：

确定软件应用程序与签名是否相关联；以及

响应于确定所述软件应用程序与签名不相关联而产生检查点触发。

29.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，使得响应于确定所述移动装置行为与正常操作样式不一致而将所述经存储检查点上传到备份存储系统包括：响应于检测到响应于将软件应用程序更新安装在所述移动装置上而产生的触发来上传所述经存储检查点。

30.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，使得将所述经存储检查点上传到备份存储系统包括将所述经存储检查点上传到云服务提供者网络中的服务器。

31.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，所述操作进一步包括：

确定所述移动装置与WiFi接入点是否相关联，

其中将所述经存储检查点上传到备份存储系统包括响应于确定所述移动装置与WiFi接入点相关联而将所述经存储检查点上传到网络服务器。

32.根据权利要求25所述的非暂时性计算机可读存储媒体，其中所述经存储处理器可执行软件指令经配置以使处理器执行操作，所述操作进一步包括：

确定所述移动装置是否连接到外部电源，

其中将所述经存储检查点上传到备份存储系统包括响应于确定所述移动装置连接到外部电源而将所述经存储检查点上传到网络服务器。