CN104272788A - 在移动计算装置中传达行为信息 - Google Patents

在移动计算装置中传达行为信息 Download PDF

Info

Publication number
CN104272788A
CN104272788A CN201380023689.3A CN201380023689A CN104272788A CN 104272788 A CN104272788 A CN 104272788A CN 201380023689 A CN201380023689 A CN 201380023689A CN 104272788 A CN104272788 A CN 104272788A
Authority
CN
China
Prior art keywords
mobile device
processor
programming interface
application programming
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380023689.3A
Other languages
English (en)
Other versions
CN104272788B (zh
Inventor
拉贾什·古普塔
索尔戈利·阿肖克·哈兰比
苏德哈·A·葛萨拉
维纳伊·斯里达拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN104272788A publication Critical patent/CN104272788A/zh
Application granted granted Critical
Publication of CN104272788B publication Critical patent/CN104272788B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/541Interprogram communication via adapters, e.g. between incompatible applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W52/00Power management, e.g. TPC [Transmission Power Control], power saving or power classes
    • H04W52/02Power saving arrangements
    • H04W52/0209Power saving arrangements in terminal devices
    • H04W52/0251Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W52/00Power management, e.g. TPC [Transmission Power Control], power saving or power classes
    • H04W52/02Power saving arrangements
    • H04W52/0209Power saving arrangements in terminal devices
    • H04W52/0251Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity
    • H04W52/0258Power saving arrangements in terminal devices using monitoring of local events, e.g. events related to user activity controlling an operation mode according to history or models of usage information, e.g. activity schedule or time of day
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

用于使用应用程序编程接口API来传达行为分析信息的方法、系统及装置可包含在移动装置的客户端模块中从一或多个第三方网络服务器接收数据/行为模型,及经由行为API而将所述信息传达到行为观测及分析系统。所述第三方服务器可由一或多个合作伙伴公司维护,所述一或多个合作伙伴公司在对于鉴别移动装置行为、分析移动装置行为、分类移动装置行为及/或对移动装置行为作出反应相关的特定领域或技术中具有领域专业技能,但不能够存取(或知道)产生适合于供所述移动装置使用的有效数据/行为模型所需要的各种移动装置子系统、接口、配置、模块、进程、驱动器及/或硬件系统。所述行为API及/或客户端模块允许所述第三方服务器快速地且有效地存取关于所述移动装置的最相关且重要的信息。

Description

在移动计算装置中传达行为信息
相关申请案
本申请案主张如下申请案的优先权利:2013年1月14日申请的名为“在客户端-云体系结构中传达行为信息的装置及方法”的美国临时专利申请案第61/752,144号;2012年5月14日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时专利申请案第61/646,590号;及2012年8月15日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时申请案第61/683,274号,所有这些申请案的全部内容是出于所有目的而据此以引用方式并入。
背景技术
蜂窝及无线通信技术已在过去的若干年内得到急速增长。这种增长已受到较好通信硬件、较大网络及较可靠协议推动。无线服务提供者现在能够向其客户提供不断扩充的特征及服务阵列,且向用户提供对信息、资源及通信的空前程度的存取。为了跟上这些服务增强,移动电子装置(例如,蜂窝电话、平板计算机、膝上型计算机等等)相比于以前已变得较强大且复杂。这种复杂性已产生使恶意软件、软件冲突、硬件故障及其它相似错误或现象负面地影响移动装置的长期且持续的性能及功率利用水平的新机会。因此,鉴别及校正可负面地影响移动装置的长期且持续的性能及功率利用水平的条件及/或移动装置行为会有益于消费者。
发明内容
各种方面包含通过如下操作而在移动装置的模块之间传达行为分析信息的方法:经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。在一方面中,所述方法可包含:在所述第一模块中接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够确定所述移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表可包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;及经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述方法可包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种移动计算装置,其具有:处理器;及用于经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息的装置,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。在一方面中,所述移动计算装置可包含:用于在所述第一模块中接收待观测的行为特征的第一列表的装置;用于鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征的装置;用于产生行为特征的第二列表的装置,所述第二列表可包含用于结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;及用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块的装置。
在另外方面中,所述移动计算装置可包含:用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述移动计算装置可包含:用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述移动计算装置可包含:用于产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
另外方面包含一种移动计算装置,其具有:收发器;存储器;及处理器,其耦合到所述收发器及所述存储器,且经配置有处理器可执行指令以执行操作以用于经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
在一方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:在所述第一模块中接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表可包含用于结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;及经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种非暂时性计算机可读存储媒体,其上存储有处理器可执行指令,所述处理器可执行指令经配置以使移动计算装置执行操作以用于在移动装置的模块之间传达行为分析信息,所述操作包含:经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
在一方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:在所述第一模块中接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表可包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;及经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
各种方面还包含使用应用程序编程接口而在移动装置中传达行为分析信息的方法,其可包含:经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。在一方面中,接收所述目标行为模型可包含接收XML文件。在另外方面中,所述方法可包含:在所述移动装置的第一模块中接收可包含特征到行为分类的映射的有限状态机表示。
在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述方法可包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
另外方面包含一种计算装置,其具有:处理器;及用于经由应用程序编程接口而接收目标行为模型的装置,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。在一方面中,所述用于接收所述目标行为模型的装置可包含用于接收XML文件的装置。
在另外方面中,所述计算装置可包含:用于在所述移动装置的第一模块中接收可包含特征到行为分类的映射的有限状态机表示的装置。在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述计算装置可包含:用于产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收经更新行为模型的装置,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
另外方面包含一种移动计算装置,其具有:收发器;存储器;及处理器,其耦合到所述收发器及所述存储器,且经配置有处理器可执行指令以执行操作,所述操作包含:经由应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。在一方面中,所述处理器可经配置有处理器可执行指令以执行操作,使得接收所述目标行为模型可包含接收XML文件。
在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:在所述移动装置的第一模块中接收包含特征到行为分类的映射的有限状态机表示。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
另外方面包含一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而在移动装置中传达行为分析信息,所述操作包含:经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与使所述移动装置处理器能够结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。在一方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,使得接收所述目标行为模型可包含接收XML文件。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:在所述移动装置的第一模块中接收可包含特征到行为分类的映射的有限状态机表示。
在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求可包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
各种方面还包含使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的方法,其可包含:在移动装置的处理器中经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于由所述移动装置处理器用来确定所述移动装置行为是良性还是非良性。在一方面中,接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。
在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述方法可包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种计算装置,其包含:处理器;及用于经由应用程序编程接口而在所述移动装置上从第三方服务器接收待观测的行为特征的第一列表的装置;用于鉴别包含在所述经接收第一列表中的为用于使所述处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征的装置;用于产生行为特征的第二列表的装置,所述第二列表包含用于使所述处理器能够结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器的装置;及用于经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示的装置,所述映射适合于由所述处理器用来确定所述移动装置行为是良性还是非良性。在一方面中,所述用于经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表的装置包含用于经由所述应用程序编程接口而接收XML文件的装置。在另外方面中,所述计算装置包含:用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述计算装置包含:用于产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
另外方面包含一种移动装置,其具有:收发器;存储器;及处理器,其耦合到所述收发器及所述存储器,其中所述处理器可经配置有处理器可执行指令以执行操作,所述操作包含:经由应用程序编程接口而从第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于用来确定所述移动装置行为是良性还是非良性。在一方面中,所述处理器可经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。
在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息,所述操作包含:经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于用来确定所述移动装置行为是良性还是非良性。
在一方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置处理器通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
各种方面进一步包含使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的方法,其可包含:在移动装置的处理器中经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
在一方面中,经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。在另外方面中,经由所述应用程序编程接口而接收所述目标行为模型包含经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
在另外方面中,所述方法可包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述方法可包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种计算装置,其具有:处理器;用于经由应用程序编程接口而在所述移动装置上从第三方服务器接收待观测的行为特征的第一列表的装置;用于鉴别包含在所述经接收第一列表中的为用于使所述处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征的装置;用于产生行为特征的第二列表的装置,所述第二列表包含用于使所述处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器的装置;及用于经由所述应用程序编程接口而接收目标行为模型的装置,所述目标行为模型鉴别与所述处理器结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
在一方面中,所述用于经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表的装置可包含用于经由所述应用程序编程接口而接收XML文件的装置。在另外方面中,所述用于经由所述应用程序编程接口而接收所述目标行为模型的装置可包含用于经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示的装置。在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。在另外方面中,所述计算装置可包含:用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述计算装置可包含:用于产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
另外方面包含一种移动装置,其包含:收发器;存储器;及处理器,其耦合到所述收发器及所述存储器,其中所述处理器可经配置有处理器可执行指令以执行操作,所述操作包含:经由应用程序编程接口而从第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
在一方面中,所述处理器可经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收所述目标行为模型包含经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述处理器可经配置有处理器可执行指令以执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
另外方面包含一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息,所述操作包含:经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;鉴别包含在所述经接收第一列表中的为用于确定移动装置行为是良性还是非良性的最好特征的行为特征;产生行为特征的第二列表,所述第二列表包含用于确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;及经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
在一方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包含经由所述应用程序编程接口而接收XML文件。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收所述目标行为模型包含经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置处理器通知移动装置用户、阻止进程或终止所述进程的命令。
在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在另外方面中,所述经存储处理器可执行软件指令可经配置以使所述移动装置处理器执行操作,所述操作进一步包含:产生所述行为日志以包含基于所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
附图说明
并入本文中且构成本说明书的部分的随附图式说明本发明的示范性方面,且与上文所给出的一般描述及下文所给出的详细描述一起用来解释本发明的特征。
图1为说明适合于供各种方面中使用的实例电信系统的网络组件的通信系统框图。
图2为说明经配置以与第三方服务器通信以确定特定移动装置行为、软件应用程序或进程是性能降级、可疑还是良性的本发明方面的移动装置中的实例逻辑组件及信息流的框图。
图3A到3E为说明第三方服务器通信以确定特定移动装置行为、软件应用程序或进程是性能降级、可疑还是良性的本发明方面的移动装置方法的进程流程图。
图4为说明经配置以执行移动装置行为的动态及自适应观测的观测器模块中的实例逻辑组件及信息流的框图。
图5为根据一方面的说明实施观测器守护程序的计算系统中的逻辑组件及信息流的框图。
图6为说明用于对移动装置执行自适应观测的本发明方面的方法的进程流程图。
图7A为说明在移动装置中传达行为分析信息的本发明方面的移动装置方法的进程流程图,所述方法是通过经由应用程序编程接口而在移动装置的第一模块与第二模块之间交换关于在移动装置中观测的行为特征的信息而进行。
图7B为说明经由客户端模块及/或应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的本发明方面的移动装置方法的进程流程图。
图8为适合于供一方面中使用的移动装置的组件框图。
图9为适合于供一方面中使用的服务器装置的组件框图。
具体实施方式
将参看随附图式详细地描述各种方面。在任何可能之处,将贯穿所述图式而使用相同参考编号以指相同或类似部分。对特定实例及实施方案进行的参考是出于说明性目的,且不意欲限制本发明或权利要求书的范围。
词语“示范性”在本文中用以意谓“充当实例、例子或说明”。在本文中被描述为“示范性”的任何实施方案未必被解释为比其它实施方案优选或有利。
各种方面提供用于有效地鉴别、分类、建模、防止及/或校正常常使移动计算装置的性能、功率利用水平、网络使用水平、安全性及/或隐私性随着时间而降级的条件及/或移动装置行为的移动装置、系统及方法。在移动装置上使用方面行为应用程序编程接口(API)及相关模块会促进在移动装置的各种模块与第三方服务器之间传达关于这些条件及行为的信息。这些第三方服务器可由一或多个合作伙伴公司维护,所述一或多个合作伙伴公司在对于鉴别移动装置行为、分析移动装置行为、分类移动装置行为及/或对移动装置行为作出反应相关的特定领域或技术中具有领域专业技能,但不能够存取(或知道)产生适合于供移动装置使用的有效数据或行为模型所需要的各种移动装置子系统、接口、配置、模块、进程、驱动器及/或硬件系统。方面行为API及模块允许第三方服务器直接地调用、控制或存取移动装置的行为观测及分析操作。方面行为API及模块允许第三方服务器快速地且有效地存取关于移动装置的最相关且重要的信息,使得第三方服务器可使其操作专注于产生精确的行为模型。方面行为API及模块促进移动装置与第三方之间的通信及交互,以使移动装置能够比在每一移动装置内独立地完成所有这些分析和操作的情况下快得多地且以较低的电力消耗对限制性能且不良的操作条件作出反应。
未来可得到或预期大量不同蜂窝及移动通信服务与标准,其都可实施及受益于各种方面。这些服务与标准包含(例如)第三代合作伙伴计划(3GPP)、长期演进(LTE)系统、第三代无线移动通信技术(3G)、第四代无线移动通信技术(4G)、全球移动通信系统(GSM)、通用移动电信系统(UMTS)、3GSM、通用分组无线服务(GPRS)、码分多址接入(CDMA)系统(例如,cdmaOne,CDMA1020TM)、GSM演进增强数据速率(EDGE)、高级移动电话系统(AMPS)、数字AMPS(IS-136/TDMA)、演进数据优化(EV-DO)、数字增强无绳电信(DECT)、全球微波接入互操作性(WiMAX)、无线局域网(WLAN)、Wi-Fi安全访问I及II(WPA、WPA2),整合式数字增强网络(iden)。这些技术中的每一者涉及(例如)语音、数据、信令及/或内容消息的传输及接收。应理解,除非以权利要求书语言进行特定叙述,否则对关于个别电信标准或技术的术语及/或技术细节的任何参考是仅出于说明性目的,且不意欲将权利要求书的范围限于特定通信系统或技术。
术语“移动计算装置”及“移动装置”在本文中可互换地用以指以下各者中的任一者或全部:蜂窝电话、智能电话、个人或移动多媒体播放器、个人数据助理(PDA)、膝上型计算机、平板计算机、智能本、超级本、掌上型计算机、无线电子邮件接收器、启用多媒体因特网的蜂窝电话、物联网(IOT)连接装置、无线游戏控制器,及相似个人电子装置,其包含存储器、包含性能重要的可编程处理器且在电池电力下操作以使得省电方法有益。虽然各种方面特别有用于具有有限资源且依靠电池电力而运行的诸如智能电话的移动计算装置,但所述方面通常有用于包含处理器且执行应用程序的任何电子装置中。
术语“性能降级”在本文中用以指多种不良移动装置操作及特性,诸如,较长处理时间、较慢实时响应性、较低电池寿命、专用数据遗失、恶意经济活动(例如,发送未经授权的获奖SMS消息)、拒绝服务(DoS)、与强占移动装置或利用电话进行间谍活动或僵尸网络活动有关的操作等等。
术语“电信网络运营商”、“网络运营商”及“服务提供者”可互换地用以指适合于向消费者提供经由电信网络而对因特网或因特网协议(IP)数据、通信或其它服务的存取的任何实体或网络。
通常,移动装置的性能及功率效率随着时间而降级。最近,防病毒公司(例如,McAfee、Symantec等等)已开始营销旨在减缓这种降级的移动防病毒、防火墙及加密产品。然而,许多这些解决方案依赖于移动装置上的计算密集型扫描引擎的周期性执行,这种情形可消耗移动装置的许多处理及电池资源、使移动装置变慢或致使移动装置无用历时延长的时段,及/或以其它方式使用户体验降级。另外,这些解决方案通常限于检测已知病毒及恶意软件,且未处理常常组合以促成移动装置随着时间的降级的多个复杂因素及/或交互(例如,当性能降级未由病毒或恶意软件造成时)。出于这些及其它原因,现有防病毒、防火墙及加密产品未提供用于鉴别可促成移动装置随着时间的降级的众多因素、防止移动装置降级或有效地使老化移动装置恢复到其原始条件的充足解决方案。
移动装置为具有相对有限处理、存储器及能量资源的资源约束系统。现代移动装置也为复杂系统,且存在可促成移动装置的性能及功率利用水平随着时间的降级的多种因素,包含经不良设计的软件应用程序、恶意软件、病毒、碎片存储器、后台进程等等。归因于这些因素的数目、种类及复杂性,常常不可行的是评估可促成现代移动装置的复杂又资源约束的系统的性能及/或功率利用水平的降级的所有因素。
为了鉴于这些事实而提供较好性能,各种方面包含移动装置,移动装置包含行为监视及分析模块,其经配置以结合专用第三方服务器(例如,防病毒合作伙伴、安全性合作伙伴、OEM等等)而工作,以智能地且有效地鉴别可促成移动装置的性能及功率利用水平随着时间的降级的因素。通过提供促进移动装置的行为监视及分析模块与第三方服务器之间的通信的方面行为应用程序编程接口(API)及客户端模块,各种方面使移动装置能够快得多地及/或以较低电力消耗来鉴别性能限制且不良的操作条件且对所述操作条件作出反应,这是相比于所有这些分析是独立地在移动装置内实现的情况。
在一方面中,移动装置的观测器进程、守护程序、模块或子系统(在本文中被共同地称为“模块”)可检测或协调在移动装置系统的各种级别处的各种应用程序编程接口(API),且从经检测API收集行为信息。观测器模块可不断地监视移动装置(经由低功率进程、后台进程等等),以鉴别移动装置的正常操作样式及/或鉴别与先前计算的正常操作样式不一致的行为。观测器模块可将经收集行为信息传达(例如,经由存储器写入操作、函数调用等等)到移动装置的分析器模块(例如,经由存储器写入操作等等),分析器模块可分析及/或分类经收集行为信息、产生行为矢量、基于行为矢量及从各种其它移动装置子系统收集的信息而产生空间及/或时间相关,且确定特定移动装置行为、软件应用程序或进程是良性、可疑、恶意还是性能降级。
移动装置的分析器模块可经配置以执行实时分析操作,所述操作可包含执行数据、算法及/或模型(在本文中共同地为“模型”)及/或将其应用于由观测器模块收集的实时行为信息,以确定移动装置行为是良性、可疑、恶意还是性能降级。同样地,观测器模块可应用相似模型以确定待观测的因素或移动装置行为,及/或所述因素或移动装置行为将被观测的细节级别。在各种方面中,由观测器及分析器模块应用的模型可为分类器、由OEM提供的电力消耗模型、由网络运营商提供的网络流量使用情况模型、由安全性合作伙伴提供的恶意活动模型、精简特征模型(RFM)等等,其中的任一者或全部可预安装在移动装置上、产生在移动装置上,及/或从第三方网络服务器下载。
在一方面中,移动装置可包含允许移动装置从第三方网络服务器下载数据/行为模型的行为API及/或客户端模块。即,行为API及/或客户端模块可经配置以促进在移动装置的行为监视及分析模块与第三方服务器之间传达信息。第三方服务器可由合作伙伴公司维护,所述合作伙伴公司在对于鉴别移动装置行为、分析移动装置行为、分类移动装置行为及/或对移动装置行为作出反应相关的特定领域或技术中具有领域专业技能,但不能够存取(或知道)产生适合于供移动装置使用的有效数据/行为模型所需要的各种移动装置子系统、接口、配置、模块、进程、驱动器及/或硬件系统。
举例来说,在一方面中,行为API及/或客户端模块可经配置以允许分析器模块从位于不同网络中及/或由独立防病毒公司维护的第三方防病毒服务器接收行为模型,且应用经接收行为模型以分类移动装置行为(良性或恶意行为)。作为另一实例,分析器模块可接收从由电信网络运营商维护的第三方服务器接收的行为模型,以将移动装置的网络使用情况分类为正常或中下等。作为又一实例,分析器模块可从由移动装置的原始设备制造商(OEM)维护的第三方服务器接收行为模型,以将移动装置的电力或电池消耗分类为中等或中下等,等等。
在一方面中,行为API及/或客户端模块可经配置以使移动装置能够从第三方服务器接收命令或指令,且响应于接收到命令/指令而执行校正性或预防性致动动作或操作。
在一方面中,行为API及/或客户端模块可经配置以允许第三方服务器快速地且有效地存取关于移动装置的最相关且重要的信息,使得第三方服务器可使其操作专注于产生精确或更准确的模型。
在一方面中,行为API及/或客户端模块可经配置以允许第三方服务器向移动装置提供计算卸载、群智及其它服务,所述服务使移动装置能够鉴别移动装置上的性能降级因素,而不消耗移动装置的过量处理、存储器或能量资源。
在各种方面中,行为API及/或客户端模块可经配置以允许第三方服务器进行如下操作:发现移动装置的能力;对装置执行客户端登记及验证操作;存取待在移动装置上观测的移动装置行为或特征的列表;存取特征到良性、可疑或恶意/使性能降级行为的映射的有限状态机描述;发出针对移动装置行为的额外、较详细或更有目标性的观测的请求;发出从观测当前正由移动装置观测的一或多个因素、应用程序或行为(例如,白名单)回退的请求;发出针对行为日志(良好、不良、可疑等等)的请求;向移动装置发出致动请求;对移动装置启动校正性动作;及/或对或针对移动装置执行其它相似操作。
在一方面中,行为API及/或客户端模块可经配置以将行为矢量、对移动装置执行的实时分析操作的结果、由移动装置产生的行为日志以及其它行为分析信息及计算发送到第三方服务器。移动装置与第三方服务器之间的这些反馈通信可允许第三方服务器执行移动装置行为的较深入分析、重新评估其数据/行为模型的有效性,及/或产生包含最当前、相关及/或精确的信息的新数据/行为模型。
在一方面中,随着从移动装置接收新行为/分析报告,行为API及/或客户端模块可允许第三方服务器重复地、连续地或周期性地重新评估现有数据/行为模型。第三方服务器可基于以下各者而产生新或经更新数据/行为模型:历史信息(例如,从先前执行、行为模型的先前应用程序等等所收集);新信息;机器学习;上下文建模;及可用信息、移动装置状态、环境条件、网络条件、移动装置性能、电池消耗水平等等的经检测改变;且第三方服务器可将新/经更新模型发送到一或多个移动装置以用来监视其相应行为的潜在使性能降级行为。
在一方面中,行为API及/或客户端模块可允许第三方服务器通过执行机器学习及/或上下文建模技术或将其应用于从许多移动装置接收的行为分析的行为信息及/或结果而产生或更新行为模型。即,第三方服务器可从许多移动装置经由其相应行为API及/或客户端模块而接收大量报告,且分析、合并或以其它方式使此类群智信息变成可用信息,诸如,可由许多移动装置使用或存取的所专注行为模型。
各种方面可实施于诸如图1所说明的实例通信系统100的多种通信系统内。典型的蜂窝电话网络104包含耦合到网络操作中心108的多个蜂窝基站106,网络操作中心108操作以(诸如)经由电话陆线(例如,未图示的POTS网络)及因特网110而在移动装置102(例如,蜂窝电话、膝上型计算机、平板计算机等等)与其它网络目的地之间连接语音呼叫及数据。移动装置102与电话网络104之间的通信可经由诸如4G、3G、CDMA、TDMA、LTE及/或其它蜂窝电话通信技术的双向无线通信链路112而实现。电话网络104还可包含耦合到网络操作中心108或耦合在网络操作中心108内的一或多个服务器114,其提供对因特网110的连接。
通信系统100可进一步包含连接到电话网络104及因特网110的网络服务器116。每一网络服务器116可为由合作伙伴公司维护的第三方服务器,所述合作伙伴公司在对于鉴别移动装置行为、分析移动装置行为、分类移动装置行为及/或对移动装置行为作出反应相关的特定领域或技术中具有领域专业技能,但不能够存取(或知道)产生适合于供移动装置102使用的有效数据或行为模型所需要的各种移动装置子系统、接口、配置、模块、进程、驱动器及/或硬件系统。在一方面中,网络服务器116可被实施为云服务提供者网络118的网络基础结构内的服务器。网络服务器116与电话网络104之间的连接可经由因特网110或经由专用网络(如虚线箭头所说明)。网络服务器116与移动装置102之间的通信可经由电话网络104、因特网110、专用网络(未说明)或其任何组合而实现。
网络服务器116可将数据/行为模型发送到移动装置102,移动装置102可接收及使用所述数据/行为模型以鉴别可疑或性能降级的移动装置行为、软件应用程序、进程等等。网络服务器116还可将指令或命令发送到移动装置102。网络服务器116还可将分类及建模信息发送到移动装置102,以替换、更新、创建及/或维护移动装置数据/行为模型。
移动装置102可在移动装置102中收集行为、状态、分类、建模、成功率及/或统计信息,且将经收集信息发送到网络服务器116(例如,经由电话网络104)以供分析。网络服务器116可使用从移动装置102接收的信息,以更新或改进贫乏数据/行为模型或分类/建模信息以包含目标特征子集。
图2说明经配置以确定行为、软件应用程序及/或进程是恶意、性能降级、可疑还是良性的本发明方面的移动装置102中的实例逻辑组件及信息流。在图2所说明的实例中,移动装置102包含高级别操作系统214、行为观测器模块202、行为分析器模块204、合作伙伴客户端模块206、致动器模块208及行为API模块210。模块202到210中的每一者可实施于软件、硬件或其任何组合中。在各种方面中,模块202到210可实施于高级别操作系统214的部分内(例如,内核内、内核空间中、用户空间中等等)、分离程序或应用程序内、专用硬件缓冲器或处理器中,或其任何组合。在一方面中,模块202到210中的一或多者可被实施为执行于移动装置102的一或多个处理器上的软件指令。
行为观测器模块202可经配置以对包涵webkit、SDK、NDK、内核、驱动器及硬件的各种移动装置模块及子系统执行交叉层观测,以便表征移动装置行为。
行为观测器模块202可经配置以检测或协调在移动装置的各种级别/模块处的应用程序编程接口(API),且经由经检测API而监视/观测在各种级别/模块处的移动装置操作及事件(例如,系统事件、状态改变等等)、收集关于经观测操作/事件的信息、智能地筛选经收集信息、基于经筛选信息而产生一或多个观测,且将经产生观测存储在存储器中(例如,日志文件等等中),及/或将经产生观测发送(例如,经由存储器写入、函数调用等等)到行为分析器模块204。
行为观测器模块202可通过收集关于应用程序框架或运行时间库中的库API调用、系统调用API、文件系统及网络连接子系统操作、装置(包含传感器装置)状态改变及其它相似事件的信息来监视/观测移动装置操作及事件。行为观测器模块202还可监视文件系统活动,其可包含搜索文件名、文件存取类别(个人信息或正常数据文件)、创建或删除文件(例如,类型exe、zip等等)、文件读取/写入/寻道操作、改变文件权限等等。
行为观测器模块202还可监视数据网络活动,其可包含连接的类型、协议、端口号、装置被连接到的服务器/客户端、连接的数目、通信的容量或频率等等。行为观测器模块202可监视电话网络活动,其可包含监视所发出、接收或拦截的呼叫或消息(例如,SMS等等)的类型及数目(例如,所拨获奖呼叫的数目)。
行为观测器模块202还可监视系统资源使用情况,其可包含监视分叉的数目、存储器存取操作、打开文件的数目等等。行为观测器模块202可监视移动装置的状态,其可包含监视各种因素,诸如,显示器接通还是关闭、装置被锁定还是解锁、电池剩余的电量、相机的状态等等。行为观测器模块202还可通过(例如)监视对关键服务(浏览器、合同提供者等等)的意图、进程间通信的数目或程度、弹出窗口等等来监视进程间通信(IPC)。
行为观测器模块202还可监视/观测驱动器统计及/或一或多个硬件组件的状态,所述硬件组件可包含相机、传感器、电子显示器、WiFi通信组件、数据控制器、存储器控制器、系统控制器、存取端口、计时器、外围装置、无线通信组件、外部存储器芯片、电压调节器、振荡器、锁相环路、外围桥,及用以支持运行于移动计算装置上的处理器及客户端的其它相似组件。
行为观测器模块202还可监视/观测表示移动计算装置及/或移动装置子系统的状态的一或多个硬件计数器。硬件计数器可包含处理器/核心的专用寄存器,其经配置以存储移动计算装置中发生的硬件相关活动或事件的计数或状态。行为观测器模块202还可监视/观测软件应用程序的动作或操作、由软件应用程序使用的移动装置信息、呼叫信息、文本消息传递信息(例如,SendSMS、BlockSMS、ReadSMS等等)、媒体消息传递信息(例如,ReceiveMMS)、用户帐户信息、位置信息、相机信息、加速计信息、浏览器信息、基于浏览器的通信的内容、基于语音的通信的内容、短程无线电通信(例如,蓝牙、WiFi等等)、基于文本的通信的内容、经记录音频文件的内容、电话簿或联系人信息、联系人列表等等。
行为观测器模块202可监视/观测移动装置的传输或通信,其包含若干包含以下各者的通信:语音邮件(VoiceMailComm)、装置标识符(DeviceIDComm)、用户帐户信息(UserAccountComm)、日历信息(CalendarComm)、位置信息(LocationComm)、经记录音频信息(RecordAudioComm)、加速计信息(AccelerometerComm)等等。
行为观测器模块202可监视/观测对罗盘信息的更新/改变的使用情况、移动装置设置、电池寿命、陀螺仪信息、压力传感器、磁体传感器、屏幕活动等等。
行为观测器模块202可监视/观测被传达到软件应用程序及从软件应用程序传达的通知(AppNotification)、应用程序更新等等。
行为观测器模块202可监视/观测关于第一软件应用程序或模块请求第二软件应用程序的下载及/或安装的条件或事件。
行为观测器模块202可监视/观测关于用户校验(诸如,密码的输入等等)的条件或事件。
行为观测器模块202还可监视/观测在移动装置的多个级别(包含应用程序级别、无线电级别及传感器级别)处的条件或事件。
应用程序级别观测可包含经由面部识别软件而观测用户、观测社交流、观测由用户输入的备注、观测关于PassBook/Google Wallet/Paypal的使用的事件等等。应用程序级别观测还可包含观测关于虚拟专用网络(VPN)的使用的事件,及关于以下各者的事件:同步、语音搜索、语音控制(例如,通过说出一个词语来锁定/解锁电话)、语言翻译器、计算用数据卸载、视频流式处理、无用户活动的相机使用情况、无用户活动的麦克风使用情况等等。
无线电级别观测可包含确定以下各者中的任一者或多者的存在或量:在建立无线电通信链路或传输信息之前用户与移动装置的交互、双重/多重SIM卡、因特网无线电、移动电话绑定、卸载计算用数据、装置状态通信、作为游戏控制器或家庭控制器的使用、车辆通信、移动装置同步等等。无线电级别观测还可包含监视无线电(WiFi、WiMax、蓝牙等等)对于定位、对等式(p2p)通信、同步、车辆间通信及/或机器对机器(m2m)的使用。无线电级别观测可进一步包含监视网络流量使用情况、统计或配置文件。
传感器级别观测可包含监视磁体传感器或其它传感器以确定移动装置的使用情况及/或外部环境。举例来说,移动装置处理器可经配置以确定电话在皮套中(例如,经由经配置以感测皮套内的磁体的磁体传感器)还是在用户的口袋中(例如,经由相机或光传感器所检测的光的量)。检测到移动装置在皮套中可与识别可疑行为相关,例如,这是因为在移动装置被放入皮套时发生的关于用户的活动使用情况的活动及功能(例如,拍摄照片或视频、发送消息、进行语音呼叫、记录声音等等)可为执行于所述装置上(例如,用以跟踪或暗中监视用户)的邪恶进程的标志。
关于使用情况或外部环境的传感器级别观测的其它实例包含:检测近场通信(NFC);从信用卡扫描仪、条形码扫描仪或移动标签读取器收集信息;检测USB电力充电源的存在;检测到键盘或辅助装置已耦合到移动装置;检测到移动装置已耦合到计算装置(例如,经由USB等等);确定LED、闪光、闪光灯或光源是否已被修改或禁用(例如,恶意地禁用紧急信令应用程序等等);检测到扬声器或麦克风已被开启或供电;检测充电或电力事件;检测到移动装置正用作游戏控制器;等等。
传感器级别观测还可包含:从医疗或健康护理传感器收集信息,或根据扫描用户身体来收集信息;从插入到USB/音频插孔中的外部传感器收集信息;从触觉传感器收集信息(例如,经由振动器接口等等);收集关于移动装置的热状态的信息;等等。
为了将经监视因素的数目缩减到可管理水平,在一方面中,行为观测器模块202可通过监视/观测初始行为或因素集合来执行粗略观测,初始行为或因素集合为可促成移动装置的降级的所有因素的小子集。在一方面中,行为观测器模块202可经由合作伙伴客户端模块206及/或行为模块API 214而从第三方网络服务器116及/或云服务或网络118中的组件接收初始待监视行为及/或因素集合。在一方面中,初始待监视行为/因素集合可被指定在从网络服务器116或云服务/网络118接收的数据/行为模型中。
行为分析器模块204可从行为观测器模块202接收观测、比较经接收信息(即,观测)与从外部上下文信息模块接收的上下文信息,且鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的与经接收观测相关联的子系统、进程及/或应用程序。相似地,行为分析器模块204可经由合作伙伴客户端206模块而从第三方网络服务器116及/或云服务或网络118中的组件接收观测及/或额外信息、比较经接收信息(即,观测)与从外部上下文信息模块接收的上下文信息,且鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的与经接收观测相关联的子系统、进程及/或应用程序。
在一方面中,行为分析器模块204可包含用于利用有限信息集合(即,粗略观测)以鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的行为、进程或程序的智能。举例来说,行为分析器模块204可经配置以分析从各种模块(例如,行为观测器模块202、合作伙伴客户端206模块等等)收集的信息(例如,呈观测的形式)、获悉移动装置的正常操作行为,且基于比较的结果而产生一或多个行为矢量。行为分析器模块204可产生及/或接收行为矢量,且比较所述行为矢量与一或多个行为模块以确定特定移动装置行为、软件应用程序或进程是性能降级/恶意、良性还是可疑。
当行为分析器模块204确定行为、软件应用程序或进程恶意或性能降级时,行为分析器模块204可通知致动器模块208,致动器模块208可执行各种动作或操作以校正被确定为恶意或性能降级的移动装置行为,及/或执行操作以通知用户或修复、修整、隔离或以其它方式修正经鉴别问题。
当行为分析器模块204确定行为、软件应用程序或进程可疑时,行为分析器模块204可通知行为观测器模块202,行为观测器模块202可调整其观测的粒度(即,移动装置行为被观测的细节级别),及/或改变基于从分析器模块204接收的信息(例如,实时分析操作的结果)而观测的行为、产生或收集新或额外行为信息,且将所述新/额外信息发送到行为分析器模块204以供进一步分析/分类。行为观测器模块202与行为分析器模块204之间的这些反馈通信使移动装置102能够递归地增加观测的粒度(即,作出较精细或较详细观测),或改变在鉴别可疑或性能降级移动装置行为的来源以前、在达到处理或电池消耗阈值以前或在移动装置处理器确定不能根据观测粒度之进一步增加而鉴别可疑或性能降级移动装置行为的来源以前所观测的特征/行为。
在一方面中,当行为分析器模块204确定行为、软件应用程序或进程可疑时,行为分析器模块204可经由行为API 214而通知合作伙伴客户端206模块。合作伙伴客户端206模块可格式化行为信息且将行为信息发送到网络服务器116及/或云服务或网络118中的组件以供进一步分析且用来产生未来模型。在一方面中,行为信息可被格式化为发送到网络服务器116的行为矢量。在一方面中,当分析器模块204确定可需要附加信息时,诸如,当不能结论性地确定移动装置行为是性能降级恶意还是良性时,合作伙伴客户端206模块可将行为矢量信息发送到网络服务器116及/或云服务或网络118中的组件。在一方面中,合作伙伴客户端206模块可使用客户端-服务器接口212而将行为信息或行为矢量发送到网络服务器116及/或云服务或网络118中的组件。
在各种方面中,合作伙伴客户端206模块可经配置以允许第三方网络服务器116经由行为API 214而与移动装置102中的行为观测器模块202及行为分析器模块204交互。在经由行为API 214模块而在移动装置102上与合作伙伴客户端206模块通信的情况下,第三方网络服务器116可执行操作以:发现移动装置的能力;对装置执行客户端登记及验证操作;存取可在移动装置中观测/分析的移动装置行为或特征的列表;产生、填充及/或更新特征到良性、可疑或恶意/使性能降级行为的映射的有限状态机描述;发出针对移动装置行为的额外、较详细或更有目标性的观测的请求;发出从观测特定应用程序(例如,白名单)回退的请求;发出接收行为日志(良好、不良、可疑等等)的请求;发出使移动装置启动校正性动作(例如,经由致动模块208)的请求;及/或在移动装置中执行其它相似操作。
合作伙伴客户端206模块可存储适合于解释在行为观测器模块202、行为分析器模块204、网络服务器116及/或云服务或网络118中的组件之间传达的行为信息的协作信息及/或数据结构(或能够存取存储所述协作信息及/或数据结构的数据库或服务器)。此类协作信息/数据结构可包含:可由网络服务器116及/或移动装置102观测及/或分析的行为特征的词典数据库;用于解释、分析、组合及/或应用行为特征或模型的文法;及/或将行为特征映射到移动装置行为、应用程序及/或进程的分类或分析的各种表示(例如,有限状态机、决策树等等)。
合作伙伴客户端206模块可经配置以将经观测行为信息、移动装置特征及数据模型解码、解释、评估、组合、组织及/或编码成适合于传输到第三方服务器及/或适合于经由行为API 214而发送到行为观测器及分析器模块的通信消息。在各种方面中,通信消息可包含:鉴别移动装置上的条件的存在的信息;所述条件的计数或频率;特征的排序;事件或条件的经鉴别组合;被表达为有限状态机的结构或映射;经观测移动装置特征或条件的鉴别或分类(例如,良性、恶意、可疑等等);建议动作/致动到移动装置特征或条件的映射;用于执行进一步观测动作的推荐;及其它相似信息。通信消息还可包含进一步观测请求、行为日志请求及/或致动请求。
在各种方面中,可根据行为API 214而配置的致动请求可包含适合于使移动装置通知用户、阻止进程、终止进程及/或调用致动模块208的任何其它特征的命令。在一方面中,致动请求可鉴别以白名单形式列出的应用程序,及/或适合于使观测器模块回退或停止观测以白名单形式列出的应用程序的命令。
在各种方面中,针对行为日志的请求可鉴别粒度级别、特定应用程序(例如,经由APK名称等等)、持续时间或时段、进程(例如,经由进程标识符等等)、紧急性或重要性指示符,及/或优先级。行为日志可经产生以包含基于对整个装置、特定应用程序、特定处理器及/或跨指定时段的分析而收集的信息。行为日志可由进程ID、名称或签名鉴别。在一方面中,行为日志可经产生以包含存储一系列数字的行为矢量,所述数字中的每一者可对应于经观测特征中的一者。在一方面中,行为日志可经产生以包含由分析器模块产生的结果及/或结论,其可指示特定移动装置行为当前被移动装置视为良好、不良还是可疑。
在一方面中,移动装置可经配置以充分利用经由公用或专用云网络而从网络服务器接收的群智模型。可经由服务器执行机器学习及/或上下文建模技术及/或将其应用于由许多移动装置提供的行为分析的行为信息及/或结果而在网络服务器中产生群智模型。举例来说,网络服务器可从许多移动装置接收大量报告,且分析、合并或以其它方式使此类群智信息变成可用信息,特别是可由所有移动装置使用或存取的贫乏数据集或所专注行为模型。
在一方面中,网络服务器可将增量更新发送到移动装置,且移动装置可经配置以基于从网络服务器接收的增量更新而更新移动装置的模型。举例来说,如果网络服务器包含存储一万个行为规则或记录的数据库,且将新规则/记录添加到所述数据库(例如,经由从许多移动装置接收的群智数据),那么网络服务器可经配置以仅将模型的部分及/或新规则或记录(与所有一万个记录相对)发送到移动装置。移动装置可接收新规则/记录,且更新其现有模型以包含所述规则。
在一方面中,随着从移动装置接收新行为/分析报告,网络服务器可周期性地或连续地重新评估现有贫乏数据/行为模型,及/或基于以下各者而产生新或经更新贫乏数据/行为模型:历史信息(例如,从先前执行、行为模型的先前应用程序等等所收集);新信息;机器学习;上下文建模;及可用信息、移动装置状态、环境条件、网络条件、移动装置性能、电池消耗水平等等的经检测改变。
在一方面中,网络服务器可经配置以产生贫乏数据/行为模型以包含初始特征集(例如,初始精简特征模型)及一或多个后续特征集(例如,后续精简特征模型)。初始特征集可包含被确定为具有使移动装置的分类器模块能够结论性地确定特定移动装置行为、软件应用程序或进程是恶意/性能降级还是良性的最高概率的信息。每一后续特征集可包含被确定为具有结论性地确定移动装置行为、软件应用程序或进程是恶意性能降级或良性的次最高概率的信息。每一后续特征集相比于其前一特征集可包含较大数据集,且因此,与应用数据/行为模型相关联的性能及电力消耗成本可对于每一后续特征集渐进式地增加。
在一方面中,移动装置的分类器模块可包含或实施使移动装置处理器能够分阶段地评估移动装置行为的渐进式行为模型(或分类器)。举例来说,分类器模块可经配置以首先应用包含初始特征集的贫乏数据/行为模型,接着应用包含渐进式较大特征集的模型,直到分类器模块确定移动装置行为是良性或恶意/性能降级为止。分类器模块可接着将其与每一模型的应用程序相关联的操作及/或成功率的结果发送到网络服务器。网络服务器可使用这些结果以更新其贫乏数据/行为模型(例如,包含在每一模型中的特征集等等),由此基于所有报告移动装置的结果/成功率而改进数据及/或模型。网络服务器可接着使经更新贫乏数据/行为模型作为新模型应用程序或对先前经下载应用程序的升级而可用于移动装置,因此,移动装置能够存取经改进贫乏数据/行为模型。如此,移动装置可快速地受益于充分利用软件传递及更新机制的其它移动装置的行为及结论。
在一方面中,网络服务器可经配置以连续地更新在线及离线分类器、模型产生器,及/或云模型。网络服务器可经配置以智能地确定改变何时大体足以保证产生新模型及改变何时可被忽略。举例来说,网络服务器可从许多不同移动装置接收更新、执行机器学习操作以产生第一系列分类器、确定是否存在对所产生的第一系列分类器的足以保证产生新模型的改变、当确定存在对第一系列分类器的足够改变时确定所产生的第一系列分类器中的哪些特征为最好特征、基于最好特征而产生第二系列分类器、确定是否存在对所产生的第二系列分类器的足够改变,且当确定存在对第二系列分类器的足够改变时产生/更新移动装置分类器数据/行为模型。
在一方面中,接口模块可经配置以使移动装置能够接收与通常从专用云服务接收的更新相比较少或较不频繁的更新。这种情形允许移动装置随用户的意愿且在无需与云服务的恒定连接性的情况下接收经更新模型。
在各种方面中,分析器模块的全部或部分可以从多个来源下载、预加载在移动装置上、下载到移动装置的客户端应用程序中,且从应用程序下载服务被下载为软件应用程序。
图3A到3E说明与客户端-云通信系统中的第三方网络服务器通信的本发明方面的移动装置方法300。在块302中,移动装置处理器可在移动装置的合作伙伴客户端206中从第三方服务器接收登记请求消息及版本信息。这种通信可由第三方服务器使用客户端-服务器接口212而实现。在块304中,移动装置处理器可向第三方网络服务器请求及/或从第三方网络服务器接收验证密钥。在块306中,移动装置处理器可通过比较经接收密钥与存储在专用密钥数据库或验证系统中的信息而校验到经接收验证密钥有效。同样地在块306中,移动装置处理器可将第三方网络服务器登记为经授权且受信任的实体,其可经由合作伙伴客户端206而与移动装置通信及/或控制移动装置。
在块308中,移动装置处理器可经由客户端模块而从第三方网络服务器接收行为特征的第一列表。行为特征的第一列表可包含或鉴别由第三方网络服务器理解及/或所述服务器可分析的特征。第一列表还可包含以下各者:包含在由移动装置理解的特征的词典数据库中的特征、为高级别启发的特征、对于移动装置模块及系统(例如,操作系统、硬件等等)来说不可知的特征,及/或以高级别文件格式或描述语言(例如,XML等等)描述的特征。在一方面中,第一列表还可包含各种特征对于第三方网络服务器的重要性的排序或分级。
在块310中,移动装置处理器可存取词典数据库及/或其它相似结构,以鉴别包含在行为特征的第一列表中的为由移动装置理解的可观测特征、可在移动装置中观测及/或为用于使移动装置处理器能够结论性地确定移动装置行为是恶意还是良性的最好特征的特征。
在块312中,移动装置处理器可产生行为特征的第二列表,第二列表包含被确定为用于使移动装置处理器能够结论性地确定移动装置行为是恶意还是良性的最好特征的可观测特征,且移动装置处理器可将所产生的第二列表发送到第三方网络服务器。在一方面中,移动装置处理器可产生第二列表以包含行为特征的第一列表中包含的特征的子集。在各种方面中,移动装置处理器可基于由第三方网络服务器包含在第一列表中的特征的排序或分级、如由移动装置的行为观测器及/或分析模块所确定的特征的排序或分级、观测所述特征的成本及/或移动装置资源(例如,处理资源、电池资源等等)的可用性而产生第二列表。
在块314中,移动装置处理器可接收将特征映射到特定行为分类(例如,良性、恶意、可疑等等)的行为模型及/或其它结构。在一方面中,经接收行为模型/结构可仅将在第二列表中鉴别的特征映射到特定行为分类。在一方面中,在块314中,移动装置处理器可接收将各种特征映射到良好/不良/可疑行为的有限状态机(FSM)描述。
在块316中,移动装置处理器可跨一时段而观测移动装置行为,且收集适合于用来鉴别与正常操作样式不一致的移动装置行为的行为信息。在块318中,移动装置处理器可比较经观测移动装置行为与经接收模型/映射,以确定经观测行为是可疑还是恶意/性能降级。
在确定块320中,移动装置处理器可确定行为是否可疑。如果移动装置处理器确定经观测行为是恶意/性能降级(即,确定块320=“恶意”),那么在块322中,移动装置处理器可执行各种操作以校正或防止恶意/使性能降级行为。处理器可返回到在块316中观测移动装置行为。
如果移动装置处理器确定经观测行为是良性(即,确定块320=“良性”),那么在块324中,移动装置处理器可忽略所述行为及/或将所述行为记录或登记为良性,且返回到在块316中观测移动装置行为。
如果移动装置处理器确定经观测行为可疑(即,确定块320=“可疑”),那么移动装置处理器可执行图3B到3E所说明的操作中的任一者,且返回到在块316中观测移动装置行为。这个进程可继续直到处理器结论性地确定经观测行为是良性或恶意/性能降级为止。
图3B说明,如果移动装置处理器确定经观测行为可疑(即,确定块320=“可疑”),那么在块326中,移动装置处理器可以可选地经由行为API 214而与合作伙伴客户端206通信以从网络服务器寻求更多信息。在块328中,移动装置处理器可从第三方服务器接收(例如,经由客户端-服务器接口212、合作伙伴客户端206及/或行为API 214)经更新行为模型、映射、信息或指令。在存储经更新信息之后,处理器可返回到在块316中观测移动装置行为,且进程可继续直到处理器结论性地确定经观测行为是良性、可疑或恶意/性能降级为止。
图3C说明,如果移动装置处理器确定经观测行为可疑(即,确定块320=“可疑”),那么在块330中,移动装置处理器可经由合作伙伴客户端206而将行为信息发送到第三方服务器。在块328中,移动装置处理器可从第三方服务器接收经更新行为模型、映射、信息或指令。在存储经更新信息之后,处理器可返回到在块316中观测移动装置行为,且进程可继续直到处理器结论性地确定经观测行为是良性、可疑或恶意/性能降级为止。
图3D说明向行为分析器请求行为信息的方面合作伙伴客户端方法350。当移动装置处理器确定经观测行为可疑(即,确定块320=“可疑”)时,或响应于任何可检测事件,可执行方法350的操作。在各种方面中,方法350的操作可由移动装置及/或第三方服务器启动。
在方法350的块334中,合作伙伴客户端模块可经由行为API 214而向行为观测器或行为分析器模块请求行为信息。在块336中,合作伙伴客户端206可接收行为信息,且将行为信息发送到第三方服务器。在各种方面中,处理器可等待从第三方服务器接收经更新行为模型,或返回到在块316中观测移动装置行为。
图3E说明从行为分析器接收行为的方面合作伙伴客户端206方法370。当移动装置处理器确定经观测行为可疑(即,确定块320=“可疑”)时、周期性地,或响应于任何可检测事件,可在图3D所说明的块336之后执行方法370的操作。在方法370的块338中,合作伙伴客户端模块可从第三方服务器接收经更新行为模型。在块340中,合作伙伴客户端模块可经由行为API模块而将经接收行为模型发送到分析器模块。处理器可返回到在块316中观测移动装置行为。
图4说明根据一方面的经配置以执行动态及自适应观测的计算系统的行为观测器模块202中的实例逻辑组件及信息流。行为观测器模块202可包含自适应筛选器模块402、节流器模块404、观测器模式模块406、高级别行为检测模块408、行为矢量产生器410及安全缓冲器412。高级别行为检测模块408可包含空间相关模块414及时间相关模块416。
观测器模式模块406可从各种来源接收控制信息,所述来源可包含分析器单元(例如,上文参看图2所描述的分析器模块204)及/或应用程序API。观测器模式模块406可将关于各种观测器模式的控制信息发送到自适应筛选器模块402及高级别行为检测模块408。
自适应筛选器模块402可从多个来源接收数据/信息,且智能地筛选经接收信息以产生选自经接收信息的较小信息子集。这个筛选器可基于从分析器模块接收的信息或控制或经由API而通信的较高级别进程予以适配。可将经筛选信息发送到节流器模块404,节流器模块404可负责控制从筛选器流动的信息的量以确保高级别行为检测模块408不会变得被溢满或超载有请求或信息。
高级别行为检测模块408可从节流器模块404接收数据/信息、从观测器模式模块406接收控制信息且从移动装置的其它组件接收上下文信息。高级别行为检测模块408可使用经接收信息以执行空间及时间相关以检测或鉴别可造成装置在次最佳级别处执行的高级别行为。可将空间及时间相关的结果发送到行为矢量产生器410,其可接收相关信息且产生描述特定进程、应用程序或子系统的行为的行为矢量。在一方面中,行为矢量产生器410可产生行为矢量,使得特定进程、应用程序或子系统的每一高级别行为是所述行为矢量的元素。在一方面中,可将经产生行为矢量存储在安全缓冲器412。高级别行为检测的实例可包含检测特定事件的存在、另一事件的量或频率、多个事件之间的关系、事件发生的顺序、某些事件的发生之间的时间差等等。
在各种方面中,行为观测器模块202可执行自适应观测且控制观测粒度。即,行为观测器模块202可动态地鉴别待观测的相关行为,且动态地确定经鉴别行为将被观测的细节级别。如此,行为观测器模块202使系统能够在各种级别(例如,多个粗略及精细级别)处监视移动装置的行为。行为观测器模块202可使系统能够适应于正被观测的事项。行为观测器模块202可使系统能够基于所专注信息子集而动态地改变正被观测的因素/行为,所述子集是可从多种来源获得。
如上文所论述,行为观测器模块202可执行自适应观测技术且基于从多种来源接收的信息而控制观测粒度。举例来说,高级别行为检测模块408可从节流器模块404接收信息、从观测器模式模块406接收信息,且接收从移动装置的其它组件(例如,传感器)接收的上下文信息。作为一实例,执行时间相关的高级别行为检测模块408可能检测到相机已被使用且移动装置正试图将图片上传到服务器。高级别行为检测模块408还可执行空间相关以确定在移动装置被放入用户的皮套且附加到用户的皮带时所述装置上的应用程序是否拍摄图片。高级别行为检测模块408可确定这种经检测高级别行为(例如,在放入皮套时相机的使用情况)是否为可接受或常见的行为,这种情形是可通过比较移动装置的当前行为与过去行为及/或存取从多个装置收集的信息(例如,从群智服务器接收的信息)而实现。因为在放入皮套时拍摄图片且将图片上传到服务器为异常行为(如在被放入皮套的上下文中可从经观测正常行为所确定),所以在这种情形中高级别行为检测模块408可将这种行为识别为潜在威胁行为且启动适当响应(例如,关闭相机、发告警声等等)。
在一方面中,行为观测器模块202可实施于多个部分中。
图5说明实施方面观测器守护程序的计算系统500中的逻辑组件及信息流。在图5所说明的实例中,计算系统500包含在用户空间中的行为检测器502模块、数据库引擎504模块及行为分析器模块204,以及在内核空间中的环形缓冲器514、筛选器规则516模块、节流规则518模块及安全缓冲器520。计算系统500可进一步包含观测器守护程序,观测器守护程序包含在用户空间中的行为检测器502及数据库引擎504,以及在内核空间中的安全缓冲器管理器520、规则管理器510及系统运行状况监视器508。计算系统500可进一步包含用于将存储在环形缓冲器514中的信息传达到行为检测器502模块的环形缓冲器API 506。
各种方面可提供对包涵webkit、SDK、NDK、内核、驱动器及硬件的移动装置的交叉层观测,以便表征系统行为。可实时地进行行为观测。
观测器模块可执行自适应观测技术且控制观测粒度。如上文所论述,存在可促成移动装置的降级的大量(即,数千个)因素,且可能不可行的是监视/观测可促成装置性能的降级的所有不同因素。为了克服这种情形,各种方面动态地鉴别待观测的相关行为,且动态地确定经鉴别行为将被观测的细节级别。
图6说明根据一方面的用于执行动态及自适应观测的实例方法600。在块602中,移动装置处理器可通过监视/观测可促成移动装置的降级的大量因素/行为的子集来执行粗略观测。在块603中,移动装置处理器可基于粗略观测而产生表征粗略观测及/或移动装置行为的行为矢量。在块604中,移动装置处理器可鉴别可潜在地促成移动装置的降级的与粗略观测相关联的子系统、进程及/或应用程序。这种情形是可(例如)通过比较从多个来源接收的信息与从移动装置的传感器接收的上下文信息而实现。在块606中,移动装置处理器可基于粗略观测而执行行为分析操作。在一方面中,作为块603及604的部分,移动装置处理器可执行上文参看图3所论述的操作中的一或多者。
在确定块608中,移动装置处理器可确定是否可基于行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定可基于行为分析的结果而鉴别及校正可疑行为或潜在问题(即,确定块608=“是”)时,在块618中,所述处理器可启动用以校正所述行为的进程且返回到块602以执行额外粗略观测。
当移动装置处理器确定不能基于行为分析的结果而鉴别及/或校正可疑行为或潜在问题(即,确定块608=“否”)时,在确定块609中,移动装置处理器可确定是否存在问题的可能性。在一方面中,移动装置处理器可通过计算移动装置遭遇潜在问题及/或参与可疑行为的概率且确定经计算概率是否大于预定阈值而确定存在问题的可能性。当移动装置处理器确定经计算概率不大于预定阈值及/或不存在可疑行为或潜在问题存在及/或可被检测的可能性(即,确定块609=“否”)时,所述处理器可返回到块602以执行额外粗略观测。
当移动装置处理器确定存在可疑行为或潜在问题存在及/或可被检测的可能性(即,确定块609=“是”)时,在块610中,移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入记录/观测或最终记录。在块612中,移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入及较详细观测。在块614中,移动装置处理器可基于较深入及较详细观测而执行进一步及/或较深入行为分析。在确定块608中,移动装置处理器可再次确定是否可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定不能基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即,确定块608=“否”)时,所述处理器可重复块610到614中的操作,直到细节级别足够精细以鉴别问题为止,或直到确定不能以额外细节鉴别所述问题或不存在问题为止。
当移动装置处理器确定可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即,确定块608=“是”)时,在块618中,移动装置处理器可执行操作以校正问题/行为,且所述处理器可返回到块602以执行额外操作。
在一方面中,作为方法600的块602到618的部分,移动装置处理器可执行系统行为的实时行为分析,以从有限及粗略观测鉴别可疑行为、动态地确定待较详细地观测的行为,且动态地确定观测所需要的精确细节级别。这种情形使移动装置处理器能够有效地鉴别问题且防止发生问题,而无需在装置上使用大量处理器、存储器或电池资源。
图7A说明传达行为分析信息的本发明方面的方法700,方法700是通过经由应用程序编程接口而在移动装置的第一模块与第二模块之间交换关于在移动装置中观测的行为特征的信息而进行。经交换信息可包含由第一模块及第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。在块702中,移动装置处理器可在移动装置的第一模块中接收待观测的行为特征的第一列表。在块704中,移动装置处理器可鉴别包含在经接收第一列表中的为用于使处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征。在块706中,移动装置处理器可产生行为特征的第二列表,第二列表包含用于使移动装置处理器结论性地确定移动装置行为是良性还是非良性的经鉴别最好特征。在块708中,移动装置处理器可经由应用程序编程接口而将行为特征的第二列表发送到移动装置的第二模块。
在可选块710中,移动装置处理器可经由客户端模块及/或应用程序编程接口而接收针对行为日志的请求,行为日志鉴别粒度级别、特定应用程序、持续时间或时段、特定进程及优先级中的一或多者。在可选块712中,移动装置处理器可产生行为日志,行为日志包含基于移动装置行为、应用程序或进程的分析而收集的信息。在可选块714中,移动装置处理器可经由客户端模块及/或应用程序编程接口而将经产生行为日志发送到第三方服务器。在可选块716中,移动装置处理器可经由客户端模块及/或应用程序编程接口而接收致动请求,致动请求包含适合于使移动装置通知移动装置用户、阻止进程或终止进程的命令。在可选块718中,移动装置处理器可经由目标行为模型进行接收,目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。
在各种方面中,第一模块及第二模块可为上文参看图2所论述的模块中的任一者,诸如,行为观测器模块202、行为分析模块204、合作伙伴客户端模块206等等。
图7B说明使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的本发明方面的方法750。在块752中,移动装置处理器可经由客户端模块及/或应用程序编程接口而从第三方服务器接收待观测的行为特征的第一列表。在块754中,移动装置处理器可鉴别包含在经接收第一列表中的为用于使移动装置处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征。在块756中,移动装置处理器可产生行为特征的第二列表,第二列表包含用于使移动装置处理器能够结论性地确定移动装置行为是恶意还是良性的经鉴别最好特征。在块758中,移动装置处理器可经由客户端模块及/或应用程序编程接口而将行为特征的第二列表发送到第三方服务器。
在可选块760中,移动装置处理器可经由应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于用来确定移动装置行为是良性还是非良性。在可选块762中,移动装置处理器可经由应用程序编程接口而接收目标行为模型,目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。在可选块764中,移动装置处理器可经由应用程序编程接口而接收致动请求,致动请求包含适合于使移动装置通知用户、阻止进程或终止进程的命令。在可选块766中,移动装置处理器可经由应用程序编程接口而接收针对行为日志的请求,行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。在可选块768中,移动装置处理器可产生行为日志,行为日志包含基于对移动装置行为、应用程序或进程的分析而收集的信息。在可选块770中,移动装置处理器可经由应用程序编程接口及/或客户端模块而将经产生行为日志发送到第三方服务器。
各种方面可实施于多种移动计算装置上,图8中以智能电话的形式说明所述移动计算装置的实例。智能电话800可包含耦合到内部存储器802、显示器803及扬声器的处理器801。另外,智能电话800可包含可连接到无线数据链路的用于发送及接收电磁辐射的天线804及/或耦合到处理器801的蜂窝电话收发器805。智能电话800通常还包含用于接收用户输入的菜单选择按钮或摇臂开关806。
典型智能电话800还包含声音编码/解码(CODEC)电路812,声音CODEC电路812将从麦克风接收的声音数字化成适合于无线传输的数据包且解码经接收声音数据包以产生提供到扬声器以产生声音的模拟信号。同样地,处理器801、无线收发器805及CODEC 812中的一或多者可包含数字信号处理器(DSP)电路(未分离地图示)。
本发明方面的方法的部分可在客户端-服务器体系结构中实现,其中一些处理发生于服务器中,诸如,维护正常操作行为的数据库,所述数据库可由移动装置处理器在执行本发明方面的方法的同时存取。这些方面可实施于多种市售服务器装置中的任一者上,诸如,图9所说明的服务器900。此类服务器900通常包含耦合到易失性存储器902及大容量非易失性存储器(诸如,磁盘驱动器903)的处理器901。服务器900还可包含耦合到处理器901的软盘驱动器、压缩光盘(CD)或DVD光盘驱动器904。服务器900还可包含耦合到处理器901以用于与网络905(诸如,耦合到其它广播系统计算机及服务器的局域网)建立数据连接的网络存取端口906。
处理器801、901可为任何可编程微处理器、微计算机或多处理器芯片,其可由软件指令(应用程序)配置以执行多种功能,包含下文所描述的各种方面的功能。在一些移动装置中,可提供多个处理器801,诸如,专用于无线通信功能的一个处理器,及专用于运行其它应用程序的一个处理器。通常,软件应用程序可在被存取及加载到处理器801、901中之前存储在内部存储器802、902、903中。处理器801、901可包含足以存储应用程序软件指令的内部存储器。
前述方法描述及进程流程图是仅仅作为说明性实例被提供且不意欲要求或暗示必须以所呈现顺序执行各种方面的步骤。所属领域的技术人员应了解,可以任何顺序执行前述方面中的步骤顺序。诸如“此后”、“接着”、“紧接着”等等的词语不意欲限制步骤顺序;这些词语仅仅用以指导读者阅读所述方法的描述。另外,对呈单数形式的权利要求书元件的任何参考(例如,使用数词“一”或“所述”)不应被解释为将元件限于单数形式。
结合本文所揭露的方面而描述的各种说明性逻辑块、模块、电路及算法步骤可被实施为电子硬件、计算机软件或这两者的组合。为了清楚地说明硬件与软件的这种可互换性,上文已大体上在功能性方面描述各种说明性组件、块、模块、电路及步骤。此类功能性被实施为硬件还是软件取决于特定应用及强加于整个系统上的设计约束。所属领域的技术人员可针对每一特定应用而以变化方式实施所描述功能性,但不应将这些实施决策解释为导致脱离本发明的范围。
许多移动计算装置操作系统内核经组织成用户空间(其中运行无特权代码)及内核空间(其中运行有特权代码)。这种分离在及其它通用公共许可证(GPL)环境中特别重要,在所述环境中,为内核空间的部分的代码必须具有GPL许可证,而运行于用户空间中的代码可不具有GPL许可证。应理解,除非另有明确叙述,否则此处所论述的各种软件组件/模块可实施于内核空间或用户空间中。
如本申请案中所使用,术语“组件”、“模块”、“系统”、“引擎”、“管理器”及其类似者意欲包含计算机相关实体,诸如但不限于,硬件、固件、硬件与软件的组合、软件,或执行中软件,其经配置以执行特定操作或功能。举例来说,模块或组件可为但不限于运行于处理器上的进程、执行线程、对象、可执行文件、软件应用程序、处理器及/或计算机。作为说明,运行于计算装置上的应用程序及计算装置两者都可被称为组件。另外,一或多个或模块可驻留于进程及执行线程内,且可本地化于一个处理器或核心上及/或分布于两个或两个以上处理器或核心之间。另外,这些组件/模块可从存储有各种指令及/或数据结构的各种非暂时性计算机可读媒体执行。模块可经由本地及/或远程进程、函数或过程调用、电子信号、数据包、存储器读取/写入以及其它已知计算机、处理器及/或进程相关通信方法而通信。
可运用经设计成执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行用以实施结合本文所揭露的方面而描述的各种说明性逻辑、逻辑块、模块及电路的硬件。通用处理器可为多处理器,但在替代例中,所述处理器可为任何习知处理器、控制器、微控制器或状态机。处理器还可被实施为计算装置的组合,例如,DSP与多处理器的组合、多个多处理器、结合DSP核心的一或多个多处理器,或任何其它此类配置。替代地,一些步骤或方法可由特定于给定功能的电路系统执行。
在一或多个示范性方面中,所描述功能可实施于硬件、软件、固件或其任何组合中。如果实施于软件中,那么所述功能可作为一或多个指令或代码而存储在非暂时性计算机可读媒体或非暂时性处理器可读媒体上。本文所揭露的方法或算法的步骤可具体化在可驻留于非暂时性计算机可读或处理器可读存储媒体上的处理器可执行软件模块中。非暂时性计算机可读或处理器可读存储媒体可为可由计算机或处理器存取的任何存储媒体。作为实例而非限制,这些非暂时性计算机可读或处理器可读媒体可包含RAM、ROM、EEPROM、FLASH存储器、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置,或可用以存储呈指令或数据结构的形式的所要程序代码且可由计算机存取的任何其它媒体。如本文所使用,磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软盘及蓝光光盘,其中磁盘通常以磁性方式重现数据,而光盘通过激光以光学方式重现数据。以上各者的组合也包含在非暂时性计算机可读及处理器可读媒体的范围内。另外,方法或算法的操作可作为代码及/或指令中的一者或其任何组合或集合而驻留于非暂时性处理器可读媒体及/或计算机可读媒体上,所述非暂时性处理器可读媒体及/或计算机可读媒体可并入到计算机程序产品中。
提供所揭露方面的前述描述以使任何所属领域的技术人员能够进行或使用本发明。对这些方面的各种修改对于所属领域的技术人员将易于显而易见,且可在不脱离本发明的精神或范围的情况下将本文所定义的一般原理应用于其它方面。因此,本发明不意欲限于本文所展示的方面,而应符合与所附权利要求书以及本文所揭露的原理及新颖特征相一致的最广范围。

Claims (92)

1.一种在移动装置的模块之间传达行为分析信息的方法,其包括:
经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
2.根据权利要求1所述的方法,其进一步包括:
在所述第一模块中接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;以及
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
3.根据权利要求1所述的方法,其进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
4.根据权利要求1所述的方法,其进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
5.根据权利要求4所述的方法,其进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
6.一种移动装置,其包括:
处理器;以及
用于经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息的装置,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
7.根据权利要求6所述的移动装置,其进一步包括:
用于在所述第一模块中接收待观测的行为特征的第一列表的装置;
用于鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征的装置;
用于产生行为特征的第二列表的装置,所述第二列表包含用于结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;以及
用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块的装置。
8.根据权利要求6所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
9.根据权利要求6所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
10.根据权利要求9所述的移动装置,其进一步包括:
用于产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
11.一种移动装置,其包括:
收发器;
存储器;以及
处理器,其耦合到所述收发器及所述存储器,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作包括:
经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
12.根据权利要求11所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
在所述第一模块中接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;以及
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
13.根据权利要求11所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
14.根据权利要求11所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
15.根据权利要求14所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
16.一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于在移动装置的模块之间传达行为分析信息,所述操作包括:
经由应用程序编程接口而在所述移动装置的第一模块与第二模块之间交换关于在所述移动装置中观测的行为特征的信息,所述经交换信息包含由所述第一模块及所述第二模块中的一者用以确定移动装置行为是良性还是非良性的行为特征。
17.根据权利要求16所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
在所述第一模块中接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于结论性地确定所述移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述最好特征;以及
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第二模块。
18.根据权利要求16所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
19.根据权利要求16所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
20.根据权利要求19所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
21.一种使用应用程序编程接口而在移动装置中传达行为分析信息的方法,其包括:
经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。
22.根据权利要求21所述的方法,其中接收所述目标行为模型包括接收XML文件。
23.根据权利要求21所述的方法,其进一步包括:
在所述移动装置的第一模块中接收包含特征到行为分类的映射的有限状态机表示。
24.根据权利要求21所述的方法,其进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
25.根据权利要求21所述的方法,其进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
26.根据权利要求25所述的方法,其进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
27.根据权利要求25所述的方法,其进一步包括:
经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
28.一种移动装置,其包括:
处理器;以及
用于经由应用程序编程接口而接收目标行为模型的装置,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。
29.根据权利要求28所述的移动装置,其中用于接收所述目标行为模型的装置包括用于接收XML文件的装置。
30.根据权利要求28所述的移动装置,其进一步包括:
用于在所述移动装置的第一模块中接收包含特征到行为分类的映射的有限状态机表示的装置。
31.根据权利要求28所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
32.根据权利要求28所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
33.根据权利要求32所述的移动装置,其进一步包括:
用于产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
34.根据权利要求32所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收经更新行为模型的装置,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
35.一种移动装置,其包括:
收发器;
存储器;以及
处理器,其耦合到所述收发器及所述存储器,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作包括:
经由应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。
36.根据权利要求35所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,使得接收所述目标行为模型包括接收XML文件。
37.根据权利要求35所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
在所述移动装置的第一模块中接收包含特征到行为分类的映射的有限状态机表示。
38.根据权利要求35所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
39.根据权利要求35所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
40.根据权利要求39所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
41.根据权利要求39所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
42.一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而在移动装置中传达行为分析信息,所述操作包括:
经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与使所述移动装置处理器能够结论性地确定移动装置行为是良性还是非良性最相关的因素及数据点。
43.根据权利要求42所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,使得接收所述目标行为模型包括接收XML文件。
44.根据权利要求42所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
在所述移动装置的第一模块中接收包含特征到行为分类的映射的有限状态机表示。
45.根据权利要求42所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
46.根据权利要求42所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
47.根据权利要求46所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
48.根据权利要求46所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收经更新行为模型,所述经更新行为模型鉴别与使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
49.一种使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的方法,其包括:
在移动装置的处理器中经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于由所述移动装置处理器用来确定所述移动装置行为是良性还是非良性。
50.根据权利要求49所述的方法,其中接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
51.根据权利要求49所述的方法,其进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
52.根据权利要求49所述的方法,其进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
53.根据权利要求52所述的方法,其进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
54.一种移动装置,其包括:
处理器;以及
用于经由应用程序编程接口而在所述移动装置上从第三方服务器接收待观测的行为特征的第一列表的装置;
用于鉴别包含在所述经接收第一列表中的为用于使所述处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征的装置;
用于产生行为特征的第二列表的装置,所述第二列表包含用于使所述处理器能够结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;
用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器的装置;以及
用于经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示的装置,所述映射适合于由所述处理器用来确定所述移动装置行为是良性还是非良性。
55.根据权利要求54所述的移动装置,其中用于经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表的装置包括用于经由所述应用程序编程接口而接收XML文件的装置。
56.根据权利要求54所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
57.根据权利要求54所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
58.根据权利要求57所述的移动装置,其进一步包括:
用于产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
59.一种移动装置,其包括:
收发器;
存储器;以及
处理器,其耦合到所述收发器及所述存储器,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作包括:
经由应用程序编程接口而从第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于用来确定所述移动装置行为是良性还是非良性。
60.根据权利要求59所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
61.根据权利要求59所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
62.根据权利要求59所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
63.根据权利要求62所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
64.一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息,所述操作包括:
经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是恶意还是良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示,所述映射适合于用来确定所述移动装置行为是良性还是非良性。
65.根据权利要求64所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
66.根据权利要求64所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置处理器通知移动装置用户、阻止进程或终止所述进程的命令。
67.根据权利要求64所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
68.根据权利要求67所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
69.一种使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息的方法,其包括:
在移动装置的处理器中经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于使移动装置处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与使所述移动装置处理器能够结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
70.根据权利要求69所述的方法,其中经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
71.根据权利要求69所述的方法,其中经由所述应用程序编程接口而接收所述目标行为模型包括经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。
72.根据权利要求69所述的方法,其进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
73.根据权利要求69所述的方法,其进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
74.根据权利要求73所述的方法,其进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
75.一种移动装置,其包括:
处理器;以及
用于经由应用程序编程接口而在所述移动装置上从第三方服务器接收待观测的行为特征的第一列表的装置;
用于鉴别包含在所述经接收第一列表中的为用于使所述处理器能够结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征的装置;
用于产生行为特征的第二列表的装置,所述第二列表包含用于使所述处理器能够结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;
用于经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器的装置;以及
用于经由所述应用程序编程接口而接收目标行为模型的装置,所述目标行为模型鉴别与所述处理器结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
76.根据权利要求75所述的移动装置,其中用于经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表的装置包括用于经由所述应用程序编程接口而接收XML文件的装置。
77.根据权利要求75所述的移动装置,其中用于经由所述应用程序编程接口而接收所述目标行为模型的装置包括用于经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示的装置。
78.根据权利要求75所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收致动请求的装置,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
79.根据权利要求75所述的移动装置,其进一步包括:
用于经由所述应用程序编程接口而接收针对行为日志的请求的装置,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
80.根据权利要求79所述的移动装置,其进一步包括:
用于产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息的装置。
81.一种移动装置,其包括:
收发器;
存储器;以及
处理器,其耦合到所述收发器及所述存储器,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作包括:
经由应用程序编程接口而从第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
82.根据权利要求81所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
83.根据权利要求81所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,使得经由所述应用程序编程接口而接收所述目标行为模型包括经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。
84.根据权利要求81所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置通知移动装置用户、阻止进程或终止所述进程的命令。
85.根据权利要求81所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
86.根据权利要求85所述的移动装置,其中所述处理器经配置有处理器可执行指令以执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
87.一种非暂时性计算机可读存储媒体,其上存储有处理器可执行软件指令,所述处理器可执行软件指令经配置以使移动装置处理器执行操作以用于使用应用程序编程接口而与客户端-云通信系统中的第三方服务器传达行为分析信息,所述操作包括:
经由所述应用程序编程接口而从所述第三方服务器接收待观测的行为特征的第一列表;
鉴别包含在所述经接收第一列表中的为用于结论性地确定移动装置行为是良性还是非良性的最好特征的行为特征;
产生行为特征的第二列表,所述第二列表包含用于结论性地确定所述移动装置行为是良性还是非良性的所述经鉴别最好特征;
经由所述应用程序编程接口而将行为特征的所述第二列表发送到所述第三方服务器;以及
经由所述应用程序编程接口而接收目标行为模型,所述目标行为模型鉴别与结论性地确定所述移动装置行为是良性还是非良性最相关的因素及数据点。
88.根据权利要求87所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收待观测的行为特征的所述第一列表包括经由所述应用程序编程接口而接收XML文件。
89.根据权利要求87所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,使得经由所述应用程序编程接口而接收所述目标行为模型包括经由所述应用程序编程接口而接收包含特征到行为分类的映射的有限状态机表示。
90.根据权利要求87所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收致动请求,所述致动请求包含适合于使所述移动装置处理器通知移动装置用户、阻止进程或终止所述进程的命令。
91.根据权利要求87所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
经由所述应用程序编程接口而接收针对行为日志的请求,所述行为日志鉴别粒度级别、特定应用程序、持续时间或时段、进程及优先级中的一者。
92.根据权利要求91所述的非暂时性计算机可读存储媒体,其中所述经存储处理器可执行软件指令经配置以使所述移动装置处理器执行操作,所述操作进一步包括:
产生所述行为日志以包含基于对所述移动装置行为、所述特定应用程序及所述进程中的一者的分析而收集的信息。
CN201380023689.3A 2012-05-14 2013-04-26 在移动计算装置中传达行为信息 Expired - Fee Related CN104272788B (zh)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US201261646590P 2012-05-14 2012-05-14
US61/646,590 2012-05-14
US201261683274P 2012-08-15 2012-08-15
US61/683,274 2012-08-15
US201361752144P 2013-01-14 2013-01-14
US61/752,144 2013-01-14
US13/796,595 US9690635B2 (en) 2012-05-14 2013-03-12 Communicating behavior information in a mobile computing device
US13/796,595 2013-03-12
PCT/US2013/038399 WO2013173043A2 (en) 2012-05-14 2013-04-26 Communicating behavior information in a mobile computing device

Publications (2)

Publication Number Publication Date
CN104272788A true CN104272788A (zh) 2015-01-07
CN104272788B CN104272788B (zh) 2018-09-28

Family

ID=49549525

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380023689.3A Expired - Fee Related CN104272788B (zh) 2012-05-14 2013-04-26 在移动计算装置中传达行为信息

Country Status (5)

Country Link
US (1) US9690635B2 (zh)
EP (1) EP2850866A2 (zh)
CN (1) CN104272788B (zh)
IN (1) IN2014MN02176A (zh)
WO (1) WO2013173043A2 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107408178A (zh) * 2015-03-24 2017-11-28 高通股份有限公司 用于通过云与客户端行为的差异来识别恶意软件的方法及系统
CN108366788A (zh) * 2015-11-30 2018-08-03 任旭彬 利用dnn学习的细胞异常与否诊断系统及诊断管理方法
CN109426571A (zh) * 2017-08-28 2019-03-05 阿里巴巴集团控股有限公司 函数调用和数据访问的方法、系统、存储介质、处理器和装置
CN107409073B (zh) * 2015-03-04 2021-04-09 高通股份有限公司 监视物联网设备健康状况的方法、装置、设备和存储介质

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9264237B2 (en) * 2011-06-15 2016-02-16 Microsoft Technology Licensing, Llc Verifying requests for access to a service provider using an authentication component
US9424364B2 (en) * 2012-02-14 2016-08-23 Jive Software, Inc. Integrated context-driven information search and interaction
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US9049549B2 (en) 2012-11-08 2015-06-02 xAd, Inc. Method and apparatus for probabilistic user location
US10089582B2 (en) * 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
US9372922B2 (en) * 2013-07-11 2016-06-21 Neura, Inc. Data consolidation mechanisms for internet of things integration platform
US9871865B2 (en) 2013-07-11 2018-01-16 Neura, Inc. Physical environment profiling through internet of things integration platform
US10990894B2 (en) 2013-07-11 2021-04-27 Neura, Inc. Situation forecast mechanisms for internet of things integration platform
US9961102B2 (en) 2014-07-16 2018-05-01 Mcafee, Llc Detection of stack pivoting
US20160078362A1 (en) * 2014-09-15 2016-03-17 Qualcomm Incorporated Methods and Systems of Dynamically Determining Feature Sets for the Efficient Classification of Mobile Device Behaviors
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
US20160180723A1 (en) * 2014-12-22 2016-06-23 Intel Corporation Context derived behavior modeling and feedback
JP2018503208A (ja) * 2014-12-23 2018-02-01 エジェンタ, インコーポレイテッド 知的パーソナルエージェントプラットフォームおよびそれを使用するためのシステムおよび方法
US20160232353A1 (en) * 2015-02-09 2016-08-11 Qualcomm Incorporated Determining Model Protection Level On-Device based on Malware Detection in Similar Devices
US20170046510A1 (en) * 2015-08-14 2017-02-16 Qualcomm Incorporated Methods and Systems of Building Classifier Models in Computing Devices
EP3148157B1 (en) * 2015-09-22 2017-12-06 Comptel OYJ Method and system of identifying an access request of an application on a mobile device in a telecommunication network
US10547971B2 (en) 2015-11-04 2020-01-28 xAd, Inc. Systems and methods for creating and using geo-blocks for location-based information service
KR102480895B1 (ko) * 2016-02-19 2022-12-26 삼성전자 주식회사 전자 장치 및 전자 장치의 동작 제어 방법
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10673878B2 (en) * 2016-05-19 2020-06-02 International Business Machines Corporation Computer security apparatus
US20170357910A1 (en) * 2016-06-10 2017-12-14 Apple Inc. System for iteratively training an artificial intelligence using cloud-based metrics
US20180013779A1 (en) * 2016-07-06 2018-01-11 Power Fingerprinting Inc. Methods and apparatuses for integrity validation of remote devices using side-channel information in a power signature analysis
KR102289837B1 (ko) * 2017-01-06 2021-08-17 삼성전자주식회사 촬영 방법 및 전자 장치
WO2018077483A1 (en) * 2017-01-23 2018-05-03 Mitsubishi Electric Corporation Evaluation and generation of a whitelist
CN106936994B (zh) 2017-03-10 2019-10-01 Oppo广东移动通信有限公司 一种广播接收者的控制方法、装置及移动终端
US11095733B2 (en) 2017-05-10 2021-08-17 Embee Mobile, Inc. System and method for the capture of mobile behavior, usage, or content exposure based on changes in UI layout
US9882918B1 (en) * 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10915644B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Collecting data for centralized use in an adaptive trust profile event via an endpoint
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
JP6767924B2 (ja) 2017-05-19 2020-10-14 東芝映像ソリューション株式会社 システム、方法及びプログラム
CN108958826B (zh) * 2017-05-22 2022-06-07 北京京东尚科信息技术有限公司 动态配置应用安装包的方法和装置
JP6767926B2 (ja) 2017-05-23 2020-10-14 東芝映像ソリューション株式会社 電子装置、方法及びプログラム
US20190104141A1 (en) * 2017-10-02 2019-04-04 Zuk Avraham System and Method for Providing and Facilitating an Information Security Marketplace
US11184369B2 (en) * 2017-11-13 2021-11-23 Vectra Networks, Inc. Malicious relay and jump-system detection using behavioral indicators of actors
US11172324B2 (en) 2018-08-17 2021-11-09 xAd, Inc. Systems and methods for predicting targeted location events
US11146911B2 (en) 2018-08-17 2021-10-12 xAd, Inc. Systems and methods for pacing information campaigns based on predicted and observed location events
US11134359B2 (en) 2018-08-17 2021-09-28 xAd, Inc. Systems and methods for calibrated location prediction
US10349208B1 (en) * 2018-08-17 2019-07-09 xAd, Inc. Systems and methods for real-time prediction of mobile device locations
US11200318B2 (en) * 2018-12-28 2021-12-14 Mcafee, Llc Methods and apparatus to detect adversarial malware
US10853496B2 (en) 2019-04-26 2020-12-01 Forcepoint, LLC Adaptive trust profile behavioral fingerprint
US20230205302A1 (en) * 2021-12-28 2023-06-29 Seagate Technology Llc Electronic device power consumption grading

Family Cites Families (197)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870735A (en) 1996-05-01 1999-02-09 International Business Machines Corporation Method and system for generating a decision-tree classifier in parallel in a multi-processor system
US9195784B2 (en) 1998-08-31 2015-11-24 Cadence Design Systems, Inc. Common shared memory in a verification system
US6532541B1 (en) 1999-01-22 2003-03-11 The Trustees Of Columbia University In The City Of New York Method and apparatus for image authentication
US6647260B2 (en) 1999-04-09 2003-11-11 Openwave Systems Inc. Method and system facilitating web based provisioning of two-way mobile communications devices
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6643802B1 (en) 2000-04-27 2003-11-04 Ncr Corporation Coordinated multinode dump collection in response to a fault
EP1182552A3 (en) 2000-08-21 2003-10-01 Texas Instruments France Dynamic hardware configuration for energy management systems using task attributes
US7234126B2 (en) 2000-08-23 2007-06-19 Interuniversitair Microelektronica Centrum Task concurrency management design method
US7600014B2 (en) 2000-11-16 2009-10-06 Symantec Corporation Method and system for monitoring the performance of a distributed application
US20040068721A1 (en) 2000-11-17 2004-04-08 O'neill Patrick Network for updating firmware and / or software in wireless communication devices
US20030037237A1 (en) 2001-04-09 2003-02-20 Jean-Paul Abgrall Systems and methods for computer device authentication
US7051327B1 (en) 2001-05-08 2006-05-23 Gateway Inc. System for providing data backup and restore with updated version by creating data package based upon configuration data application data and user response to suggestion
US7849360B2 (en) 2001-05-21 2010-12-07 Vir2Us, Inc. Computer system and method of controlling communication port to prevent computer contamination by virus or malicious code
US7401359B2 (en) 2001-12-21 2008-07-15 Mcafee, Inc. Generating malware definition data for mobile computing devices
US7290282B1 (en) 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
US7694139B2 (en) 2002-10-24 2010-04-06 Symantec Corporation Securing executable content using a trusted computing platform
US7103772B2 (en) 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US8201249B2 (en) 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US8458805B2 (en) 2003-06-23 2013-06-04 Architecture Technology Corporation Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data
US8097456B2 (en) 2003-08-18 2012-01-17 The Charles Stark Draper Laboratory Nanotopographic compositions and methods for cellular organization in tissue engineered structures
KR100623552B1 (ko) 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
US7694150B1 (en) 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
EP1774780A1 (en) 2004-07-20 2007-04-18 QUALCOMM Incorporated Method and apparatus for motion vector processing
US7793262B2 (en) 2004-07-29 2010-09-07 International Business Machines Corporation Method and apparatus for facilitating software testing and report generation with interactive graphical user interface
US7559053B2 (en) 2004-08-24 2009-07-07 Microsoft Corporation Program and system performance data correlation
US7877621B2 (en) 2004-09-03 2011-01-25 Virginia Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
KR100645735B1 (ko) 2004-10-14 2006-11-15 주식회사 팬택 모바일 플랫폼의 컨텐츠 오동작 통신 검출 장치 및 방법
US8108929B2 (en) 2004-10-19 2012-01-31 Reflex Systems, LLC Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms
US7561877B2 (en) 2005-03-18 2009-07-14 Qualcomm Incorporated Apparatus and methods for managing malfunctions on a wireless device
US7881291B2 (en) 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US20060288209A1 (en) 2005-06-20 2006-12-21 Vogler Dean H Method and apparatus for secure inter-processor communications
US20070006304A1 (en) 2005-06-30 2007-01-04 Microsoft Corporation Optimizing malware recovery
US8161548B1 (en) 2005-08-15 2012-04-17 Trend Micro, Inc. Malware detection using pattern classification
US8045958B2 (en) 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
US7809670B2 (en) 2005-12-09 2010-10-05 Microsoft Corporation Classification of malware using clustering that orders events in accordance with the time of occurance
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20070174490A1 (en) 2006-01-25 2007-07-26 Greystripe Inc. System and methods for managing content in pre-existing mobile applications
US8490194B2 (en) 2006-01-31 2013-07-16 Robert Moskovitch Method and system for detecting malicious behavioral patterns in a computer, using machine learning
IL181041A0 (en) 2007-01-29 2007-07-04 Deutsche Telekom Ag Improved method and system for detecting malicious behavioral patterns in a computer, using machine learning
US7831237B2 (en) 2006-02-03 2010-11-09 Broadcom Corporation Authenticating mobile network provider equipment
KR100791290B1 (ko) 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US20070220327A1 (en) 2006-02-23 2007-09-20 Evergrid, Inc., A Delaware Corporation Dynamically Controlled Checkpoint Timing
US8443446B2 (en) 2006-03-27 2013-05-14 Telecom Italia S.P.A. Method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US8312545B2 (en) 2006-04-06 2012-11-13 Juniper Networks, Inc. Non-signature malware detection system and method for mobile platforms
US20070283170A1 (en) 2006-06-05 2007-12-06 Kabushiki Kaisha Toshiba System and method for secure inter-process data communication
KR101225374B1 (ko) 2006-06-09 2013-01-22 삼성전자주식회사 이동 통신 단말에 대한 디바이스 관리 장치 및 방법
US20080016339A1 (en) 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US20080047009A1 (en) 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
US8788829B2 (en) 2006-08-17 2014-07-22 Aol Inc. System and method for interapplication communications
US7774599B2 (en) 2006-09-15 2010-08-10 Panasonic Corporation Methodologies to secure inter-process communication based on trust
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
WO2008043109A2 (en) 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
US7747575B2 (en) 2006-11-07 2010-06-29 Magix Ag Application-specific intelligent backup and restore system
WO2008067335A2 (en) 2006-11-27 2008-06-05 Smobile Systems, Inc. Wireless intrusion prevention system and method
US8225093B2 (en) 2006-12-05 2012-07-17 Qualcomm Incorporated Providing secure inter-application communication for a mobile operating environment
US7650317B2 (en) 2006-12-06 2010-01-19 Microsoft Corporation Active learning framework for automatic field extraction from network traffic
US7778792B2 (en) * 2006-12-08 2010-08-17 Chumby Industries, Inc. Systems and methods for location, motion, and contact detection and tracking in a networked audiovisual device
JP4805116B2 (ja) 2006-12-11 2011-11-02 株式会社日立製作所 情報処理システム、情報処理システムの制御方法、サービス利用装置及びサービス提供装置
US7945955B2 (en) 2006-12-18 2011-05-17 Quick Heal Technologies Private Limited Virus detection in mobile devices having insufficient resources to execute virus detection software
US8769099B2 (en) 2006-12-28 2014-07-01 Yahoo! Inc. Methods and systems for pre-caching information on a mobile computing device
US9021605B2 (en) 2007-01-03 2015-04-28 International Business Machines Corporation Method and system for protecting sensitive data in a program
US7996005B2 (en) 2007-01-17 2011-08-09 Eagency, Inc. Mobile communication device monitoring systems and methods
US8331987B2 (en) 2007-04-19 2012-12-11 Apple Inc. Personal area network systems and devices and methods for use thereof
JP2008271126A (ja) * 2007-04-19 2008-11-06 Ntt Docomo Inc 移動端末装置、移動端末装置の診断方法
JP4956292B2 (ja) 2007-06-25 2012-06-20 パナソニック株式会社 情報セキュリティ装置およびカウンタ制御方法
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US8245295B2 (en) 2007-07-10 2012-08-14 Samsung Electronics Co., Ltd. Apparatus and method for detection of malicious program using program behavior
US7890443B2 (en) 2007-07-13 2011-02-15 Microsoft Corporation Learning classifiers using combined boosting and weight trimming
US20100199264A1 (en) 2007-08-02 2010-08-05 Naoto Maeda Pattern inspection system, pattern inspection device, method and pattern inspection program
CN101350054B (zh) 2007-10-15 2011-05-25 北京瑞星信息技术有限公司 计算机有害程序自动防护方法及装置
CN101960426A (zh) 2008-01-02 2011-01-26 桑迪士克以色列有限公司 具有直接用户访问的存储装置
US8160975B2 (en) * 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
WO2009097610A1 (en) 2008-02-01 2009-08-06 Northeastern University A vmm-based intrusion detection system
US8595834B2 (en) 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US7676573B2 (en) 2008-02-08 2010-03-09 Microsoft Corporation Node monitor client cache synchronization for mobile device management
US8320329B2 (en) 2008-03-24 2012-11-27 Cisco Technology, Inc. Policy for a roaming terminal based on a home internet protocol (IP) address
US20090288080A1 (en) * 2008-05-13 2009-11-19 Partridge Lucas W Method of Delivering Software Over a Network
US8108323B2 (en) 2008-05-19 2012-01-31 Yahoo! Inc. Distributed spam filtering utilizing a plurality of global classifiers and a local classifier
US20090293121A1 (en) * 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
IL191744A0 (en) 2008-05-27 2009-02-11 Yuval Elovici Unknown malcode detection using classifiers with optimal training sets
US20090327168A1 (en) 2008-06-26 2009-12-31 Yahoo! Inc. Playful incentive for labeling content
JP2010016443A (ja) 2008-07-01 2010-01-21 Toshiba Corp 状況認識装置、状況認識方法、及び無線端末装置
JP4710933B2 (ja) 2008-07-09 2011-06-29 ソニー株式会社 学習装置、学習方法、およびプログラム
GB2461870B (en) 2008-07-14 2012-02-29 F Secure Oyj Malware detection
US8069128B2 (en) 2008-08-08 2011-11-29 Yahoo! Inc. Real-time ad-hoc spam filtering of email
US8775333B1 (en) 2008-08-20 2014-07-08 Symantec Corporation Systems and methods for generating a threat classifier to determine a malicious process
US8095964B1 (en) 2008-08-29 2012-01-10 Symantec Corporation Peer computer based threat detection
US8245315B2 (en) 2008-09-10 2012-08-14 Qualcomm Incorporated Remote diagnosis of unauthorized hardware change
US8504504B2 (en) 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US8490188B2 (en) 2008-10-16 2013-07-16 Qualys, Inc. Systems and methods for assessing the compliance of a computer across a network
US8984628B2 (en) 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US9537613B2 (en) 2008-10-24 2017-01-03 Qualcomm Incorporated Acknowledgment based on short cell radio network temporary identifier
US20100107257A1 (en) 2008-10-29 2010-04-29 International Business Machines Corporation System, method and program product for detecting presence of malicious software running on a computer system
IL195081A0 (en) 2008-11-03 2011-08-01 Deutche Telekom Ag Acquisition of malicious code using active learning
JP4576452B2 (ja) 2008-11-06 2010-11-10 イーソル株式会社 オペレーティングシステムおよび情報処理装置
DE102008043954A1 (de) 2008-11-21 2010-05-27 Robert Bosch Gmbh Sensornetzwerksystem, Übertragunsprotokoll, Verfahren zum Wiedererkennen eines Objekts sowie Computerprogramm
US8549625B2 (en) 2008-12-12 2013-10-01 International Business Machines Corporation Classification of unwanted or malicious software through the identification of encrypted data communication
US20100153371A1 (en) 2008-12-16 2010-06-17 Yahoo! Inc. Method and apparatus for blending search results
CN101770453A (zh) 2008-12-31 2010-07-07 华建机器翻译有限公司 基于领域本体结合机器学习模型的汉语文本共指消解方法
US20100192222A1 (en) 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US20100192201A1 (en) 2009-01-29 2010-07-29 Breach Security, Inc. Method and Apparatus for Excessive Access Rate Detection
EP2222048A1 (en) 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
US8266698B1 (en) * 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
AU2010223925A1 (en) 2009-03-13 2011-11-03 Rutgers, The State University Of New Jersey Systems and methods for the detection of malware
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
US8683554B2 (en) 2009-03-27 2014-03-25 Wavemarket, Inc. System and method for managing third party application program access to user information via a native application program interface (API)
US8161130B2 (en) 2009-04-10 2012-04-17 Microsoft Corporation Bottom-up analysis of network sites
JP2012525626A (ja) 2009-04-30 2012-10-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ユーザ端末の逸脱する挙動
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
US8694624B2 (en) 2009-05-19 2014-04-08 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
WO2010141826A2 (en) 2009-06-05 2010-12-09 The Regents Of The University Of Michigan System and method for detecting energy consumption anomalies and mobile malware variants
US9074897B2 (en) 2009-06-15 2015-07-07 Qualcomm Incorporated Real-time data with post-processing
US8701192B1 (en) 2009-06-30 2014-04-15 Symantec Corporation Behavior based signatures
US20110013528A1 (en) 2009-07-16 2011-01-20 Chen Byron H Method for providing presence and location information of mobiles in a wireless network
US8776218B2 (en) 2009-07-21 2014-07-08 Sophos Limited Behavioral-based host intrusion prevention system
US8311956B2 (en) 2009-08-11 2012-11-13 At&T Intellectual Property I, L.P. Scalable traffic classifier and classifier training system
US8953472B2 (en) 2009-09-01 2015-02-10 Nec Europe Ltd. Method for monitoring a network and network including a monitoring functionality
CA2712002C (en) 2009-09-09 2016-08-30 Aastra Technologies Limited Diagnostics methods for a communications device
US8509755B2 (en) 2009-10-30 2013-08-13 Research In Motion Limited System and method for activating a component on an electronic device
US8397301B2 (en) 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US20110161452A1 (en) 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
JP2011138219A (ja) 2009-12-25 2011-07-14 Toshiba Corp 並列プログラム解析結果表示装置および並列プログラム解析結果表示方法
US20120254333A1 (en) 2010-01-07 2012-10-04 Rajarathnam Chandramouli Automated detection of deception in short and multilingual electronic messages
US8458809B2 (en) 2010-01-20 2013-06-04 Research In Motion Limited Apparatus, and an associated method, for facilitating secure operations of a wireless device
US20120331137A1 (en) 2010-03-01 2012-12-27 Nokia Corporation Method and apparatus for estimating user characteristics based on user interaction data
US20110219449A1 (en) 2010-03-04 2011-09-08 St Neitzel Michael Malware detection method, system and computer program product
KR101051641B1 (ko) 2010-03-30 2011-07-26 주식회사 안철수연구소 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법
US8694744B1 (en) 2010-03-31 2014-04-08 Emc Corporation Mobile device snapshot backup
WO2011129805A1 (en) 2010-04-12 2011-10-20 Siemens Aktiengesellschaft Method for computer-aided closed-loop and/or open-loop control of a technical system
EP2388979B1 (en) 2010-04-26 2017-08-09 BlackBerry Limited Mobile wireless communications device providing enhanced file transfer management features and related methods
US8570993B2 (en) 2010-05-20 2013-10-29 At&T Mobility Ii Llc Wi-Fi intelligent selection engine
DE102010021825A1 (de) 2010-05-28 2011-12-01 Christmann Informationstechnik + Medien Gmbh & Co. Kg Mehrprozessor-Computersystem
US9449175B2 (en) 2010-06-03 2016-09-20 Nokia Technologies Oy Method and apparatus for analyzing and detecting malicious software
CN101882000B (zh) 2010-06-18 2012-08-22 华南理工大学 一种基于加速度传感器的手势识别方法
US20120180126A1 (en) 2010-07-13 2012-07-12 Lei Liu Probable Computing Attack Detector
US20120016633A1 (en) 2010-07-16 2012-01-19 Andreas Wittenstein System and method for automatic detection of anomalous recurrent behavior
US9294946B2 (en) 2010-08-27 2016-03-22 Qualcomm Incorporated Adaptive automatic detail diagnostic log collection in a wireless communication system
US8424093B2 (en) 2010-11-01 2013-04-16 Kaspersky Lab Zao System and method for updating antivirus cache
US8683591B2 (en) 2010-11-18 2014-03-25 Nant Holdings Ip, Llc Vector-based anomaly detection
US8875286B2 (en) 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
US20120151479A1 (en) 2010-12-10 2012-06-14 Salesforce.Com, Inc. Horizontal splitting of tasks within a homogenous pool of virtual machines
US20120167218A1 (en) 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
US9710645B2 (en) * 2010-12-23 2017-07-18 Ebay Inc. Systems and methods to detect and neutralize malware infected electronic communications
US8762298B1 (en) 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
CN102591696A (zh) 2011-01-14 2012-07-18 中国科学院软件研究所 一种手机软件行为数据提取方法及系统
US9326698B2 (en) 2011-02-18 2016-05-03 The Trustees Of The University Of Pennsylvania Method for automatic, unsupervised classification of high-frequency oscillations in physiological recordings
US8695095B2 (en) 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US8554912B1 (en) 2011-03-14 2013-10-08 Sprint Communications Company L.P. Access management for wireless communication devices failing authentication for a communication network
JP5665188B2 (ja) 2011-03-31 2015-02-04 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ソフトウエア更新を適用した情報処理装置を検査するシステム
US8533857B2 (en) 2011-04-12 2013-09-10 Teletech Holdings, Inc. Methods for providing cross-vendor support services
KR101906410B1 (ko) 2011-04-19 2018-10-11 삼성전자주식회사 푸쉬 서비스 관리 방법 및 장치와 그 방법에 대한 프로그램 소스를 저장한 기록 매체
US9323928B2 (en) 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8819471B2 (en) 2011-06-03 2014-08-26 Apple Inc. Methods and apparatus for power state based backup
US20120317306A1 (en) 2011-06-10 2012-12-13 Microsoft Corporation Statistical Network Traffic Signature Analyzer
US9152882B2 (en) 2011-06-17 2015-10-06 Microsoft Technology Licensing, Llc. Location-aided recognition
US9286182B2 (en) 2011-06-17 2016-03-15 Microsoft Technology Licensing, Llc Virtual machine snapshotting and analysis
CN102202102B (zh) 2011-07-05 2014-08-13 施昊 基于云计算架构的网络服务聚合系统及其聚合方法
US20130203440A1 (en) 2011-07-27 2013-08-08 Qualcomm Labs, Inc. Selectively performing a positioning procedure at an access terminal based on a behavior model
EP2737742A4 (en) 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
US8782412B2 (en) 2011-08-31 2014-07-15 AstherPal Inc. Secured privileged access to an embedded client on a mobile device
US20130066815A1 (en) 2011-09-13 2013-03-14 Research In Motion Limited System and method for mobile context determination
ES2755780T3 (es) 2011-09-16 2020-04-23 Veracode Inc Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil
US8793593B2 (en) 2011-09-21 2014-07-29 Facebook, Inc. Integrating structured objects and actions generated on external systems into a social networking system
US9143529B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Modifying pre-existing mobile applications to implement enterprise security policies
EP2786301A1 (en) 2011-11-29 2014-10-08 Sony Mobile Communications AB System and method for providing secure inter-process communications
US9413538B2 (en) 2011-12-12 2016-08-09 Microsoft Technology Licensing, Llc Cryptographic certification of secure hosted execution environments
US9071636B2 (en) 2011-12-21 2015-06-30 Verizon Patent And Licensing Inc. Predictive scoring management system for application behavior
EP2801050A4 (en) 2012-01-06 2015-06-03 Optio Labs Llc SYSTEMS AND METHODS FOR APPLYING SECURITY IN MOBILE COMPUTING
US8943204B2 (en) 2012-01-23 2015-01-27 Cellco Partnership Method and system for conserving network resources when sending information to mobile devices
US9832211B2 (en) * 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
US9439077B2 (en) 2012-04-10 2016-09-06 Qualcomm Incorporated Method for malicious activity detection in a mobile station
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US20130304677A1 (en) 2012-05-14 2013-11-14 Qualcomm Incorporated Architecture for Client-Cloud Behavior Analyzer
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
EP2680182B1 (en) 2012-06-29 2016-03-16 GSMK Gesellschaft für sichere Mobile Kommunikation mbH Mobile device and method to monitor a baseband processor in relation to the actions on an application processor
US9020864B2 (en) 2012-07-25 2015-04-28 Aro, Inc. Recommendation agent using a personality model determined from mobile device data
US20140150100A1 (en) 2012-08-15 2014-05-29 Qualcomm Incorporated Adaptive Observation of Driver and Hardware Level Behavioral Features on a Mobile Device
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US20140096246A1 (en) 2012-10-01 2014-04-03 Google Inc. Protecting users from undesirable content
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
WO2014165230A1 (en) 2013-03-13 2014-10-09 Lookout, Inc. System and method for changing security behavior of a device based on proximity to another device
US20140279745A1 (en) 2013-03-14 2014-09-18 Sm4rt Predictive Systems Classification based on prediction of accuracy of multiple data models

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ASAF SHABTAI ET AL: ""Andronmaly":A behavioral malware detection framework for android devices", 《JOURNAL OF INTELLIGENT INFORMATION SYSTEMS》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107409073B (zh) * 2015-03-04 2021-04-09 高通股份有限公司 监视物联网设备健康状况的方法、装置、设备和存储介质
CN107408178A (zh) * 2015-03-24 2017-11-28 高通股份有限公司 用于通过云与客户端行为的差异来识别恶意软件的方法及系统
CN108366788A (zh) * 2015-11-30 2018-08-03 任旭彬 利用dnn学习的细胞异常与否诊断系统及诊断管理方法
CN109426571A (zh) * 2017-08-28 2019-03-05 阿里巴巴集团控股有限公司 函数调用和数据访问的方法、系统、存储介质、处理器和装置

Also Published As

Publication number Publication date
CN104272788B (zh) 2018-09-28
US9690635B2 (en) 2017-06-27
WO2013173043A2 (en) 2013-11-21
WO2013173043A3 (en) 2014-03-20
EP2850866A2 (en) 2015-03-25
IN2014MN02176A (zh) 2015-08-28
US20130304869A1 (en) 2013-11-14

Similar Documents

Publication Publication Date Title
CN104272788A (zh) 在移动计算装置中传达行为信息
KR101848576B1 (ko) 이동 디바이스 거동들의 효율적인 분류를 위한 애플리케이션-특정 및 애플리케이션-타입-특정 모델들을 이용하는 방법들 및 시스템들
KR101789962B1 (ko) 이동 디바이스에서 거동 분석 동작들을 수행함으로써 애플리케이션 상태들을 추론하기 위한 방법 및 시스템
US9609456B2 (en) Methods, devices, and systems for communicating behavioral analysis information
EP3117361B1 (en) Behavioral analysis for securing peripheral devices
KR101810346B1 (ko) 구성 경로들에 기초한 가능성 있는 악성 거동 사전 식별 방법, 디바이스 및 기록매체
US9787695B2 (en) Methods and systems for identifying malware through differences in cloud vs. client behavior
EP2949144B1 (en) Adaptive observation of behavioral features on a mobile device
KR101826865B1 (ko) 모바일 디바이스 거동들의 효율적인 분류를 위해 부스트 결정 그루터기들 및 공동의 특징 선택 및 선별 알고리즘들을 사용하는 방법들 및 시스템들
US20160078362A1 (en) Methods and Systems of Dynamically Determining Feature Sets for the Efficient Classification of Mobile Device Behaviors
EP3142048A1 (en) Architecture for client-cloud behavior analyzer
KR20180006380A (ko) 실시간 화이트리스팅을 위한 거동-특정의 엑츄에이션을 위한 방법들 및 시스템들
CN104303538A (zh) 使用签名高速缓冲存储器来最小化行为分析的时延
TW201710960A (zh) 使用標準化之信賴值為行動裝置行為分類

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180928

Termination date: 20190426