CN104303538A

CN104303538A - 使用签名高速缓冲存储器来最小化行为分析的时延

Info

Publication number: CN104303538A
Application number: CN201380023666.2A
Authority: CN
Inventors: 阿尼尔·加塔拉; 拉贾什·古普塔; 萨乌米特拉·达斯
Original assignee: Qualcomm Inc
Current assignee: Qualcomm Inc
Priority date: 2012-05-14
Filing date: 2013-01-29
Publication date: 2015-01-21
Anticipated expiration: 2033-01-29
Also published as: KR20150013298A; EP2850524B1; CN104272787A; WO2013172877A1; JP6110482B2; IN2014MN02172A; EP2850524A1; WO2013172881A1; US20130303154A1; EP2850864B1; US9292685B2; WO2013172865A1; CN104272787B; US9202047B2; US9349001B2; US20140245306A1; US20130305359A1; CN104272786A; US9898602B2; US20150148109A1

Abstract

各种方面包含经配置以使用高速缓冲存储技术及行为签名高速缓冲存储器通过缩减分析器时延来改善处理器性能及/或缩减由计算装置消耗的电力量的方法、系统及装置。签名高速缓冲存储系统可经配置以适应于行为规范及模型的快速且频繁的改变，且提供对移动装置执行的行为分析操作的扩展性的多重改善。

Description

使用签名高速缓冲存储器来最小化行为分析的时延

相关申请案

本申请案主张如下两个申请案的优先权利：2012年5月14日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时专利申请案第61/646,590号；及2012年8月15日申请的名为“用于移动装置行为的自适应观测的系统、设备及方法”的美国临时申请案第61/683,274号，这两个申请案的全部内容是出于所有目的而据此以引用方式并入。

背景技术

蜂窝及无线通信技术已在过去的若干年内得到急速增长。这种增长已受到较好通信、硬件、较大网络及较可靠协议推动。无线服务提供者现在能够向其客户提供不断扩充的特征及服务阵列，且向用户提供对信息、资源及通信的空前程度的存取。为了跟上这些服务增强，移动电子装置(例如，蜂窝电话、平板计算机、膝上型计算机等等)相比于以前已变得较强大且复杂。这种复杂性已产生使恶意软件、软件冲突、硬件故障及其它相似错误或现象负面地影响移动装置的长期且持续的性能及功率利用水平的新机会。因此，校正可负面地影响移动装置的长期且持续的性能及功率利用水平的条件及/或移动装置行为会有益于消费者。

发明内容

各种实施例包含经配置以用于基于经观测移动装置行为是否匹配于存储在存储器中的行为签名而改善移动装置的性能的方法及移动装置。实施例方法包含：观测移动装置行为且基于经观测移动装置行为而产生校正性动作行为签名；确定所述经产生行为签名是否匹配于存储在所述移动装置的高速缓冲存储器中的行为签名；及响应于确定所述经产生行为签名匹配于存储在所述移动装置的所述高速缓冲存储器中的行为签名而采取校正性动作。实施例方法可进一步包含：从第二移动装置接收行为签名；及将所述经接收行为签名存储在所述高速缓冲存储器中。实施例方法可进一步包含：从网络服务器接收行为签名；及将所述经接收行为签名存储在所述高速缓冲存储器中。实施例方法可进一步包含：当确定所述经产生行为签名不匹配于存储在所述高速缓冲存储器中的行为签名时确定所述经产生行为签名是否匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名；及响应于确定所述经产生行为签名匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名而采取校正性动作。

在一实施例中，可通过如下操作而填充所述高速缓冲存储器：在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；确定对应于所述经观测行为的行为签名是否存储在所述高速缓冲存储器中；当确定对应于所述经观测行为的行为签名未存储在所述高速缓冲存储器中时鉴别与不一致操作相关联的有限行为集合；从关于所述有限行为集合的高级别应用程序、系统内核及驱动器中的一或多者接收行为输入；接收关于所述移动装置的所述有限行为集合的上下文输入；执行所述经接收行为输入及所述经接收上下文输入的时间及空间相关；基于所述空间及时间相关的结果而产生行为矢量；基于所述行为矢量而产生所述行为签名；及将所述经产生行为签名存储在所述高速缓冲存储器中。

在一实施例中，一种移动装置可包含：收发器，其经配置以建立网络连接；高速缓冲存储器；及处理器，其耦合到所述收发器及所述高速缓冲存储器，且经配置有处理器可执行指令以执行操作，所述操作包含：观测移动装置行为且基于经观测移动装置行为而产生行为签名；确定所述经产生行为签名是否匹配于存储在所述移动装置的高速缓冲存储器中的行为签名；及响应于确定所述经产生行为签名匹配于存储在所述移动装置的所述高速缓冲存储器中的行为签名而采取校正性动作。在实施例移动装置中，所述处理器可经配置以执行操作，所述操作进一步包含：从第二移动装置接收行为签名；及将所述经接收行为签名存储在所述高速缓冲存储器中。在实施例移动装置中，所述处理器可经配置以执行操作，所述操作进一步包含：实施例方法可进一步包含从网络服务器接收行为签名，及将所述经接收行为签名存储在所述高速缓冲存储器中。在实施例移动装置中，所述处理器可经配置以执行操作，所述操作进一步包含：实施例方法可进一步包含当确定所述经产生行为签名不匹配于存储在所述高速缓冲存储器中的行为签名时确定所述经产生行为签名是否匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名，及响应于确定所述经产生行为签名匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名而采取校正性动作。

在一实施例中，所述移动装置处理器可经配置以执行操作以填充所述高速缓冲存储器，所述操作包含：在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；确定对应于所述经观测行为的行为签名是否存储在所述高速缓冲存储器中；当确定对应于所述经观测行为的行为签名未存储在所述高速缓冲存储器中时鉴别与不一致操作相关联的有限行为集合；从关于所述有限行为集合的高级别应用程序、系统内核及驱动器中的一或多者接收行为输入；接收关于所述移动装置的所述有限行为集合的上下文输入；执行所述经接收行为输入及所述经接收上下文输入的时间及空间相关；基于所述空间及时间相关的结果而产生行为矢量；基于所述行为矢量而产生所述行为签名；及将所述经产生行为签名存储在所述高速缓冲存储器中。

一种实施例移动装置可包含用于执行上文所描述的实施例方法的功能的装置。另外实施例可包含一种非暂时性处理器可读存储媒体，其上存在经存储处理器可执行指令，所述经存储处理器可执行指令经配置以使移动装置处理器执行上文所描述的实施例方法的功能。

附图说明

并入本文中且构成本说明书的部分的随附图式说明本发明的示范性方面，且与上文所给出的一般描述及下文所给出的详细描述一起用来解释本发明的特征。

图1为说明适合于供各种方面中使用的实例电信系统的网络组件的通信系统框图。

图2为说明经配置以确定特定移动装置行为、软件应用程序或进程是使性能降级、可疑还是良性的方面移动装置中的实例逻辑组件及信息流的框图。

图3为说明使用高速缓冲存储以缩减分析器时延的方面移动装置方法的进程流程图。

图4为根据一方面的说明经配置以执行动态及自适应观测以产生适合于用来产生签名的信息的观测器模块中的实例逻辑组件及信息流的框图。

图5为根据一方面的说明实施观测器守护程序的计算系统中的逻辑组件及信息流的框图。

图6为说明用于对移动装置执行自适应观测的方面方法的进程流程图。

图7为适合于供一方面中使用的移动装置的组件框图。

图8为适合于供一方面中使用的服务器装置的组件框图。

具体实施方式

将参看随附图式详细地描述各种方面。在任何可能之处，将贯穿所述图式而使用相同参考编号以指相同或类似部分。对特定实例及实施方案进行的参考是出于说明性目的，且不意欲限制本发明或权利要求书的范围。

词语“示范性”在本文中用以意谓“充当实例、例子或说明”。在本文中被描述为“示范性”的任何实施方案未必被解释为比其它实施方案优选或有利。

术语“移动计算装置”及“移动装置”在本文中可互换地用以指以下各者中的任一者或全部：蜂窝电话、智能电话、个人或移动多媒体播放器、个人数据助理(PDA)、膝上型计算机、平板计算机、智能本、超级本、掌上型计算机、无线电子邮件接收器、启用多媒体因特网的蜂窝电话、无线游戏控制器，及相似个人电子装置，其包含存储器、包含性能重要的可编程处理器且在电池电力下操作以使得省电方法有益。虽然各种方面特别有用于具有有限资源且依靠电池电力而运行的诸如智能电话的移动计算装置，但所述方面通常有用于包含处理器且执行应用程序的任何电子装置中。

术语“性能降级”在本文中用以指多种不良移动装置操作及特性，诸如，较长处理时间、较低电池寿命、专用数据遗失、恶意经济活动(例如，发送未经授权的获奖SMS消息)、与强占移动装置或利用电话进行间谍活动或僵尸网络活动有关的操作等等。

各种方面包含用于有效地鉴别、分析、分类、建模、防止及/或校正常常使移动装置的性能及/或功率利用水平随着时间降级的条件及/或移动装置行为的移动装置、系统及方法。

各种方面包含经配置以使用高速缓冲存储技术及行为签名高速缓冲存储器以通过缩减分析器时延来改善处理器性能及/或缩减由计算装置消耗的电力的量的方法、系统及装置，分析器时延为使移动装置处理及分析行为信息以确定特定移动装置行为、软件应用程序或进程是良性、可疑、恶意还是使性能降级所需要的时间量。各种方面可包含一种签名高速缓冲存储系统，其经配置以适应于行为规范及模型(诸如，在移动装置的机器学习分类器或分析器模块中产生(或由移动装置的机器学习分类器或分析器模块使用)的行为规范及模型)的快速且频繁的改变。这种签名高速缓冲存储系统还可提供对移动装置执行的行为分析操作的扩展性的多重改善。

通常，移动装置的性能及功率效率随着时间而降级。最近，防病毒公司(例如，McAfee、Symantec等等)已开始营销旨在减缓这种降级的移动防病毒、防火墙及加密产品。然而，许多这些解决方案依赖于移动装置上的计算密集型扫描引擎的周期性执行，这种情形可消耗移动装置的许多处理及电池资源、使移动装置变慢或致使移动装置无用历时延长的时段，及/或以其它方式使用户体验降级。另外，这些解决方案通常限于检测已知病毒及恶意软件，且未处理常常组合以促成移动装置随着时间的降级的多个复杂因素及/或交互(例如，当性能降级未由病毒或恶意软件造成时)。出于这些及其它原因，现有防病毒、防火墙及加密产品未提供用于鉴别可促成移动装置随着时间的降级的众多因素、备份移动装置、防止移动装置降级或有效地使老化移动装置恢复到其原始条件的充足解决方案。

存在用于建模执行于计算装置上的进程或应用程序的行为的各种解决方案，且这些行为模型可用以区分计算装置上的恶意进程/程序与良性进程/程序。然而，这些现有建模解决方案不适合于供在移动装置上使用，这是因为这些解决方案通常要求执行消耗显著量的处理、存储器及能量资源的计算密集型进程，所有所述资源在移动装置上都可能不足。另外，这些解决方案通常限于评估个别应用程序或进程的行为，且未提供使性能降级移动装置行为的准确或完整模型。出于这些及其它原因，现有建模解决方案不适用于鉴别可促成移动装置随着时间的降级的众多因素、防止移动装置降级或有效地使老化移动装置恢复到其原始条件。

移动装置为具有相对有限处理、存储器及能量资源的资源约束系统。现代移动装置也为复杂系统，且存在可促成移动装置的性能及功率利用水平随着时间的降级的多种因素，包含经不良设计的软件应用程序、恶意软件、病毒、碎片存储器、后台进程等等。归因于这些因素的数目、种类及复杂性，常常不可行的是评估可促成现代移动装置的复杂又资源约束的系统的性能及/或功率利用水平的降级的所有因素。

各种方面包含用于根据有限(粗略)行为观测集合而有效地鉴别、分析、分类、建模、防止及/或校正常常使移动装置的性能及/或功率利用水平随着时间降级的条件及/或移动装置行为的移动装置、系统及方法。通过将关于这些条件及校正性动作的签名及信息存储在高速缓冲存储器及/或中央数据库(诸如，“云”)中，且使移动装置能够快速地存取及使用这个信息，各种方面使移动装置能够快得多地且以较低电力消耗来对性能限制且不良的操作条件作出反应，这是相比于移动装置原本可能必须分析所有行为以得到其对性能的潜在影响的情况。换言之，在高速缓冲存储可用以基于较彻底分析而识别良性或非良性行为的签名及信息的情况下，移动装置可能够迅速地识别非良性或可疑行为/操作条件。

在一方面中，观测器进程、守护程序、模块或子系统(在本文中被共同地称为“模块”)可检测或协调在移动装置系统的各种级别处的各种应用程序编程接口(API)，且从经检测API收集行为信息。观测器模块可不断地监视移动装置(经由低功率进程、后台进程等等)，以鉴别移动装置的正常操作样式及/或鉴别与先前计算的正常操作样式不一致的行为。移动装置的分析器模块可分析及/或分类经收集行为信息、产生行为矢量、基于行为矢量及从各种其它移动装置子系统收集的信息而产生空间及/或时间相关，且确定特定移动装置行为、软件应用程序或进程是良性、可疑、恶意还是使性能降级。经产生行为矢量及空间及时间相关还可由移动装置的各种模块(例如，致动模块等等)用以识别、鉴别及/或响应于被确定为具有负面地影响移动装置的性能或电池消耗水平的高概率的行为。

在一方面中，观测器模块可经配置以将经收集行为信息传达(例如，经由存储器写入操作、函数调用、API等等)到行为矢量高速缓冲存储器模块(例如，经由存储器写入操作等等)。这个行为矢量高速缓冲存储器模块可从经收集行为信息产生行为签名，且确定经产生行为签名是否匹配于或对应于存储在行为矢量高速缓冲存储器/存储器中的行为矢量。经产生行为签名可以值或矢量数据结构(例如，以一串数字等等的形式)来简洁地描述移动装置、软件应用程序或进程的经观测行为。在一方面中，行为签名可用作使移动装置系统能够快速地识别、鉴别、验证、确认及/或信任到经观测行为先前已被分析及分类而不要求移动装置执行任何额外、繁重或功率密集型分析或验证操作的标识符及/或认证。因为可由移动装置处理器将行为签名与某些操作状态参数进行比较以识别到存在性能缩减情形，所以使用经高速缓冲存储行为签名可缩减“分析器时延”，分析器时延为分析器模块接收由观测器模块收集的行为信息、处理经接收行为信息且产生适合于用来确定经观测行为是良性、可疑、恶意还是使性能降级的输出将需要的时间量。

通常，移动装置将随着其分析器时延增加而变得对性能降级具较少响应性及/或较多敏感性，且因此，对于消费者而言有益的是缩减移动装置的分析器时延。举例来说，移动装置可经配置以允许、限制或阻止一或多个移动装置子系统、应用程序或进程的操作，同时移动装置执行行为分析操作以确定特定移动装置行为、软件应用程序或进程是良性、可疑、恶意或使性能降级。如果移动装置允许应用程序继续操作，同时移动装置执行行为分析操作，那么高/大分析器时延可提供足够时间以使恶意应用程序在被阻止之前完成其恶意操作。另一方面，如果移动装置限制或阻止所述应用程序，那么高/大分析器时延可妨碍良性应用程序的进度及/或缩减移动装置的响应性(且因此使用户体验降级)。因此，不管移动装置是否经配置以允许、限制或阻止应用程序或进程的操作，缩减分析器时延都将有益于移动装置用户。

各种方面利用高速缓冲存储技术及行为签名高速缓冲存储器来缩减分析器时延。在一方面中，移动装置系统可经配置以当针对经观测行为、应用程序或进程所产生的签名匹配于或对应于高速缓冲存储器中的条目时通过避开分析器模块且直接地调用致动模块(其可立即响应于已知/经检测行为)的操作而缩减分析器时延。在一方面中，移动装置系统可经配置使得非常快速地且有效地执行高速缓冲存储器查找或比较，从而进一步缩减分析器时延。在一方面中，可以相似于DNS高速缓冲存储的方式来执行行为签名高速缓冲存储操作，DNS高速缓冲存储在本地高速缓冲存储从网络服务器接收的查询的结果。因此，在各种方面中，行为签名可高速缓冲存储在移动装置上、高速缓冲存储到网络服务器(即，位于云上)，或这两者。

在一方面中，移动装置系统可经配置以当移动装置确定行为矢量高速缓冲存储器未存储匹配于或对应于经产生行为签名的条目时调用分析器模块的操作。分析器模块可请求或接收经收集行为信息、产生行为矢量、基于行为矢量及从各种其它移动装置子系统收集的信息而产生空间及/或时间相关、产生适合于用来确定特定移动装置行为是良性、可疑、恶意还是使性能降级的输出、将所述输出存储在行为矢量高速缓冲存储器中，及/或调用致动模块的操作。致动模块可接着采取校正性动作，或响应于被确定为具有负面地影响移动装置的性能或电池消耗水平的高概率的行为。

在一方面中，移动装置系统可经配置以当移动装置确定行为矢量高速缓冲存储器未存储对应于行为签名的条目时将经产生行为矢量及/或行为签名存储在所述高速缓冲存储器中。在离线或并行工作的情况下，分析器模块可向行为矢量高速缓冲存储器请求信息、基于包含在行为矢量中的信息而产生空间及/或时间相关，且将结果存储回到高速缓冲存储器中。通过从行为矢量高速缓冲存储器进行工作，分析器模块可实现其处理，同时移动装置继续产生行为签名且比较行为签名与高速缓冲存储器条目。如此，从移动装置的分析器时延移除了与处理分析器模块中的行为矢量相关联的时延，且缩减了分析器时延。

在一方面中，移动装置可经配置以与包含在线行为签名数据库的网络服务器通信。网络服务器可从许多移动装置接收大量报告，且分析、合并或以其它方式使此类群智信息变成可由所有移动装置使用或存取的可用信息(例如，行为模型、行为矢量、签名等等)。随着从移动装置接收新行为/分析报告，网络服务器可连续地重新评估现有数据/行为模型，及/或基于以下各者而产生新或经更新模型、矢量或签名：历史信息(例如，从先前执行、行为模型的先前应用程序等等所收集)；新信息；机器学习；上下文建模；及可用信息、移动装置状态、环境条件、网络条件、移动装置性能、电池消耗水平等等的经检测改变。

行为签名高速缓冲存储操作可改善行为分析的扩展性，而不使系统性能或电池寿命降级。在基于云的分析器/高速缓冲存储的状况下(例如，经由网络服务器)，行为签名高速缓冲存储的保存可更显著。不同移动装置将基于其所运行的应用程序以及基于跨越装置的分类器变化而获悉不同行为。在许多移动装置之间共享这种签名高速缓冲存储信息将允许系统中的一个装置检测恶意行为且将签名提供到系统中的所有其它装置，由此使系统中的所有其它装置能够快速地识别恶意或不正常工作的应用程序且以非常少的分析时延(即，仅仅是表查找操作的时延)迅速地采取动作以防止或校正不良行为。

各种方面可实施于诸如图1所说明的实例通信系统100的多种通信系统内。典型的蜂窝电话网络104包含耦合到网络操作中心108的多个蜂窝基站106，网络操作中心108操作以(诸如)经由电话陆线(例如，未图示的POTS网络)及因特网110而在移动装置102(例如，蜂窝电话、膝上型计算机、平板计算机等等)与其它网络目的地之间连接语音呼叫及数据。移动装置102与电话网络104之间的通信可经由诸如4G、3G、CDMA、TDMA、LTE及/或其它蜂窝电话通信技术的双向无线通信链路112而实现。电话网络104还可包含耦合到网络操作中心108或耦合在网络操作中心108内的一或多个服务器114，其提供对因特网110的连接。

通信系统100可进一步包含连接到电话网络104及因特网110的网络服务器116。网络服务器116与电话网络104之间的连接可经由因特网110或经由专用网络(如虚线箭头所说明)。网络服务器116还可被实施为云服务提供者网络118的网络基础结构内的服务器。网络服务器116与移动装置102之间的通信可经由电话网络104、因特网110、专用网络(未说明)或其任何组合而实现。

移动装置102可经配置以产生行为模型、矢量及/或签名，且将经产生模型、矢量及签名发送到网络服务器116(例如，经由电话网络104)以供分析及/或存储。同样地，网络服务器116可经配置以将经存储模型、矢量及签名发送到移动装置102，移动装置102可接收及使用行为模型、矢量及签名以缩减其分析器时延。

图2说明经配置以确定特定移动装置行为、软件应用程序或进程是恶意/使性能降级、可疑还是良性的方面移动装置102中的实例逻辑组件及信息流。在图2所说明的实例中，移动装置102包含多个软件应用程序201、行为观测器模块202、行为矢量高速缓冲存储器模块203、行为分析器模块204、外部上下文信息模块206及致动器模块208。在一方面中，行为矢量高速缓冲存储器模块203可被包含为行为观测器模块202的部分。

模块202到208中的每一者可实施于软件、硬件或其任何组合中。在各种方面中，模块202到208可实施于操作系统的部分内(例如，内核内、内核空间中、用户空间中等等)、分离程序或应用程序内、专用硬件缓冲器或处理器中，或其任何组合。在一方面中，模块202到208中的一或多者可被实施为执行于移动装置102的一或多个处理器上的软件指令。

行为观测器模块202可经配置以检测或协调在移动装置的各种级别/模块处的应用程序编程接口(API)，且经由经检测API而监视/观测在各种级别/模块处的移动装置操作及事件(例如，系统事件、状态改变等等)、收集关于经观测操作/事件的信息、智能地筛选经收集信息、基于经筛选信息而产生一或多个观测，且将经产生观测存储在存储器中(例如，日志文件、高速缓冲存储器等等中)，及/或将经产生观测发送(例如，经由存储器写入、函数调用等等)到行为矢量高速缓冲存储器模块203或行为分析器模块204。

在一方面中，行为观测器模块202可经配置以基于经观测移动装置行为而产生行为签名，且将所述签名存储在行为矢量高速缓冲存储器中(例如，经由行为矢量高速缓冲存储器模块203)。在一方面中，行为观测器模块202可经配置以将经收集行为信息传达(例如，经由存储器写入操作、函数调用等等)到行为矢量高速缓冲存储器模块203，行为矢量高速缓冲存储器模块203可从经接收行为信息产生行为签名，且确定经产生行为签名是否匹配于或对应于存储在行为矢量高速缓冲存储器/存储器中的行为矢量。经产生行为签名可以值或矢量数据结构(例如，以一串数字等等的形式)来简洁地描述移动装置、软件应用程序或进程的经观测行为，及/或用作使移动装置102能够快速地确定经观测行为是良性、可疑、恶意还是使性能降级的标识符。

行为观测器模块202可通过收集关于应用程序框架或运行时间库中的库应用程序编程接口(API)调用、系统调用API、文件系统及网络连接子系统操作、装置(包含传感器装置)状态改变及其它相似事件的信息来监视/观测移动装置操作及事件。行为观测器模块202还可监视文件系统活动，其可包含搜索文件名、文件存取类别(个人信息或正常数据文件)、创建或删除文件(例如，类型exe、zip等等)、文件读取/写入/寻道操作、改变文件权限等等。

行为观测器模块202还可监视数据网络活动，其可包含连接的类型、协议、端口号、装置被连接到的服务器/客户端、连接的数目、通信的容量或频率等等。行为观测器模块202可监视电话网络活动，其可包含监视所发出、接收或拦截的呼叫或消息(例如，SMS等等)的类型及数目(例如，所拨获奖呼叫的数目)。

行为观测器模块202还可监视系统资源使用情况，其可包含监视分叉的数目、存储器存取操作、打开文件的数目等等。行为观测器模块202可监视移动装置的状态，其可包含监视各种因素，诸如，显示器接通还是关闭、装置被锁定还是解锁、电池剩余的电量、相机的状态等等。行为观测器模块202还可通过(例如)监视对关键服务(浏览器、合同提供者等等)的意图、进程间通信的程度、弹出窗口等等来监视进程间通信(IPC)。

行为观测器模块202还可监视驱动器统计及/或一或多个硬件组件的状态，所述硬件组件可包含相机、传感器、电子显示器、WiFi通信组件、数据控制器、存储器控制器、系统控制器、存取端口、计时器、外围装置、无线通信组件、外部存储器芯片、电压调节器、振荡器、锁相环路、外围桥，及用以支持运行于移动计算装置上的处理器及客户端的其它相似组件。

行为观测器模块202还可监视表示移动计算装置及/或移动装置子系统的状态的一或多个硬件计数器。硬件计数器可包含处理器/核心的专用寄存器，其经配置以存储移动计算装置中发生的硬件相关活动或事件的计数或状态。

为了将经监视因素的数目缩减到可管理水平，在一方面中，行为观测器模块202可通过监视/观测初始行为或因素集合来执行粗略观测，初始行为或因素集合为可促成移动装置的降级的所有因素的小子集。在一方面中，行为观测器模块202可从网络服务器116及/或云服务提供者网络118中的组件接收初始行为及/或因素集合。在一方面中，初始行为/因素集合可被指定在从网络服务器116或云服务提供者网络118接收的数据/行为模型中。

行为分析器模块204可经配置以从行为矢量高速缓冲存储器模块203接收观测，或向行为矢量高速缓冲存储器请求观测。行为分析器模块204还可经配置以从第三方网络服务器116及/或云服务或网络118中的组件接收观测、行为签名、行为矢量、模型及/或额外信息。行为分析器模块204可比较经接收信息(例如，签名)与存储在行为矢量高速缓冲存储器中的信息，以鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的子系统、进程及/或应用程序。

在各种方面中，移动装置102可经配置以从其它移动装置102接收行为签名，所述行为签名可包含在以下各者中或经由以下各者而存取：本地网络、WiFi直通、对等式连接、企业局域网、安全临时网络(例如，军用部署)，或公共较高层结构(例如，经由虚拟专用网络而连接的企业)共享。如此，移动装置102可受益于同一网络中的其它移动装置102的习得知识。

在一方面中，移动装置102可经配置以自动地定位同一邻近范围中的其它移动装置102且与其形成群。移动装置102可经进一步配置以自动地选择或推选群所有者(GO)，GO可负责产生、维护及传达广告日程安排，所述广告日程安排鉴别群中的每一移动装置102何时将广播或传输存储在其相应行为签名高速缓冲存储器中的行为签名或矢量。每一移动装置102可在经安排的时间广播其行为签名高速缓冲存储器的内容，且群中的剩余移动装置102可接收行为矢量及签名且用经接收行为矢量及签名来更新其行为签名高速缓冲存储器。如此，群中的所有移动装置102可受益于其它移动装置102中的每一者的习得知识。

在各种方面中，移动装置102可经配置以从网络服务器116或云服务提供者网络118接收行为签名，所述行为签名可包含在以下各者中或经由以下各者而存取：因特网110、本地网络(例如，WiFi直通、P2P等等)、企业局域网、安全临时网络(例如，军用部署)，或公共较高层结构(例如，经由VPN而连接的企业)的共享。网络服务器116可从许多移动装置102接收大量行为报告、矢量或签名，且分析、合并或以其它方式使此类群智信息变成可由所有移动装置使用或存取的可用信息(例如，行为模型、行为矢量、签名等等)。网络服务器116可将经产生模型、矢量及签名发送到移动装置102，移动装置102可接收及实施、应用或使用信息以鉴别良性、恶意或使性能降级的移动装置行为，而不消耗移动装置102的过量处理、存储器或能量资源。移动装置102可接着校正经鉴别恶意或使性能降级的移动装置行为，或防止其使所述移动装置的性能及功率利用水平降级。

在一方面中，行为分析器模块204可包含用于利用有限信息集合(即，粗略观测)以鉴别正促成(或很可能会促成)装置随着时间的降级或可以其它方式在装置上造成问题的行为、进程或程序的智能。举例来说，行为分析器模块204可经配置以分析从各种模块(例如，行为观测器模块202、外部上下文信息模块206等等)收集的信息(例如，呈观测的形式)、获悉移动装置的正常操作行为、基于比较的结果而产生一或多个行为矢量，且比较经产生行为矢量与其它行为模块以确定特定移动装置行为、软件应用程序或进程是使性能降级/恶意、良性还是可疑。

当行为分析器模块204确定行为、软件应用程序或进程恶意或使性能降级时，行为分析器模块204可通知致动器模块208，致动器模块208可执行各种动作或操作以校正被确定为恶意或使性能降级的移动装置行为，及/或执行操作以修复、修整、隔离或以其它方式修正经鉴别问题。在一方面中，行为分析器模块204还可将经产生行为矢量及/或签名存储在行为矢量高速缓冲存储器中(例如，经由行为矢量高速缓冲存储器模块203)，这种情形允许系统在下次观测到相同或相似行为、软件应用程序或进程时避开行为分析器模块204且直接地调用致动模块(其可立即响应于已知/经检测行为)的操作。如此，各种方面避免重新分析相同或相似移动装置行为，由此缩减分析器时延。

在一方面中，当行为分析器模块204确定行为、软件应用程序或进程可疑时，行为分析器模块204可通知行为观测器模块202。作为响应，行为观测器模块202可调整其观测的粒度(即，移动装置行为被观测的细节级别)，及/或改变基于从分析器模块204接收的信息(例如，实时分析操作的结果)而观测的行为、产生或收集新或额外行为信息，且将所述新/额外信息发送到行为分析器模块204以供进一步分析/分类。观测器模块202与行为分析器模块204之间的这些反馈通信使移动装置102能够递归地增加观测的粒度(即，作出较精细或较详细观测)，或改变在鉴别可疑或使性能降级移动装置行为的来源以前、在达到处理或电池消耗阈值以前或在移动装置处理器确定不能根据观测粒度之进一步增加而鉴别可疑或性能降级移动装置行为的来源以前所观测的特征/行为。

图3说明鉴别及响应于良性、可疑、恶意或使性能降级移动装置行为的方面移动装置方法300。在块302中，移动装置处理器可在一段时间中观测移动装置行为，且收集适合于用来鉴别与正常操作样式不一致的移动装置行为的行为信息。在块304中，移动装置处理器可从经收集行为信息产生行为签名。在块306到308中，移动装置处理器可确定经产生行为签名是否匹配于、大致匹配于或以其它方式对应于存储在行为矢量高速缓冲存储器/存储器中的行为矢量。在一方面中，可产生行为签名而以值或矢量数据结构(例如，以一串数字等等的形式)来简洁地描述移动装置、软件应用程序或进程的经观测行为。

如果移动装置处理器确定经产生行为签名匹配于或对应于存储在行为矢量高速缓冲存储器/存储器中的行为矢量(即，确定块308＝“是”)，那么在块310中，移动装置处理器可立即对从存储在高速缓冲存储器/存储器中的信息鉴别的已知/经检测行为做出响应。另一方面，如果移动装置处理器确定经产生行为签名不对应于存储在行为矢量高速缓冲存储器/存储器中的行为矢量(即，确定块308＝“否”)，那么在块312中，移动装置处理器可分析及/或分类经收集行为信息、产生行为矢量、基于行为矢量及从各种其它移动装置子系统收集的信息而产生空间及/或时间相关。在块314中，移动装置处理器可确定经观测移动装置行为是良性、可疑、恶意还是使性能降级。在块310中，移动装置处理器可对被确定为恶意或使性能降级的经观测移动装置行为做出响应。

在块316中，移动装置处理器可产生适合于用来快速地鉴别经观测且经分析行为的行为签名，且验证所述行为先前已被分析及分类而不要求移动装置执行任何额外、繁重或功率密集型分析或验证操作。在块318中，移动装置处理器可将经产生行为签名存储在高速缓冲存储器中。

图4说明根据一方面的经配置以执行动态及自适应观测的计算系统的行为观测器模块202中的实例逻辑组件及信息流。行为观测器模块202可包含自适应筛选器模块402、节流器模块404、观测器模式模块406、高级别行为检测模块408、行为矢量产生器410及安全缓冲器412。高级别行为检测模块408可包含空间相关模块414及时间相关模块416。

观测器模式模块406可从各种来源接收控制信息，所述来源可包含分析器单元(例如，上文参看图2所描述的分析器模块204)及/或应用程序API。观测器模式模块406可将关于各种观测器模式的控制信息发送到自适应筛选器模块402及高级别行为检测模块408。

自适应筛选器模块402可从多个来源接收数据/信息，且智能地筛选经接收信息以产生选自经接收信息的较小信息子集。这个筛选器可基于从分析器模块接收的信息或控制或经由API而通信的较高级别进程予以适配。可将经筛选信息发送到节流器模块404，节流器模块404可负责控制从筛选器流动的信息的量以确保高级别行为检测模块408不会变得被溢满或超载有请求或信息。

高级别行为检测模块408可从节流器模块404接收数据/信息、从观测器模式模块406接收控制信息且从移动装置的其它组件接收上下文信息。高级别行为检测模块408可使用经接收信息以执行空间及时间相关以检测或鉴别可造成装置在次最佳级别处执行的高级别行为。可将空间及时间相关的结果发送到行为矢量产生器410，其可接收相关信息且产生描述特定进程、应用程序或子系统的行为的行为矢量。在一方面中，行为矢量产生器410可产生行为矢量，使得特定进程、应用程序或子系统的每一高级别行为是所述行为矢量的元素。在一方面中，可将经产生行为矢量存储在安全缓冲器412。高级别行为检测的实例可包含检测特定事件的存在、另一事件的量或频率、多个事件之间的关系、事件发生的顺序、某些事件的发生之间的时间差等等。

在各种方面中，行为观测器模块202可执行自适应观测且控制观测粒度。即，行为观测器模块202可动态地鉴别待观测的相关行为，且动态地确定经鉴别行为将被观测的细节级别。如此，行为观测器模块202使系统能够在各种级别(例如，多个粗略及精细级别)处监视移动装置的行为。行为观测器模块202可使系统能够适应于正被观测的事项。行为观测器模块202可使系统能够基于所专注信息子集而动态地改变正被观测的因素/行为，所述子集是可从多种来源获得。

如上文所论述，行为观测器模块202可执行自适应观测技术且基于从多种来源接收的信息而控制观测粒度。举例来说，高级别行为检测模块408可从节流器模块404接收信息、从观测器模式模块406接收信息，且接收从移动装置的其它组件(例如，传感器)接收的上下文信息。作为一实例，执行时间相关的高级别行为检测模块408可能检测到相机已被使用且移动装置正试图将图片上传到服务器。高级别行为检测模块408还可执行空间相关以确定在移动装置被放入用户的皮套且附加到用户的皮带时所述装置上的应用程序是否拍摄图片。高级别行为检测模块408可确定这种经检测高级别行为(例如，在放入皮套时相机的使用情况)是否为可接受或常见的行为，这种情形是可通过比较移动装置的当前行为与过去行为及/或存取从多个装置收集的信息(例如，从群智服务器接收的信息)而实现。因为在放入皮套时拍摄图片且将图片上传到服务器为异常行为(如在被放入皮套的上下文中可从经观测正常行为所确定)，所以在这种情形中高级别行为检测模块408可将这种行为识别为潜在威胁行为且启动适当响应(例如，关闭相机、发告警声等等)。

在一方面中，行为观测器模块202可实施于多个部分中。

图5说明实施方面观测器守护程序的计算系统500中的逻辑组件及信息流。在图5所说明的实例中，计算系统500包含在用户空间中的行为检测器502模块、数据库引擎504模块及行为分析器模块204，以及在内核空间中的环形缓冲器514、筛选器规则516模块、节流规则518模块、安全缓冲器管理器520及安全缓冲器522。计算系统500可进一步包含观测器守护程序，观测器守护程序包含在用户空间中的行为检测器502及数据库引擎504，以及在内核空间中的安全缓冲器管理器520、规则管理器510及系统运行状况监视器508。计算系统500可进一步包含用于将存储在环形缓冲器514中的信息传达到行为检测器502模块的环形缓冲器API 506。

各种方面可提供对包涵webkit、SDK、NDK、内核、驱动器及硬件的移动装置的交叉层观测，以便表征系统行为。可实时地进行行为观测。

观测器模块可执行自适应观测技术且控制观测粒度。如上文所论述，存在可促成移动装置的降级的大量(即，数千个)因素，且可能不可行的是监视/观测可促成装置性能的降级的所有不同因素。为了克服这种情形，各种方面动态地鉴别待观测的相关行为，且动态地确定经鉴别行为将被观测的细节级别。

图6说明根据一方面的用于执行动态及自适应观测的实例方法600。在块602中，移动装置处理器可通过监视/观测可促成移动装置的降级的大量因素/行为的子集来执行粗略观测。在块603中，移动装置处理器可基于粗略观测而产生表征粗略观测及/或移动装置行为的行为矢量。在块604中，移动装置处理器可鉴别可潜在地促成移动装置的降级的与粗略观测相关联的子系统、进程及/或应用程序。这种情形是可(例如)通过比较从多个来源接收的信息与从移动装置的传感器接收的上下文信息而实现。在块606中，移动装置处理器可基于粗略观测而执行行为分析操作。在一方面中，作为块602到606的部分，移动装置处理器可执行上文参看图3所论述的操作中的一或多者。

在确定块608中，移动装置处理器可确定是否可基于行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定可基于行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“是”)时，在块618中，所述处理器可启动用以校正所述行为的进程且返回到块602以执行额外粗略观测。

当移动装置处理器确定不能基于行为分析的结果而鉴别及/或校正可疑行为或潜在问题(即，确定块608＝“否”)时，在确定块609中，移动装置处理器可确定是否存在问题的可能性。在一方面中，移动装置处理器可通过计算移动装置遭遇潜在问题及/或参与可疑行为的概率且确定经计算概率是否大于预定阈值而确定存在问题的可能性。当移动装置处理器确定经计算概率不大于预定阈值及/或不存在可疑行为或潜在问题存在及/或可被检测的可能性(即，确定块609＝“否”)时，所述处理器可返回到块602以执行额外粗略观测。

当移动装置处理器确定存在可疑行为或潜在问题存在及/或可被检测的可能性(即，确定块609＝“是”)时，在块610中，移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入记录/观测或最终记录。在块612中，移动装置处理器可对经鉴别子系统、进程或应用程序执行较深入及较详细观测。在块614中，移动装置处理器可基于较深入及较详细观测而执行进一步及/或较深入行为分析。在确定块608中，移动装置处理器可再次确定是否可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题。当移动装置处理器确定不能基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“否”)时，所述处理器可重复块610到614中的操作，直到细节级别足够精细以鉴别问题为止，或直到确定不能以额外细节鉴别所述问题或不存在问题为止。

当移动装置处理器确定可基于较深入行为分析的结果而鉴别及校正可疑行为或潜在问题(即，确定块608＝“是”)时，在块618中，移动装置处理器可执行操作以校正问题/行为，且所述处理器可返回到块602以执行额外操作。

在一方面中，作为方法600的块602到618的部分，移动装置处理器可执行系统行为的实时行为分析，以根据有限及粗略观测鉴别可疑行为、动态地确定待较详细地观测的行为，且动态地确定观测所需要的精确细节级别。这种情形使移动装置处理器能够有效地鉴别问题且防止发生问题，而无需在装置上使用大量处理器、存储器或电池资源。

各种方面可实施于多种移动计算装置上，图7中以智能电话的形式说明所述移动计算装置的实例。智能电话700可包含耦合到内部存储器702、显示器703及扬声器的处理器701。另外，智能电话700可包含用于发送及接收电磁辐射的天线704，天线704可连接到无线数据链路及/或蜂窝电话收发器705，其耦合到处理器701。智能电话700通常还包含用于接收用户输入的菜单选择按钮或摇臂开关706。

典型智能电话700还包含声音编码/解码(CODEC)电路712，声音CODEC电路712将从麦克风接收的声音数字化成适合于无线传输的数据包且解码经接收声音数据包以产生提供到扬声器以产生声音的模拟信号。同样地，处理器701、无线收发器705及CODEC 712中的一或多者可包含数字信号处理器(DSP)电路(未分离地图示)。

方面方法的部分可在客户端-服务器体系结构中实现，其中一些处理发生于服务器中，诸如，维护正常操作行为的数据库，所述数据库可由移动装置处理器在执行方面方法的同时存取。这些方面可实施于多种市售服务器装置中的任一者上，诸如，图8所说明的服务器800。此类服务器800通常包含耦合到易失性存储器802及大容量非易失性存储器(诸如，磁盘驱动器803)的处理器801。服务器800还可包含耦合到处理器801的软盘驱动器、压缩光盘(CD)或DVD光盘驱动器804。服务器800还可包含耦合到处理器801以用于与网络805(诸如，耦合到其它广播系统计算机及服务器的局域网)建立数据连接的网络存取端口806。

处理器701、801可为任何可编程微处理器、微计算机或多处理器芯片，其可由软件指令(应用程序)配置以执行多种功能，包含下文所描述的各种方面的功能。在一些移动装置中，可提供多个处理器701，诸如，专用于无线通信功能的一个处理器，及专用于运行其它应用程序的一或多个处理器。通常，软件应用程序可在被存取及加载到处理器701、801中之前存储在内部存储器702、802、803中。处理器701、801可包含足以存储应用程序软件指令的内部存储器。

前述方法描述及进程流程图是仅仅作为说明性实例被提供且不意欲要求或暗示必须以所呈现顺序执行各种方面的步骤。所属领域的技术人员应了解，可以任何顺序执行前述方面中的步骤顺序。诸如“此后”、“接着”、“紧接着”等等的词语不意欲限制步骤顺序；这些词语仅仅用以指导读者阅读所述方法的描述。另外，对呈单数形式的权利要求书元件的任何参考(例如，使用数词“一”或“所述”)不应被解释为将元件限于单数形式。

结合本文所揭露的方面而描述的各种说明性逻辑块、模块、电路及算法步骤可被实施为电子硬件、计算机软件或这两者的组合。为了清楚地说明硬件与软件的这种可互换性，上文已大体上在功能性方面描述各种说明性组件、块、模块、电路及步骤。此类功能性被实施为硬件还是软件取决于特定应用及强加于整个系统上的设计约束。所属领域的技术人员可针对每一特定应用而以变化方式实施所描述功能性，但不应将这些实施决策解释为导致脱离本发明的范围。

许多移动计算装置操作系统内核经组织成用户空间(其中运行无特权代码)及内核空间(其中运行有特权代码)。这种分离在及其它通用公共许可证(GPL)环境中特别重要，在所述环境中，为内核空间的部分的代码必须具有GPL许可证，而运行于用户空间中的代码可不具有GPL许可证。应理解，除非另有明确叙述，否则此处所论述的各种软件组件/模块可实施于内核空间或用户空间中。

可运用经设计成执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行用以实施结合本文所揭露的方面而描述的各种说明性逻辑、逻辑块、模块及电路的硬件。通用处理器可为多处理器，但在替代例中，所述处理器可为任何习知处理器、控制器、微控制器或状态机。处理器还可被实施为计算装置的组合，例如，DSP与多处理器的组合、多个多处理器、结合DSP核心的一或多个多处理器，或任何其它此类配置。替代地，一些步骤或方法可由特定于给定功能的电路系统执行。

在一或多个示范性方面中，所描述功能可实施于硬件、软件、固件或其任何组合中。如果实施于软件中，那么所述功能可作为一或多个指令或代码而存储在非暂时性计算机可读媒体或非暂时性处理器可读媒体上。本文所揭露的方法或算法的步骤可具体化在可驻留于非暂时性计算机可读或处理器可读存储媒体上的处理器可执行软件模块中。非暂时性计算机可读或处理器可读存储媒体可为可由计算机或处理器存取的任何存储媒体。作为实例而非限制，这些非暂时性计算机可读或处理器可读媒体可包含RAM、ROM、EEPROM、FLASH存储器、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置，或可用以存储呈指令或数据结构的形式的所要程序代码且可由计算机存取的任何其它媒体。如本文所使用，磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、软盘及蓝光光盘，其中磁盘通常以磁性方式重现数据，而光盘通过激光以光学方式重现数据。以上各者的组合也包含在非暂时性计算机可读及处理器可读媒体的范围内。另外，方法或算法的操作可作为代码及/或指令中的一者或其任何组合或集合而驻留于非暂时性处理器可读媒体及/或计算机可读媒体上，所述非暂时性处理器可读媒体及/或计算机可读媒体可并入到计算机程序产品中。

提供所揭露方面的前述描述以使任何所属领域的技术人员能够进行或使用本发明。对这些方面的各种修改对于所属领域的技术人员将易于显而易见，且可在不脱离本发明的精神或范围的情况下将本文所定义的一般原理应用于其它方面。因此，本发明不意欲限于本文所展示的方面，而应符合与所附权利要求书以及本文所揭露的原理及新颖特征相一致的最广范围。

Claims

1.一种改善移动装置上的性能的方法，其包括：

观测移动装置行为且基于经观测移动装置行为而产生行为签名；

确定所述经产生行为签名是否匹配于存储在所述移动装置的高速缓冲存储器中的行为签名；以及

响应于确定所述经产生行为签名匹配于存储在所述移动装置的所述高速缓冲存储器中的行为签名而采取校正性动作。

2.根据权利要求1所述的方法，其进一步包括：

从第二移动装置接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

3.根据权利要求1所述的方法，其进一步包括：

从网络服务器接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

4.根据权利要求1所述的方法，其进一步包括：

当确定所述经产生行为签名不匹配于存储在所述高速缓冲存储器中的行为签名时，确定所述经产生行为签名是否匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名；以及

响应于确定所述经产生行为签名匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名而采取校正性动作。

5.根据权利要求1所述的方法，其进一步包括：

通过如下操作而填充所述高速缓冲存储器：

在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为；

确定对应于所述经观测行为的行为签名是否存储在所述高速缓冲存储器中；

当确定对应于所述经观测行为的行为签名未存储在所述高速缓冲存储器中时，鉴别与不一致操作相关联的有限行为集合；

从关于所述有限行为集合的高级别应用程序、系统内核及驱动器中的一或多者接收行为输入；

接收关于所述移动装置的所述有限行为集合的上下文输入；

执行经接收行为输入及所述经接收上下文输入的时间及空间相关；

基于所述空间及时间相关的结果而产生行为矢量；

基于所述行为矢量而产生所述行为签名；以及

将所述经产生行为签名存储在所述高速缓冲存储器中。

6.一种移动装置，其包括：

收发器，其经配置以建立网络连接；

高速缓冲存储器；以及

处理器，其耦合到所述收发器及所述高速缓冲存储器，且经配置有处理器可执行指令以执行操作，所述操作包括：

确定所述经产生行为签名是否匹配于存储在所述高速缓冲存储器中的行为签名；以及

响应于确定所述经产生行为签名匹配于存储在所述高速缓冲存储器中的行为签名而采取校正性动作。

7.根据权利要求6所述的移动装置，其中所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括：

从第二移动装置接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

8.根据权利要求6所述的移动装置，其中所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括：

从网络服务器接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

9.根据权利要求6所述的移动装置，其中所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括：

当确定所述经产生行为签名不匹配于存储在所述高速缓冲存储器中的行为签名时，经由网络连接而将消息传输到服务器以确定所述经产生行为签名是否匹配于存储在服务的服务器存储器中的行为签名；以及

10.根据权利要求6所述的移动装置，其中所述处理器经配置有处理器可执行指令以执行操作，所述操作进一步包括：

通过如下操作而填充所述高速缓冲存储器：

接收关于所述移动装置的所述有限行为集合的上下文输入；

执行所述经接收行为输入及所述经接收上下文输入的时间及空间相关；

基于所述空间及时间相关的结果而产生行为矢量；

基于所述行为矢量而产生所述行为签名；以及

将所述经产生行为签名存储在所述高速缓冲存储器中。

11.一种移动装置，其包括：

用于观测移动装置行为且基于经观测移动装置行为而产生行为签名的装置；

用于确定所述经产生行为签名是否匹配于存储在所述移动装置的高速缓冲存储器中的行为签名的装置；以及

用于响应于确定所述经产生行为签名匹配于存储在所述移动装置的高速缓冲存储器中的行为签名而采取校正性动作的装置。

12.根据权利要求11所述的移动装置，其进一步包括：

用于从第二移动装置接收行为签名的装置；以及

用于将所述经接收行为签名存储在所述高速缓冲存储器中的装置。

13.根据权利要求11所述的移动装置，其进一步包括：

用于从网络服务器接收行为签名的装置；以及

14.根据权利要求11所述的移动装置，其进一步包括：

用于当确定所述经产生行为签名不匹配于存储在所述高速缓冲存储器中的行为签名时经由网络连接而将消息传输到服务器以确定所述经产生行为签名是否匹配于存储在服务的服务器存储器中的行为签名的装置；以及

用于响应于确定所述经产生行为签名匹配于存储在经由网络连接可存取的服务的服务器存储器中的行为签名而采取校正性动作的装置。

15.根据权利要求11所述的移动装置，其进一步包括：

用于填充所述高速缓冲存储器的装置，其包括：

用于在一段时间中观测移动装置行为以识别与正常操作样式不一致的移动装置行为的装置；

用于确定对应于所述经观测行为的行为签名是否存储在所述高速缓冲存储器中的装置；

用于当确定对应于所述经观测行为的行为签名未存储在所述高速缓冲存储器中时鉴别与不一致操作相关联的有限行为集合的装置；

用于从关于所述有限行为集合的高级别应用程序、系统内核及驱动器中的一或多者接收行为输入的装置；

用于接收关于所述移动装置的所述有限行为集合的上下文输入的装置；

用于执行所述经接收行为输入及所述经接收上下文输入的时间及空间相关的装置；

用于基于所述空间及时间相关的结果而产生行为矢量的装置；

用于基于所述行为矢量而产生所述行为签名的装置；以及

用于将所述经产生行为签名存储在所述高速缓冲存储器中的装置。

16.一种非暂时性处理器可读存储媒体，其上存储有处理器可执行指令，所述处理器可执行指令经配置以使处理器执行操作，所述操作包括：

确定所述经产生行为签名是否匹配于存储在移动装置的高速缓冲存储器中的行为签名；以及

17.根据权利要求16所述的非暂时性处理器可读存储媒体，其中所述经存储处理器可执行指令经配置以使处理器执行操作，所述操作进一步包括：

从第二移动装置接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

18.根据权利要求16所述的非暂时性处理器可读存储媒体，其中所述经存储处理器可执行指令经配置以使处理器执行操作，所述操作进一步包括：

从网络服务器接收行为签名；以及

将所述经接收行为签名存储在所述高速缓冲存储器中。

19.根据权利要求16所述的非暂时性处理器可读存储媒体，其中所述经存储处理器可执行指令经配置以使处理器执行操作，所述操作进一步包括：

20.根据权利要求16所述的非暂时性处理器可读存储媒体，其中所述经存储处理器可执行指令经配置以使处理器执行操作，所述操作进一步包括：

通过如下操作而填充所述高速缓冲存储器：

接收关于所述移动装置的所述有限行为集合的上下文输入；

基于所述空间及时间相关的结果而产生行为矢量；

基于所述行为矢量而产生所述行为签名；以及

将所述经产生行为签名存储在所述高速缓冲存储器中。