具有多个分析仪模型提供商的移动设备中的在线行为分析引擎的制作方法
【专利说明】具有多个分析仪模型提供商的移动设备中的在线行为分析 引擎
[0001] 相关申请
[0002] 本申请要求于2013年2月15日递交的、名称为"On-LineBehavioralAnalysis EngineinMobileDevicewithMultipleAnalyzerModelProviders" 的美国临时专利 申请No. 61/765, 461的优先权的权益,针对所有的目的通过引用方式将其整体内容并入本 文。
【背景技术】
[0003] 在过去的若干年里,蜂窝和无线通信技术已爆炸性地增长。更好的通信、硬件、更 大的网络和更可靠的协议加剧了这种增长。无线服务提供商现在能够给他们的客户提供不 断扩大的大量特征和服务,并且为用户提供前所未有的对信息、资源和通信的访问级别。为 了与这些服务增强保持同步,移动电子设备(例如,蜂窝电话、平板、膝上型计算机等)比以 往任何时候都变得更加强大和复杂。这种复杂性已经为恶意软件、软件冲突、硬件故障和其 它类似的错误或现象创造了负面地影响移动设备的长期的与持久的性能以及功率使用级 别的新机会。因此,识别并校正可能负面地影响移动设备的长期的与持久的性能和功率使 用级别的情况和/或移动设备行为,对于用户来说是受益的。
【发明内容】
[0004] 各个方面包括在移动设备中监视移动设备行为的方法,所述方法可以包括从应用 下载服务接收行为模型,所述行为模型识别与使得移动设备处理器能够更好地确定移动设 备行为是良性的还是恶意的最相关的因素和数据点;结合被安装在移动设备中的现有的行 为分析仪引擎来将所接收的行为模型安装到移动设备中;以及使用所安装的行为模型来监 视一个或多个移动设备行为。
[0005] 在一个方面,接收行为模型可以包括接收软件应用,所述软件应用识别与使得移 动设备处理器能够更好地确定移动设备行为是良性的还是恶意的最相关的因素和数据点。 在又一方面,接收行为模型可以包括接收XML、JS0N、YAML、HTML/XHTML或其它标记语言文 件,所述XML、JS0N、YAML、HTML/XHTML或其它标记语言文件识别与使得移动设备处理器能 够更好地确定移动设备行为是良性的还是恶意的最相关的因素和数据点。在又一方面,接 收行为模型可以包括接收有限状态机表示,所述有限状态机表示可以包括特征至行为类别 的映射。
[0006] 在又一方面,该方法可以包括用所接收的行为模型替代现有的行为模型。在一个 方面,该方法还可以包括将所接收的行为模型链接到现有的行为分析仪引擎,以便当现有 的行为分析仪引擎执行分析操作时,现有的行为分析仪引擎使用所接收的行为模型来这样 做。
[0007] 在又一方面,该方法可以包括通过利用包括在所接收的行为模型中的信息来对现 有的行为模型进行扩展来更新现有的行为模型;和/或将更新的行为模型链接到现有的行 为分析仪引擎,以便当执行分析操作时,现有的行为分析仪引擎使用更新的行为模型来这 样做。
[0008] 在又一方面,该方法可以包括从多个公用的网络接收多个行为模型;以及利用包 括在所接收的多个行为模型中的一个或多个行为模型中的信息来更新至少一个现有的行 为模型。
[0009] 在又一方面,从应用下载服务接收行为模型可以包括从云服务网络服务器、应用 商店服务器、经由统一资源定位符地址所识别的网络服务器、以及文件传送协议服务网络 服务器中的一个来接收行为模型。
[0010] 在又一方面,从应用下载服务接收行为模型可以包括由移动设备处理器访问并认 证在线应用商店;从在线应用商店下载可用于下载或更新的行为模型的菜单;在移动设备 处理器中接收用户选择输入;从在线应用商店请求对用户选择的行为模型的下载或更新; 以及在移动设备的下载缓冲区中接收所请求的、用户选择的行为模型。
[0011] 在又一方面,结合被安装到移动设备中的现有的行为分析仪引擎来将所接收的行 为模型安装到移动设备中可以包括验证所接收的行为模型;将所验证的行为模型安装到移 动设备的存储器中;以及向移动设备的观测器模块和/或分析仪模块登记所安装的行为模 型。
[0012] 在又一方面,使用所安装的行为模型来监视一个或多个移动设备行为可以包括在 一段时间内观测移动设备行为;基于在一段时间内对移动设备行为的观测,识别与正常的 移动设备操作不一致的移动设备行为;基于被识别为与正常的移动设备操作不一致的移动 设备行为来生成行为矢量;以及将所生成的行为矢量与所安装的行为模型进行比较,以确 定所识别的移动设备行为是良性的、可疑的还是恶意的。在又一方面,该方法可以包括接收 新的行为模型,所述新的行为模型将额外的因素和数据点识别为与使得移动设备处理器能 够更好地确定移动设备行为是良性的还是恶意的有关;响应于确定所识别的移动设备行为 是可疑的,利用包括在新的行为模型中的信息来更新所安装的行为模型;以及将所生成的 行为矢量与所更新的行为模型进行比较,以更好地确定所识别的可疑的移动设备行为是良 性的还是恶意的。
[0013] 又一方面包括具有移动设备处理器的计算设备;用于从应用下载服务接收行为模 型的单元,所述行为模型识别与使得移动设备处理器能够更好地确定移动设备行为是良性 的还是恶意的最相关的因素和数据点;用于结合现有的行为分析仪引擎来安装所接收的行 为模型的单元;以及用于使用所安装的行为模型来监视一个或多个移动设备行为的单元。
[0014] 在一个方面,用于接收行为模型的单元可以包括用于接收软件应用的单元,所述 软件应用识别与使得移动设备处理器能够更好地确定移动设备行为是良性的还是恶意的 最相关的因素和数据点。在又一方面,用于接收行为模型的单元可以包括用于接收XML文 件的单元,所述XML文件识别与使得移动设备处理器能够更好地确定移动设备行为是良性 的还是恶意的最相关的因素和数据点。在又一方面,用于接收行为模型的单元可以包括用 于接收有限状态机表示的单元,所述有限状态机表示可以包括特征至行为类别的映射。
[0015] 在又一方面,计算设备可以包括用于用所接收的行为模型来替代现有的行为模型 的单元;以及用于将所接收的行为模型链接到现有的行为分析仪引擎,以便当现有的行为 分析仪引擎执行分析操作时,现有的行为分析仪引擎使用所接收的行为模型来这样做的单 JL〇
[0016] 在又一方面,计算设备可以包括用于利用包括在所接收的行为模型中的信息来更 新现有的行为模型的单元;以及用于将更新的行为模型链接到现有的行为分析仪引擎,以 便当现有的行为分析仪引擎执行分析操作时,现有的行为分析仪引擎使用更新的行为模型 来这样做的单元。
[0017] 在又一方面,计算设备可以包括用于从多个公用的网络接收多个行为模型的单 元;以及用于利用包括在所接收的多个行为模型中的一个或多个行为模型中的信息来更新 至少一个现有的行为模型的单元。
[0018] 在又一方面,用于从应用下载服务接收行为模型的单元可以包括用于从云服务网 络服务器、应用商店服务器、经由统一资源定位符地址所识别的网络服务器、以及文件传送 协议服务网络服务器中的一个来接收行为模型的单元。
[0019] 在又一方面,用于从应用下载服务接收行为模型可以包括用于由移动设备处理器 访问并认证在线应用商店的单元;用于从在线应用商店下载可用于下载或更新的行为模型 的菜单的单元;用于在移动设备处理器中接收用户选择输入的单元;用于从在线应用商店 请求对用户选择的行为模型的下载或更新的单元;以及用于在下载缓冲区中接收所请求 的、用户选择的行为模型的单元。
[0020] 在又一方面,用于结合现有的行为分析仪引擎来安装所接收的行为模型的单元可 以包括用于验证所接收的行为模型的单元;用于将所认证验证的行为模型安装到存储器中 的单元;以及用于向观测器模块登记所安装的行为模型的单元。
[0021] 在又一方面,用于使用所安装的行为模型来监视一个或多个移动设备行为的单元 可以包括用于在一段时间内观测移动设备行为的单元;用于基于在一段时间内对移动设备 行为的观测来识别与正常的移动设备操作不一致的移动设备行为的单元;用于基于被识别 为与正常的移动设备操作不一致的移动设备行为来生成行为矢量的单元;以及用于将所生 成的行为矢量与所安装的行为模型进行比较,以确定所识别的移动设备行为是良性的、可 疑的还是恶意的单元。在又一方面,计算设备可以包括用于接收新的行为模型的单元,所述 新的行为模型识别与使得移动设备处理器能够更好地确定移动设备行为是良性的还是恶 意的有关的额外的因素和数据点;用于响应于确定所识别的移动设备行为是可疑的,利用 包括在新的行为模型中的信息来更新所安装的行为模型的单元;以及用于将所生成的行为 矢量与所安装的行为模型进行比较,以确定所识别的移动设备行为是良性的、可疑的还是 恶意的单元。
[0022] 又一方面包括具有被配置有处理器可执行指令,以执行包括以下操作的处理器的 移动计算设备:从应用下载服务接收行为模型,所述行为模型识别与使得处理器能够更好 地确定移动设备行为是良性的还是恶意的最相关的因素和数据点;结合现有的行为分析仪 引擎来安装所接收的行为模型;以及使用所安装的行为模型来监视一个或多个移动设备行 为。
[0023] 在一个方面,处理器可以被配置有处理器可执行指令,以执行操作来使得接收行 为模型可以包括接收软件应用,所述软件应用识别与使得处理器能够更好地确定移动设备 行为是良性的还是恶意的最相关的因素和数据点。在又一方面,处理器可以被配置有处理 器可执行指令,以执行操作来使得接收行为模型可以包括接收XML文件,所述XML文件识别 与使得处理器能够更好地确定移动设备行为是良性的还是恶意的最相关的因素和数据点。 在又一方面,处理器可以被配置有处理器可执行指令,以执行操作来使得接收行为模型可 以包括接收有限状态机表示,所述有限状态机表示包括特征至行为类别的映射。
[0024] 在又一方面,处理器可以被配置有处理器可执行指令,以执行包括以下的操作:用 所接收的行为模型来替代现有的行为模型;以及将所接收的行为模型链接到现有的行为分 析仪引擎,以便当现有的行为分析仪引擎执行分析操作时,现有的行为分析仪引擎使用所 接收的行为模型来这样做。
[0025] 在又一方面,处理器可以被配置有处理器可执行指令,以执行包括以下的操作:利 用包括在所接收的行为模型中的信息来更新现有的行为模型;以及将所更新的行为模型链 接到现有的行为分析仪引擎,以便当现有的行为分析仪引擎执行分析操作时,现有的行为 分析仪引擎使用更新的行为模型来这样做。
[0026] 在又一方面,处理器可以被配置有处理器可执行指令,以执行包括以下的操作:从 多个公用的网络接收多个行为模型;以及利用包括在所接收的多个行为模型中的一个或多 个行为模型中的信息来更新至少一个现有的行为模型。
[0027] 在又一方面,处理器可以被配置有处理器可执行指令,以执行操作来使得从应用 下载服务接收行为模型可以包括从云服务网络服务器、应用商店服务器、经由统一资源定 位符地址所识别的网络服务器、以及文件传送协议服务网络服务器中的一个来接收行为模 型。
[0028] 在又一方面,处理器可以被配置有处理器可执行指令,以执行操作来使得从应用 下载服务接收行为模型可以包括访问并认证在线应用商店;从在线应用商店下载可用于下 载或更新的行为模型的菜单;接收用户选择输入;从在线应用商店请求对用户选择的行为 模型的下载或更新;以及在下载缓冲区中接收所请求的、用户选择的行为模型。
[0029] 在又一方面,处理器可以被配置有处理器可执行指令,以执行操作来使得结合现 有的行为分析仪引擎来安装所接收的行为模型可以包括验证所接收的行为模型;将所验证 的行为模型安装到存储器中;以及向观测器模块登记所安装的行为模型。
[0030] 在又一方面,处理器可以被配置有处理器可执行指令,以执行操作来使得使用所 安装的行为模型来监视一个或多个移动设备行为可以包括在一段时间内观测移动设备行 为;基于在一段时间内对移动设备行为的观测来识别与正常的移动设备操作不一致的移动 设备行为;基于被识别为与正常的移动设备操作不一致的移动设备行为来生成行为矢量; 以及将所生成的行为矢量与所安装的行为模型进行比较,以确定所识别的移动设备行为是 良性的、可疑的还是恶意的。在又一方面,处理器可以被配置有处理器可执行指令,以执行 包括以下的操作:接收新的行为模型,所述新的行为模型将额外的因素和数据点识别为与 使得处理器能够更好地确定移动设备行为是良性的还是恶意的有关;响应于确定所识别的 移动设备行为是可疑的,利用包括在新的行为模型中的信息来更新所安装的行为模型;以 及将所生成的行为矢量与更新的行为模型进行比较,以更好地确定所识别的可疑的移动设 备行为是良性的还是恶意的。
[0031] 又一方面包括具有存储于其上的处理器可执行软件指令的非暂时性计算机可读 存储介质,所述处理器可执行软件指令被配置为使移动设备处理器执行包括以下各项的操 作:从应用下载服务接收行为模型,所接收的行为模型识别与使得移动设备处理器能够更 好地确定移动设备行为是良性的还是恶意的最相关的因素和数据点;结合现有的行为分析 仪引擎来安装所接收的行为模型;以及使用所安装的行为模型来监视一个或多个移动设备 行为。
[0032] 在一个方面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执 行操作来使得接收行为模型可以包括接收软件应用,所述软件应用识别与使得移动设备处 理器能够更好地确定移动设备行为是良性的还是恶意的最相关的因素和数据点。在又一方 面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执行操作来使得接收 行为模型可以包括接收XML文件,所述XML文件识别与使得移动设备处理器能够更好地确 定移动设备行为是良性的还是恶意的最相关的因素和数据点。在又一方面,所存储的处理 器可执行软件指令可以被配置为使移动设备处理器执行操作来使得接收行为模型可以包 括接收有限状态机表示,所述有限状态机表示包括特征至行为类别的映射。
[0033] 在又一方面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执 行包括以下各项的操作:用所接收的行为模型来替代现有的行为模型;以及将所接收的行 为模型链接到现有的行为分析仪引擎,以便当现有的行为分析仪引擎执行分析操作时,现 有的行为分析仪引擎使用所接收的行为模型来这样做。在又一方面,所存储的处理器可执 行软件指令可以被配置为使移动设备处理器执行包括以下的操作:利用包括在所接收的行 为模型中的信息来更新现有的行为模型;以及将更新的行为模型链接到现有的行为分析仪 引擎,以便当现有的行为分析仪引擎执行分析操作时,现有的行为分析仪引擎使用更新的 行为模型来这样做。
[0034] 在又一方面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执 行包括以下各项的操作:从多个公用的网络接收多个行为模型;以及利用包括在所接收的 多个行为模型中的一个或多个行为模型中的信息来更新至少一个现有的行为模型。
[0035] 在又一方面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执 行操作,以使得从应用下载服务接收行为模型可以包括从云服务网络服务器、应用商店服 务器、经由统一资源定位符地址所识别的网络服务器、以及文件传送协议服务网络服务器 中的一个来接收行为模型。
[0036] 在又一方面,所存储的处理器可执行软件指令可以被配置为使移动设备处理器执 行操作,以使得从应用下载服务接收行为模型可以包括访问并认证在线应用商店;从在线 应用商店下载可用于下载或更新的行为模型的菜单;接收用户选择输入;从在线应用商店 请求对用户选择的行为模型的下载或更新;以及在下载缓冲区中接收所请求的、用户选择 的行为模型。
[0037] 在又一方面,所存储的处理器可执行软