用于移动站中的恶意活动检测的方法 |
|||||||
| 申请号 | CN201380018927.1 | 申请日 | 2013-04-08 | 公开(公告)号 | CN104221026A | 公开(公告)日 | 2014-12-17 |
| 申请人 | 高通股份有限公司; | 发明人 | 拉贾什·古普塔; 萨乌米特拉·莫汉·达斯; | ||||
| 摘要 | 本 发明 揭示一种用于特定模型的移动站中的恶意活动检测的方法。在所述方法中,从基于网络的恶意行为性能分析系统接收通用恶意行为模式。在所述移动站中基于所述通用恶意行为模式产生移动站模型特定行为分析 算法 。可观测移动站操作以产生移动站活动观测。可使用所述移动站模型特定行为分析算法分析所述移动站活动观测以产生活动分析。可基于所述活动分析检测恶意活动。 | ||||||
| 权利要求 | 1.一种用于特定模型的移动站中的恶意活动检测的方法,其包括: |
||||||
| 说明书全文 | 用于移动站中的恶意活动检测的方法[0001] 对相关申请案的交叉参考 [0002] 本申请案主张2012年4月10日申请的第61/622,463号美国临时申请案的权利,所述申请案以引用的方式并入本文中。 技术领域[0003] 本发明一般来说涉及检测移动站中的恶意活动。 背景技术[0004] 例如蜂窝式电话等移动站上的恶意软件的检测受装置的有限资源(电力、存储器、带宽等)约束。因此,移动装置上的PC样式签名匹配并非用于恶意软件检测及去除的有效解决方案。对于装置上的瘦客户端,替代方案是产生所安装应用程序的签名/哈希表,及将所述签名转发到基于网络的服务器以用于进行签名匹配。然而,基于网络的签名匹配一般未能进行保护从而免受“零日”攻击,或免受网络应用程序或基于网络的恶意软件。 [0005] 因此,需要一种用于以有效方式检测移动站中的恶意活动的技术。 发明内容[0006] 本发明的一方面可在于一种用于特定模型的移动站中的恶意活动检测的方法。在所述方法中,使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析。所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生。基于所述活动分析检测恶意活动。 [0007] 在本发明的更详细方面中,可观测移动站操作以产生所述移动站活动观测。所述通用恶意行为模式可能并非所述移动站的所述特定模型所特定的。而且,所述移动站操作可包含Webkit、高级操作系统(HLOS)、内核、驱动程序和/或硬件的活动。 [0008] 本发明的另一方面可在于一种移动站,所述移动站包括:用于使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析的装置,其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生;及用于基于所述活动分析检测恶意活动的装置。 [0009] 在本发明的更详细方面中,所述移动站可进一步包括用于观测移动站操作以产生所述移动站活动观测的装置。 [0010] 本发明的另一方面可在于一种移动站,所述移动站包括处理器,所述处理器经配置以:使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析,其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生;及基于所述活动分析检测恶意活动。 [0011] 在本发明的更详细方面中,所述处理器可经进一步配置以观测移动站操作以产生所述移动站活动观测。 [0012] 本发明的另一方面可在于一种计算机程序产品,所述计算机程序产品包括计算机可读媒体,所述计算机可读媒体包括:用于致使计算机使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析的代码,其中所述移动站模型特定行为分析算法是基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式;用于致使计算机基于所述活动分析检测恶意活动的代码。 [0013] 在本发明的更详细方面中,所述计算机可读媒体可进一步包括用于致使计算机观测移动站操作以产生所述移动站活动观测的代码。 [0014] 本发明的一方面可在于用于特定模型的移动站中的恶意活动检测的另一种方法。在所述方法中,从基于网络的恶意行为性能分析系统接收通用恶意行为模式。由所述移动站基于所述通用恶意行为模式产生移动站模型特定行为分析算法。 [0015] 在本发明的更详细方面中,可观测移动站操作以产生活动观测。可使用所述移动站模型特定行为分析算法分析所述活动观测以产生活动分析。可基于所述活动分析检测恶意活动。 [0016] 本发明的另一方面可在于一种移动站,所述移动站包括:用于从基于网络的恶意行为性能分析系统接收通用恶意行为模式的装置;及用于基于所述通用恶意行为模式产生移动站模型特定行为分析算法的装置。 [0017] 本发明的另一方面可在于一种移动站,所述移动站包括处理器,所述处理器经配置以:从基于网络的恶意行为性能分析系统接收通用恶意行为模式;及基于所述通用恶意行为模式产生移动站模型特定行为分析算法。 [0018] 本发明的另一方面可在于一种计算机程序产品,所述计算机程序产品包括计算机可读媒体,所述计算机可读媒体包括:用于致使计算机从基于网络的恶意行为性能分析系统接收通用恶意行为模式的代码;及用于致使计算机基于所述通用恶意行为模式产生移动站模型特定行为分析算法的代码。附图说明 [0019] 图1为无线通信系统的实例的框图。 [0020] 图2为用于结合从基于网络的服务器接收的通用恶意行为模式检测恶意活动的移动站的实例的框图。 [0021] 图3为根据本发明的用于检测移动站中的恶意活动的方法的流程图。 [0022] 图4为根据本发明的用于检测移动站中的恶意活动的另一方法的流程图。 [0023] 图5为包含处理器和存储器的计算机的框图。 [0024] 图6为移动站模型特定特征的表格。 具体实施方式[0025] 词语“示范性”在本文中用于意指“充当实例、例子或说明”。本文中描述为“示范性的”任何实施例不必被解释为比其它实施例优选或有利。 [0026] 参看图2和3,本发明的一方面可在于一种用于特定模型的移动站102中的恶意活动检测的方法300。在所述方法中,观测移动站操作以产生移动站活动观测(步骤310)。使用移动站模型特定行为分析算法210分析移动站活动观测以产生活动分析(步骤320)。所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统220接收的通用恶意行为模式而产生。基于所述活动分析检测恶意活动(步骤330)。 [0027] 在本发明的更详细方面中,通用恶意行为模式可能并非移动站102的特定模型所特定的。而且,移动站操作可包含Webkit、高级操作系统(HLOS)、软件开发工具包(SDK)、原生码开发工具包(NDK)、内核、驱动程序和/或硬件的活动。 [0028] 额外参看图5,本发明的另一方面可在于一种移动站102,所述移动站包括:用于观测移动站操作以产生移动站活动观测的装置510;用于使用移动站模型特定行为分析算法210分析移动站活动观测以产生活动分析的装置510,其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统220接收的通用恶意行为模式而产生;及用于基于所述活动分析检测恶意活动的装置510。 [0029] 本发明的另一方面可在于一种移动站102,所述移动站包括处理器510,所述处理器经配置以:观测移动站操作以产生移动站活动观测;使用移动站模型特定行为分析算法210分析移动站活动观测以产生活动分析,其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统220接收的通用恶意行为模式而产生;及基于所述活动分析检测恶意活动。 [0030] 本发明的另一方面可在于一种计算机程序产品,所述计算机程序产品包括计算机可读媒体520,所述计算机可读媒体包括:用于致使计算机500观测移动站操作以产生移动站活动观测的代码;用于致使计算机500使用移动站模型特定行为分析算法210分析移动站活动观测以产生活动分析的代码,其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统220接收的通用恶意行为模式而产生;用于致使计算机500基于所述活动分析检测恶意活动的代码。 [0031] 进一步参看图4,本发明的一方面可在于用于特定模型的移动站中的恶意活动检测的另一种方法400。在所述方法中,从基于网络的恶意行为性能分析系统220接收通用恶意行为模式(步骤410)。在所述移动站中基于所述通用恶意行为模式产生移动站模型特定行为分析算法210(步骤420)。 [0032] 在本发明的更详细方面中,可观测移动站操作以产生活动观测(步骤430)。可使用移动站模型特定行为分析算法210分析所述活动观测以产生活动分析(步骤440)。可基于活动分析检测恶意活动(步骤450)。 [0033] 本发明的另一方面可在于一种移动站102,所述移动站包括:用于从基于网络的恶意行为性能分析系统220接收通用恶意行为模式的装置510;及用于基于所述通用恶意行为模式产生移动站模型特定行为分析算法210的装置510。 [0034] 本发明的另一方面可在于一种移动站102,所述移动站包括处理器510,所述处理器经配置以:从基于网络的恶意行为性能分析系统220接收通用恶意行为模式;及基于所述通用恶意行为模式产生移动站模型特定行为分析算法210。 [0035] 本发明的另一方面可在于一种计算机程序产品,所述计算机程序产品包括计算机可读媒体520,所述计算机可读媒体包括:用于致使计算机500从基于网络的恶意行为性能分析系统220接收通用恶意行为模式的代码;及用于致使计算机500基于所述通用恶意行为模式产生移动站模型特定行为分析算法210的代码。 [0037] 所述技术使用分裂客户端-服务器架构且具有允许安全专家定义及映射恶意软件行为的益处。安全伙伴联盟可集中于恶意行为定义且以移动站模型及移动站102(例如,电话或装置)上的可用硬件和传感器所不知道的方式提供通用恶意行为模式。高级行为模式(例如,呈XML查询的形式)到模型特定行为分析算法210的转译允许存取低级驱动程序/硬件、通过分析器230与观测器240的动态交互进行的有效率查询,及硬件、传感器和驱动程序中的用以实现有效率存取的拦截。瘦客户端250跨越例如因特网260等网络与安全伙伴联盟服务器220连接,接收通用恶意行为模式以用于导出电话特定算法210,及与高级操作系统(HLOS)270连接。 [0040] 安全信息可包括并非移动站102的特定模型所特定的通用恶意行为模式,且可将安全信息从安全伙伴联盟瘦客户端250传送到安全系统200。另外,安全信息可包括行为日志,且将安全信息从安全系统传送到安全伙伴联盟瘦客户端。 [0041] 安全API的使用允许伙伴联盟安全公司在移动站和装置上提供最好的安全,而不必集中于模型特定的细节。安全伙伴联盟(例如,抗病毒公司)处的安全专家可定义行为到恶意软件的映射。安全伙伴联盟可集中于恶意行为定义。可以高级语言(例如,XML)来进行恶意行为定义,且可保持其为电话模型、电话上的可用传感器等所不知道的。移动站102的安全系统200可将高级行为定义转译成电话/移动站模型特定算法。此情形可利用移动装置对低级驱动程序和硬件的存取来查询,且利用进入硬件、传感器和驱动程序中的拦截来实现有效率存取。 [0042] 作为一实例,通用恶意行为模式可包含关于移动电话或移动站102的运动状态的向量。可使用加速度计、陀螺仪或来自这些传感器的信息/信号的组合来检测移动站的运动状态。因此,运动状态向量可包含关于加速度计和陀螺仪的行为模式信息。 [0043] 如图6中的表格中所展示,移动站(MS)模型A包含加速度计和陀螺仪两者。因此,用于MS模型A的移动站模型特定行为分析算法可包含关于加速度计和陀螺仪的信息。然而,MS模型B仅包含加速度计,且MS模型C仅包含陀螺仪。因此,用于MS模型B的移动站模型特定行为分析算法可仅包含关于加速度计的信息,而用于MS模型C的移动站模型特定行为分析算法可仅包含关于陀螺仪的信息。类似地,可基于特定MS模型的特征和功能定制其它MS状态。 [0044] 移动站中的安全系统200可通过有效率查询机构及通过分析器与观测器的动态交互动态地决定观察哪些内容,及以哪种等级的细节来观察。可将查询分裂成人类形式和机器特定形式。移动站上的分析器230可基于有限/不完全信息确定可疑行为。用于特性化应用程序的行为以将应用程序分类为良性或恶意软件的技术更详细地描述于第--号美国专利申请公开案(2012年3月19日申请的第13/424,251号申请案)中,所述申请案以引用的方式并入本文中。 [0045] 参看图1,无线远程站(RS)102(例如,移动站MS)可与无线通信系统100的一或多个基站(BS)104或通过H(e)NB通信。无线通信系统100可进一步包含一或多个基站控制器(BSC)106,和核心网络108。核心网络可以通过合适的回程连接到因特网110以及公共交换电话网络(PSTN)112。典型的无线移动站可以包含手持式电话或膝上型计算机。无线通信系统100可以使用数个多址接入技术中的任一者或所属领域中已知的其它调制技术,所述多址接入技术例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空间分多址(SDMA)、极化分多址(PDMA)。 [0046] 所属领域的技术人员将理解,可使用多种不同技术和技艺中的任一者来表示信息和信号。举例来说,可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在以上描述中始终参考的数据、指令、命令、信息、信号、位、符号及码片。 [0047] 所属领域的技术人员将进一步了解,可将结合本文中所揭示的实施例而描述的各种说明性逻辑区块、模块、电路和算法步骤实施为电子硬件、计算机软件或两者的组合。为清楚说明硬件与软件的此互换性,上文已大致关于其功能性而描述了各种说明性组件、块、模块、电路及步骤。所述功能性是实施为硬件还是软件取决于特定应用及施加于整个系统的设计约束。所属领域的技术人员可针对每一特定应用以变化的方式来实施所描述的功能性,但此类实施方案决策不应被解释为会导致脱离本发明的范围。 [0048] 可使用经设计以执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或其任何组合来实施或执行结合本文中所揭示的实施例而描述的各种说明性逻辑区块、模块和电路。通用处理器可为微处理器,但在替代方案中,处理器可为任何常规的处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合,例如,DSP与微处理器的组合、多个微处理器的组合、一或多个微处理器与DSP核心的联合,或任何其它此配置。 [0049] 可直接以硬件、以由处理器执行的软件模块或以上述两者的组合来体现结合本文所揭示的实施例而描述的方法或算法的步骤。软件模块可驻留于RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可卸除式磁盘、CD-ROM,或所属领域中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器,以使得处理器可从存储媒体读取信息及将信息写入到存储媒体。在替代方案中,存储媒体可与处理器成一体式。处理器及存储媒体可驻留于ASIC中。ASIC可驻留于使用者终端中。在替代方案中,处理器及存储媒体可作为离散组件驻留于用户终端中。 [0050] 在一或多个示范性实施例中,所描述的功能可在硬件、软件、固件或其任何组合中实施。如果以软件实施为计算机程序产品,那么可将功能作为一或多个指令或代码存储于计算机可读媒体上或经由计算机可读媒体予以传输。计算机可读媒体包含非暂时性计算机可读存储媒体与通信媒体两者,通信媒体包含促进将计算机程序从一处传送到另一处的任何媒体。存储媒体可为可由计算机存取的任何可用媒体。以实例说明且非限制,此类计算机可读媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁性存储装置,或可用于载送或存储呈指令或数据结构的形式的所要程序代码且可由计算机存取的任何其它媒体。而且,可恰当地将任何连接称作计算机可读媒体。举例来说,如果使用同轴电缆、光缆、双绞线、数字订户线(DSL)或例如红外线、无线电及微波等无线技术从网站、服务器或其它远程源传输软件,那么同轴电缆、光缆、双绞线、DSL或例如红外线、无线电及微波等无线技术包含于媒体的定义中。如本文中所使用,磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字影音光盘(DVD)、软磁盘及蓝光光盘,其中磁盘通常磁性地复制数据,而光盘使用激光光学地复制数据。上述各者的组合也应包含在计算机可读媒体的范围内。 [0051] 提供所揭示实施例的先前描述以使得任何所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将容易显而易见对这些实施例的各种修改,且在不脱离本发明的精神或范围的情况下,本文所界定的一般原理可应用于其它实施例。因此,本发明并不希望限于本文中所展示的实施例,而应符合与本文中所揭示的原理及新颖特征一致的最广范围。 |
||||||
