[发明专利]用于移动站中的恶意活动检测的方法

说明书

对相关申请案的交叉参考

本申请案主张2012年4月10日申请的第61/622,463号美国临时申请案的权利，所述申请案以引用的方式并入本文中。

技术领域

本发明一般来说涉及检测移动站中的恶意活动。

背景技术

例如蜂窝式电话等移动站上的恶意软件的检测受装置的有限资源(电力、存储器、带宽等)约束。因此，移动装置上的PC样式签名匹配并非用于恶意软件检测及去除的有效解决方案。对于装置上的瘦客户端，替代方案是产生所安装应用程序的签名/哈希表，及将所述签名转发到基于网络的服务器以用于进行签名匹配。然而，基于网络的签名匹配一般未能进行保护从而免受“零日”攻击，或免受网络应用程序或基于网络的恶意软件。

因此，需要一种用于以有效方式检测移动站中的恶意活动的技术。

发明内容

本发明的一方面可在于一种用于特定模型的移动站中的恶意活动检测的方法。在所述方法中，使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析。所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生。基于所述活动分析检测恶意活动。

在本发明的更详细方面中，可观测移动站操作以产生所述移动站活动观测。所述通用恶意行为模式可能并非所述移动站的所述特定模型所特定的。而且，所述移动站操作可包含Webkit、高级操作系统(HLOS)、内核、驱动程序和/或硬件的活动。

本发明的另一方面可在于一种移动站，所述移动站包括：用于使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析的装置，其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生；及用于基于所述活动分析检测恶意活动的装置。

在本发明的更详细方面中，所述移动站可进一步包括用于观测移动站操作以产生所述移动站活动观测的装置。

本发明的另一方面可在于一种移动站，所述移动站包括处理器，所述处理器经配置以：使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析，其中所述移动站模型特定行为分析算法是在所述移动站中基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式而产生；及基于所述活动分析检测恶意活动。

在本发明的更详细方面中，所述处理器可经进一步配置以观测移动站操作以产生所述移动站活动观测。

本发明的另一方面可在于一种计算机程序产品，所述计算机程序产品包括计算机可读媒体，所述计算机可读媒体包括：用于致使计算机使用移动站模型特定行为分析算法分析移动站活动观测以产生活动分析的代码，其中所述移动站模型特定行为分析算法是基于从基于网络的恶意行为性能分析系统接收的通用恶意行为模式；用于致使计算机基于所述活动分析检测恶意活动的代码。

在本发明的更详细方面中，所述计算机可读媒体可进一步包括用于致使计算机观测移动站操作以产生所述移动站活动观测的代码。

本发明的一方面可在于用于特定模型的移动站中的恶意活动检测的另一种方法。在所述方法中，从基于网络的恶意行为性能分析系统接收通用恶意行为模式。由所述移动站基于所述通用恶意行为模式产生移动站模型特定行为分析算法。

在本发明的更详细方面中，可观测移动站操作以产生活动观测。可使用所述移动站模型特定行为分析算法分析所述活动观测以产生活动分析。可基于所述活动分析检测恶意活动。

本发明的另一方面可在于一种移动站，所述移动站包括：用于从基于网络的恶意行为性能分析系统接收通用恶意行为模式的装置；及用于基于所述通用恶意行为模式产生移动站模型特定行为分析算法的装置。

本发明的另一方面可在于一种移动站，所述移动站包括处理器，所述处理器经配置以：从基于网络的恶意行为性能分析系统接收通用恶意行为模式；及基于所述通用恶意行为模式产生移动站模型特定行为分析算法。

本发明的另一方面可在于一种计算机程序产品，所述计算机程序产品包括计算机可读媒体，所述计算机可读媒体包括：用于致使计算机从基于网络的恶意行为性能分析系统接收通用恶意行为模式的代码；及用于致使计算机基于所述通用恶意行为模式产生移动站模型特定行为分析算法的代码。

附图说明

图1为无线通信系统的实例的框图。

图2为用于结合从基于网络的服务器接收的通用恶意行为模式检测恶意活动的移动站的实例的框图。