[发明专利]用于检测与移动装置的虚假用户交互以用于改进的恶意软件防护的方法和系统

说明书

一种计算装置处理器可以处理器可执行指令配置以实施检测和响应于虚假用户交互UI事件的方法。所述处理器可通过与由高层级操作系统产生或接收的用户交互事件信息结合而分析由一或多个硬件驱动器产生的原始数据来确定用户交互事件是否为虚假用户交互事件。另外，所述处理器可以处理器可执行指令配置以实施使用行为分析和机器学习技术以基于所检测用户交互事件是真实还是虚假用户交互事件而识别、防止、校正或以其它方式响应于计算装置的恶意或性能降级的行为的方法。

背景技术

近几年来，蜂窝技术和无线通信技术迅猛发展。无线服务供应商现在提供大量特征和服务，所述特征和服务向其用户提供对信息、资源及通信的前所未有的水平的存取。为了与这些增强保持同步，个人和消费型电子装置(例如，蜂窝式电话、手表、头戴受话器、远程控件等)变得前所未有的强大和复杂，且现在所述电子装置通常包括强力的处理器、大型存储器和允许在它们的装置上执行复杂和强力的软件应用程序的其它资源。

由于这些和其它改进，个人和消费型电子装置在现代生活中变得普遍存在，且具有对由其用户产生或涉及其用户的信息的前所未有的存取水平。另外，人们频繁地使用其装置来存储敏感信息(例如，信用卡信息、联系人等)和/或实现安全性重要的任务。举例来说，移动装置用户频繁地使用他们的装置来购买货物、发送和接收敏感通信、支付账单、管理银行账户并且进行其它涉密交易。由于这些趋势，个人和消费型电子装置快速地变成恶意软件和网络攻击的下一前线。因而，更好的保护资源受限制的计算装置(例如，移动和无线装置)的新的且改进的安全解决方案将有利于消费者。

发明内容

各种实施例包含一种分析在计算装置上操作的软件应用程序的活动的方法，其包含：将从所述计算装置的用户输入装置接收的原始数据与在所述计算装置中接收的用户交互事件信息进行比较以产生分析结果；以及使用所述产生的分析结果以确定用户交互(UI)事件是否与所述计算装置的用户相关。在另一实施例中，从所述用户输入装置接收的所述原始数据可包含从装置驱动器接收的原始数据，且在所述计算装置中接收的所述用户交互事件信息可包含从所述计算装置的高层级操作系统接收的交互信息。

在另一实施例中，所述方法可包含响应于确定所述用户交互事件不与所述计算装置的用户相关而将所述软件应用程序的所述活动分类为非良性的。在另一实施例中，所述方法可包含：产生表征所述软件应用程序的所述活动的行为向量；响应于确定所述用户交互事件不与所述计算装置的用户相关而将所述产生的行为向量应用于可包含决策节点的分类器模型，所述决策节点评估是否存在对应于所述活动的用户交互事件；以及使用将所述产生的行为向量应用于所述分类器模型的结果以确定所述软件应用程序的所述活动是否为非良性的。

在另一实施例中，所述方法可包含：产生表征所述软件应用程序的所述活动的行为向量；响应于确定所述用户交互事件不与所述计算装置的用户相关而选择不包含决策节点的分类器模型，所述决策节点测试是否存在对应于所述活动的用户交互事件；将所述产生的行为向量应用于所述选定分类器模型以产生额外分析结果；以及使用所述产生的额外分析结果以确定所述软件应用程序的所述活动是否为非良性的。

在另一实施例中，所述方法可包含：响应于确定所述用户交互事件不与所述计算装置的用户相关而选择一系列稳健分类器模型；以及将多个行为向量应用于所述选定系列的稳健分类器模型以确定所述软件应用程序的所述活动是否为非良性的。在另一实施例中，所述方法可包含：将从所述计算装置的第一传感器接收的原始数据与从所述计算装置的第二传感器接收的原始数据进行比较以确定从所述第一传感器接收的所述原始数据是否与从所述第二传感器接收的所述原始数据一致，其中将从所述计算装置的所述用户输入装置接收的原始数据与在所述计算装置中接收的所述用户交互事件信息进行比较以产生所述分析结果是响应于确定从所述第一传感器接收的所述原始数据与从所述第二传感器接收的所述原始数据一致而执行的。