[发明专利]动态蜜罐系统

权利要求书

1.一种实现在蜜罐系统中用于触发由应用进行的恶意活动的方法，包括：

响应于确定目标应用潜在地具有恶意，经由计算设备的处理器来预测所述目标应用的触发条件；

至少部分地基于所预测的触发条件，经由所述处理器来提供一个或多个资源；

经由所述处理器来监控与所提供的一个或多个资源相对应的所述目标应用的活动；以及

至少部分地基于所监控到的活动，经由所述处理器来确定所述目标应用是否是恶意应用。

2.如权利要求1所述的方法，其中，经由所述处理器监控所述目标应用的活动包括监控可能具有相同触发条件的一组应用。

3.如权利要求1所述的方法，还包括：

经由所述处理器来确定当前运行在所述计算设备上的应用是否是潜在地具有恶意的；以及

响应于确定所述应用潜在地具有恶意，指定所述应用为所述目标应用。

4.如权利要求3所述的方法，其中，经由所述处理器来确定当前在所述计算设备上执行的所述应用是否是潜在地具有恶意的包括：

经由所述处理器，分析以下各项中的至少一项：对与访问所述计算设备的资源相对应的所述应用的许可，以及存储的指示所述应用的先前活动的活动数据。

5.如权利要求1所述的方法，其中，所述一个或多个资源包括一个或多个设备部件和数据中的一项或两项。

6.如权利要求5所述的方法，其中，所述一个或多个设备部件包括由已安装应用、操作系统、网络接口、处理单元、数据存储单元、耦合的设备、输出单元、输入单元和传感器组成的群组中的至少一个成员。

7.如权利要求5所述的方法，其中，所述数据包括由联系人列表、存储的文件、个人信息、网络状况数据、订阅信息、位置信息、系统信息、已知易损性信息和传感器数据组成的群组中的至少一个成员。

8.如权利要求1所述的方法，其中，响应于确定所述目标应用潜在地具有恶意，经由所述处理器来预测所述目标应用的所述触发条件包括：

经由所述处理器，评估以下各项中的至少一项：对所述目标应用的许可、先前对于所述目标应用可访问的任何资源和存储的指示所述目标应用的先前活动的活动数据。

9.如权利要求1所述的方法，其中，至少部分地基于所预测的触发条件经由所述处理器来提供所述一个或多个资源包括以下各项中的至少一项：

至少部分地基于所预测的触发条件，经由所述处理器来调整先前对于所述目标应用可见的资源；以及

经由所述处理器来配置先前对于所述目标应用不可见的资源，从而使所述资源变得对于所述目标应用可见。

10.如权利要求1所述的方法，其中，至少部分地基于所预测的触发条件经由所述处理器来提供所述一个或多个资源包括：

至少部分地基于所预测的触发条件，经由所述处理器来创建虚拟资源，其中，所述虚拟资源代表并非实际存在于所述计算设备中或由所述计算设备支持的模拟的设备部件或数据。

11.如权利要求1所述的方法，其中，经由所述处理器来监控与所提供的一个或多个资源相对应的所述目标应用的活动包括：

经由所述处理器来检测由所述目标应用进行的应用程序接口(API)调用。

12.如权利要求1所述的方法，其中，至少部分地基于所监控到的活动经由所述处理器来确定所述目标应用是否是恶意应用包括：

经由所述处理器来评估所监控到的活动和存储的指示所述目标应用的先前活动的活动数据。

13.如权利要求1所述的方法，还包括经由所述处理器来更新存储的所述目标应用的活动数据，所述活动数据包括关于响应于确定所述目标应用是恶意应用而提供的资源的信息。