[发明专利]动态蜜罐系统

说明书

各个实施例包括配置为使用行为分析算法和动态资源提供触发恶意应用的恶意活动的蜜罐系统。一种由计算设备的处理器执行的方法(该计算设备可以是移动计算设备)可以包括至少部分地基于分析确定当前运行在该计算设备上的目标应用是否是潜在地具有恶意的，预测该目标应用的触发条件作为对确定该目标应用潜在地具有恶意的响应，至少部分地基于所述预测的触发条件提供一个或多个资源，监听该目标应用对应于所提供的一个或多个资源的活动，并且至少部分地基于所述监听的活动确定该目标应用是否为恶意软件。所述资源可以是设备部件(例如，网络接口、传感器等等)和/或数据(例如，文件等)。

背景技术

“蜜罐系统”(或简称“蜜罐”)是有目的地被部署以用于由恶意软件探测、攻击和盗用，以便发现、识别和特征化这种软件的计算机系统。典型的蜜罐系统被锁住以便将恶意软件限制在该系统的控制的功能，而不会使该恶意软件能够发出进一步的、不可控制的攻击。典型的蜜罐系统是能够进行广泛的系统和应用监听和登录的。蜜罐系统经常很容易被恶意软件通过网络访问(例如，在局域网(LAN)上是可发现的等等)。蜜罐系统的监听和控制功能被很好地伪装以避免被配置为识别和避免蜜罐的恶意软件检测到。有了这些特性，蜜罐系统经常用于在网络中吸引或隔离攻击，以及用于生成指示恶意软件如何工作的有用数据。例如，蜜罐系统能够提供指示恶意软件形成的潜在威胁的数据，该数据能够与其它设备共享以便用作早期预警系统。一般来讲，成功的蜜罐系统提供受控制的时机以向恶意软件学习而不用担心对数据、网络和该网络上的计算设备的实际损害。

发明内容

各个实施例提供用于触发应用的恶意活动的蜜罐系统的方法、设备、系统和永久性处理器可读存储介质。各个实施例方法可以由实现该蜜罐系统的计算设备的处理器执行。实现各个实施例的计算设备可以是移动计算设备。各个实施例可以包括预测一个或多个目标应用的触发条件，作为对确定该一个或多个目标应用潜在地具有恶意的响应。各个实施例还可以包括至少部分地基于所述预测的触发条件提供一个或多个资源，并且监听该一个或多个目标应用对应于所提供的一个或多个资源的活动。各个实施例还可以包括至少部分地基于所监听到的活动确定所述一个或多个目标应用是否是具有恶意的。一些实施例还可以包括确定当前在该计算设备上运行的应用是否是潜在地具有恶意的，并且指定该应用作为一个或多个目标应用之一作为对确定该应用潜在地具有恶意的响应。在一些实施例中，确定当前在该计算设备上运行的应用是否是潜在地具有恶意的可以包括分析该对应于对该计算设备的资源的访问的对一个或多个目标应用的许可中的至少一个。在一些实施例中，确定当前运行在该计算设备上的应用是否是潜在地具有恶意的可以包括分析存储的指示一个或多个目标应用的先前活动的活动数据。

在一些实施例中，所述一个或多个资源可以包括一个或多个设备部件和数据之一或二者。在一些实施例中，所述一个或多个设备部件包括由已安装应用、操作系统、网络接口、处理单元、数据存储单元、耦合的设备、输出单元、输入单元和传感器组成的群组中的至少一个成员。在一些实施例中，所述数据包括由联系人列表、存储的文件、个人信息、网络状况数据、订阅信息、位置信息、系统信息、已知易受攻击信息和传感器数据组成的群组的至少一个成员。

在一些实施例中，预测所述一个或多个目标应用的所述触发条件可以包括评估对所述一个或多个目标应用的许可、先前对于所述一个或多个目标应用可访问的任何资源和存储的指示所述一个或多个目标应用的先前活动的活动数据中的至少一个。

在一些实施例中，至少部分地基于所述预测的触发条件提供所述一个或多个资源可以包括至少部分地基于所述预测的触发条件调整先前对于所述一个或多个目标应用可见的资源。在一些实施例中，至少部分地基于所述预测的触发条件提供所述一个或多个资源可以包括配置先前对于所述一个或多个目标应用不可见的资源使所述资源变得对于所述一个或多个目标应用可见。在一些实施例中，至少部分地基于所述预测的触发条件提供所述一个或多个资源可以包括至少部分地基于所述预测的触发条件创建虚拟资源，其中，所述虚拟资源代表并非实际存在于所述计算设备中或由所述计算设备支持的模拟的设备部件或数据。