[发明专利]用于分类执行会话的装置和方法

说明书

方法、系统和装置计算和使用软件应用程序的执行会话上下文以执行行为监测和分析操作。移动装置可经配置以监测软件应用程序的用户活动和系统活动，生成在所述活动期间识别所述软件应用程序的实际执行会话上下文的阴影特征值，生成将上下文并入到描述行为的所述值中的行为向量，且至少部分地基于所述生成的行为向量确定所述活动是恶意的还是良性的。移动装置处理器还可经配置以智能地确定软件应用程序的所述执行会话上下文是否相关于确定所述受监测移动装置行为中的任一个是否是恶意的或可疑的以及仅监测此类确定相关的所述软件应用程序的所述执行会话上下文。

背景技术

在行为监测和分析系统中，软件应用程序执行任务的上下文不用以确定所述应用程序的活动是否是恶意的。举例来说，通常在“前台”执行状态中执行固有地需要用户交互(例如，使用相机、发送SMS消息等)的活动，因此当软件应用程序处于“后台”执行状态时，此活动的性能可指示所述活动是恶意的。然而，在评估恶意软件的软件应用程序时通常不会考虑这一点。

传统的恶意软件检测系统不考虑软件应用程序执行任务的上下文。传统的恶意软件检测系统可仅依赖于软件应用程序的操作状态来确定是否允许应用程序执行某些任务。举例来说，可假设在前台执行的应用程序是良性的，而相同行为当在后台执行的情况下可被视为是恶意的。此分类不足以确定用户的意图，因为软件应用程序可以在用户的充分了解和准许的情况下在前台开始执行，但接着在用户等待任务完成执行时移动到后台。执行任务不会仅由于操作系统将软件应用程序移动到后台而变得恶意。

发明内容

各个实施例包含确定移动计算装置中软件应用程序或过程的执行会话上下文的方法和实施方法的计算装置。各个实施例可包含移动计算装置的处理器，其监测软件应用程序或过程的系统活动和用户活动以收集行为信息，且使系统活动与用户活动相关。各个实施例可进一步包含至少部分地基于行为信息确定用户活动和系统活动的概率，以及至少部分地基于相关的系统活动和用户活动和确定的概率生成执行会话上下文向量。

一些实施例可进一步包含至少部分地基于执行会话上下文向量来选择行为分类器模型，以及通过处理器使用选择的行为分类器模型来确定软件应用程序是否是良性的。在此类实施例中，至少部分地基于确定的执行会话上下文来选择行为分类器模型可包含选择应用程序特定的分类器模型。在此类实施例中，选择行为分类器模型可包含识别供软件应用程序或过程使用的移动计算装置特征，以及选择行为分类器模型以包含识别特征。

一些实施例可进一步包含将执行会话上下文向量传递到第二软件应用程序或过程作为输入。

在一些实施例中，监测系统活动可包含确定软件应用程序或过程是在前台操作还是在后台操作。在一些实施例中，监测系统活动可包含监测系统调用。在一些实施例中，监测用户活动可包含确定由于与移动计算装置的直接用户交互是否启动软件应用程序过程。在一些实施例中，监测用户活动可包含监测与软件应用程序或过程的用户交互。在一些实施例中，监测用户活动可包含监测间接参与软件应用程序或过程的用户交互。在一些实施例中，使系统活动与用户活动相关可包含至少部分地基于所述用户活动中的每一个和所述系统活动的至少部分的时间戳使系统活动与用户活动相关。在一些实施例中，生成执行会话上下文向量可包含至少部分地基于相关的系统活动和用户活动生成执行会话上下文向量，且确定的概率进一步至少部分地基于软件应用程序的静态调用偏好。

各个实施例包含具有存储器和处理器的计算装置，所述处理器经配置有处理器可执行指令，以执行上文概括的实施例方法的操作。各个实施例包含计算装置，其具有用于执行上文概括的实施例方法的功能的装置。各个实施例包含其上存储有处理器可执行指令的非暂时性处理器可读媒体，所述处理器可执行指令经配置以致使处理器执行上文概括的实施例方法的操作。

附图说明

并入本文中并且构成本说明书的部分的附图说明权利要求书的示范性实施例，且与上文给出的一般描述和下文给出的详细描述一起用以解释权利要求书的特征。

图1是适用于实施各种实施例的实例芯片上系统的组件框图。