[发明专利]用于移动应用程序的连续验证和保护的系统

说明书

描述了一种用于移动设备的低功率系统，该低功率系统使用神经形态硬件来提供移动设备应用程序的基于行为的连续安全验证。移动设备包括神经形态硬件组件，所述神经形态硬件组件在移动设备上运行，以连续监测与单个移动设备应用程序行为有关的时间序列；在与单个移动设备应用程序行为有关的时间序列中，对与已知恶意软件威胁相关的模式异常进行检测和分类；并且生成与已知恶意软件威胁有关的警报。移动设备识别移动设备应用程序间和应用程序内通信的依赖关系中的模式异常；检测与新的恶意软件威胁相关联的模式异常；并且隔离具有超过与风险管理政策有关的预定阈值的恶意软件风险的移动设备应用程序。

政府许可权

本发明是在合同号W911NF-16-C-0018的美国政府合同的政府支持下完成的。政府拥有本发明的某些权利。

相关申请的交叉引用

这是2018年1月24日在美国提交的名称为“System for Continuous Validationand Threat Protection of Mobile Applications”的申请号为62/621,445的美国临时申请的非临时申请，其全部内容通过引用并入本文。

发明背景

(1)技术领域

本发明涉及一种用于连续监测移动应用程序(mobile application)的系统，并且更具体地，涉及一种使用功率高效(power efficient)神经形态硬件连续监测移动应用程序的系统。

(2)相关技术的描述

可以将检测恶意软件的现有技术水平(SOA)机制分类为静态分析、动态/行为分析或混合分析。静态分析方法检查应用程序的源代码或二进制文件中的可疑模式(参见所并入的参考文献的列表，第10、12、14、27、28和30号参考文献)。例如，大多数当前Android反恶意软件产品使用恶意软件签名来检测已知恶意软件。尽管检测是快速而有效的，但是静态分析方法无法识别零日漏洞(zero-day vulnerabilities)，并且攻击者可以通过简单的程序混淆轻松地绕过这些检测(参见第24号参考文献)。

与静态分析不同，动态/行为分析方法通过在野外(参见第5、7、11、31、32和36号参考文献)或在安全环境(例如，SandBox、虚拟云、仿真器)(参见第23、25和37号参考文献)中执行和监测应用程序的运行时行为或时间模式来对其进行分析。与静态分析相比，动态分析可以检测零日漏洞和复杂的攻击。但是，动态分析方法比较复杂，并且可能比静态方法需要更多的计算能力和时间来进行检测，因此，这些方法通常利用外部基础结构(例如，云)进行分析(参见第7、11和23号参考文献)。

此外，如果SandBox方法是由非平凡事件(例如，在一天中的特定时间)(参见第13号参考文献)和反仿真技术(参见第22号参考文献)触发的，或者如果利用时间延迟来执行恶意活动(参见第13号参考文献)帮助攻击者逃避了动态分析，则所述SandBox方法很容易遗漏某些恶意执行路径。最后，混合分析是静态分析与动态/行为分析的组合，以在最小化错误示警的同时增加恶意软件的覆盖范围(参见第4和18号参考文献)。例如，首先应用静态分析来检测已知恶意软件模式，随后将动态分析进一步用于基于行为的分析。

移动设备中的恶意行为涉及高级信息或低级信息(参见第25号参考文献)。高级信息包括许可、动作、意图、应用程序编程接口(API)调用(call)中的字符串、命令等，而特定于低级操作系统(OS)的语义包括文件访问、程序执行等。利用高级信息的众所周知的攻击包括：(1)应用程序内部的许可滥用，其中应用程序滥用其许可特权(例如，出于金钱目的)将敏感信息传递到外部实体(例如，Black Jack Free)；(2)通过与多个应用程序合谋来滥用许可，其中多个应用程序相互合谋以获得对禁止许可的访问；以及(3)使用来自外部命令与控制服务器的指令，将设备变成机器人程式(例如，Android GM Bot)以发起恶意活动。