[发明专利]移动设备上的基于数据流的行为分析

权利要求书

1.一种分析移动设备行为以识别恶意软件应用的方法，包括：

在处理器中识别需要密切监测的关键数据资源；

识别与所述关键数据资源相关联的中间资源；

当访问所述关键数据资源和所述中间资源时，监测由软件应用做出的API调用；

识别由所述API调用消耗或产生的移动设备资源；

将API调用的模式识别成指示由所述软件应用进行的恶意活动；

基于所识别的API调用的模式和所识别的移动设备资源，生成轻量级的行为特征；

基于所述轻量级的行为特征中包括的信息来执行行为分析操作，所述行为分析操作包括：将行为向量与行为模型进行比较，以确定所述软件应用是否不是善意的。

2.根据权利要求1所述的方法，其中，识别由所述API调用消耗或产生的移动设备资源包括：识别由所述API调用产生的幽灵资源。

3.根据权利要求1所述的方法，其中，识别与所述关键数据资源相关联的所述中间资源包括：基于由所述软件应用针对所述关键数据资源做出的API调用，识别需要API调用监测的资源。

4.根据权利要求1所述的方法，还包括：

观察一段时间内的移动设备行为，以识别与正常操作模式不一致的移动设备行为，

其中，执行所述行为分析操作包括：基于所述轻量级的行为特征中包括的信息，来动态地确定要进行观察的所述移动设备行为，以收集将在所述行为向量中包括的信息。

5.根据权利要求1所述的方法，其中，执行所述行为分析操作包括：

基于所述轻量级的行为特征中包括的信息，识别需要更深入分析的移动设备行为；以及

基于所识别的移动设备行为，生成所述行为向量。

6.根据权利要求5所述的方法，还包括：更详细地观察所确定的移动设备行为，并且其中：

基于所识别的移动设备行为来生成所述行为向量包括：生成更全面地描述所观察的移动设备行为的稳健行为特征；以及

执行所述行为分析操作包括：使用所生成的行为特征来执行对所观察的移动设备行为的更深入分析。

7.根据权利要求1所述的方法，其中，执行所述行为分析操作包括：

根据所监测的API调用，识别所述软件应用的两个或更多操作；以及

确定是否应当将所识别的两个或更多操作作为单个移动设备行为一起进行分析。

8.根据权利要求1所述的方法，其中，执行所述行为分析操作包括：

基于所述轻量级的行为特征中包括的信息，确定要对所述软件应用的操作进行分析的时间段。

9.一种移动计算设备，包括：

用于识别需要密切监测的关键数据资源的单元；

用于识别与所述关键数据资源相关联的中间资源的单元；

用于当访问所述关键数据资源和所述中间资源时，监测由软件应用做出的API调用的单元；

用于识别由所述API调用消耗或产生的移动设备资源的单元；

用于将API调用的模式识别成指示由所述软件应用进行的恶意活动的单元；

用于基于所识别的API调用的模式和所识别的移动设备资源，生成轻量级的行为特征的单元；

用于基于所述轻量级的行为特征中包括的信息来执行行为分析操作的单元，所述行为分析操作包括：将行为向量与行为模型进行比较，以确定所述软件应用是否不是善意的。

10.根据权利要求9所述的移动计算设备，其中，用于识别由所述API调用消耗或产生的移动设备资源的单元包括：用于识别由所述API调用产生的幽灵资源的单元。

11.根据权利要求9所述的移动计算设备，其中，用于识别与所述关键数据资源相关联的所述中间资源的单元包括：用于基于由所述软件应用针对所述关键数据资源做出的API调用，识别需要API调用监测的资源的单元。