[发明专利]基于配置通道来预先识别可能的恶意行为

说明书

相关申请

本申请与于2013年10月3日提交的、标题为“MalwareDetectionandPrevention byMonitoringandModifyingaHardwarePipeline”的美国专利申请第14/044,956号 (代理人案号133068U2)有关，并且通过引用方式将其全部内容合并于此。

背景技术

一般而言，移动计算设备的性能和功率效率随时间而退化。防病毒公司(例如， McAfee、Symantec等)现在销售目的在于减缓该退化的移动防病毒产品、防火墙产品、以及 加密产品。然而，这些解决方案中的许多解决方案依赖于对移动计算设备上的计算密集型 扫描引擎的周期性执行，这可能消耗移动计算设备的处理和电池资源中的许多资源，减缓 移动计算设备或者致使移动计算设备不能使用达很长一段时间，和/或在其它方面降低用 户体验。此外，这些解决方案通常受限于检测已知的病毒和恶意软件，并且不处理多种复杂 因素和/或相互作用，所述多种复杂因素和/或相互作用经常结合以促成移动计算设备随着 时间的退化(例如，当性能退化不是由病毒或者恶意软件引起的时)。由于这些和其它原因， 现有的防病毒产品、防火墙产品、以及加密产品不提供用于识别可能促成移动计算设备随 着时间的退化的多种因素，或者用于防止移动计算设备退化的妥善的解决方案。

发明内容

各个方面提出了一种用于在恶意行为开始之前、而不是在恶意行为已经发生或者 开始之后预测移动计算设备上的恶意行为的系统。在各个方面中，网络服务器可以从多个 移动计算设备接收行为向量信息，并且可以对所接收的行为向量信息实现各种模式识别技 术，以标识恶意配置和导致那些恶意配置的通道配置。网络服务器可以通知移动计算设备 所标识的恶意配置和相应的通道配置，从而使得移动计算设备能够通过识别其何时已经进 入或者即将进入导致恶意行为的通道配置来实时地预测并且防止恶意行为。

在一个方面中，在移动计算设备已经检测到正在进行的恶意活动之后，网络服务 器可以从多个移动计算设备接收配置信息。该配置信息可以指示在恶意行为被检测到的时 候的移动计算设备的配置或者状态，以及导致恶意行为的移动计算设备的配置和状态的历 史。网络服务器可以分析所组合的移动计算设备的配置信息，以确定指示恶意行为和配置 模式的配置，以及导致恶意配置的配置(即，通道配置)之间的通道。服务器可以将所标识的 通道配置组合到数据库或者其它合适的数据结构中，并且可以将恶意和通道配置数据库发 送给移动计算设备，其提供该移动计算设备可以在分析其自身的行为和配置中使用的所标 识的恶意配置和通道配置的数据库或者数据结构。

在一个方面中，在接收到了恶意和通道配置数据库之后，移动计算设备可以确定 其当前配置，并且将其当前配置与被包括在恶意和通道配置数据中的配置进行比较，以确 定其当前配置是否正在导致恶意行为(即，通道配置)。当移动计算设备的当前配置是通道 配置时，移动计算设备可以实现各种预防性措施来阻止或者防止恶意行为开始。

在另一个方面中，网络服务器还可以计算通道配置导致恶意行为的概率。在这样 的方面中，网络服务器可以利用配置数据库或者数据结构来发送特定的通道配置导致恶意 配置的概率，并且移动计算设备可以参考所接收的除了配置数据库或者数据结构中的通道 配置之外的概率来确定其当前配置是否可能导致恶意配置。

在另一个方面中，网络服务器可以标识如果被执行将把通道配置变成恶意配置的 特定指令。网络服务器可以将这样的标识的指令包括在配置数据库或者数据结构中，并且 移动计算设备可以参考配置数据库或者数据结构来在设备的当前配置是通道配置时，密切 注意并且防止对标识的指令的执行。