[发明专利]设备事件的观察和分类

说明书

系统和方法观察和分类设备事件。可以基于机器学习和训练方法确定包含要观察的特征组的模型。客户端应用可以向操作系统服务发出事务请求。可以确定当前是否正在观察操作系统服务、与事务请求相关联的方法以及客户端应用。响应于确定正在观察操作系统服务、与事务请求相关联的方法以及客户端应用，可以修改与客户端应用相关联的行为向量，以指示该方法表示的特征与客户端应用相关联。行为向量可用于确定客户端应用程序是否为恶意软件。

技术领域

本公开通常涉及用于设备安全的系统和方法，并且更具体地，涉及观察和分类设备事件。

背景技术

随着时间的流逝，智能电话变得越来越强大，并且其使用量也在增加。但是，由于用途的增加，智能手机已成为恶意软件的更有吸引力的目标。Malware是“恶意软件(malicious software)”的缩写，是可用于在用户不知情或未经用户同意的情况下破坏设备操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、根程序病毒包(rootkits)、勒索软件等。正确识别哪些文件包含恶意软件以及哪些文件是良性的可能是一项艰巨的任务，因为恶意软件开发人员经常混淆恶意软件的各种属性以试图避免被反恶意软件软件检测到。

附图说明

为了更好地理解本发明的主题，可以参考附图，其中：

图1是示出根据实施例的用于观察和分类设备事件的系统的组件之间的数据流的框图。

图2是示出根据实施例的用于观察和分类设备事件的软件环境的框图。

图3是示出根据实施例的在用于观察和分类设备事件的系统中的应用与服务之间的事件流的框图。

图4是示出根据实施例的用于在观察和分类设备事件的系统中更新动态模型的软件环境的组件的框图。

图5是示出根据实施例的用于初始化设备事件的观察和分类的方法的流程图。

图6是示出根据实施例的用于过滤观察到的和分类的设备事件的方法的流程图。

图7是可以在其上执行本发明主题的实施例的计算机系统的示例实施例的框图。

具体实施方式

在示例实施例的以下详细描述中，参考附图，该附图形成本发明的示例实施例的一部分，并且其中通过图示的方式示出了可以实践本发明主题的特定示例实施例。对这些实施例进行足够详细的描述，以使本领域技术人员能够实践本发明的主题，并且应该理解，可以利用其他实施例，并且可以在不脱离本发明主题的范围的情况下进行逻辑、机械、电气和其他改变。

以下详细描述的某些部分是根据对计算机存储器内的数据位的操作的算法和符号表示来呈现的。这些算法描述和表示是数据处理领域的技术人员用来最有效地将他们工作的实质传达给本领域其他技术人员的方式。这里的算法通常被认为是导致期望结果的自洽序列。这些步骤是需要对物理量进行物理操纵的步骤。通常，尽管不是必须的，这些量采用能够被存储、传输、组合、比较和以其他方式操纵的电信号或磁信号的形式。主要出于通用的原因，有时已经证明将这些信号称为比特、值、元素、符号、字符、术语、数字等是方便的。然而，应该记住，所有这些和类似术语都与适当的物理量相关联，并且仅仅是应用于这些量的方便标签。除非另有明确说明，否则从以下讨论中可明显看出，诸如“处理”或“计算”或“运算”或“确定”或“显示”等术语是指计算机系统或类似计算设备的动作和过程，其将表示为计算机系统的寄存器和存储器内的物理(例如，电子)量的数据操纵和变换为类似地表示为计算机系统存储器或寄存器或其他此类信息存储、传输或显示设备内的物理量的其他数据。

各种实施例的描述仅被解释为示例，并未描述本发明主题的每个可能实例。使用当前或未来技术的组合可以实现许多替换方案，这仍然属于权利要求的范围。因此，以下详细描述不应被视为具有限制意义，并且本发明主题的范围仅由所附权利要求限定。