背景技術(shù)：

近幾年來(lái)，蜂窩技術(shù)和無(wú)線通信技術(shù)迅猛增長(zhǎng)。更好的通信硬件、更大的網(wǎng)絡(luò)和更可靠的協(xié)議促進(jìn)了這種增長(zhǎng)。現(xiàn)在，無(wú)線服務(wù)提供商能夠?yàn)槠淇蛻籼峁┎粩鄶U(kuò)展的特征和服務(wù)，并且為用戶提供對(duì)信息、資源和通信的史無(wú)前例的水平的存取。為了與這些服務(wù)改善保持同步，移動(dòng)電子裝置(例如，蜂窩式電話、平板計(jì)算機(jī)、膝上型計(jì)算機(jī)等)變得前所未有的更加強(qiáng)大和復(fù)雜。這種復(fù)雜度為惡意軟件、軟件沖突、硬件故障和其它相似錯(cuò)誤或現(xiàn)象創(chuàng)造了新的機(jī)會(huì)從而不利地影響移動(dòng)裝置的長(zhǎng)期的和持續(xù)的性能以及功率利用水平。因此，識(shí)別和校正可能不利地影響移動(dòng)裝置的長(zhǎng)期和持續(xù)性能以及功率利用水平的狀況和/或移動(dòng)裝置行為對(duì)于消費(fèi)者而言是有益的。

技術(shù)實(shí)現(xiàn)要素：

所述各種實(shí)施例包括分析計(jì)算裝置中行為的方法，包括在計(jì)算裝置的處理器中執(zhí)行第一類型的分析操作以確定是否存在增大的安全風(fēng)險(xiǎn)，第一類型的分析操作包括針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置，并且響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)執(zhí)行第二類型的分析操作，其中第二類型的分析操作與第一類型的分析操作相比是更加計(jì)算密集的。

在一個(gè)實(shí)施例中，執(zhí)行第一類型的分析操作可以包括執(zhí)行輕量分析操作，并且執(zhí)行第二類型的分析操作可以包括執(zhí)行穩(wěn)健分析操作。在另一實(shí)施例中，執(zhí)行穩(wěn)健分析操作可以包括識(shí)別不同于經(jīng)由輕量分析操作檢測(cè)到的增大的安全風(fēng)險(xiǎn)的另一安全風(fēng)險(xiǎn)。在另一實(shí)施例中，針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置可以包括針對(duì)來(lái)自另一計(jì)算裝置的指示增大的安全風(fēng)險(xiǎn)的通知消息監(jiān)測(cè)所述計(jì)算裝置。

在另一實(shí)施例中，針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置可以包括監(jiān)測(cè)內(nèi)部計(jì)算、文件、功能性行為和數(shù)據(jù)存取請(qǐng)求中的一或多個(gè)。在另一實(shí)施例中，針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置可以包括監(jiān)測(cè)所述計(jì)算裝置以識(shí)別與非良性動(dòng)作相關(guān)聯(lián)的數(shù)據(jù)模式。在另一實(shí)施例中，針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置可以包括針對(duì)惡意代碼感染的常見后果監(jiān)測(cè)所述計(jì)算裝置。在另一實(shí)施例中，針對(duì)惡意代碼感染的常見后果監(jiān)測(cè)所述計(jì)算裝置可以包括執(zhí)行以下項(xiàng)中的一個(gè)：監(jiān)測(cè)在時(shí)間周期中發(fā)送的收費(fèi)短信的數(shù)量；監(jiān)測(cè)與惡意行為相關(guān)聯(lián)的網(wǎng)站的流量的增大；監(jiān)測(cè)在時(shí)間周期中傳送的地址簿聯(lián)系人的數(shù)量；監(jiān)測(cè)在時(shí)間周期中密碼修改的數(shù)量；以及監(jiān)測(cè)裝置配置的改變。

在另一實(shí)施例中，所述方法可以包括響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)產(chǎn)生包括風(fēng)險(xiǎn)信息的通知消息，并且將所述通知消息發(fā)送到一或多個(gè)計(jì)算裝置。在另一實(shí)施例中，所述方法可以包括從另一計(jì)算裝置中接收包括風(fēng)險(xiǎn)信息的通知消息，并且基于包括在接收到的通知消息中的風(fēng)險(xiǎn)信息確定存在增大的安全風(fēng)險(xiǎn)。在另一實(shí)施例中，基于包括在接收到的通知消息中的風(fēng)險(xiǎn)信息確定存在增大的安全風(fēng)險(xiǎn)可以包括至少部分地基于發(fā)送接收到的通知消息的另一計(jì)算裝置之間的距離確定存在增大的安全風(fēng)險(xiǎn)，其中所述距離包括以下項(xiàng)中的一或多個(gè)：物理距離、檢測(cè)到的安全風(fēng)險(xiǎn)與接收到的通知消息之間的時(shí)間差、網(wǎng)絡(luò)分離距離、計(jì)算裝置已經(jīng)重啟的次數(shù)、軟件應(yīng)用程序已經(jīng)更新的次數(shù)、軟件版本之間的差異，以及發(fā)射計(jì)算裝置與接收計(jì)算裝置之間的制造、模型、版本、特征或硬件差異。

在另一實(shí)施例中，執(zhí)行輕量分析操作可以包括：監(jiān)測(cè)裝置行為以收集行為信息；基于所收集的行為信息產(chǎn)生行為向量數(shù)據(jù)結(jié)構(gòu)；將行為向量數(shù)據(jù)結(jié)構(gòu)應(yīng)用到精益分類器模型以獲取第一裝置行為是否是非良性的確定；并且響應(yīng)于確定第一裝置行為是非良性的而確定存在增大的安全風(fēng)險(xiǎn)。在另一實(shí)施例中，執(zhí)行穩(wěn)健分析操作可以包括執(zhí)行計(jì)算裝置的全掃描。

在另一實(shí)施例中，執(zhí)行穩(wěn)健分析操作可以包括將行為向量數(shù)據(jù)結(jié)構(gòu)應(yīng)用到完整分類器模型以獲取另一安全風(fēng)險(xiǎn)是否存在于計(jì)算裝置中的確定。在另一實(shí)施例中，執(zhí)行穩(wěn)健分析操作可以包括監(jiān)測(cè)額外裝置行為以收集額外行為信息、基于所收集的額外行為信息產(chǎn)生多個(gè)行為向量數(shù)據(jù)結(jié)構(gòu)，并且將多個(gè)行為向量數(shù)據(jù)結(jié)構(gòu)中的每一個(gè)應(yīng)用到分類器模型。在另一實(shí)施例中，響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)執(zhí)行穩(wěn)健分析操作可以包括在動(dòng)態(tài)地確定的時(shí)間周期中執(zhí)行穩(wěn)健分析操作。在另一實(shí)施例中，所述方法可以包括基于計(jì)算裝置與第二計(jì)算裝置之間的距離動(dòng)態(tài)地確定時(shí)間周期。

另外的實(shí)施例可以包括計(jì)算裝置，所述計(jì)算裝置具有用于執(zhí)行對(duì)應(yīng)于上文所論述的方法操作的功能的各種裝置(例如，處理器、存儲(chǔ)器等)，包括：用于執(zhí)行第一類型的分析操作以確定是否存在增大的安全風(fēng)險(xiǎn)的裝置，第一類型的分析操作包括針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置；以及用于響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)執(zhí)行第二類型的分析操作的裝置，其中第二類型的分析操作與第一類型的分析操作相比是更加計(jì)算密集的。在一個(gè)實(shí)施例中，用于執(zhí)行第一類型的分析操作的裝置可以包括用于執(zhí)行輕量分析操作的裝置，并且用于執(zhí)行第二類型的分析操作的裝置可以包括用于執(zhí)行穩(wěn)健分析操作的裝置。在另一實(shí)施例中，用于執(zhí)行穩(wěn)健分析操作的裝置可以包括用于識(shí)別不同于經(jīng)由輕量分析操作檢測(cè)到的增大的安全風(fēng)險(xiǎn)的另一安全風(fēng)險(xiǎn)的裝置。

另外的實(shí)施例可以包括計(jì)算裝置，所述計(jì)算裝置具有配置有處理器可執(zhí)行軟件指令的處理器以執(zhí)行操作，所述操作包括執(zhí)行第一類型的分析操作以確定是否存在增大的安全風(fēng)險(xiǎn)，第一類型的分析操作包括針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置，并且響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)執(zhí)行第二類型的分析操作，其中第二類型的分析操作與第一類型的分析操作相比是更加計(jì)算密集的。

在一個(gè)實(shí)施例中，處理器可以配置有處理器可執(zhí)行軟件指令以執(zhí)行操作使得執(zhí)行第一類型的分析操作包括執(zhí)行輕量分析操作，并且執(zhí)行第二類型的分析操作包括執(zhí)行穩(wěn)健分析操作。在另一實(shí)施例中，處理器可以配置有處理器可執(zhí)行軟件指令以執(zhí)行操作使得執(zhí)行穩(wěn)健分析操作包括識(shí)別不同于經(jīng)由輕量分析操作檢測(cè)到的增大的安全風(fēng)險(xiǎn)的另一安全風(fēng)險(xiǎn)。在另一實(shí)施例中，處理器可以配置有處理器可執(zhí)行軟件指令以執(zhí)行操作使得執(zhí)行輕量分析操作包括：監(jiān)測(cè)裝置行為以收集行為信息；基于所收集的行為信息產(chǎn)生行為向量數(shù)據(jù)結(jié)構(gòu)；將行為向量數(shù)據(jù)結(jié)構(gòu)應(yīng)用到精益分類器模型以獲取第一裝置行為是否是非良性的確定；并且響應(yīng)于確定第一裝置行為是非良性的確定存在增大的安全風(fēng)險(xiǎn)。

在另一實(shí)施例中，處理器可以配置有處理器可執(zhí)行軟件指令以執(zhí)行操作使得執(zhí)行穩(wěn)健分析操作包括：監(jiān)測(cè)額外裝置行為以收集額外行為信息；基于所收集的額外行為信息產(chǎn)生多個(gè)行為向量數(shù)據(jù)結(jié)構(gòu)；并且將多個(gè)行為向量數(shù)據(jù)結(jié)構(gòu)中的每一個(gè)應(yīng)用到分類器模型。在另一實(shí)施例中，處理器可以配置有處理器可執(zhí)行軟件指令以執(zhí)行進(jìn)一步包括以下項(xiàng)的操作：從另一計(jì)算裝置中接收包括風(fēng)險(xiǎn)信息的通知消息；并且基于包括在接收到的通知消息中的風(fēng)險(xiǎn)信息以及計(jì)算裝置與發(fā)送接收到的通知消息的另一計(jì)算裝置之間的距離確定存在增大的安全風(fēng)險(xiǎn)。

另外的實(shí)施例可以包括非暫時(shí)性計(jì)算機(jī)可讀存儲(chǔ)媒體，在所述非暫時(shí)性計(jì)算機(jī)可讀存儲(chǔ)媒體上存儲(chǔ)有處理器可執(zhí)行軟件指令，所述處理器可執(zhí)行軟件指令經(jīng)配置以使得計(jì)算裝置的處理器執(zhí)行包括以下項(xiàng)的操作：執(zhí)行第一類型的分析操作以確定是否存在增大的安全風(fēng)險(xiǎn)，第一類型的分析操作包括針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述計(jì)算裝置；以及響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)執(zhí)行第二類型的分析操作，其中第二類型的分析操作與第一類型的分析操作相比是更加計(jì)算密集的。

在一個(gè)實(shí)施例中，所存儲(chǔ)的處理器可執(zhí)行軟件指令可經(jīng)配置以使得處理器執(zhí)行操作，使得執(zhí)行第一類型的分析操作包括執(zhí)行輕量分析操作，并且執(zhí)行第二類型的分析操作包括執(zhí)行穩(wěn)健分析操作。在另一實(shí)施例中，所存儲(chǔ)的處理器可執(zhí)行軟件指令可經(jīng)配置以使得處理器執(zhí)行操作，使得執(zhí)行穩(wěn)健分析操作包括識(shí)別不同于經(jīng)由輕量分析操作檢測(cè)到的增大的安全風(fēng)險(xiǎn)的另一安全風(fēng)險(xiǎn)。在另一實(shí)施例中，所存儲(chǔ)的處理器可執(zhí)行軟件指令可經(jīng)配置以使得處理器執(zhí)行進(jìn)一步包括以下項(xiàng)的操作：從另一計(jì)算裝置中接收包括風(fēng)險(xiǎn)信息的通知消息；并且基于包括在接收到的通知消息中的風(fēng)險(xiǎn)信息以及到發(fā)送接收到的通知消息的另一計(jì)算裝置的距離確定存在增大的安全風(fēng)險(xiǎn)。

另外的實(shí)施例可以包括計(jì)算裝置，所述計(jì)算裝置具有處理器，所述處理器配置有處理器可執(zhí)行指令以執(zhí)行對(duì)應(yīng)于上文所論述的方法的各種操作。另外的實(shí)施例可以包括具有用于執(zhí)行對(duì)應(yīng)于上文所論述的方法操作的功能的各種裝置的計(jì)算裝置。另外的實(shí)施例可以包括非暫時(shí)性處理器可讀存儲(chǔ)媒體，在所述非暫時(shí)性處理器可讀存儲(chǔ)媒體上存儲(chǔ)有處理器可執(zhí)行指令，所述處理器可執(zhí)行指令經(jīng)配置以使得處理器執(zhí)行對(duì)應(yīng)于上文所論述的方法操作的各種操作。

附圖說(shuō)明

并入本文中并且構(gòu)成本說(shuō)明書一部分的附圖說(shuō)明本發(fā)明的例示性實(shí)施例，并且與上文給出的一般描述和下文給出的詳細(xì)描述一起用來(lái)解釋本發(fā)明的特征。

圖1是說(shuō)明適合用于各種實(shí)施例中的實(shí)例電信系統(tǒng)的網(wǎng)絡(luò)組件的通信系統(tǒng)框圖。

圖2是說(shuō)明在一個(gè)實(shí)施例移動(dòng)裝置中的實(shí)例邏輯組件和信息流的框圖，所述移動(dòng)裝置經(jīng)配置以確定特定移動(dòng)裝置行為、軟件應(yīng)用程序或過(guò)程是否是性能降級(jí)、可疑或良性的。

圖3是說(shuō)明根據(jù)一個(gè)實(shí)施例在計(jì)算裝置中執(zhí)行行為分析的方法的過(guò)程流程圖。

圖4是說(shuō)明在移動(dòng)裝置中產(chǎn)生精益分類器模型的另一實(shí)施例移動(dòng)裝置方法的過(guò)程流程圖。

圖5是根據(jù)一個(gè)實(shí)施例可以產(chǎn)生并且用于產(chǎn)生精益分類器模型的實(shí)例決策節(jié)點(diǎn)的說(shuō)明。

圖6是說(shuō)明根據(jù)一個(gè)實(shí)施例用于在計(jì)算裝置中執(zhí)行自適應(yīng)觀測(cè)的方法的過(guò)程流程圖。

圖7是適合在一個(gè)實(shí)施例中使用的移動(dòng)裝置的組件框圖。

圖8是適合在一個(gè)實(shí)施例中使用的服務(wù)器裝置的組件框圖。

具體實(shí)施方式

將參考附圖詳細(xì)描述各種實(shí)施例。在可能的情況下，整個(gè)附圖中將使用相同的參考標(biāo)號(hào)來(lái)指代相同或相似零件。對(duì)特定實(shí)例和實(shí)施方案進(jìn)行的參考是出于說(shuō)明性目的，且不希望限制本發(fā)明或權(quán)利要求書的范圍。

詞語(yǔ)“示例性”在本文中使用意指“充當(dāng)實(shí)例、例子或說(shuō)明”。本文中描述為“示例性”的任何實(shí)施方案未必應(yīng)解釋為比其它實(shí)施方案優(yōu)選或有利。

總而言之，各種實(shí)施例包括有效地識(shí)別、歸類、建模、防止和/或校正通常隨時(shí)間推移而降級(jí)計(jì)算裝置的性能、功率利用水平、網(wǎng)絡(luò)使用水平、安全性和/或保密性的狀況和行為的方法以及經(jīng)配置以實(shí)施所述方法的計(jì)算裝置。計(jì)算裝置可經(jīng)配置以執(zhí)行第一類型的分析操作(例如，輕量分析操作)以確定是否存在增大的安全風(fēng)險(xiǎn)，并且響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)而執(zhí)行第二類型的分析操作(例如，穩(wěn)健分析操作)以便確定是否存在不同于經(jīng)由第一類型的分析操作的性能檢測(cè)到的安全風(fēng)險(xiǎn)的額外的安全風(fēng)險(xiǎn)。

已經(jīng)觀測(cè)到當(dāng)計(jì)算裝置已經(jīng)通過(guò)非良性行為(例如，發(fā)生故障的存儲(chǔ)器、惡意代碼、未授權(quán)的訪問(wèn)等)的一個(gè)例子受損時(shí)，可以存在非良性行為的其它例子，并且計(jì)算裝置可能易受其它形式的惡意代碼的影響以及未經(jīng)授權(quán)方的攻擊，例如，通過(guò)非良性行為啟用的或告知計(jì)算裝置的弱點(diǎn)。還觀測(cè)到的是當(dāng)裝置受到惡意代碼影響時(shí)，更加有可能下載或執(zhí)行其它類型的惡意代碼和/或嘗試通過(guò)惡意代碼感染其它計(jì)算裝置。鑒于這些觀測(cè)，計(jì)算裝置可經(jīng)配置以使用輕量過(guò)程執(zhí)行第一類型的分析操作以監(jiān)測(cè)和分析各種狀況和裝置行為以在所述計(jì)算裝置中檢測(cè)非良性活動(dòng)、行為、操作、動(dòng)作、狀況、事件、應(yīng)用程序或過(guò)程(共同地“行為”)的例子。計(jì)算裝置可響應(yīng)于檢測(cè)到非良性行為的一個(gè)例子而增大其執(zhí)行將警示非良性行為的其它例子的第二類型的分析操作的安全等級(jí)或?qū)彶椤?/p>

增大安全等級(jí)或?qū)彶榭缮婕笆褂锰卣鳈z測(cè)技術(shù)運(yùn)行重量或計(jì)算密集行為分析和掃描引擎、在計(jì)算裝置中收集更詳細(xì)的行為信息、使用更加穩(wěn)固的分類器模型來(lái)執(zhí)行觀測(cè)到的裝置行為的加強(qiáng)分析等。舉例來(lái)說(shuō)，增大安全等級(jí)/審查可以包括：執(zhí)行至少一個(gè)測(cè)試以確定裝置是否具有隱匿程序(rootkit)；執(zhí)行至少一個(gè)測(cè)試以確定裝置是否具有木馬(trojan)；執(zhí)行至少一個(gè)測(cè)試以確定裝置是否具有不希望的軟件；并且查閱與裝置相關(guān)聯(lián)的事件的歷史以確定是否存在不希望的事件的指示、軟件的更新或警示消息的產(chǎn)生。在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以響應(yīng)于識(shí)別非良性行為的例子通知增大安全風(fēng)險(xiǎn)的所選計(jì)算裝置。在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以響應(yīng)于從另一計(jì)算裝置中接收增大安全風(fēng)險(xiǎn)的通知增大其安全/審查等級(jí)。

在一個(gè)實(shí)施例中，計(jì)算裝置可以配備有通信模塊、基于行為的安全模塊、風(fēng)險(xiǎn)檢測(cè)模塊、掃描模塊和致動(dòng)器模塊。通信模塊可經(jīng)配置以將安全風(fēng)險(xiǎn)信息發(fā)送到所選的其它計(jì)算裝置(例如，非常接近于所述裝置的計(jì)算裝置)以及從所選的其它計(jì)算裝置中接收安全風(fēng)險(xiǎn)信息、與類似于所述計(jì)算裝置配備的計(jì)算裝置共享資源等。風(fēng)險(xiǎn)檢測(cè)模塊可經(jīng)配置以執(zhí)行第一類型的分析操作，所述第一類型的分析操作可以包括使用從其它計(jì)算裝置接收的風(fēng)險(xiǎn)信息和/或由裝置的基于行為的安全模塊產(chǎn)生的分析信息以確定是否存在增大的安全風(fēng)險(xiǎn)。響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)，掃描模塊可執(zhí)行第二類型的分析操作，所述第二類型的分析操作可以包括執(zhí)行加強(qiáng)分析操作(例如，通過(guò)運(yùn)行計(jì)算密集型全掃描過(guò)程、收集更多信息、使用更加穩(wěn)固的分類器模型等)以識(shí)別裝置中的非良性行為的其它例子。全掃描可以包括使用常規(guī)的惡意代碼掃描技術(shù)來(lái)分析大量的文件以識(shí)別非良性行為的其它例子。如果在所述計(jì)算裝置中檢測(cè)到非良性行為的其它例子，那么計(jì)算裝置可以告知其它裝置增大的安全風(fēng)險(xiǎn)，并且使得致動(dòng)器模塊執(zhí)行各種安全操作以校正、緩解或以其它方式響應(yīng)于在所述裝置中的所識(shí)別的非良性行為的原因或來(lái)源。

在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以執(zhí)行包括使用精益分類器模型的輕量分析操作以評(píng)估在所述裝置上操作的所選過(guò)程直至檢測(cè)到非良性行為的單個(gè)例子為止。計(jì)算裝置可響應(yīng)于檢測(cè)到非良性行為的例子切換到完整分類器模型并且評(píng)估在裝置上操作的所有過(guò)程。計(jì)算裝置可保持在這種加強(qiáng)分析模式中(并且因此繼續(xù)執(zhí)行更加穩(wěn)固的分析操作)達(dá)靜態(tài)地或動(dòng)態(tài)地確定的時(shí)間周期。計(jì)算裝置還可以告知其它類似計(jì)算裝置(例如，經(jīng)由云中的網(wǎng)絡(luò)服務(wù)器等)非良性行為的檢測(cè)到的例子以便使得那些裝置進(jìn)入加強(qiáng)的分析模式。計(jì)算裝置或網(wǎng)絡(luò)服務(wù)器可基于多種因素識(shí)別將被告知的非良性行為的檢測(cè)到的例子的“類似”計(jì)算裝置，例如所述裝置是否配備有基于行為的安全系統(tǒng)、包括相同版本的操作系統(tǒng)、已經(jīng)下載了相同的軟件應(yīng)用程序、具有類似作用(例如，裝置由在伊拉克的軍隊(duì)使用等)、訂閱保險(xiǎn)費(fèi)服務(wù)等。

在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以執(zhí)行包括使用輕量過(guò)程和/或精益分類器模型的輕量分析操作(例如，第一類型的分析操作)以連續(xù)或重復(fù)地評(píng)估所選擇的裝置行為；使用這些評(píng)估的結(jié)果更新風(fēng)險(xiǎn)參數(shù)的值，并且切換到執(zhí)行包括使用重量過(guò)程和/或完整分類器模型的穩(wěn)健分析操作(例如，第二類型的分析操作)以評(píng)估大量的裝置行為達(dá)風(fēng)險(xiǎn)參數(shù)的值超過(guò)閾值時(shí)的時(shí)間周期。在各種實(shí)施例中，計(jì)算裝置可經(jīng)配置以基于“距離”確定風(fēng)險(xiǎn)參數(shù)值、閾值和/或時(shí)間周期。這種距離可以是當(dāng)前裝置與檢測(cè)到非良性行為的例子的裝置(即，受影響的裝置)之間的物理距離。替代地或此外，距離可以是自檢測(cè)到非良性行為的例子起經(jīng)過(guò)的時(shí)間的量、計(jì)算裝置已經(jīng)重啟的次數(shù)、軟件應(yīng)用程序已經(jīng)更新的次數(shù)、軟件版本之間的差異、發(fā)射計(jì)算裝置與接收計(jì)算裝置之間的制造/模型/版本/特征/硬件差異等。所述距離還可以是識(shí)別在當(dāng)前裝置與受影響的裝置之間的中間節(jié)點(diǎn)或組件的數(shù)量的網(wǎng)絡(luò)距離，或識(shí)別在當(dāng)前裝置與受影響的裝置之間的配置、用途、作用、所使用的服務(wù)等中的相似度的邏輯距離。

因此，各種實(shí)施例允許計(jì)算裝置執(zhí)行包括使用輕量低功率過(guò)程的輕量分析操作(例如，第一類型的分析操作)以重復(fù)或連續(xù)地監(jiān)測(cè)裝置的風(fēng)險(xiǎn)，并且當(dāng)存在加強(qiáng)的安全風(fēng)險(xiǎn)時(shí)執(zhí)行更加穩(wěn)固的掃描、監(jiān)測(cè)和分析操作(例如，第二類型的分析操作)。這通過(guò)改善計(jì)算裝置的性能和功率消耗特征而改善了計(jì)算裝置的機(jī)能。另外，通過(guò)與其它計(jì)算裝置共享風(fēng)險(xiǎn)信息，每個(gè)計(jì)算裝置可以與在每個(gè)裝置中執(zhí)行加強(qiáng)分析相比快的多的且以較低功率消耗識(shí)別性能限制和不希望的操作狀況并且對(duì)其做出反應(yīng)。這進(jìn)一步改善了計(jì)算裝置的機(jī)能。

計(jì)算裝置的功能、功能性和/或機(jī)能的額外的改善從下文所提供的實(shí)施例的詳細(xì)描述中是顯而易見的。

術(shù)語(yǔ)“移動(dòng)計(jì)算裝置”和“移動(dòng)裝置”在本文中互換地使用以指代以下各項(xiàng)中的任何一者或全部：蜂窩式電話、智能電話、個(gè)人或移動(dòng)多媒體播放器、個(gè)人數(shù)據(jù)助理(pda)、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、智能本、超級(jí)本、掌上型計(jì)算機(jī)、無(wú)線電子郵件接收器、具多媒體互聯(lián)網(wǎng)功能的蜂窩式電話、無(wú)線游戲控制器，以及包括存儲(chǔ)器和可編程處理器的類似的個(gè)人電子裝置，對(duì)于所述電子裝置性能是重要的，并且所述電子裝置在電池電源下運(yùn)行使得節(jié)約電力的方法是有益的。雖然各種實(shí)施例對(duì)于移動(dòng)計(jì)算裝置(例如，具有有限的資源且通過(guò)電池運(yùn)行的智能電話)是尤其有用的，但是實(shí)施例通常在包括處理器且執(zhí)行應(yīng)用程序的任何電子裝置中都是有用的。

術(shù)語(yǔ)“性能降級(jí)”在本申請(qǐng)中用于指代多種多樣的計(jì)算裝置的不希望的操作和特性，例如較長(zhǎng)處理時(shí)間、較慢實(shí)時(shí)響應(yīng)性、較低的電池壽命、私人數(shù)據(jù)的損失、惡意經(jīng)濟(jì)活動(dòng)(例如，發(fā)送未經(jīng)授權(quán)的收費(fèi)短信)、拒絕服務(wù)(dos)、不充分地編寫或設(shè)計(jì)的軟件應(yīng)用程序、惡意軟件、惡意代碼、病毒、分段存儲(chǔ)器、涉及強(qiáng)占計(jì)算裝置或利用所述裝置從事間諜或僵尸網(wǎng)絡(luò)活動(dòng)的操作等。并且，出于這些原因中的任一個(gè)的降級(jí)性能的行為、活動(dòng)和狀況在本文中被稱作“不是良性”或“非良性”。

一般而言，移動(dòng)裝置的性能和功率效率隨時(shí)間推移降級(jí)。近年來(lái)，殺毒軟件公司(例如，mcafee、symantec等)已經(jīng)開始營(yíng)銷旨在減緩這種降級(jí)的手機(jī)殺毒軟件、防火墻和加密產(chǎn)品。然而，這些解決方案中的許多解決方案依賴于移動(dòng)裝置上的計(jì)算密集型掃描引擎的周期性執(zhí)行(或執(zhí)行全掃描)，這可能消耗移動(dòng)裝置的許多處理和電池資源、減緩移動(dòng)裝置或使得移動(dòng)裝置無(wú)用達(dá)很長(zhǎng)一段時(shí)間，和/或另外使用戶體驗(yàn)降級(jí)。另外，這些解決方案通常限制在檢測(cè)已知的病毒和惡意代碼，且并不解決通常結(jié)合以導(dǎo)致移動(dòng)裝置的隨時(shí)間推移的降級(jí)的多個(gè)復(fù)雜的因素和/或相互作用(例如，當(dāng)性能降級(jí)并不是由病毒或惡意代碼引起的時(shí))。出于這些和其它原因，現(xiàn)有殺毒軟件、防火墻和加密產(chǎn)品并不提供可以勝任以下問(wèn)題的解決方案：識(shí)別可以造成移動(dòng)裝置隨時(shí)間推移降級(jí)的多個(gè)因素、防止移動(dòng)裝置降級(jí)或者有效恢復(fù)老化的移動(dòng)裝置到其初始狀態(tài)。

移動(dòng)裝置是具有相對(duì)地受限制的處理、存儲(chǔ)器和能量資源的資源受限制的系統(tǒng)?，F(xiàn)代移動(dòng)裝置還是復(fù)雜的系統(tǒng)，并且存在可能造成移動(dòng)裝置隨時(shí)間推移的性能和功率利用水平的降級(jí)的多種多樣的因素，包括不充分地設(shè)計(jì)的軟件應(yīng)用程序、惡意代碼、病毒、分段存儲(chǔ)器、后臺(tái)進(jìn)程等。由于這些因素的數(shù)量、種類和復(fù)雜度，通常來(lái)說(shuō)評(píng)估可能有助于現(xiàn)代移動(dòng)裝置的復(fù)雜而又資源受限制的系統(tǒng)的性能和/或功率利用水平的降級(jí)的所有因素是并不可行的。

為了克服現(xiàn)有解決方案的限制，各種實(shí)施例包括配備有行為監(jiān)視和分析系統(tǒng)的計(jì)算裝置，所述系統(tǒng)經(jīng)配置以快速且高效地識(shí)別非良性軟件應(yīng)用程序(例如，惡意的、不良寫入的、與裝置不兼容的應(yīng)用程序等)，且防止這些應(yīng)用程序使計(jì)算裝置的性能、功率利用水平、網(wǎng)絡(luò)使用水平、安全性和/或隱私隨時(shí)間而降級(jí)。所述行為監(jiān)視和分析系統(tǒng)可經(jīng)配置以識(shí)別、防止且校正所識(shí)別的問(wèn)題而對(duì)計(jì)算裝置的響應(yīng)性、性能或電力消耗特性沒(méi)有顯著、不利或用戶可察覺(jué)的影響。

為了進(jìn)一步改善性能，計(jì)算裝置可經(jīng)配置以與其它計(jì)算裝置結(jié)合工作以智能地且有效地確定它們是否易受非良性行為的影響，例如，惡意代碼、網(wǎng)絡(luò)攻擊、發(fā)生故障的軟件等。多個(gè)計(jì)算裝置中的每一個(gè)可經(jīng)配置以執(zhí)行輕量安全操作(例如，基于行為的觀測(cè)和分析操作等)以識(shí)別具有造成計(jì)算裝置隨時(shí)間推移的降級(jí)的高潛力的軟件應(yīng)用程序或過(guò)程。此類基于行為的操作可以包括觀測(cè)器過(guò)程、后臺(tái)程序、模塊或子系統(tǒng)(本文中統(tǒng)稱為“模塊”)，這些模塊在計(jì)算裝置系統(tǒng)的各種水平處指示或協(xié)調(diào)各種應(yīng)用程序編程接口(api)，并且從所指示的api中收集行為信息。

觀測(cè)器模塊可以將所收集的行為信息傳送(例如，經(jīng)由存儲(chǔ)器寫入操作、函數(shù)調(diào)用等)到計(jì)算裝置的行為提取器模塊(例如，經(jīng)由存儲(chǔ)器寫入操作等)，所述模塊可使用行為信息(即，通過(guò)觀測(cè)器模塊所收集的信息)以產(chǎn)生表示或表征裝置行為的行為向量。每個(gè)行為向量可以為包括或囊封一或多個(gè)“行為特征”的信息結(jié)構(gòu)。行為特征可以為表示在計(jì)算裝置中觀測(cè)到的事件、狀況、活動(dòng)、操作、關(guān)系、相互作用或行為的全部或一部分的抽象的數(shù)字或符號(hào)。每個(gè)行為特征可以與識(shí)別一系列可能值的數(shù)據(jù)類型以及可以在那些值、值的含義和其它類似信息上執(zhí)行的操作相關(guān)聯(lián)。數(shù)據(jù)類型可以由計(jì)算裝置使用以確定應(yīng)當(dāng)如何測(cè)量、分析、加權(quán)或使用對(duì)應(yīng)的行為特征(或特征值)。

行為提取器模塊可以(例如，經(jīng)由存儲(chǔ)器寫入操作、函數(shù)調(diào)用等)將所產(chǎn)生的行為向量傳送到分析儀模塊，所述分析儀模塊可以將行為向量應(yīng)用到分類器模型以確定應(yīng)用程序的裝置行為是否是非良性的。分類器模型可以為包括數(shù)據(jù)、表項(xiàng)、決策節(jié)點(diǎn)、決策標(biāo)準(zhǔn)和/或信息結(jié)構(gòu)的行為模型，所述信息結(jié)構(gòu)可以由裝置處理器使用以快速地且有效地測(cè)試或評(píng)估特定的特征、因素、數(shù)據(jù)點(diǎn)、表項(xiàng)、api、狀態(tài)、狀況、行為、軟件應(yīng)用程序、過(guò)程、操作、組件等(本文中統(tǒng)稱為“特征”)或裝置行為的其它實(shí)施例。分類器模型還可以包括可以由裝置處理器使用以確定軟件應(yīng)用程序之間關(guān)系的本質(zhì)和/或在計(jì)算裝置中所監(jiān)測(cè)的行為的信息。

每個(gè)分類器模型可以分類為完整分類器模型或精益分類器模型。完整分類器模型可以為穩(wěn)固數(shù)據(jù)模型，所述數(shù)據(jù)模型是作為大量訓(xùn)練數(shù)據(jù)集的函數(shù)產(chǎn)生的，其可以包括數(shù)千特征和數(shù)十億表項(xiàng)。精益分類器模型可以為更為集中的數(shù)據(jù)模型，所述數(shù)據(jù)模型由簡(jiǎn)化數(shù)據(jù)集產(chǎn)生，所述簡(jiǎn)化數(shù)據(jù)集包括或優(yōu)先考慮與確定特定計(jì)算裝置行為是否是非良性的最為相關(guān)的特征/表項(xiàng)上的測(cè)試。本地分類器模型可以為在計(jì)算裝置中產(chǎn)生的精益分類器模型。裝置特定的分類器模型可以為包括集中數(shù)據(jù)模型的本地分類器模型，所述集中數(shù)據(jù)模型僅包括/測(cè)試計(jì)算裝置特定的特征/表項(xiàng)，所述特征/表項(xiàng)被確定為與在所述特定裝置中對(duì)活動(dòng)或行為進(jìn)行分類最為相關(guān)。應(yīng)用程序特定的分類器模型可以為包括集中數(shù)據(jù)模型的本地分類器模型，所述集中數(shù)據(jù)模型包括或優(yōu)先考慮在與確定特定軟件應(yīng)用程序(或特定類型的軟件應(yīng)用程序)是否是非良性的最為相關(guān)的特征/表項(xiàng)上的測(cè)試。

因此，分析儀模塊可以將行為向量應(yīng)用到分類器模型以確定特定計(jì)算裝置行為、軟件應(yīng)用程序或過(guò)程是否是非良性的。裝置處理器可隨后執(zhí)行各種操作以校正、治愈、解決、隔離或者另外修復(fù)所識(shí)別的問(wèn)題(例如，確定為非良性的行為)。裝置處理器還可以增大其安全/審查等級(jí)以識(shí)別在所述裝置中的非良性行為的其它例子，并且通知其它計(jì)算裝置增大的安全風(fēng)險(xiǎn)。

在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以增大它們的相應(yīng)的安全/審查等級(jí)達(dá)在識(shí)別非良性行為的例子或從另一裝置中接收風(fēng)險(xiǎn)信息之后的時(shí)間周期或持續(xù)時(shí)間，并且在第一時(shí)間周期/持續(xù)時(shí)間之后返回到正常監(jiān)測(cè)和分析操作。計(jì)算裝置可經(jīng)配置以使用精益分類器模型以評(píng)估裝置行為直至識(shí)別到非良性行為的第一例子、在識(shí)別到非良性行為的第一例子之后開始使用完整分類器模型達(dá)第一時(shí)間周期/持續(xù)時(shí)間，并且如果沒(méi)有識(shí)別到非良性行為的額外的例子，那么在第一時(shí)間周期/持續(xù)時(shí)間之后恢復(fù)回到使用精益分類器模型。此時(shí)間周期/持續(xù)時(shí)間可以是固定持續(xù)時(shí)間或基于度量動(dòng)態(tài)地確定的，所述度量例如先前分類為良性的行為向量的數(shù)量、檢測(cè)到的惡意代碼的置信級(jí)、檢測(cè)到的非良性行為的關(guān)鍵性或嚴(yán)重程度等。

在一個(gè)實(shí)施例中，可以動(dòng)態(tài)地確定加強(qiáng)的安全/審查的時(shí)間周期/持續(xù)時(shí)間使得它與到初始受影響裝置的距離成反比。這種距離可以是當(dāng)前裝置與檢測(cè)到非良性行為的例子的裝置(即，受影響的裝置)之間的物理距離。所述距離還可以是或替代地是識(shí)別在當(dāng)前裝置與受影響的裝置之間的中間節(jié)點(diǎn)或組件的數(shù)量的網(wǎng)絡(luò)距離，或識(shí)別在當(dāng)前裝置與受影響的裝置之間的配置、用途、作用、所使用的服務(wù)等中的相似度的邏輯距離。

在一個(gè)實(shí)施例中，計(jì)算裝置可經(jīng)配置以建立或連接包括多個(gè)預(yù)篩選或信任的計(jì)算裝置的信任網(wǎng)絡(luò)。在各種實(shí)施例中，建立或接合信任網(wǎng)絡(luò)可以包含每個(gè)計(jì)算裝置執(zhí)行群組形成操作，所述操作包含另外經(jīng)由同級(jí)間、wifi直接或其它類似技術(shù)建立到其它計(jì)算裝置的通信鏈路。計(jì)算裝置還可以經(jīng)由共享安全網(wǎng)絡(luò)、企業(yè)虛擬專用網(wǎng)絡(luò)和其它類似技術(shù)或群組分類連接。在一個(gè)實(shí)施例中，信任網(wǎng)絡(luò)可以包含是相同網(wǎng)絡(luò)或具有直接通信鏈路的計(jì)算裝置。信任網(wǎng)絡(luò)中的每個(gè)計(jì)算裝置可經(jīng)配置以執(zhí)行合作學(xué)習(xí)操作，所述操作包含與信任網(wǎng)絡(luò)中的其它計(jì)算裝置共享風(fēng)險(xiǎn)信息、行為向量、分類器模型、分析操作的結(jié)果以及其它類似信息。

在一個(gè)實(shí)施例中，計(jì)算裝置經(jīng)配置以與服務(wù)器結(jié)合工作以更有效地對(duì)通常隨時(shí)間推移而降低性能和/或功率利用水平的狀況和/或行為進(jìn)行識(shí)別、分類、建模、防止和/或校正。服務(wù)器(可以是通信網(wǎng)絡(luò)中的服務(wù)器或可經(jīng)由互聯(lián)網(wǎng)訪問(wèn)的服務(wù)器)可經(jīng)配置以從中心數(shù)據(jù)庫(kù)(例如，“云”)中和/或從許多計(jì)算裝置中接收關(guān)于各種風(fēng)險(xiǎn)水平、功能、狀態(tài)、狀況、特征、行為和校正性動(dòng)作的信息，并且使用這些信息以產(chǎn)生完整分類器模型(即，數(shù)據(jù)或行為模型)，所述模型以可以快速地轉(zhuǎn)換成一或多個(gè)精益分類器模型的格式或結(jié)構(gòu)(例如，有限狀態(tài)機(jī)等)描述行為信息的大型語(yǔ)料庫(kù)。

在一個(gè)實(shí)施例中，完整分類器模型可以是行為信息的大型語(yǔ)料庫(kù)的有限狀態(tài)機(jī)描述或表示。在一個(gè)實(shí)施例中，有限狀態(tài)機(jī)可以包括適用于表達(dá)為多個(gè)節(jié)點(diǎn)、增強(qiáng)型決策樹或各自測(cè)試一或多個(gè)特征的決策柱的信息。舉例來(lái)說(shuō)，有限狀態(tài)機(jī)可以是可以表示為增強(qiáng)的決策柱的家族的信息結(jié)構(gòu)，所述增強(qiáng)的決策柱的家族共同地識(shí)別、描述、測(cè)試或評(píng)估與確定計(jì)算裝置行為是否是良性的或造成計(jì)算裝置的性能隨時(shí)間推移而降級(jí)相關(guān)的所有或許多的特征和數(shù)據(jù)點(diǎn)。服務(wù)器可隨后將完整或精益分類器模型(即，包括有限狀態(tài)機(jī)和/或增強(qiáng)的決策柱的家族等的信息結(jié)構(gòu))發(fā)送到計(jì)算裝置。

計(jì)算裝置可經(jīng)配置以接收和使用這些分類器模型以識(shí)別、防止和/或校正造成計(jì)算裝置的性能和/或功率利用水平隨時(shí)間推移而降低的狀況、因素和/或計(jì)算裝置行為。計(jì)算裝置還可以使用分類器模型以在計(jì)算裝置中本地產(chǎn)生更加精益的分類器模型。為了實(shí)現(xiàn)這一點(diǎn)，計(jì)算裝置可以刪除或剔除包含于從服務(wù)器接收的分類器模型中的增強(qiáng)的決策樹的穩(wěn)固家族以產(chǎn)生包括減少數(shù)量的增強(qiáng)型決策樹的更加精益的分類器模型和/或評(píng)估有限數(shù)量的測(cè)試狀況或特征。計(jì)算裝置可隨后使用這種分類器模型以執(zhí)行實(shí)時(shí)行為監(jiān)測(cè)和分析操作并且識(shí)別不希望的來(lái)源或原因或性能降級(jí)計(jì)算裝置行為。

計(jì)算裝置處理器可經(jīng)配置以執(zhí)行輕量分析操作以確定是否存在增大的安全風(fēng)險(xiǎn)，并且響應(yīng)于確定存在增大的安全風(fēng)險(xiǎn)而執(zhí)行穩(wěn)健分析操作。輕量分析操作可以包括針對(duì)增大的安全風(fēng)險(xiǎn)或先前出現(xiàn)的風(fēng)險(xiǎn)的指示監(jiān)測(cè)所述裝置。在一個(gè)實(shí)施例中，這可以通過(guò)針對(duì)來(lái)自另一計(jì)算裝置的通知消息監(jiān)測(cè)裝置而實(shí)現(xiàn)。舉例來(lái)說(shuō)，計(jì)算裝置可經(jīng)配置以將行為向量信息結(jié)構(gòu)應(yīng)用到精益分類器模型、使用輕量過(guò)程以監(jiān)測(cè)和分析各種狀況和裝置行為，并且針對(duì)包括風(fēng)險(xiǎn)信息的通知消息監(jiān)測(cè)端口。計(jì)算裝置可以響應(yīng)于接收包括指示升高的風(fēng)險(xiǎn)的風(fēng)險(xiǎn)信息的通知消息而執(zhí)行穩(wěn)健分析操作(例如，計(jì)算裝置附近的另一裝置已經(jīng)感染了病毒)。

在一些實(shí)施例中，計(jì)算裝置處理器可經(jīng)配置以執(zhí)行包括識(shí)別增大的安全風(fēng)險(xiǎn)/威脅的指示的輕量分析操作，方法是：監(jiān)測(cè)內(nèi)部計(jì)算、文件、功能性行為、數(shù)據(jù)存取請(qǐng)求等；監(jiān)測(cè)所述裝置以識(shí)別與非良性動(dòng)作相關(guān)聯(lián)的數(shù)據(jù)模式；針對(duì)惡意代碼感染的常見后果監(jiān)測(cè)所述裝置；和/或執(zhí)行其它類似操作。為了識(shí)別惡意代碼的常見后果，所述計(jì)算裝置可以監(jiān)測(cè)在時(shí)間周期中發(fā)送的收費(fèi)短信的數(shù)量；監(jiān)測(cè)與惡意活動(dòng)/行為相關(guān)聯(lián)的網(wǎng)站的流量的增大；監(jiān)測(cè)在時(shí)間周期中傳送的地址簿聯(lián)系人的數(shù)量；監(jiān)測(cè)在時(shí)間周期中密碼已經(jīng)被修改的次數(shù)；監(jiān)測(cè)計(jì)算裝置的配置的改變(例如，改變的數(shù)量、改變的頻率、改變的重要性/程度等)；和/或執(zhí)行其它類似操作。

各種實(shí)施例可以在多種通信系統(tǒng)(例如，圖1中所說(shuō)明的實(shí)例通信系統(tǒng)100)內(nèi)實(shí)施。典型小區(qū)電話網(wǎng)絡(luò)104包括多個(gè)小區(qū)基站106，所述小區(qū)基站耦接到網(wǎng)絡(luò)操作中心108，所述網(wǎng)絡(luò)操作中心操作以連接移動(dòng)裝置102(例如，蜂窩電話、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)等)與其它網(wǎng)絡(luò)目的地之間的語(yǔ)音呼叫和數(shù)據(jù)，例如，經(jīng)由電話陸地線路(例如，pots網(wǎng)絡(luò)，未示出)和互聯(lián)網(wǎng)110。移動(dòng)裝置102與電話網(wǎng)絡(luò)104之間的通信可以經(jīng)由雙向無(wú)線通信鏈路112實(shí)現(xiàn)，所述雙向無(wú)線通信鏈路例如是4g、3g、cdma、tdma、lte和/或其它小區(qū)電話通信技術(shù)。電話網(wǎng)絡(luò)104還可以包括耦合到網(wǎng)絡(luò)操作中心108或在網(wǎng)絡(luò)操作中心108內(nèi)的一或多個(gè)服務(wù)器114，所述一或多個(gè)服務(wù)器提供到互聯(lián)網(wǎng)110的連接。

每個(gè)移動(dòng)裝置102可經(jīng)配置以與系統(tǒng)100中的其它移動(dòng)裝置102共享風(fēng)險(xiǎn)信息、行為向量、數(shù)據(jù)/行為模型、實(shí)時(shí)行為分析操作的結(jié)果、成功速率和其它類似信息。移動(dòng)裝置102之間的通信可以通過(guò)直接或同級(jí)間通信鏈路122、電話網(wǎng)絡(luò)104或經(jīng)由互聯(lián)網(wǎng)110實(shí)現(xiàn)。

通信系統(tǒng)100可以進(jìn)一步包括連接到電話網(wǎng)絡(luò)104及互聯(lián)網(wǎng)110的網(wǎng)絡(luò)服務(wù)器116。網(wǎng)絡(luò)服務(wù)器116與電話網(wǎng)絡(luò)104之間的連接可以通過(guò)互聯(lián)網(wǎng)110或通過(guò)專用網(wǎng)絡(luò)(如虛線箭頭所示)。網(wǎng)絡(luò)服務(wù)器116還可實(shí)施為云服務(wù)提供商網(wǎng)絡(luò)118的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)內(nèi)的服務(wù)器。網(wǎng)絡(luò)服務(wù)器116與移動(dòng)裝置102之間的通信可以通過(guò)電話網(wǎng)絡(luò)104、互聯(lián)網(wǎng)110、專用網(wǎng)絡(luò)(未示出)或其任何組合實(shí)現(xiàn)。

在一個(gè)實(shí)施例中，網(wǎng)絡(luò)服務(wù)器116可經(jīng)配置以將數(shù)據(jù)/行為模型發(fā)送到移動(dòng)裝置102，所述移動(dòng)裝置可以接收和使用所述數(shù)據(jù)/行為模型以識(shí)別可疑或性能降級(jí)的移動(dòng)裝置行為、軟件應(yīng)用程序、過(guò)程等。網(wǎng)絡(luò)服務(wù)器116還可以將分類和建模信息發(fā)送到移動(dòng)裝置102以替換、更新、形成和/或維持移動(dòng)裝置數(shù)據(jù)/行為模型。

圖2說(shuō)明在一個(gè)實(shí)施例移動(dòng)計(jì)算裝置102中的實(shí)例邏輯組件和信息流，所述移動(dòng)計(jì)算裝置包括經(jīng)配置以使用行為分析技術(shù)來(lái)識(shí)別和響應(yīng)于非良性裝置行為的基于行為的安全系統(tǒng)200。在圖2中說(shuō)明的實(shí)例中，計(jì)算裝置是移動(dòng)計(jì)算裝置102，其包括配置有包含行為觀測(cè)器模塊202、行為提取器模塊204、行為分析儀模塊208和致動(dòng)器模塊210的可執(zhí)行指令模塊的裝置處理器(即，移動(dòng)裝置處理器)。模塊202-210中的每一個(gè)可以為線程、過(guò)程、后臺(tái)程序、模塊、子系統(tǒng)，或在軟件、硬件或其組合中實(shí)施的組件。在各種實(shí)施例中，模塊202-210可在操作系統(tǒng)的部分內(nèi)(例如，內(nèi)核內(nèi)、內(nèi)核空間中、用戶空間中等)、單獨(dú)程序或應(yīng)用程序內(nèi)、專用硬件緩沖器或處理器中或其任何組合內(nèi)實(shí)施。在一個(gè)實(shí)施例中，模塊202-210中的一或多個(gè)可以實(shí)施為在移動(dòng)計(jì)算裝置102的一或多個(gè)處理器或處理核心上執(zhí)行的軟件指令。

行為觀測(cè)器模塊202可經(jīng)配置以在裝置的各種層級(jí)/模塊處儀表化應(yīng)用程序編程接口(api)、計(jì)數(shù)器、硬件監(jiān)測(cè)器等，且監(jiān)測(cè)在一時(shí)間周期內(nèi)在各種層級(jí)/模塊處的活動(dòng)、狀況、操作和事件(例如，系統(tǒng)事件、狀態(tài)改變等)。舉例來(lái)說(shuō)，行為觀測(cè)器模塊202可以經(jīng)配置以監(jiān)測(cè)移動(dòng)計(jì)算裝置102的各種軟件和硬件組件，以及收集關(guān)于相互作用、通信、交易、事件或與移動(dòng)計(jì)算裝置102的活動(dòng)相關(guān)聯(lián)的所監(jiān)測(cè)的和可測(cè)量的組件的操作的行為信息。此類活動(dòng)包括軟件應(yīng)用程序使用硬件組件、操作或任務(wù)的性能、軟件應(yīng)用程序在移動(dòng)計(jì)算裝置102的處理核心中的執(zhí)行、過(guò)程的執(zhí)行、任務(wù)或操作的性能、裝置行為等。

行為觀測(cè)器模塊202可以收集關(guān)于所監(jiān)測(cè)的活動(dòng)、狀況、操作或事件的行為信息，并且將所收集的信息存儲(chǔ)在存儲(chǔ)器中(例如，在日志文件中等)。行為觀測(cè)器模塊202可隨后將所收集的行為信息傳送(例如，經(jīng)由存儲(chǔ)器寫入操作、函數(shù)調(diào)用等)到行為提取器模塊204。行為提取器模塊204可經(jīng)配置以接收或檢索所收集的行為信息，并且使用這一信息以產(chǎn)生一或多個(gè)行為向量。

在各種實(shí)施例中，行為提取器模塊204可經(jīng)配置以產(chǎn)生行為向量以包括軟件應(yīng)用程序的所觀測(cè)到的行為、關(guān)系或相互作用的簡(jiǎn)潔定義。舉例來(lái)說(shuō)，每個(gè)行為向量可以在值或向量數(shù)據(jù)結(jié)構(gòu)中簡(jiǎn)明地描述軟件應(yīng)用程序的共同行為。向量數(shù)據(jù)結(jié)構(gòu)可以包括編號(hào)的序列，其中的每一個(gè)表示裝置的特征或行為，例如，計(jì)算裝置的相機(jī)是否在使用中(例如，作為零或一)、已經(jīng)從計(jì)算裝置中傳輸多少網(wǎng)絡(luò)流量或多少網(wǎng)絡(luò)流量通過(guò)計(jì)算裝置產(chǎn)生(例如，20kb/秒等)、已經(jīng)傳送多少互聯(lián)網(wǎng)消息(例如，sms消息的數(shù)量等)，和/或通過(guò)行為觀測(cè)器模塊202收集的任何其它行為信息。在一個(gè)實(shí)施例中，行為提取器模塊204可經(jīng)配置以產(chǎn)生行為向量使得它們充當(dāng)標(biāo)識(shí)符，所述標(biāo)識(shí)符使得計(jì)算裝置系統(tǒng)(例如，行為分析儀模塊208)能夠快速地認(rèn)出、識(shí)別或分析應(yīng)用程序之間的關(guān)系。

行為分析儀模塊208還可經(jīng)配置以將行為向量應(yīng)用于分類器模塊以確定裝置行為(即，在裝置上運(yùn)行的兩個(gè)或大于兩個(gè)軟件應(yīng)用程序的共同活動(dòng))是否是造成(或可能地造成)裝置的隨時(shí)間推移的降級(jí)和/或可能另外在裝置上造成問(wèn)題的非良性行為。行為分析儀模塊208可以通知致動(dòng)器模塊210活動(dòng)或行為不是良性的。作為響應(yīng)，致動(dòng)器模塊210可以執(zhí)行各種動(dòng)作或操作以治愈、解決、隔離或者修復(fù)所識(shí)別的問(wèn)題。舉例來(lái)說(shuō)，致動(dòng)器模塊210可經(jīng)配置以在將行為向量應(yīng)用于分類器模型(例如，通過(guò)分析儀模塊)的結(jié)果指示軟件應(yīng)用程序的共同行為并不是良性的時(shí)停止或終止軟件應(yīng)用程序中的一或多個(gè)。

在各種實(shí)施例中，行為觀測(cè)器模塊202可經(jīng)配置以監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，方法是收集關(guān)于應(yīng)用程序框架或運(yùn)行時(shí)間庫(kù)中的庫(kù)應(yīng)用程序編程接口(api)調(diào)用、系統(tǒng)調(diào)用api、文件系統(tǒng)和網(wǎng)絡(luò)連接子系統(tǒng)操作、裝置(包括傳感器裝置)狀態(tài)改變和其它類似事件的信息。另外，行為觀測(cè)器模塊202可以監(jiān)測(cè)文件系統(tǒng)活動(dòng)，文件系統(tǒng)活動(dòng)可以包括搜索文件名稱、文件存取的類別(個(gè)人信息或普通數(shù)據(jù)文件)、創(chuàng)建或刪除文件(例如，類型exe、zip等)、文件讀取/寫入/尋找操作、改變文件許可等。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)數(shù)據(jù)網(wǎng)絡(luò)活動(dòng)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，其可以包括裝置所連接到的連接、協(xié)議、端口號(hào)、服務(wù)器/客戶端的類型、連接的數(shù)量、通信的容積或頻率等。行為觀測(cè)器模塊202可以監(jiān)測(cè)電話網(wǎng)絡(luò)活動(dòng)，其可以包括監(jiān)測(cè)發(fā)出、接收或攔截的呼叫或消息(例如，sms等)的類型和數(shù)量(例如，撥打的收費(fèi)呼叫的數(shù)量)。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)系統(tǒng)資源使用來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，其可以包括監(jiān)測(cè)叉路的數(shù)量、存儲(chǔ)器存取操作、文件打開的數(shù)量等。行為觀測(cè)器模塊202可以監(jiān)測(cè)移動(dòng)計(jì)算裝置102的狀態(tài)，其可以包括監(jiān)測(cè)各種因素，例如，顯示器是否是開啟或關(guān)閉的、裝置是否是鎖定或解鎖的、剩余的電池的量、相機(jī)的狀態(tài)等。行為觀測(cè)器模塊202也可以監(jiān)測(cè)過(guò)程間通信(ipc)，例如，監(jiān)測(cè)到關(guān)鍵服務(wù)(瀏覽器、合同提供商等)的意圖、過(guò)程間通信的程度、彈出窗口等。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)一或多個(gè)硬件組件的驅(qū)動(dòng)器統(tǒng)計(jì)數(shù)據(jù)和/或狀態(tài)來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，這些硬件組件可以包括相機(jī)、傳感器、電子顯示器、wifi通信組件、數(shù)據(jù)控制器、存儲(chǔ)器控制器、系統(tǒng)控制器、存取端口、計(jì)時(shí)器、外圍裝置、無(wú)線通信組件、外部存儲(chǔ)器芯片、電壓調(diào)節(jié)器、振蕩器、鎖相環(huán)、外圍橋接和用于支持在移動(dòng)計(jì)算裝置102上運(yùn)行的處理器和客戶端的其它類似組件。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)一或多個(gè)硬件計(jì)數(shù)器來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，所述硬件計(jì)數(shù)器表示移動(dòng)計(jì)算裝置102和/或計(jì)算裝置子系統(tǒng)的狀態(tài)或情況。硬件計(jì)數(shù)器可以包括經(jīng)配置以存儲(chǔ)發(fā)生在移動(dòng)計(jì)算裝置102中的硬件相關(guān)活動(dòng)或事件的計(jì)數(shù)值或狀態(tài)的處理器/核心的特殊目的寄存器。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)軟件應(yīng)用程序的動(dòng)作或操作、從應(yīng)用程序下載服務(wù)器(例如，應(yīng)用商城服務(wù)器)下載的軟件、由軟件應(yīng)用程序使用的計(jì)算裝置信息、呼叫信息、文本消息傳送信息(例如，發(fā)送sms、阻斷sms、讀取sms等)、媒體消息傳送信息(例如，接收mms)、用戶帳戶信息、位置信息、相機(jī)信息、加速計(jì)信息、瀏覽器信息、基于瀏覽器通信的內(nèi)容、基于語(yǔ)音通信的內(nèi)容、短程無(wú)線電通信(例如，藍(lán)牙、wifi等)、基于文本通信的內(nèi)容、所記錄的音頻文件的內(nèi)容、電話簿或聯(lián)系人信息、聯(lián)系人列表等來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的傳輸或通信來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，所述通信包括包含以下項(xiàng)的通信：語(yǔ)音郵件(voicemailcomm)、裝置標(biāo)識(shí)符(deviceidcomm)、用戶帳戶信息(useraccountcomm)、日歷信息(calendarcomm)、位置信息(locationcomm)、所記錄的音頻信息(recordaudiocomm)、加速計(jì)信息(accelerometercomm)等。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)指南針信息、計(jì)算裝置設(shè)置、電池壽命、陀螺儀信息、壓力傳感器、磁傳感器、屏幕活動(dòng)等的使用和更新/改變來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)。行為觀測(cè)器模塊202可以監(jiān)測(cè)傳送到軟件應(yīng)用程序(appnotification)和來(lái)自軟件應(yīng)用程序(appnotification)的通知、應(yīng)用程序更新等。行為觀測(cè)器模塊202可以監(jiān)測(cè)關(guān)于第一軟件應(yīng)用程序的狀況或事件，所述第一軟件應(yīng)用程序請(qǐng)求第二軟件應(yīng)用程序的下載和/或安裝。行為觀測(cè)器模塊202可以監(jiān)測(cè)關(guān)于用戶驗(yàn)證的狀況或事件，例如，密碼的輸入等。

行為觀測(cè)器模塊202也可以通過(guò)監(jiān)測(cè)在移動(dòng)計(jì)算裝置102的多個(gè)層級(jí)處的狀況或事件來(lái)監(jiān)測(cè)移動(dòng)計(jì)算裝置102的活動(dòng)，所述移動(dòng)計(jì)算裝置102的多個(gè)層級(jí)包括應(yīng)用程序?qū)蛹?jí)、無(wú)線電層級(jí)和傳感器層級(jí)。應(yīng)用程序?qū)蛹?jí)觀測(cè)可以包括經(jīng)由面部辨識(shí)軟件來(lái)觀測(cè)用戶、觀測(cè)社交流、觀測(cè)用戶輸入的筆記、觀測(cè)關(guān)于wallet、和其它類似應(yīng)用程序或服務(wù)的使用的事件。應(yīng)用程序?qū)蛹?jí)觀測(cè)還可以包括觀測(cè)涉及虛擬專用網(wǎng)絡(luò)(vpn)的使用的事件和關(guān)于同步、語(yǔ)音搜索、語(yǔ)音控制(例如，通過(guò)說(shuō)出一個(gè)詞語(yǔ)來(lái)鎖定/解鎖電話)、語(yǔ)言翻譯程序、為了計(jì)算的數(shù)據(jù)的卸載、視頻串流、在無(wú)用戶活動(dòng)的情況下的相機(jī)使用、在無(wú)用戶活動(dòng)的情況下的麥克風(fēng)使用等的事件。

無(wú)線電層級(jí)觀測(cè)可以包括在建立無(wú)線電通信鏈路或傳輸信息、雙重/多個(gè)訂戶識(shí)別模塊(sim)卡、互聯(lián)網(wǎng)無(wú)線電、移動(dòng)電話網(wǎng)絡(luò)共享、為了計(jì)算卸載數(shù)據(jù)、裝置狀態(tài)通信、作為游戲控制器或家庭控制器的使用、媒介通信、計(jì)算裝置同步等之前確定與移動(dòng)計(jì)算裝置102的用戶交互中的任何一個(gè)或多個(gè)的出現(xiàn)、存在或數(shù)量。無(wú)線電層級(jí)觀測(cè)還可以包括監(jiān)測(cè)無(wú)線電(wifi、wimax、藍(lán)牙等)的使用以用于定位、同級(jí)間(p2p)通信、同步、媒介間通信和/或機(jī)器間(m2m)。無(wú)線電層級(jí)觀測(cè)可以進(jìn)一步包括監(jiān)測(cè)網(wǎng)絡(luò)流量使用、統(tǒng)計(jì)數(shù)據(jù)或配置文件。

傳感器層級(jí)觀測(cè)可以包括監(jiān)測(cè)磁傳感器或其它傳感器以確定移動(dòng)計(jì)算裝置102的使用和/或外部環(huán)境。舉例來(lái)說(shuō)，計(jì)算裝置處理器可經(jīng)配置以確定裝置是否在皮套中(例如，經(jīng)由經(jīng)配置以感測(cè)皮套內(nèi)磁體的磁傳感器)或在用戶的口袋中(例如，經(jīng)由通過(guò)相機(jī)或光傳感器檢測(cè)到的光的量)。檢測(cè)移動(dòng)計(jì)算裝置102在皮套中可以與識(shí)別可疑行為相關(guān)，舉例來(lái)說(shuō)，因?yàn)榕c通過(guò)用戶的活躍使用相關(guān)的活動(dòng)和功能(例如，拍攝照片或視頻、發(fā)送消息、進(jìn)行語(yǔ)音呼叫、記錄聲音等)在移動(dòng)計(jì)算裝置102裝在皮套中的同時(shí)發(fā)生可以是在裝置上執(zhí)行違法過(guò)程(例如，跟蹤或監(jiān)視用戶)的征兆。

與使用或外部環(huán)境相關(guān)的傳感器層級(jí)觀測(cè)的其它實(shí)例可以包括：檢測(cè)近場(chǎng)通信(nfc)信令、從信用卡掃描儀、條形碼掃描儀或移動(dòng)標(biāo)簽讀取器中收集信息、檢測(cè)通用串行總線(usb)電力充電源的存在、檢測(cè)已經(jīng)耦合到移動(dòng)計(jì)算裝置102的鍵盤或輔助裝置、檢測(cè)移動(dòng)計(jì)算裝置102已經(jīng)耦合到另一計(jì)算裝置(例如，經(jīng)由usb等)、確定led、閃光、手電筒或光源是否已經(jīng)是經(jīng)修改或停用的(例如，惡意停用緊急信令應(yīng)用程序等)、檢測(cè)揚(yáng)聲器或麥克風(fēng)已經(jīng)開啟或供電、檢測(cè)充電或電源事件、檢測(cè)移動(dòng)計(jì)算裝置102被用作游戲控制器等。傳感器層級(jí)觀測(cè)還可以包括：從醫(yī)學(xué)或醫(yī)療傳感器中收集信息或者通過(guò)掃描用戶的身體收集信息、從插入到usb/音頻插孔中的外部傳感器中收集信息、從觸感或觸覺(jué)傳感器中收集信息(例如，經(jīng)由振動(dòng)器接口等)、收集關(guān)于移動(dòng)計(jì)算裝置102的熱狀態(tài)的信息等。

為了減少監(jiān)測(cè)到可管理層級(jí)的因素的數(shù)量，在一個(gè)實(shí)施例中，行為觀測(cè)器模塊202可經(jīng)配置以通過(guò)監(jiān)測(cè)/觀測(cè)行為或因素的初始集合來(lái)執(zhí)行粗略觀測(cè)，所述行為或因素的初始集合是可以造成計(jì)算裝置的降級(jí)的全部因素的較小子集。在一個(gè)實(shí)施例中，行為觀測(cè)器模塊202可以從云服務(wù)或網(wǎng)絡(luò)中的服務(wù)器和/或組件中接收行為和/或因素的初始集合。在一個(gè)實(shí)施例中，可以在機(jī)器學(xué)習(xí)分類器模型中指定行為/因數(shù)的初始集合。

每個(gè)分類器模型可以是包括數(shù)據(jù)和/或信息結(jié)構(gòu)(例如，特征向量、行為向量、組件列表等)的行為模型，所述數(shù)據(jù)和/或信息結(jié)構(gòu)可以由計(jì)算裝置處理器使用以評(píng)估計(jì)算裝置的行為的特定特征或?qū)嵤├?。每個(gè)分類器模型還可以包括用于監(jiān)測(cè)計(jì)算裝置中的多個(gè)特征、因素、數(shù)據(jù)點(diǎn)、表項(xiàng)、api、狀態(tài)、條件、行為、應(yīng)用程序、過(guò)程、操作、組件等(本文中統(tǒng)稱為“特征”)的決策標(biāo)準(zhǔn)。分類器模型可以預(yù)先安裝在計(jì)算裝置上、從網(wǎng)絡(luò)服務(wù)器中下載或接收、產(chǎn)生于計(jì)算裝置中，或其任何組合。分類器模型可以通過(guò)使用眾包解決方案、行為模擬技術(shù)、機(jī)器學(xué)習(xí)算法等產(chǎn)生。

每個(gè)分類器模型可以分類為完整分類器模型或精益分類器模型。完整分類器模型可以為穩(wěn)固數(shù)據(jù)模型，所述數(shù)據(jù)模型是作為大量訓(xùn)練數(shù)據(jù)集的函數(shù)產(chǎn)生的，其可以包括數(shù)千特征和數(shù)十億表項(xiàng)。精益分類器模型可以是從簡(jiǎn)化數(shù)據(jù)集中產(chǎn)生的更集中的數(shù)據(jù)模型，其僅包括/測(cè)試與用于確定特定活動(dòng)是否是進(jìn)行中的關(guān)鍵活動(dòng)和/或特定計(jì)算裝置行為是否并不是良性的最為相關(guān)的特征/表項(xiàng)。作為一個(gè)實(shí)例，裝置處理器可以是可經(jīng)配置以從網(wǎng)絡(luò)服務(wù)器中接收完整分類器模型、在計(jì)算裝置中基于完整分類器產(chǎn)生精益分類器模型，并且使用本地產(chǎn)生的精益分類器模型來(lái)將裝置的行為分類為良性或非良性的(即，惡意、性能降低等)。

本地產(chǎn)生的精益分類器模型是產(chǎn)生于計(jì)算裝置中的精益分類器模型。也就是說(shuō)，由于現(xiàn)代計(jì)算裝置(例如，移動(dòng)裝置等)是高度可配置的且復(fù)雜的系統(tǒng)，所以用于確定特定裝置行為是否是非良性的(例如，惡意或性能降低)的最重要特征在每個(gè)裝置中可以是不同的。另外，可能需要在每個(gè)裝置中監(jiān)測(cè)和/或分析特征的不同組合以便所述裝置快速地且有效地確定特定行為是否為非良性的。然而，需要監(jiān)測(cè)和分析的特征的精確組合和每個(gè)特征或特征組合的相對(duì)優(yōu)先級(jí)或重要性通常僅可以使用從其中行為待監(jiān)測(cè)或分析的特定的裝置中獲得的信息來(lái)確定的。出于這些和其它原因，各種實(shí)施例可以在其中使用模型的計(jì)算裝置中產(chǎn)生分類器模型。這些本地分類器模型使得裝置處理器能夠準(zhǔn)確地識(shí)別在確定特定的裝置上的行為是否是非良性的(例如，造成裝置性能降級(jí))中最重要的特定特征。本地分類器模型還允許裝置處理器根據(jù)特征的相對(duì)重要性將所測(cè)試或評(píng)估的特征優(yōu)先化以對(duì)所述特定裝置中的行為進(jìn)行分類。

裝置特定的分類器模型是包括集中數(shù)據(jù)模型的分類器模型，所述集中數(shù)據(jù)模型僅包括/測(cè)試計(jì)算裝置特定的特征/表項(xiàng)，所述特征/表項(xiàng)被確定為與在特定計(jì)算裝置中對(duì)活動(dòng)或行為進(jìn)行分類最為相關(guān)。應(yīng)用程序特定的分類器模型是包括集中數(shù)據(jù)模型的分類器模型，所述集中數(shù)據(jù)模型僅包括/測(cè)試與用于評(píng)估特定軟件應(yīng)用程序最為相關(guān)的特征/表項(xiàng)。通過(guò)在計(jì)算裝置中本地地動(dòng)態(tài)地產(chǎn)生應(yīng)用程序特定的分類器模型，各種實(shí)施例使得裝置處理器能夠?qū)⑵浔O(jiān)測(cè)和分析操作集中于用于確定特定軟件應(yīng)用程序的操作是否有助于該裝置的不希望的或性能降級(jí)行為的最重要的少量特征。

多應(yīng)用程序分類器模型可以是包括集中數(shù)據(jù)模型的本地分類器模型，所述集中數(shù)據(jù)模型包括或優(yōu)先化關(guān)于與用于確定兩個(gè)或大于兩個(gè)特定軟件應(yīng)用程序(或特定類型的軟件應(yīng)用程序)的共同行為是非良性的最為相關(guān)的特征/表項(xiàng)的測(cè)試。多應(yīng)用程序分類器模型可以包括測(cè)試/評(píng)估特征的聚集的集合的聚集特征集合和/或決策節(jié)點(diǎn)。裝置處理器可經(jīng)配置以產(chǎn)生多應(yīng)用程序分類器模型，方法是：識(shí)別用于識(shí)別在計(jì)算裝置上運(yùn)行的兩個(gè)或大于兩個(gè)軟件應(yīng)用程序之間的關(guān)系、相互作用和/或通信的最為相關(guān)的裝置特征、識(shí)別評(píng)估所識(shí)別的裝置特征中的一個(gè)的測(cè)試條件、確定所識(shí)別的測(cè)試條件的優(yōu)先級(jí)、重要性或成功率、根據(jù)它們的重要性或成功率優(yōu)先化或排序所識(shí)別的測(cè)試條件，并且產(chǎn)生分類器模型以包括所識(shí)別的測(cè)試條件使得它們是根據(jù)它們的所確定的優(yōu)先級(jí)、重要性或成功率排序的。裝置處理器還可經(jīng)配置以通過(guò)組合兩個(gè)或大于兩個(gè)應(yīng)用程序特定的分類器模型產(chǎn)生多應(yīng)用程序分類器模型。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以響應(yīng)于確定兩個(gè)或大于兩個(gè)應(yīng)用程序是串通或協(xié)同工作的或應(yīng)用程序應(yīng)當(dāng)作為一組一起得到分析而產(chǎn)生多應(yīng)用程序分類器模型。裝置處理器可經(jīng)配置以產(chǎn)生用于應(yīng)用程序的每個(gè)所識(shí)別群組或類別的多應(yīng)用程序分類器模型。然而，分析每個(gè)群組可能消耗大量的裝置的有限的資源。因此，在一個(gè)實(shí)施例中，裝置處理器可經(jīng)配置以確定應(yīng)用程序參與串通行為的概率(例如，基于其與其它應(yīng)用程序的相互作用等)，并且僅針對(duì)包括存在高概率的串通行為的軟件應(yīng)用程序的群組智能地產(chǎn)生分類器模型。

行為分析儀模塊208可經(jīng)配置以將由行為提取器模塊204產(chǎn)生的行為向量應(yīng)用于分類器模型以確定所監(jiān)測(cè)的活動(dòng)(或行為)是否是良性或非良性的。在一個(gè)實(shí)施例中，當(dāng)行為的行為分析操作的結(jié)果并不能提供將行為分類為良性或非良性的足夠的信息時(shí)行為分析儀模塊208可以將行為分類為“可疑”。

行為分析儀模塊208可經(jīng)配置以響應(yīng)于識(shí)別串通軟件應(yīng)用程序、確定某些應(yīng)用程序應(yīng)當(dāng)被評(píng)估為一組和/或響應(yīng)于確定所監(jiān)測(cè)的活動(dòng)或行為是可疑的而通知行為觀測(cè)器模塊202。作為響應(yīng)，行為觀測(cè)器模塊202可調(diào)整其觀測(cè)的間隔尺寸(即，監(jiān)測(cè)到計(jì)算裝置特征的詳細(xì)的層級(jí))和/或改變基于從行為分析儀模塊208接收的信息(例如，實(shí)時(shí)分析操作的結(jié)果)監(jiān)測(cè)的應(yīng)用程序/因素/行為，產(chǎn)生或收集新的或額外的行為信息，并且發(fā)送新的/額外的信息到行為分析儀模塊208以用于進(jìn)一步的分析/分類。

行為觀測(cè)器模塊202與行為分析儀模塊208之間的此類反饋通信使得移動(dòng)計(jì)算裝置102能夠以遞歸方式增大觀測(cè)的間隔尺寸(即，進(jìn)行更加細(xì)致或更加詳細(xì)的觀測(cè))或改變所觀測(cè)到的特征/行為直至共同行為被分類為良性或非良性的、識(shí)別可疑或性能降級(jí)行為的來(lái)源為止；直至達(dá)到處理或電池消耗閾值為止；或直至裝置處理器確定可疑或性能降級(jí)裝置行為的來(lái)源無(wú)法通過(guò)觀測(cè)間隔尺寸的進(jìn)一步的改變、調(diào)整或增大來(lái)識(shí)別為止。此類反饋通信還使得移動(dòng)計(jì)算裝置102能夠調(diào)整或修改行為向量和分類器模型而不會(huì)消耗過(guò)量的計(jì)算裝置的處理、存儲(chǔ)器或能源資源。

行為觀測(cè)器模塊202和行為分析儀模塊208可單獨(dú)地或共同地提供計(jì)算系統(tǒng)的行為的實(shí)時(shí)行為分析以從有限的且粗略的觀測(cè)中識(shí)別可疑行為、以動(dòng)態(tài)地確定行為以更詳細(xì)地觀測(cè)，并且以動(dòng)態(tài)地確定觀測(cè)所需要的詳細(xì)的層級(jí)。這使得移動(dòng)計(jì)算裝置102能夠有效地識(shí)別和防止問(wèn)題而無(wú)需裝置上的大量的處理器、存儲(chǔ)器或電池資源。

在各種實(shí)施例中，移動(dòng)計(jì)算裝置102的裝置處理器可經(jīng)配置以識(shí)別需要密切監(jiān)測(cè)的關(guān)鍵數(shù)據(jù)資源、監(jiān)測(cè)(例如，經(jīng)由行為觀測(cè)器模塊202)當(dāng)存取關(guān)鍵數(shù)據(jù)資源時(shí)軟件應(yīng)用程序所進(jìn)行的api調(diào)用、識(shí)別api調(diào)用的模式為指示通過(guò)兩個(gè)或大于兩個(gè)軟件應(yīng)用程序的非良性行為、基于api調(diào)用的所識(shí)別的模式和資源使用產(chǎn)生行為向量、使用行為向量來(lái)執(zhí)行行為分析操作(例如，經(jīng)由行為分析儀模塊208)，并且基于行為分析操作確定軟件應(yīng)用程序中的一或多個(gè)是否是非良性的。

在一個(gè)實(shí)施例中，裝置處理器可經(jīng)配置以識(shí)別通過(guò)在計(jì)算裝置運(yùn)行的軟件應(yīng)用程序使用的最頻繁的api、存儲(chǔ)關(guān)于在裝置的存儲(chǔ)器中的api記錄中的所識(shí)別的熱門api的使用的信息，并且基于存儲(chǔ)在api記錄中的信息執(zhí)行行為分析操作以識(shí)別非良性行為。

在各種實(shí)施例中，移動(dòng)計(jì)算裝置102可經(jīng)配置以結(jié)合網(wǎng)絡(luò)服務(wù)器工作以智能地且有效地識(shí)別與確定活動(dòng)或行為是否是非良性的最相關(guān)的特征、因素和數(shù)據(jù)點(diǎn)。舉例來(lái)說(shuō)，裝置處理器可經(jīng)配置以從網(wǎng)絡(luò)服務(wù)器接收完整分類器模型，并且使用接收到的完整分類器模型來(lái)產(chǎn)生特定針對(duì)于在裝置上運(yùn)行的計(jì)算裝置或軟件應(yīng)用程序的特征和功能性的精益分類器模型(即，數(shù)據(jù)/行為模型)。裝置處理器可使用完整分類器模型來(lái)產(chǎn)生不同復(fù)雜度水平(或“精益度”)的精益分類器模型的家族?？梢猿Ｒ?guī)地應(yīng)用精益分類器模型的最精益家族(即，基于最少數(shù)量的測(cè)試條件的精益分類器模型)直至遇到模型無(wú)法將其分類為良性或非良性(并且因此被模型分類為可疑)的行為，此時(shí)可以應(yīng)用更加穩(wěn)固(即，不太精益)的精益分類器模型以嘗試對(duì)行為進(jìn)行分類?？梢詰?yīng)用在所述家族的所產(chǎn)生精益分類器模型內(nèi)的甚至更加穩(wěn)固的精益分類器模型的應(yīng)用直至實(shí)現(xiàn)行為的確定性分類。以此方式，裝置處理器可以通過(guò)將最完整但是資源密集型精益分類器模型的使用限制于其中需要穩(wěn)固分類器模型以確定性地對(duì)行為進(jìn)行分類的那些情況而在效率與準(zhǔn)確性之間形成平衡。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以通過(guò)將包含于完整分類器模型中的有限狀態(tài)機(jī)表示/表達(dá)轉(zhuǎn)換到增強(qiáng)的決策柱中產(chǎn)生精益分類器模型。裝置處理器可基于裝置特定的特征、條件或配置刪除或挑選增強(qiáng)的決策柱的完整集合以產(chǎn)生包括包含于完整分類器模型中的增強(qiáng)的決策柱的子集的分類器模型。裝置處理器可隨后使用精益分類器模型以智能地監(jiān)測(cè)、分析和/或?qū)τ?jì)算裝置行為進(jìn)行分類。

增強(qiáng)的決策柱是具有恰好一個(gè)節(jié)點(diǎn)(并且因此一個(gè)測(cè)試問(wèn)題或測(cè)試條件)和權(quán)重值的一個(gè)層級(jí)決策樹，并且因此較適合于在數(shù)據(jù)/行為的二進(jìn)制分類中使用。也就是說(shuō)，將行為向量應(yīng)用于增強(qiáng)的決策柱引起二進(jìn)制回答(例如，是或否)。舉例來(lái)說(shuō)，如果通過(guò)增強(qiáng)的決策柱測(cè)試的問(wèn)題/條件是“短消息服務(wù)(sms)傳輸?shù)念l率小于每分鐘x”，那么將“3”的值應(yīng)用于增強(qiáng)的決策柱將引起“是”的回答(對(duì)于“小于3”的sms傳輸)或“否”的回答(對(duì)于“3或大于3的”sms傳輸)。

增強(qiáng)的決策柱是高效的因?yàn)樗鼈兪欠浅：?jiǎn)單且原始的(并且因此并不需要相當(dāng)大的處理資源)。增強(qiáng)的決策柱也是非?？刹⑿谢?，并且因此許多柱可以并行/同時(shí)應(yīng)用或測(cè)試(例如，通過(guò)計(jì)算裝置中的多個(gè)核心或處理器)。

在一個(gè)實(shí)施例中，裝置處理器可經(jīng)配置以產(chǎn)生包括分類器標(biāo)準(zhǔn)的子集的精益分類器模型，所述分類器標(biāo)準(zhǔn)的子集包含于完整分類器模型中并且僅那些分類器標(biāo)準(zhǔn)對(duì)應(yīng)于與計(jì)算裝置配置、功能性和連接的/包括的硬件相關(guān)的特征。裝置處理器可以使用這一精益分類器模型來(lái)僅監(jiān)測(cè)存在或與裝置相關(guān)的那些特征和功能。裝置處理器可隨后周期性修改或重新產(chǎn)生精益分類器模型以基于計(jì)算裝置的當(dāng)前狀態(tài)和配置包括或去除各種特征和對(duì)應(yīng)的分類器標(biāo)準(zhǔn)。

作為一個(gè)實(shí)例，裝置處理器可經(jīng)配置以接收包含與行為模型(例如，分類器)的完整特征集合相關(guān)聯(lián)的決策柱的大型增強(qiáng)的決策柱分類器模型，并且從大型分類器模型中導(dǎo)出一或多個(gè)精益分類器模型，方法是僅從與計(jì)算裝置的當(dāng)前配置、功能性、操作狀態(tài)和/或連接的/包含的硬件相關(guān)的大型分類器模型中選擇特征，并且在精益分類器模型中包含對(duì)應(yīng)于所選擇的特征的增強(qiáng)的決策柱的子集。在此實(shí)施例中，對(duì)應(yīng)于與計(jì)算裝置相關(guān)的特征的分類器標(biāo)準(zhǔn)可以是包含于測(cè)試所選擇的特征中的至少一個(gè)的大型分類器模型中的那些增強(qiáng)的決策柱。裝置處理器可隨后周期性地修改或重新產(chǎn)生增強(qiáng)的決策柱精益分類器模型以基于計(jì)算裝置的當(dāng)前狀態(tài)和配置包含或去除各種特征以使得精益分類器模型繼續(xù)包含應(yīng)用程序特定的或裝置特定的特征增強(qiáng)的決策柱。

此外，裝置處理器也可以動(dòng)態(tài)地產(chǎn)生應(yīng)用程序特定的分類器模型，所述應(yīng)用程序特定的分類器模型識(shí)別與特定的軟件應(yīng)用程序(錢包和)相關(guān)和/或與特定類型的軟件應(yīng)用程序(例如，游戲、導(dǎo)航、金融、新聞、生產(chǎn)率等)相關(guān)的條件或特征。這些分類器模型可以產(chǎn)生為包含包含于完整分類器模型中的決策節(jié)點(diǎn)的簡(jiǎn)少的且更集中的子集(或包含包含于從接收到的完整分類器模型中產(chǎn)生的更精益的分類器模型中的那些的簡(jiǎn)少的且更集中的子集)。這些分類器模型可以組合以產(chǎn)生多應(yīng)用程序分類器模型。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以針對(duì)在系統(tǒng)中的每個(gè)軟件應(yīng)用程序和/或針對(duì)在系統(tǒng)中的每種類型的軟件應(yīng)用程序產(chǎn)生基于應(yīng)用程序的分類器模型。所述裝置處理器還可經(jīng)配置以動(dòng)態(tài)地識(shí)別高風(fēng)險(xiǎn)或易受濫用影響的軟件應(yīng)用程序和/或應(yīng)用程序類型(例如，金融應(yīng)用程序、銷售點(diǎn)應(yīng)用程序、生物計(jì)量傳感器應(yīng)用程序等)，并且產(chǎn)生基于應(yīng)用程序的分類器模型以僅用于被識(shí)別為高風(fēng)險(xiǎn)或易受濫用影響的軟件應(yīng)用程序和/或應(yīng)用程序類型。在各種實(shí)施例中，裝置處理器可經(jīng)配置以動(dòng)態(tài)地、反應(yīng)性地、主動(dòng)地和/或每次安裝或更新新應(yīng)用程序時(shí)產(chǎn)生基于應(yīng)用程序的分類器模型。

每個(gè)軟件應(yīng)用程序通常在計(jì)算裝置上執(zhí)行多個(gè)任務(wù)或活動(dòng)。在其中某些任務(wù)/活動(dòng)在計(jì)算裝置中執(zhí)行的特定的執(zhí)行狀態(tài)可以是行為或活動(dòng)是否有益于額外的或更接近的審查、監(jiān)測(cè)和/或分析的較強(qiáng)指示。因而，在各種實(shí)施例中，裝置處理器可經(jīng)配置以使用識(shí)別實(shí)際執(zhí)行狀態(tài)的信息，在實(shí)際執(zhí)行狀態(tài)中執(zhí)行某些任務(wù)/活動(dòng)以集中其行為監(jiān)測(cè)和分析操作，并且更好的確定活動(dòng)是否是關(guān)鍵活動(dòng)和/或活動(dòng)是否是非良性的。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以使通過(guò)軟件應(yīng)用程序執(zhí)行的活動(dòng)/任務(wù)與其中執(zhí)行那些活動(dòng)/任務(wù)的執(zhí)行狀態(tài)相關(guān)聯(lián)。舉例來(lái)說(shuō)，裝置處理器可經(jīng)配置以產(chǎn)生行為向量，所述行為向量包括從監(jiān)測(cè)子向量或數(shù)據(jù)結(jié)構(gòu)中的所指示的組件中收集的行為信息，所述行為信息列出了執(zhí)行狀態(tài)與之相關(guān)的軟件的特征、活動(dòng)或操作(例如，位置存取、sms讀取操作、傳感器存取等)。在一個(gè)實(shí)施例中，這一子向量/數(shù)據(jù)結(jié)構(gòu)可以結(jié)合識(shí)別其中觀測(cè)到每個(gè)特征/活動(dòng)/操作的執(zhí)行狀態(tài)的陰影特征值子向量/數(shù)據(jù)結(jié)構(gòu)來(lái)存儲(chǔ)。作為一個(gè)實(shí)例，裝置處理器可產(chǎn)生包括“l(fā)ocation_background”數(shù)據(jù)字段的行為向量，當(dāng)裝置處理器在背景狀態(tài)中運(yùn)行時(shí)所述數(shù)據(jù)字段的值識(shí)別軟件應(yīng)用程序存取位置信息的數(shù)量或速率。這使得裝置處理器能夠分析此執(zhí)行狀態(tài)信息而不不依賴于計(jì)算裝置的其它所觀測(cè)到的/所監(jiān)測(cè)的活動(dòng)和/或與計(jì)算裝置的其它所觀測(cè)到的/所監(jiān)測(cè)的活動(dòng)并行。以此方式產(chǎn)生行為向量還可以使得系統(tǒng)能夠隨時(shí)間推移聚集信息(例如，頻率或速率)。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以產(chǎn)生行為向量以包括可以輸入到機(jī)器學(xué)習(xí)分類器中的決策節(jié)點(diǎn)的信息以產(chǎn)生對(duì)關(guān)于監(jiān)測(cè)活動(dòng)的查詢的回答。

在各種實(shí)施例中，裝置處理器可經(jīng)配置以產(chǎn)生行為向量以包括執(zhí)行信息。執(zhí)行信息可以包含于行為向量中作為行為的一部分(例如，通過(guò)后臺(tái)過(guò)程相機(jī)在3秒中使用5次，通過(guò)前臺(tái)過(guò)程相機(jī)在3秒中使用3次等)或者作為獨(dú)立特征的一部分。在一個(gè)實(shí)施例中，執(zhí)行狀態(tài)信息可以包含于行為向量中作為陰影特征值子向量或數(shù)據(jù)結(jié)構(gòu)。在一個(gè)實(shí)施例中，行為向量可存儲(chǔ)與同執(zhí)行狀態(tài)相關(guān)的特征、活動(dòng)、任務(wù)相關(guān)聯(lián)的陰影特征值子向量/數(shù)據(jù)結(jié)構(gòu)。

圖3說(shuō)明根據(jù)一個(gè)實(shí)施例的分析計(jì)算裝置中的行為的方法的方法300。在塊302中，計(jì)算裝置的硬件模塊或處理器可以執(zhí)行輕量分析操作以確定是否存在非良性行為的例子。在確定塊304中，硬件模塊或處理器可以基于在塊302中執(zhí)行輕量分析操作的結(jié)果確定是否存在增大的安全風(fēng)險(xiǎn)。響應(yīng)于基于輕量分析操作確定不存在增大的安全風(fēng)險(xiǎn)(即，確定塊304＝“否”)，在確定塊308中硬件模塊或處理器可以確定是否已經(jīng)從另一計(jì)算裝置中接收指示存在增大的安全風(fēng)險(xiǎn)的消息。響應(yīng)于確定未接收到此類消息(即，確定框304和308＝“否”)，在302塊中硬件模塊或處理器可以繼續(xù)執(zhí)行輕量分析操作。

響應(yīng)于基于輕量分析操作確定存在增大的安全風(fēng)險(xiǎn)(即，確定塊304＝“是”)，例如響應(yīng)于檢測(cè)到非良性行為，在306塊中硬件模塊或處理器可以發(fā)送消息到其它計(jì)算裝置以通知它們?cè)龃蟮陌踩L(fēng)險(xiǎn)，并且在310塊中執(zhí)行更加穩(wěn)固的分析操作。響應(yīng)于從另一計(jì)算裝置中接收指示存在增大的安全風(fēng)險(xiǎn)的消息(即，確定塊308＝“是”)在310塊中計(jì)算裝置還可以執(zhí)行更加穩(wěn)固的分析操作。在塊310中執(zhí)行更加穩(wěn)固的分析操作可以包括運(yùn)行重量或計(jì)算密集型掃描引擎或過(guò)程、使用特征檢測(cè)技術(shù)、收集裝置中的更詳細(xì)的行為信息、使用更加穩(wěn)固的分類器模型來(lái)執(zhí)行加強(qiáng)分析操作等。

在一個(gè)實(shí)施例中，在塊310中執(zhí)行更加穩(wěn)固的分析操作的同時(shí)，硬件模塊或處理器可以監(jiān)測(cè)自識(shí)別到非良性行為的另一例子起的時(shí)間(或響應(yīng)于來(lái)自另一計(jì)算裝置的消息當(dāng)初始更加穩(wěn)固的分析時(shí)識(shí)別到的任何非良性行為)。如果在限定的時(shí)間量?jī)?nèi)沒(méi)有觀測(cè)到非良性行為的其它例子(或例子)，那么硬件模塊或處理器可以恢復(fù)到正常層級(jí)的審查以節(jié)省處理資源。處理器可以在其之后返回到執(zhí)行輕量分析操作的所限定的時(shí)間周期可以是預(yù)定義時(shí)間周期或動(dòng)態(tài)地確定的時(shí)間周期。預(yù)定義時(shí)間周期可以由裝置制造商、服務(wù)提供商(例如，部分的裝置供應(yīng)信息)或安全服務(wù)(例如，通過(guò)安全服務(wù)的服務(wù)器傳送到計(jì)算裝置)限定。動(dòng)態(tài)地確定的時(shí)間周期可以基于可用于計(jì)算裝置的信息通過(guò)計(jì)算裝置的處理器來(lái)確定。舉例來(lái)說(shuō)，基于非良性行為的檢測(cè)到的本質(zhì)或數(shù)量時(shí)間周期可以增大或減小。因此，如果硬件模塊或處理器檢測(cè)到對(duì)計(jì)算裝置具有相對(duì)地嚴(yán)重的影響或指示易受攻擊的非良性行為，那么硬件模塊或處理器可以動(dòng)態(tài)地增大將執(zhí)行更加穩(wěn)固的分析操作的所限定的時(shí)間周期。類似地，如果識(shí)別到若干非良性行為，那么處理器可以動(dòng)態(tài)地增大將執(zhí)行更加穩(wěn)固的分析操作的所限定的時(shí)間周期。另一方面，如果所識(shí)別的非良性行為是輕微本質(zhì)的或不大可能使得計(jì)算裝置易受攻擊，那么硬件模塊或處理器可以動(dòng)態(tài)地減小將執(zhí)行更加穩(wěn)固的分析操作的所限定的時(shí)間周期。當(dāng)響應(yīng)于從另一計(jì)算裝置中接收消息(即，確定塊308＝“是”)在塊310中執(zhí)行穩(wěn)健分析操作時(shí)，硬件模塊或處理器可以動(dòng)態(tài)地確定將基于計(jì)算裝置與第二計(jì)算裝置之間的距離執(zhí)行更加穩(wěn)固的分析操作的時(shí)間周期。因此，作為在塊310中的操作的部分可以包括動(dòng)態(tài)地確定將基于安全風(fēng)險(xiǎn)的本質(zhì)執(zhí)行更加穩(wěn)固的分析操作的所限定的時(shí)間周期、所識(shí)別的非良性行為例子的數(shù)量、所識(shí)別的非良性行為的本質(zhì)或嚴(yán)重程度和/或計(jì)算裝置與第二計(jì)算裝置之間的距離。

圖4說(shuō)明使用精益分類器模型以對(duì)計(jì)算裝置的行為進(jìn)行分類的實(shí)施例方法400。在各種實(shí)施例中，方法400可以執(zhí)行為輕量分析操作的部分或穩(wěn)健分析操作的部分。在塊402中，計(jì)算裝置的處理器或處理核心可以執(zhí)行觀測(cè)以從在裝置系統(tǒng)的各種層級(jí)處所指示的各種組件中收集行為信息。在一個(gè)實(shí)施例中，這可以經(jīng)由上文參考圖2所論述的行為觀測(cè)器模塊202實(shí)現(xiàn)。在塊404中，處理核心可以產(chǎn)生表征觀測(cè)、所收集的行為信息和/或移動(dòng)裝置行為的行為向量。另外，在塊404中，處理核心可以使用從網(wǎng)絡(luò)服務(wù)器中接收的完整分類器模型以產(chǎn)生不同復(fù)雜度水平(或“精益度”)的精益分類器模型或精益分類器模型的家族。在一個(gè)實(shí)施例中，處理核心可以通過(guò)剔除包含于完整分類器模型中的增強(qiáng)的決策柱的家族以產(chǎn)生包含減少的數(shù)量的增強(qiáng)的決策柱和/或評(píng)估有限數(shù)量的測(cè)試條件的精益分類器模型來(lái)實(shí)現(xiàn)這一點(diǎn)。

在塊406中，處理核心可以選擇在所述精益分類器模型的家族中的最精益的分類器(即，基于最少數(shù)量的不同的移動(dòng)裝置狀態(tài)、特征、行為或條件的模型)，但所述最精益的分類器尚未由移動(dòng)裝置評(píng)估或應(yīng)用。在一個(gè)實(shí)施例中，這可以通過(guò)選擇分類器模型的有序列表中的第一分類器模型的處理核心實(shí)現(xiàn)。

在塊408中，處理核心可以將所收集的行為信息或行為向量應(yīng)用于所選擇的精益分類器模型中的每個(gè)增強(qiáng)的決策柱。因?yàn)樵鰪?qiáng)的決策柱是二進(jìn)制決策并且精益分類器模型是通過(guò)基于相同測(cè)試條件選擇許多二進(jìn)制決策產(chǎn)生的，所以將行為向量應(yīng)用于精益分類器模型中的增強(qiáng)的決策柱的過(guò)程可以在并行操作中執(zhí)行。替代地，行為向量可經(jīng)截?cái)嗷蜻^(guò)濾以僅包含有限數(shù)量的包含于精益分類器模型中的測(cè)試條件參數(shù)，從而進(jìn)一步減少應(yīng)用所述模型時(shí)的計(jì)算努力。

在塊410中，處理核心可以計(jì)算或確定將所收集的行為信息應(yīng)用于精益分類器模型中的每個(gè)增強(qiáng)的決策柱的結(jié)果的加權(quán)平均值。在塊412中，處理核心可以比較所計(jì)算的加權(quán)平均值與閾值。在確定塊414中，處理核心可以確定這一比較的結(jié)果和/或由應(yīng)用所選擇的精益分類器模型產(chǎn)生的結(jié)果是否是可疑的。舉例來(lái)說(shuō)，處理核心可以確定這些結(jié)果是否可用于以較高程度的置信度將行為分類為惡意或良性的，并且如果不是則將行為作為可疑的對(duì)待。

如果處理核心確定結(jié)果是可疑的(例如，確定塊414＝“是”)，那么處理核心可以重復(fù)在塊406-412中的操作以選擇和應(yīng)用評(píng)估更多裝置狀態(tài)、特征、行為或條件的較強(qiáng)(即，不太精益)分類器模型直至行為以較高程度的置信度被分類為惡意或良性的為止。如果處理核心確定結(jié)果不是可疑的(例如，確定塊414＝“否”)，例如通過(guò)確定行為可以較高程度的置信度被分類為惡意或良性的，那么在塊416中，處理核心可以使用產(chǎn)生于塊412中的比較的結(jié)果以將移動(dòng)裝置的行為分類為良性或潛在地惡意的。

在替代實(shí)施例方法中，上文所述的操作可以依序通過(guò)以下各項(xiàng)而實(shí)現(xiàn)：選擇并非已經(jīng)在精益分類器模型中的增強(qiáng)的決策柱；識(shí)別取決于與所選擇的決策柱相同的移動(dòng)裝置狀態(tài)、特征、行為或條件(且因此可以基于一個(gè)確定結(jié)果應(yīng)用)的全部其它增強(qiáng)的決策柱；在精益分類器模型中包含所選擇的和取決于相同移動(dòng)裝置狀態(tài)、特征、行為或條件的全部所識(shí)別的其它增強(qiáng)的決策柱；并且以等于測(cè)試條件的所確定數(shù)量的次數(shù)重復(fù)所述過(guò)程。因?yàn)槿Q于與所選擇的增強(qiáng)的決策柱相同的測(cè)試條件的全部增強(qiáng)的決策柱每次被添加到精益分類器模型，所以限制執(zhí)行這一過(guò)程的次數(shù)將限制包含于精益分類器模型中的測(cè)試條件的數(shù)量。

圖5說(shuō)明適用于各種實(shí)施例中的適用于產(chǎn)生增強(qiáng)的決策樹/分類器的實(shí)例增強(qiáng)方法500。在操作502中，處理器可以產(chǎn)生和/或執(zhí)行決策樹/分類器、從決策樹/分類器的執(zhí)行中收集訓(xùn)練樣本，并且基于訓(xùn)練樣本產(chǎn)生新的分類器模型(h1(x))。訓(xùn)練樣本可以包括從移動(dòng)裝置行為、軟件應(yīng)用程序或移動(dòng)裝置中的過(guò)程的先前觀測(cè)或分析中收集的信息。訓(xùn)練樣本和/或新分類器模型(h1(x))可以基于包含于先前分類器中的問(wèn)題的類型或測(cè)試條件和/或基于從行為分析儀模塊208的先前數(shù)據(jù)/行為模型或分類器的執(zhí)行/應(yīng)用程序中收集的準(zhǔn)確性或性能特性產(chǎn)生。在操作504中，處理器可以增強(qiáng)(或增大)通過(guò)所產(chǎn)生的決策樹/分類器(h1(x))錯(cuò)分類的表項(xiàng)的加權(quán)以產(chǎn)生第二新樹/分類器(h2(x))。在一個(gè)實(shí)施例中，訓(xùn)練樣本和/或新分類器模型(h2(x))可以基于分類器的先前執(zhí)行或使用(h1(x))的錯(cuò)誤率而產(chǎn)生。在一個(gè)實(shí)施例中，訓(xùn)練樣本和/或新分類器模型(h2(x))可以基于確定為造成分類器的先前執(zhí)行或使用中的錯(cuò)誤率或數(shù)據(jù)點(diǎn)的錯(cuò)分類的屬性而產(chǎn)生。

在一個(gè)實(shí)施例中，錯(cuò)分類表項(xiàng)可以基于它們的相對(duì)準(zhǔn)確性或有效性加權(quán)。在操作506中，處理器可以增強(qiáng)(或增大)通過(guò)所產(chǎn)生的第二樹/分類器(h2(x))錯(cuò)分類的表項(xiàng)的加權(quán)以產(chǎn)生第三新樹/分類器(h3(x))。在操作508中，可重復(fù)504-506的操作以產(chǎn)生“t”數(shù)量的新樹/分類器(ht(x))。

通過(guò)增強(qiáng)或增大通過(guò)第一決策樹/分類器(h1(x))錯(cuò)分類的表項(xiàng)的加權(quán)，第二樹/分類器(h2(x))可以更準(zhǔn)確地對(duì)通過(guò)第一決策樹/分類器(h1(x))錯(cuò)分類的實(shí)體進(jìn)行分類，但是也可能對(duì)通過(guò)第一決策樹/分類器(h1(x))正確地分類的實(shí)體中的一些進(jìn)行錯(cuò)分類。類似地，第三樹/分類器(h3(x))可準(zhǔn)確地對(duì)由第二決策樹/分類器(h2(x))錯(cuò)分類的實(shí)體進(jìn)行分類并且對(duì)通過(guò)第二決策樹/分類器(h2(x))正確地分類的實(shí)體中的一些進(jìn)行錯(cuò)分類。也就是說(shuō)，產(chǎn)生樹/分類器h1(x)-ht(x)的家族可能未引起系統(tǒng)作為整體聚集，而是引起多個(gè)決策樹/分類器可以并行地執(zhí)行。

圖6說(shuō)明根據(jù)一個(gè)實(shí)施例用于執(zhí)行動(dòng)態(tài)和自適應(yīng)觀測(cè)的實(shí)例方法600。在各種實(shí)施例中，方法600可以執(zhí)行為輕量分析操作的部分或穩(wěn)健分析操作的部分。在塊602中，移動(dòng)裝置處理器(或處理核心)可以通過(guò)監(jiān)測(cè)/觀測(cè)可以造成移動(dòng)裝置的降級(jí)的大量因素/行為的子集而執(zhí)行粗略觀測(cè)。在塊603中，移動(dòng)裝置處理器可以基于粗略觀測(cè)產(chǎn)生表征粗略觀測(cè)和/或移動(dòng)裝置行為的行為向量。在塊604中，移動(dòng)裝置處理器可識(shí)別與粗略觀測(cè)相關(guān)聯(lián)的可能潛在地造成移動(dòng)裝置的降級(jí)的子系統(tǒng)、過(guò)程和/或應(yīng)用程序。舉例來(lái)說(shuō)，這可以通過(guò)比較從多個(gè)來(lái)源接收的信息與從移動(dòng)裝置的傳感器接收的情境信息而實(shí)現(xiàn)。在塊606中，移動(dòng)裝置處理器可基于粗略觀測(cè)執(zhí)行行為分析操作。在一個(gè)實(shí)施例中，作為塊603和604的部分，移動(dòng)裝置處理器可以執(zhí)行上文參考圖2-5所論述的操作中的一或多個(gè)。

在確定塊608中，移動(dòng)裝置處理器可以確定可疑行為或潛在問(wèn)題是否可以基于行為分析的結(jié)果得到識(shí)別和校正。當(dāng)移動(dòng)裝置處理器確定可疑行為或潛在問(wèn)題可以基于行為分析的結(jié)果得到識(shí)別和校正時(shí)(即，確定塊608＝“是”)，在塊618中，處理器可以起始過(guò)程以校正行為并且返回到塊602以執(zhí)行額外的粗略觀測(cè)。

當(dāng)移動(dòng)裝置處理器確定可疑行為或潛在問(wèn)題無(wú)法基于行為分析的結(jié)果得到識(shí)別和/或校正時(shí)(即，確定塊608＝“否”)，在確定塊609中移動(dòng)裝置處理器可以確定是否存在問(wèn)題的可能性。在一個(gè)實(shí)施例中，移動(dòng)裝置處理器可以確定存在問(wèn)題的可能性，方法是計(jì)算移動(dòng)裝置遇到潛在問(wèn)題和/或參與可疑行為的概率，并且確定計(jì)算出的概率是否大于預(yù)定閾值。當(dāng)移動(dòng)裝置處理器確定計(jì)算出的概率并不大于預(yù)定閾值和/或并不存在可疑行為或潛在問(wèn)題存在和/或可檢測(cè)的可能性(即，確定塊609＝“否”)時(shí)，處理器可以返回到塊602以執(zhí)行額外的粗略觀測(cè)。

當(dāng)移動(dòng)裝置處理器確定存在可疑行為或潛在問(wèn)題存在和/或可檢測(cè)的可能性(即，確定塊609＝“是”)時(shí)，在塊610中，移動(dòng)裝置處理器可以執(zhí)行包括在所識(shí)別的子系統(tǒng)、過(guò)程或應(yīng)用程序上執(zhí)行更深入的記錄/觀測(cè)或最終記錄的更加穩(wěn)固的分析操作。在塊612中，移動(dòng)裝置處理器可在所識(shí)別的子系統(tǒng)、過(guò)程或應(yīng)用程序上執(zhí)行更深入且更詳細(xì)的觀測(cè)。在塊614中，移動(dòng)裝置處理器可以基于更深入且更詳細(xì)的觀測(cè)執(zhí)行進(jìn)一步和/或更深入的行為分析。在確定塊608中，移動(dòng)裝置處理器可以同樣確定可疑行為或潛在問(wèn)題是否可以基于更深入的行為分析的結(jié)果得到識(shí)別和校正。當(dāng)移動(dòng)裝置處理器確定可疑行為或潛在問(wèn)題無(wú)法基于更深入的行為分析的結(jié)果得到識(shí)別和校正時(shí)(即，確定塊608＝“否”)，處理器可以重復(fù)在塊610-614中的操作直至細(xì)節(jié)水平足夠精細(xì)以識(shí)別問(wèn)題或直至確定所述問(wèn)題無(wú)法通過(guò)額外的細(xì)節(jié)得到識(shí)別或不存在問(wèn)題為止。

當(dāng)移動(dòng)裝置處理器確定可疑行為或潛在問(wèn)題可以基于更深入的行為分析的結(jié)果得到識(shí)別和校正時(shí)(即，確定塊608＝“是”)，在塊618中，移動(dòng)裝置處理器可以執(zhí)行操作以校正問(wèn)題/行為，并且處理器可以返回到塊602以執(zhí)行額外的操作。

在一個(gè)實(shí)施例中，作為方法600的塊602-618的部分，移動(dòng)裝置處理器可以執(zhí)行系統(tǒng)的行為的實(shí)時(shí)行為分析以從有限的且粗略的觀測(cè)中識(shí)別可疑行為、以動(dòng)態(tài)地確定行為以更詳細(xì)地觀測(cè)，并且以動(dòng)態(tài)地確定觀測(cè)所需要的細(xì)節(jié)的精確層級(jí)。這使得移動(dòng)裝置處理器能夠有效地識(shí)別問(wèn)題并且防止問(wèn)題的發(fā)生，而無(wú)需使用裝置上的大量的處理器、存儲(chǔ)器或電池資源。

各種實(shí)施例可以在多種計(jì)算裝置上實(shí)施，在圖7中以智能電話的形式說(shuō)明所述計(jì)算裝置的一個(gè)實(shí)例。智能電話700可以包括處理器702，所述處理器耦合到內(nèi)部存儲(chǔ)器704、顯示器712和揚(yáng)聲器714。另外，智能電話700可以包括用于發(fā)送和接收電磁輻射的天線，所述天線可連接到耦合到處理器702的無(wú)線數(shù)據(jù)鏈路和/或蜂窩式電話收發(fā)器708。智能電話700通常還包括用于接收用戶輸入的菜單選擇按鈕或搖臂開關(guān)720。

典型智能電話700還包括聲音編碼/解碼(codec)電路706，所述電路將從麥克風(fēng)接收的聲音數(shù)字化為適合于無(wú)線發(fā)射的數(shù)據(jù)包，且解碼所接收的聲音數(shù)據(jù)包以產(chǎn)生提供到揚(yáng)聲器以產(chǎn)生聲音的模擬信號(hào)。而且，處理器702、無(wú)線收發(fā)器708及編解碼器706中的一或多個(gè)可以包括數(shù)字信號(hào)處理器(dsp)電路(未單獨(dú)地示出)。

實(shí)施例方法的部分可以在客戶服務(wù)器架構(gòu)中實(shí)現(xiàn)，其中處理中的一些發(fā)生在服務(wù)器中，例如，維持普通操作性行為的數(shù)據(jù)庫(kù)，這可以通過(guò)移動(dòng)裝置處理器存取同時(shí)執(zhí)行實(shí)施例方法。此類實(shí)施例可以在多種市售服務(wù)器裝置中的任一者上實(shí)施，例如，圖8中說(shuō)明的服務(wù)器800。此類服務(wù)器800通常包括耦合到易失性存儲(chǔ)器802和例如磁盤驅(qū)動(dòng)器803等大容量非易失性存儲(chǔ)器的處理器801。服務(wù)器800還可以包括軟盤驅(qū)動(dòng)器、壓縮光盤(cd)或dvd光盤驅(qū)動(dòng)器804，其耦合到處理器801。服務(wù)器800還可以包括網(wǎng)絡(luò)接入端口806，其耦合到處理器801以用于建立與網(wǎng)絡(luò)805(例如耦合到其它廣播系統(tǒng)計(jì)算機(jī)和服務(wù)器的局域網(wǎng))的數(shù)據(jù)連接。

處理器702、801可為可通過(guò)軟件指令(應(yīng)用程序)配置以執(zhí)行多種功能(包含下文所描述的各種實(shí)施例的功能)的任何可編程微處理器、微型計(jì)算機(jī)或多處理器芯片。在一些移動(dòng)裝置中，可以提供多個(gè)處理器702，例如，一個(gè)處理器專用于無(wú)線通信功能，并且一個(gè)處理器專用于運(yùn)行其它應(yīng)用程序。通常，軟件應(yīng)用程序在被存取及加載到處理器702、801中之前可存儲(chǔ)于內(nèi)部存儲(chǔ)器704、802、803中。處理器702、801可以包括足以存儲(chǔ)應(yīng)用程序軟件指令的內(nèi)部存儲(chǔ)器。

在將來(lái)可使用或預(yù)期若干不同蜂窩式及移動(dòng)通信服務(wù)及標(biāo)準(zhǔn)，其全部可實(shí)施并受益于各種實(shí)施例。此類服務(wù)及標(biāo)準(zhǔn)包括(例如)第三代合作伙伴計(jì)劃(3gpp)、長(zhǎng)期演進(jìn)(lte)系統(tǒng)、第三代無(wú)線移動(dòng)通信技術(shù)(3g)、第四代無(wú)線移動(dòng)通信技術(shù)(4g)、全球移動(dòng)通信系統(tǒng)(gsm)、全球移動(dòng)電信系統(tǒng)(umts)、3gsm、通用包無(wú)線電服務(wù)(gprs)、碼分多址(cdma)系統(tǒng)(例如，cdmaone、cdma1020tm)、gsm演進(jìn)增強(qiáng)數(shù)據(jù)速率(edge)、高級(jí)移動(dòng)電話系統(tǒng)(amps)、數(shù)字amps(is-136/tdma)、演進(jìn)數(shù)據(jù)優(yōu)化(ev-do)、數(shù)字增強(qiáng)型無(wú)繩電信(dect)、全球微波接入互操作性(wimax)、無(wú)線局域網(wǎng)(wlan)、wi-fi安全訪問(wèn)協(xié)議i&ii(wpa、wpa2)，以及集成數(shù)字增強(qiáng)型網(wǎng)絡(luò)(iden)。這些技術(shù)中的每一個(gè)涉及(例如)語(yǔ)音、數(shù)據(jù)、信令和/或內(nèi)容消息的發(fā)射及接收。應(yīng)理解，對(duì)與個(gè)別電信標(biāo)準(zhǔn)或技術(shù)相關(guān)的術(shù)語(yǔ)及/或技術(shù)細(xì)節(jié)的任何參考是僅出于說(shuō)明性目的，且并不意圖將權(quán)利要求書的范圍限制為特定通信系統(tǒng)或技術(shù)，除非在權(quán)利要求語(yǔ)言中具體敘述。

術(shù)語(yǔ)“性能降級(jí)”在本申請(qǐng)中用于指代多種多樣的不希望的移動(dòng)裝置操作和特征，例如較長(zhǎng)處理時(shí)間、較慢實(shí)時(shí)響應(yīng)性、降低的電池壽命、私人數(shù)據(jù)的損失、惡意經(jīng)濟(jì)活動(dòng)(例如，發(fā)送未經(jīng)授權(quán)的收費(fèi)短信)、拒絕服務(wù)(dos)、與征用移動(dòng)裝置或利用電話以用于間諜或僵尸網(wǎng)絡(luò)活動(dòng)相關(guān)的操作等。

用于在可編程處理器上執(zhí)行以用于執(zhí)行各種實(shí)施例的操作的計(jì)算機(jī)程序代碼或“程序代碼”可以例如c、c++、c#、smalltalk、java、javascript、visualbasic、結(jié)構(gòu)化查詢語(yǔ)言(例如，transact-sql)、perl或各種其它編程語(yǔ)言等高級(jí)編程語(yǔ)言編寫。存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)媒體上的程序代碼或程序如在本申請(qǐng)中所使用可以指機(jī)器語(yǔ)言代碼(例如，目標(biāo)代碼)，所述機(jī)器語(yǔ)言代碼的格式可由處理器理解。

許多移動(dòng)計(jì)算裝置操作系統(tǒng)內(nèi)核被組織到用戶空間(其中運(yùn)行非特許代碼)和內(nèi)核空間(其中運(yùn)行特許代碼)中。這一分離在和其它通用公共許可證(gpl)環(huán)境中是尤其重要的，在所述環(huán)境中作為內(nèi)核空間的一部分的代碼必須是gpl授權(quán)的，而在用戶空間中運(yùn)行的代碼可以不是gpl授權(quán)的。應(yīng)理解除非另外明確地陳述，否則此處所討論的各種軟件組件/模塊可以在內(nèi)核空間或用戶空間中實(shí)施。

上述方法描述和過(guò)程流程圖僅僅作為說(shuō)明性實(shí)例提供，并且其并不意圖要求或暗示各種實(shí)施例的步驟必須以所呈現(xiàn)的順序進(jìn)行。如所屬領(lǐng)域的技術(shù)人員將了解，可以任何次序執(zhí)行前述實(shí)施例中的步驟的次序。例如“此后”、“接著”、“接下來(lái)”等詞無(wú)意限制步驟的次序；這些詞僅用于引導(dǎo)讀者瀏覽對(duì)方法的描述。另外，舉例來(lái)說(shuō)，使用冠詞“一”、“一個(gè)”或“所述”對(duì)單數(shù)形式的權(quán)利要求要素的任何參考不應(yīng)被解釋為將所述要素限制為單數(shù)。

如本申請(qǐng)中所使用，術(shù)語(yǔ)“組件”、“模塊”、“系統(tǒng)”、“引擎”、“發(fā)生器”、“管理器”等等意圖包括計(jì)算機(jī)相關(guān)的實(shí)體，例如(但不限于)硬件、固件、硬件與軟件的組合、軟件或執(zhí)行中的軟件，其被配置成執(zhí)行特定操作或功能。舉例來(lái)說(shuō)，組件可為但不限于在處理器上運(yùn)行的過(guò)程、處理器、對(duì)象、可執(zhí)行程序、執(zhí)行線程、程序和/或計(jì)算機(jī)。借助于說(shuō)明，在計(jì)算裝置上運(yùn)行的應(yīng)用程序以及所述計(jì)算裝置可被稱為組件。一或多個(gè)組件可以駐留在過(guò)程和/或執(zhí)行線程內(nèi)，并且組件可以局部化于一個(gè)處理器或核心上和/或分布在兩個(gè)或大于兩個(gè)處理器或核心之間。另外，這些組件可以從具有存儲(chǔ)在其上的各種指令和/或數(shù)據(jù)結(jié)構(gòu)的各種非暫時(shí)性計(jì)算機(jī)可讀媒體中執(zhí)行。組件可以借助于本地和/或遠(yuǎn)程過(guò)程、功能或過(guò)程調(diào)用、電子信號(hào)、數(shù)據(jù)包、存儲(chǔ)器讀取/寫入和其它已知的網(wǎng)絡(luò)、計(jì)算機(jī)、處理器和/或過(guò)程相關(guān)通信方法進(jìn)行通信。

結(jié)合本文揭示的實(shí)施例所描述的各種說(shuō)明性邏輯塊、模塊、電路及算法步驟可實(shí)施為電子硬件、計(jì)算機(jī)軟件或兩者的組合。為了清楚地說(shuō)明硬件與軟件的此可互換性，上文已大體上就其功能性來(lái)說(shuō)描述了各種說(shuō)明性組件、塊、模塊、電路和步驟。此類功能性是實(shí)施為硬件還是軟件取決于具體應(yīng)用及強(qiáng)加于整個(gè)系統(tǒng)的設(shè)計(jì)約束。所屬領(lǐng)域的技術(shù)人員可以針對(duì)每一特定應(yīng)用程序以不同方式來(lái)實(shí)施所描述的功能性，但此類實(shí)施方案決策不應(yīng)被解釋為會(huì)導(dǎo)致脫離本發(fā)明的范圍。

用于實(shí)施結(jié)合本文中所揭示的實(shí)施例而描述的各種說(shuō)明性邏輯、邏輯塊、模塊和電路的硬件可用以下各項(xiàng)來(lái)實(shí)施或執(zhí)行：通用處理器、數(shù)字信號(hào)處理器(dsp)、專用集成電路(asic)、現(xiàn)場(chǎng)可編程門陣列(fpga)或經(jīng)設(shè)計(jì)以執(zhí)行本文中所描述的功能的其它可編程邏輯裝置、離散門或晶體管邏輯、離散硬件組件，或其任何組合。通用處理器可為多處理器，但在替代方案中，處理器可為任何常規(guī)的處理器、控制器、微控制器或狀態(tài)機(jī)。處理器也可以被實(shí)施為計(jì)算裝置的組合，例如，dsp和多處理器的組合、多個(gè)多處理器、一或多個(gè)多處理器結(jié)合dsp核心，或任何其它此類配置。替代地，可由特定地針對(duì)給定功能的電路來(lái)執(zhí)行一些步驟或方法。

在一或多個(gè)示例性實(shí)施例中，所描述的功能可以在硬件、軟件、固件或其任何組合中實(shí)施。如果在軟件中實(shí)施，那么所述功能可以作為一或多個(gè)處理器可執(zhí)行指令或代碼存儲(chǔ)在非暫時(shí)性計(jì)算機(jī)可讀儲(chǔ)存媒體或非暫時(shí)性處理器可讀存儲(chǔ)媒體上。本文揭示的方法或算法的步驟可體現(xiàn)于可駐留在非暫時(shí)性計(jì)算機(jī)可讀或處理器可讀存儲(chǔ)媒體上的處理器可執(zhí)行軟件模塊中。非暫時(shí)性計(jì)算機(jī)可讀或處理器可讀媒體可為可由計(jì)算機(jī)或處理器存取的任何存儲(chǔ)媒體。借助實(shí)例但非限制，此類非暫時(shí)性計(jì)算機(jī)可讀或處理器可讀媒體可包含ram、rom、eeprom、快閃存儲(chǔ)器、cd-rom或其它光盤存儲(chǔ)器、磁盤存儲(chǔ)器或其它磁性存儲(chǔ)裝置，或可用于以指令或數(shù)據(jù)結(jié)構(gòu)的形式存儲(chǔ)所要的程序代碼且可由計(jì)算機(jī)存取的任何其它媒體。如本文中所使用的磁盤和光盤包括壓縮光盤(cd)、激光光盤、光學(xué)光盤、數(shù)字多功能光盤(dvd)、軟盤和藍(lán)光光盤，其中磁盤通常以磁性方式再現(xiàn)數(shù)據(jù)，而光盤用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)。以上各者的組合還包含在非暫時(shí)性計(jì)算機(jī)可讀和處理器可讀媒體的范圍內(nèi)。另外，方法或算法的操作可作為代碼和/或指令中的一者或任何組合或集合而駐留在可并入到計(jì)算機(jī)程序產(chǎn)品中的非暫時(shí)性處理器可讀媒體和/或計(jì)算機(jī)可讀媒體上。

提供對(duì)所揭示的實(shí)施例的先前描述以使所屬領(lǐng)域的技術(shù)人員能夠制作或使用本發(fā)明。所屬領(lǐng)域的技術(shù)人員將容易了解對(duì)這些實(shí)施例的各種修改，且可在不脫離本發(fā)明的精神或范圍的情況下將本文定義的一般原理應(yīng)用于其它實(shí)施例。因此，本發(fā)明并不意圖限于本文中所示的實(shí)施例，而應(yīng)被賦予與隨附權(quán)利要求書和本文中所揭示的原理和新穎特征相一致的最廣泛范圍。