使用蜜罐工作流程来进行软件评审的制作方法.docx

使用蜜罐工作流程来进行软件评审的制作方法使用蜜罐工作流程来进行软件评审的制作方法本发明涉及使用蜜罐工作流程来进行软件评审应用程序分发服务器可用于对应用程序进行应用程序分发处理，其中所述应用程序分发处理包括多个阶段所述多个阶段可以顺次包括开发者帐户创建阶段、风险评估阶段、应用程序上传阶段、应用程序发布阶段、应用程序推广阶段和应用程序下载阶段所述应用程序分发服务器可以在所述多个阶段的各阶段中检测是否发生与使用所述应用程序来分发不期望软件相对应的特定行为在所述应用程序分发处理的特定阶段中检测到发生了所述特定行为的情况下，不通信与检测到发生了所述特定行为有关的信息而是利用陷阱系统对所述应用程序继续所述特定阶段之后的一个或多个后续阶段专利说明】使用蜜罐工作流程来进行软件评审【技术领域】[0001]本发明的特定实施例涉及诸如恶意软件等的恶意的或不期望的软件的检测更具体地，本发明的特定实施例涉及使用蜜罐工作流程来进行软件评审的方法和系统背景技术】[0002]应用程序分发服务器可以包括可以分发至例如智能、移动、平板电脑和/或其它数据处理装置等的最终用户装置的多个已发布的应用程序这些应用程序的一些开发者实际可能是可以利用应用程序分发服务器作为用以分发不期望软件的方式的攻击者。

可能利用或创建诸如恶意软件等的不期望软件来破坏装置操作、收集敏感信息和/或获得对私人数据处理系统的访问不期望软件例如可以包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和/或其它恶意程序[0003]通过如参考附图在本申请的其余部分中所述、将这些系统与本发明进行比较，常规和传统方法的其它限制和缺点对于本领域技术人员而言将变得明白发明内容】[0004]本发明的方面涉及用于使用蜜罐工作流程来进行软件评审的方法和系统在本发明的各实施例中，应用程序分发服务器可以包括可以下载和/或安装到例如智能、移动和/或平板电脑等的最终用户装置上的多个应用程序应用程序分发服务器可以对应用程序进行应用程序分发处理，其中该应用程序分发处理可以包括多个阶段应用程序分发服务器可以在多个阶段的各阶段中检测是否可能发生与使用应用程序来分发不期望软件相对应的特定行为在特定阶段中检测到发生了特定行为的情况下，应用程序分发服务器可以在不将与检测到特定行为有关的信息通信至例如与该应用程序相关联的攻击者的情况下，利用陷阱系统对该应用程序继续应用程序分发处理中的一个或多个后续阶段在这方面，例如，多个阶段可以顺次包括开发者帐户创建阶段、风险评估阶段、应用程序上传阶段、应用程序发布阶段、应用程序推广阶段和应用程序下载阶段。

[0005]通过以下的说明和附图，将更加充分地理解本发明的各种优点、方面和新颖特征及其例示实施例的详细内容专利附图】【附图说明】[0006]图1是示出根据本发明实施例的示例通信系统的框图[0007]图2是示出根据本发明实施例的示例应用程序分发服务器的框图[0008]图3是示出根据本发明实施例的利用蜜罐工作流程的示例应用程序分发处理的框图[0009]图4是示出根据本发明实施例的用于使用蜜罐工作流程来进行软件评审的示例步骤的流程图具体实施方式】[0010]在用于使用蜜罐工作流程来进行软件评审的方法和系统中可以找到本发明的特定实施例在以下说明和附图中陈述了特定具体细节以提供对本发明的各实施例的全面理解然而，本领域技术人员将理解，可以在不具有以下说明所述的若干细节的情况下实践本发明的附加实施例[0011 ] 在本发明的各实施例中，应用程序分发服务器可用于对应用程序进行应用程序分发处理，其中该应用程序分发处理可以包括多个阶段例如，应用程序分发处理的多个阶段可以顺次包括开发者帐户创建阶段、风险评估阶段、应用程序上传阶段、应用程序发布阶段、应用程序推广阶段和应用程序下载阶段应用程序分发服务器可用于在这多个阶段的各阶段中检测是否可能发生与使用应用程序来分发不期望软件相对应的特定行为。

在应用程序分发处理的特定阶段中检测到发生了特定行为的情况下，应用程序分发服务器可用于在不通信与检测到发生了特定行为有关的信息的情况下，利用陷阱系统对该应用程序继续特定阶段之后的一个或多个后续阶段[0012]在本发明的示例实施例中，在风险评估阶段中检测到发生了特定行为的情况下，应用程序分发服务器例如可用于在不封锁帐户的情况下对应用程序创建陷阱帐户在应用程序上传阶段和/或该应用程序上传阶段之前的先前阶段中检测到发生了特定行为的情况下，应用程序分发服务器例如可用于在不暂停应用程序的情况下，将可能已上传至应用程序分发服务器的应用程序标记为陷阱应用程序在应用程序发布阶段和/或该应用程序发布阶段之前的先前阶段中检测到发生了特定行为的情况下，应用程序分发服务器例如可用于在不暂停应用程序的情况下将可能已发布的应用程序标记为陷阱应用程序，并且防止将所发布的陷阱应用程序下载到最终用户装置上在应用程序推广阶段和/或该应用程序推广阶段之前的先前阶段检测到中发生了特定行为的情况下，应用程序分发服务器例如可用于在不暂停应用程序的情况下将可能已推广的应用程序标记为陷阱应用程序，并且防止将所推广的陷阱应用程序安装在最终用户装置中。

[0013]在本发明的示例实施例中，应用程序分发服务器例如可用于允许将所推广的陷阱应用程序安装在一个或多个陷阱最终用户装置中，其中这一个或多个陷阱最终用户装置可以是为了运行所安装的陷阱应用程序而创建的在这种情况下，应用程序分发服务器可用于基于所安装的陷阱应用程序在一个或多个陷阱最终用户装置上的运行来监控到应用程序分发服务器的通信量然后，应用程序分发服务器可用于基于该监控来确定不期望软件可能如何尝试分发[0014]图1是示出根据本发明实施例的示例通信系统的框图参考图1，示出通信系统100通信系统100可以包括应用程序分发服务器102、通信网络130和多个最终用户装置110，其中在这些最终用户装置110中例示出最终用户装置IlOa?110d[0015]应用程序分发服务器102可以包括例如可用于将应用程序发布和/或分发至最终用户装置110的适当的逻辑、电路、接口和/或代码在本发明的示例实施例中，应用程序分发服务器102可以进行用于将应用程序分发至多个最终用户装置110中的一个或多个的应用程序分发处理在这方面，该应用程序分发处理可以顺次包括例如开发者帐户创建阶段、风险评估阶段、应用程序上传阶段、应用程序发布阶段、应用程序推广阶段和应用程序下载阶段等的多个阶段。

应用程序分发服务器102可用于在这多个阶段的各阶段中检测是否可能发生与使用应用程序来分发不期望软件相对应的特定行为[0016]诸如蜜罐等的陷阱系统可以是可以用来收集与诸如攻击者104等的攻击者有关的信息的陷阱集合，其中该攻击者104可以利用应用程序分发服务器102作为用以分发例如恶意软件等的不期望软件的方式在本发明的示例实施例中，应用程序分发服务器102可用于利用陷阱或蜜罐工作流程来在多阶段的应用程序分发处理中进行恶意软件评审和/或检测[0017]诸如最终用户装置IlOa等的各最终用户装置110可以包括可用于处理数据或信号的适当的逻辑、电路、接口和/或代码最终用户装置IlOa可用于在整个通信网络130内进行信号的通信最终用户装置IlOa例如可以包括智能、移动、平板电脑和/或其它相似类型的数据处理装置在本发明的示例实施例中，可以将一个或多个应用程序从应用程序分发服务器102例如经由通信网络130下载到和/或安装在最终用户装置IlOa中[0018]通信网络130可以包括可用于通过使用各种无线和/或有线通信技术来将数据和语音通信服务提供至各种装置和/或实体的适当的逻辑、电路、接口、装置和/或代码。

通信网络130例如可以包括因特网、蜂窝网络和/或其它多媒体网络在本发明的示例实施例中，通信网络130可用于在应用程序分发服务器102、攻击者104和/或多个最终用户装置IlOa?IlOd之间提供通信[0019]在工作中，应用程序分发服务器102可用于对应用程序进行应用程序分发处理，其中该应用程序分发处理可以包括多个阶段例如，应用程序分发处理的多个阶段可以顺次包括开发者帐户创建阶段、风险评估阶段、应用程序上传阶段、应用程序发布阶段、应用程序推广阶段和应用程序下载阶段在应用程序上传阶段，例如可以将应用程序经由通信网络130上传至应用程序分发服务器102在应用程序下载阶段，例如可以将应用程序从应用程序分发服务器102经由通信网络130下载到诸如最终用户装置IlOa等的最终用户装置上[0020]例如，应用程序分发服务器102可用于在多个阶段的各阶段中检测是否可能发生特定行为，其中该特定行为可以与使用应用程序来分发诸如恶意软件等的不期望软件相对应在应用程序分发处理的特定阶段中检测到发生了特定行为的情况下，应用程序分发服务器102可用于在不将与检测到发生了特定行为有关的信息通信至例如可能与该应用程序相关联的攻击者104的情况下，利用诸如蜜罐等的陷阱系统对该应用程序继续该特定阶段之后的一个或多个后续阶段。

在这方面，在应用程序分发处理的各阶段中，应用程序分发服务器102通过允许使用诸如蜜罐等的陷阱系统复制该处理的后续阶段，不向攻击者104提供用以判断特定行为(或不良行为)被检测到的能力因而，即使在被应用程序分发服务器102检测到的情况下，攻击者104也可能不会观测到他或她已被检测到该欺诈可以维持得越长，攻击者104可能产生的特定行为的感兴趣信号越多，因而利用应用程序分发服务器102可以收集到的与特定行为有关的信息越多，并且应用程序分发服务器102在防止诸如恶意软件等的不期望软件到达最终用户装置IlOa?IlOd方面可以更加有效[0021]在本发明的示例实施例中，在风险评估阶段中检测到发生了特定行为的情况下，应用程序分发服务器102例如可用于在不封锁帐户的情况下对应用程序创建陷阱帐户在应用程序上传阶段和/或该应用程序上传阶段之前的先前阶段中检测到发生了特定行为的情况下，应用程序分发服务器102例如可用于在不暂停应用程序的情况下，将可能已上传至应用程序分发服务器102的应用程序标记为陷阱应用程序在应用程序发布阶段和/或该应用程序发布阶段之前的先前阶段中检测到发生了特定行为的情况下，应用程序分发服务器102例如可用于在不暂停应用程序的情况下将可能已发布的应用程序标记为陷阱应用程序，并且防止将所发布的陷阱应用程序下载到诸如最终用户装置IlOa等的最终用户装置上。

在应用程序推广阶段和/或该应用程序推广阶段之前的先前阶段中检测到发生了特定行为的情况下，应用程序分发服务器102例如可用于在不暂停应用程序的情况下将可能已推广的应用程序标记为陷阱应用程序，并且防止将所推广的陷阱应用程序安装在诸如最终用户装置IlOa等的最终用户装置中在这方面，尽管可以利用陷阱应用程序来观测攻击者104，但该陷阱应用程序实际可能没有被下载到和/或安装在最终用户装置IlOa?IlOd 中[0022]在本发明的示例实施例中，应用程序分发服务器102例如可用于允许将所推广的陷阱应用程序安装在一个或多个陷阱最终用户装置中，其中这一个或多个陷阱最终用户装置可以是为了运行所安装的陷阱应用程序而创建的在这种情况下，应用程序分发服务器102可用于基于所安装的陷阱应用程序在一个或多个陷阱最终用户装置上的运行来监控到应用程序分发服务器102的通信量然后，应用程序分发服务器102例如可用于基于该监控来确定可能如何尝试分发不期望软件[0023]图2是示出根据本发明实施例的示例应用程序分发服务器的框图参考图2，示出应用程序分发服务器102应用程序分发服务器102例如可以包括软件检测模块202、处理器208和存储器210。

应用程序分发服务器102可以包括例示出应用程序206a?206c的多个应用程序20。