WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Options
Query Language
Stem
Sort by:
List Length
Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2017185827) METHOD AND APPARATUS FOR DETERMINING SUSPICIOUS ACTIVITY OF APPLICATION PROGRAM
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.: WO/2017/185827 International Application No.: PCT/CN2017/070468
Publication Date: 02.11.2017 International Filing Date: 06.01.2017
IPC:
G06F 21/56 (2013.01)
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
21
Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50
Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55
Detecting local intrusion or implementing counter-measures
56
Computer malware detection or handling, e.g. anti-virus arrangements
Applicants: HUAWEI TECHNOLOGIES CO., LTD.[CN/CN]; Huawei Administration Building Bantian, Longgang District Shenzhen, Guangdong 518129, CN
Inventors: LIU, Zhenhua; CN
Priority Data:
201610266466.526.04.2016CN
Title (EN) METHOD AND APPARATUS FOR DETERMINING SUSPICIOUS ACTIVITY OF APPLICATION PROGRAM
(FR) PROCÉDÉ ET APPAREIL POUR DÉTERMINER UNE ACTIVITÉ SUSPECTE D'UN PROGRAMME D'APPLICATION
(ZH) 用于确定应用程序可疑行为的方法和装置
Abstract:
(EN) A method and an apparatus for determining suspicious activity of an application program. The method comprises: when determining that the data accessed by a process activity of a first application program belongs to a second application program that is different to the first application program, a terminal device (110) determines that the process activity is candidate suspicious activity, the data comprising at least one of a process, a thread, a file, a directory, or a registry entry; the terminal device (110) sends activity characteristics information of the process activity to a data analysis server (120), such that the data analysis server (120), on the basis of the activity characteristics information of the process activity, determines whether the process activity is suspicious activity. On this basis, the suspicious activity of illegal access to application program data in the terminal device (110) can be determined; compared to the prior art, the present method does not need to rely on security software and does not require the user to participate in the determination, and can improve the accuracy and reliability of determining suspicious activity, thereby improving overall system performance.
(FR) L'invention concerne un procédé et un appareil permettant de déterminer une activité suspecte d'un programme d'application. Le procédé comprend les étapes suivantes : lorsqu'il est déterminé que les données auxquelles accède une activité de processus d'un premier programme d'application appartiennent à un deuxième programme d'application qui est différent du premier programme d'application, un dispositif terminal (110) détermine que l'activité de processus est une activité suspecte candidate, les données comprenant au moins un élément parmi un processus, une tâche élémentaire, un fichier, un répertoire ou une entrée de registre ; le dispositif terminal (110) envoie des informations caractéristiques d'activité de l'activité du processus à un serveur d'analyse de données (120), de sorte que le serveur d'analyse de données (120), en se basant sur les informations caractéristiques d'activité de l'activité de processus, détermine si l'activité de processus est une activité suspecte. L'invention permet ainsi de déterminer l'activité suspecte d'un accès illégal à des données de programme d'application dans le dispositif terminal (110). En comparaison de l'état de la technique, le procédé selon l'invention n'a pas besoin de s'en remettre à un logiciel de sécurité et ne nécessite pas la participation de l'utilisateur à la détermination, et il peut améliorer la précision et la fiabilité de la détermination de l'activité suspecte, améliorant ainsi les performances générales du système.
(ZH) 一种用于确定应用程序可疑行为的方法和装置。该方法包括:终端设备(110)在确定第一应用程序的进程行为所访问的数据属于不同于该第一应用程序的第二应用程序时,将该进程行为确定为候选可疑行为,该数据包括进程、线程、文件、目录以及注册表项中的至少一个;该终端设备(110)向数据分析服务器(120)发送该进程行为的行为特征信息,以便于该数据分析服务器(120)根据该进程行为的行为特征信息确定该进程行为是否为可疑行为。基于此,能够确定出终端设备(110)中非法访问应用程序数据的可疑行为,与现有技术相比,该方法无需依赖安全软件,并且不需要用户参与确定,能够提高可疑行为的判定的准确度和可靠性,从而提高系统整体性能。
front page image
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW
African Regional Intellectual Property Organization (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Office (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (EPO) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG)
Publication Language: Chinese (ZH)
Filing Language: Chinese (ZH)