发明创造名称:用以检测恶意软件的计算装置
外观设计名称:
决定号:181777
决定日:2019-06-20
委内编号:1F248698
优先权日:2012-03-19
申请(专利)号:201380015079.9
申请日:2013-03-14
复审请求人:高通股份有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:邢鹏
合议组组长:董杰
参审员:杜宇
国际分类号:G06F21/56,G06F21/55
外观设计分类号:
法律依据:专利法第22条3款
决定要点:如果一项权利要求与作为最接近现有技术的对比文件存在区别特征,但该区别特征属于本领域公知常识,本领域技术人员在最接近的现有技术的基础上能够得到结合本领域公知常识以解决其技术问题的技术启示,则该权利要求不具备创造性。
全文:
本复审请求涉及申请号为201380015079.9,名称为“用以检测恶意软件的计算装置”的发明专利申请(下称本申请)。申请人为高通股份有限公司。本申请的申请日为2013年03月14日,优先权日为2012年03月19日,公开日为2014年12月10日。
经实质审查,国家知识产权局原审查部门于2018年01月10日发出驳回决定,驳回了本申请,其理由是:权利要求1-26相对于对比文件1(US 2004187023A1, 公开日为2004年09月23日)和对比文件2(US 2007074289A1, 公开日为2007年03月29日)以及本领域公知常识的结合不具备专利法第22条第3款规定的创造性。驳回决定所依据的文本为申请人于2014年09月18日进入中国国家阶段时提交的原始国际申请文件的中文译文中的说明书摘要、摘要附图、说明书附图1-6,按照条约第28或41条修改的说明书第1-64段,于2017年04月24日权利要求第1-26项。驳回决定所针对的权利要求书如下:
1. 一种计算装置,其包括:
处理器,其经配置有处理器可执行指令以执行包括以下各者的操作:
将所述计算装置上的多个应用程序中的每一者的动作记录于动作日志中;
基于记录于所述动作日志中的所述动作产生所述多个应用程序中的每一应用程序的行为向量且使得每一行为向量通过多个数值来特性化其相关联的应用程序的行为,所述多个数值基于所述应用程序使用所述计算装置的一个或多个资源来执行记录于所述动作日志中的不同类型的动作的次数;
使用机器学习分类器,根据存储在所述计算装置中的行为模型以及所述行为向量的所述多个数值来确定每一应用程序的由每一行为向量特性化的行为是良性的还是可疑的;以及
响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对所述行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的。
2. 根据权利要求1所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行进一步包括以下操作的操作:
响应于确定由与应用程序相关联的所述行为向量特性化的所述行为并非良性而删除所述应用程序或限制所述应用程序使用。
3. 根据权利要求1所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得产生每一应用程序的所述行为向量包括:
基于所述动作日志的一组查询产生每一行为向量。
4. 根据权利要求3所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得基于所述动作日志的所述组查询产生所述行为向量包括:
基于存在查询、量查询、次序查询和类别查询中的至少一者产生每一行为向量。
5. 根据权利要求4所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得基于所述动作日志的所述组查询产生每一行为向量进一步包括:
基于包含所观测到的行为或期望的行为的查询产生所述行为向量中的至少一者。
6. 根据权利要求1所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得基于所述动作日志的所述组查询产生所述行为向量包括:
分析独立于装置的动作。
7. 根据权利要求1所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得基于所述动作日志的所述组查询产生所述行为向量包括:
分析相依于装置的动作。
8. 根据权利要求7所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得分析所述相依于装置的动作进一步包括分析应用程序安装信息、装置信息、通信信息和用户交互信息。
9. 根据权利要求1所述的计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得确定由每一行为向量特性化的所述行为是否为良性包括应用至少一个行为向量、对根据使用一组已知的良好的应用程序和一组已知的不良的应用程序获得的信息训练的分类器模型。
10. 根据权利要求1所述的计算装置,其中所述计算装置为移动装置。
11. 一种确定在计算装置中操作的应用程序是否为良性的方法,所述方法包括:
将多个应用程序中的每一者的动作记录于动作日志中;
基于记录于所述动作日志中的所述动作产生所述多个应用程序中的每一应用程序的行为向量且使得每一行为向量通过多个数值来特性化其相关联的应用程序的行为,所述多个数值基于所述应用程序使用所述计算装置的一个或多个资源来执行记录于所述动作日志中的不同类型的动作的次数;
使用机器学习分类器,根据存储在所述计算装置中的行为模型以及所述行为向量的所述多个数值来确定每一应用程序的由每一行为向量特性化的行为是良性的还是可疑的;以及
响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对所述行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序所上传的行为向量而被更新的。
12. 根据权利要求11所述的方法,其进一步包括响应于确定由与应用程序相关联的所述行为向量特性化的所述行为并非良性而删除所述应用程序或限制所述应用程序使用。
13. 根据权利要求11所述的方法,其中产生每一应用程序的所述行为向量包括:
基于所述动作日志的一组查询产生每一行为向量。
14. 根据权利要求13所述的方法,其中基于所述动作日志的所述组查询产生所述行为向量包括:
基于存在查询、量查询、次序查询和类别查询中的至少一者产生每一行为向量。
15. 根据权利要求14所述的方法,其中基于所述动作日志的所述组查询产生每一行为向量进一步包括:
基于包含所观测到的行为或期望的行为的查询产生所述行为向量中的至少一者。
16. 根据权利要求11所述的方法,其中基于所述动作日志的所述组查询产生所述行为向量包括:
分析独立于装置的动作。
17. 根据权利要求11所述的方法,其中基于所述动作日志的所述组查询产生所述行为向量包括:
分析相依于装置的动作。
18. 根据权利要求17所述的方法,其中分析所述相依于装置的动作进一步包括分析应用程序安装、装置信息、通信和用户交互。
19. 一种计算装置,其包括:
用于将多个应用程序中的每一者的动作记录于动作日志中的装置;
用于基于记录于所述动作日志中的所述动作产生所述多个应用程序中的每一应用程序的行为向量且使得每一行为向量通过多个数值来特性化其相关联的应用程序的行为的装置,所述多个数值基于所述应用程序使用所述计算装置的一个或多个资源来执行记录于所述动作日志中的不同类型的动作的次数;
用于使用机器学习分类器,根据存储在所述计算装置中的行为模型以及所述行为向量的所述多个数值来确定每一应用程序的由每一行为向量特性化的行为是否为良性或可疑的装置;以及
用于响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对所述行为模型的更新的装置,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的。
20. 根据权利要求19所述的计算装置,其进一步包括:
用于响应于确定由与应用程序相关联的所述行为向量特性化的所述行为并非良性而删除所述应用程序或限制所述应用程序使用的装置。
21. 根据权利要求19所述的计算装置,其中用于产生每一应用程序的所述行为向量的装置包括:
用于基于所述动作日志的一组查询产生每一行为向量的装置。
22. 根据权利要求21所述的计算装置,其中用于基于所述动作日志的所述组查询产生所述行为向量的装置包括:
用于基于存在查询、量查询、次序查询和类别查询中的至少一者产生每一行为向量的装置。
23. 根据权利要求22所述的计算装置,其中用于基于所述动作日志的所述组查询产生每一行为向量的装置进一步包括:
用于基于包含所观测到的行为或期望的行为的查询产生所述行为向量中的至少一者的装置。
24. 根据权利要求19所述的计算装置,其中用于基于所述动作日志的所述组查询产生所述行为向量的装置包括:
用于分析独立于装置的动作的装置。
25. 根据权利要求19所述的计算装置,其中用于基于所述动作日志的所述组查询产生所述行为向量的装置包括:
用于分析相依于装置的动作的装置。
26. 根据权利要求25所述的计算装置,其中用于分析所述相依于装置的动作的装置包括用于分析应用程序安装、装置信息、通信和用户交互的装置。
申请人(下称复审请求人)对上述驳回决定不服,于2018年04月11日向国家知识产权局提出了复审请求,同时修改了权利要求书。复审请求人认为:本申请的方法利用计算装置本身的处理器和存储器的功能性,而不是像对比文件1那样从服务器上下载程序,且可立即发生而不必像对比文件1中的技术那样等待来自服务器的关于新的恶意软件的更新,因此本领域技术人员不可能有动机从对比文件1出发并进一步结合其他现有技术(例如对比文件2,US2007074289A1)和/或本领域惯用手段进而得到权利要求1中的技术特征“使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的”,因此修改后的权利要求1-21具备创造性 。复审请求时新修改的权利要求书如下:
1. 一种移动计算装置,其包括:
处理器,其经配置有处理器可执行指令以:
监视在所述移动计算装置上操作的多个应用程序;
将经监视的应用程序的动作记录于动作日志中;
产生对关于存储于所述动作日志中的动作的查询的回答,所述回答包括对类别查询的回答;
基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构,其中:
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的。
2. 根据权利要求1所述的移动计算装置,其中所述处理器进一步经配置有处理器可执行指令以:
响应于确定由与应用程序相关联的所述向量信息结构特性化的所述行为并非良性而限制所述应用程序使用。
3. 根据权利要求1所述的移动计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得产生对关于存储于所述动作日志中的动作的查询的回答包括:
产生对存在查询、量查询或次序查询的至少一个回答。
4. 根据权利要求3所述的移动计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得产生对关于存储于所述动作日志中的动作的查询的回答进一步包括:
产生对关于所观测到的行为的查询以及关于期望的行为的查询的至少一个回答。
5. 根据权利要求1所述的移动计算装置,其中所述处理器进一步经配置有处理器可执行指令以
分析独立于装置的动作。
6. 根据权利要求1所述的移动计算装置,其中所述处理器进一步经配置有处理器可执行指令以
分析相依于装置的动作。
7. 根据权利要求6所述的移动计算装置,其中所述处理器经配置有处理器可执行指令以执行操作以使得分析所述相依于装置的动作包括分析以下各项的组合:
应用程序安装信息;
装置信息;
通信信息;和
用户交互信息。
8. 一种分析在移动计算装置上操作的多个应用程序的方法,所述方法包括:
由所述移动计算装置的处理器监视在所述移动计算装置上操作的所述多个应用程序;
由所述移动计算装置的所述处理器将经监视的应用程序的动作记录于动作日志中;
产生对关于存储于所述动作日志中的动作的查询的回答,所述回答包括对类别查询的回答;
由所述处理器基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构,其中:;
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
由所述处理器使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的。
9. 根据权利要求8所述的方法,其进一步包括响应于确定由与应用程序相关联的所述向量信息结构特性化的所述行为并非良性而限制所述应用程序使用。
10. 根据权利要求8所述的方法,其中产生对关于存储于所述动作日志中的动作的查询的回答包括:
产生对存在查询、量查询或次序查询的至少一个回答。
11. 根据权利要求10所述的方法,其中产生对关于存储于所述动作日志中的动作的查询的回答进一步包括:
产生对关于所观测到的行为的查询以及关于期望的行为的查询的至少一个回答。
12. 根据权利要求8所述的方法,其进一步包括:
分析独立于装置的动作。
13. 根据权利要求8所述的方法,其进一步包括:
分析相依于装置的动作。
14. 根据权利要求13所述的方法,其中分析所述相依于装置的动作进一步包括分析以下各项的组合:
应用程序安装信息;
装置信息;
通信信息;和
用户交互信息。
15. 一种移动计算装置,其包括:
用于监视在所述移动计算装置上操作的多个应用程序的装置;
用于将经监视的应用程序的动作记录于动作日志中的装置;
用于产生对关于存储于所述动作日志中的动作的查询的回答的装置,所述回答包括对类别查询的回答;
用于基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构的装置,其中:;
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
用于使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的装置。
16. 根据权利要求15所述的移动计算装置,其进一步包括:
用于响应于确定由与应用程序相关联的所述向量信息结构特性化的所述行为并非良性而限制所述应用程序使用的装置。
17. 根据权利要求15所述的移动计算装置,其中用于产生对关于存储于所述动作日志中的动作的查询的回答的装置包括:
用于产生对存在查询、量查询或次序查询的至少一个回答的装置。
18. 根据权利要求17所述的移动计算装置,其中用于产生对关于存储于所述动作日志中的动作的查询的回答的装置进一步包括:
用于产生对关于所观测到的行为的查询以及关于期望的行为的查询的至少一个回答的装置。
19. 根据权利要求15所述的移动计算装置,其进一步包括:
用于分析独立于装置的动作的装置。
20. 根据权利要求15所述的移动计算装置,其进一步包括:
用于分析相依于装置的动作的装置。
21. 根据权利要求20所述的移动计算装置,其中用于分析所述相依于装置的动作的装置包括用于分析以下各项的组合的装置:
应用程序安装信息;
装置信息;
通信信息;和
用户交互信息。
经形式审查合格,国家知识产权局于2018年05月14日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中坚持了原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019 年03 月28 日向复审请求人发出复审通知书,指出权利要求1-21相对于对比文件2和本领域公知常识的结合不具备专利法第22条第3款规定的创造性 。
复审请求人于2019 年04 月29 日提交了意见陈述书,并对权利要求1、8、15进行了修改,修改后的权利要求1、8、15如下:
1. 一种移动计算装置,其包括:
处理器,其经配置有处理器可执行指令以:
监视在所述移动计算装置上操作的多个应用程序;
将经监视的应用程序的动作记录于动作日志中;
产生对关于存储于所述动作日志中的动作的查询的回答,所述回答包括对类别查询的回答;
基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构,其中:
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的;以及
响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的。
8. 一种分析在移动计算装置上操作的多个应用程序的方法,所述方法包括:
由所述移动计算装置的处理器监视在所述移动计算装置上操作的所述多个应用程序;
由所述移动计算装置的所述处理器将经监视的应用程序的动作记录于动作日志中;
产生对关于存储于所述动作日志中的动作的查询的回答,所述回答包括对类别查询的回答;
由所述处理器基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构,其中:;
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
由所述处理器使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的;以及
响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的。
15. 一种移动计算装置,其包括:
用于监视在所述移动计算装置上操作的多个应用程序的装置;
用于将经监视的应用程序的动作记录于动作日志中的装置;
用于产生对关于存储于所述动作日志中的动作的查询的回答的装置,所述回答包括对类别查询的回答;
用于基于所产生的回答为所述多个应用程序中的每一应用程序产生向量信息结构的装置,其中:;
每一产生的向量信息结构包括多个数值;
所述多个数值中的至少一个数值识别应用程序的动作的出现次数;
所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;以及
每一产生的向量信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为;以及
用于使用机器学习分类器,根据所述多个数值来确定由每一向量信息结构特性化的行为是否为良性的装置;以及
响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的。
复审请求人认为:尽管对比文件2可能公开了使用由主机产生并发送的经加权的因素来确定受保护的计算机上的活动是否为恶意程序,但对比文件2并不涉及通过多个计算装置和服务器的合作来产生更准确且经更新的行为模型,因此,对比文件2未公开或教导本申请修改后的独立权利要求1的技术特征“响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的”,该技术特征能够带来产生更加准确且经更新的行为模型并且将模型传递到所有操作计算装置的有益技术效果。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在答复复审通知书时提交了修改文本,经审查,所述修改符合专利法第33条和专利法实施细则第61条第1款的规定。本复审请求审查决定所针对的审查文本为:申请人于2014年09月18日进入中国国家阶段时提交的原始国际申请文件的中文译文中的说明书摘要、摘要附图、说明书附图1-6,按照条约第28或41条修改的说明书第1-64段,于2019年04月29日权利要求第1-21项。
关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审决定使用的对比文件与复审通知书使用的对比文件相同,即:
对比文件2:US2007074289A1,公开日:2007年03月29日。
2.1、权利要求1请求保护一种移动计算装置。对比文件2公开了一种可以识别恶意软件的装置,并具体公开了如下技术特征(参见说明书第[0015]-[0032]段,图3):被保护的计算机102可以是任何类型的计算系统,如个人电脑,手持式计算机(相当于权利要求1的一种移动计算装置),服务器等;被保护的计算机与主计算机104相连接,其包括处理器以及与处理器耦合的存储器;被保护的计算机监测文件的接收,并监测被保护的计算机上创建的进程;然后对进程和文件进行关联,并监测这些进程的活动,产生一个日志文件320,该日志文件中记录了与接收文件关联的进程的活动以及接收文件的信息(相当于权利要求1的处理器,其经配置有处理器可执行指令以:监视在所述移动计算装置上操作的多个应用程序;将经监视的应用程序的动作记录于动作日志中);主计算机104从被保护的计算机102处中收集数据,主机104可以接收从参考框304-316中获得数据的日志文件320。一旦主机收集被保护计算机102的活动数据,主机104的数据分析模块110建立与活动模式对应的因子,并根据黑名单和白名单产生一个加权因子(相当于行为模型),该加权因子因此被发送回被保护的计算机,每个加权权重表示了每个因子相关与恶意软件的可能性;被保护的计算机102收集该计算机的历史活动,启发式模块224利用将活动历史和加权因子进行比较,以得到与加权因子相匹配的历史的活动(相当于权利要求1的产生对关于存储于所述动作日志中的动作的查询的回答;基于所产生的回答为所述多个应用程序中的每一应用程序产生因子信息结构,其中:每一产生的因子信息结构包括多个数值;每一产生的因子信息结构中的所述多个数值共同地特性化所述多个应用程序中的一应用程序的行为);如果与活动历史相匹配的加权因子的总和超过一个阈值,则该活动被认为是一个潜在的恶意活动(相当于权利要求1的根据所述多个数值来确定由每一因子信息结构特性化的行为是否为良性的)。
由此可见,权利要求1与对比文件2相比,其区别技术特征在于:所述回答包括对类别查询的回答;权利要求1中为向量信息结构,所述多个数值中的至少一个数值识别应用程序的动作的出现次数;所述多个数值中的至少一个数值根据对所述类别查询的所述回答而指示所述应用程序的类别;使用机器学习分类器进行识别,响应于应用程序的行为被分类为可疑,将所述应用程序的行为向量发送至服务器并接收针对所述机器学习分类器的对行为模型的更新,所述对所述行为模型的更新是基于对应于由计算装置的机器学习分类器分类为可疑的应用程序的所上传的行为向量而被更新的;而对比文件2中为因子信息结构,使用阈值进行识别。基于上述区别技术特征,本权利要求实际要解决问题是:取得何种类型的应用程序信息用于恶意软件的识别、如何对动作信息进行表示以及如何利用动作信息对恶意软件进行识别。
对比文件2公开了一种恶意软件的识别方法,在得到表示恶意软件可能性的多个加权因子值之后利用阈值来识别该软件是否为程序是否为恶意程序,由此可见其已经给出了根据软件的行为来识别恶意程序的启示,对于本领域技术人员而言除了使用阈值的方式来进行分类决策之外使用基于机器学习的方法来训练分类器也是本领域技术人员进行分类决策的常规选择,对于分类器而言,分类器的输入通常为向量形式,本领域技术人员在利用应用程序的行为进行恶意软件识别时,通常还会提取软件的类别信息,应用程序执行某种动作的次数信息,这都属于本领域的常用技术手段。另外,对比文件2还公开了通过主机host来产生加权因子,然后将加权因子发送回被保护的计算机,被保护的计算机在根据该加权因子来进行恶意软件的识别。由此可见对比文件2中主机host已经收集了众多被保护计算机的行为信息并且在主机host上产生了行为模型,在分类器是本领域技术人员进行软件行为模式分类识别常规选择的基础上本领域技术人员容易想到在主机host进行分类器的训练和更新,这就需要在识别到恶意软件时将恶意应用程序的行为向量发送至主机host,主机host根据更新的行为向量实现对分类器所需的行为模型的更新,这也属于本领域的常用技术手段。因此,在对比文件2的基础上结合本领域的常用技术手段从而得到权利要求1要求保护的技术方案对本领域技术人员而言是显而易见的。因此,权利要求1所要求保护的技术方案不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款所规定的创造性。
2.2、权利要求2引用权利要求1。对比文件2还公开了(参见说明书第[0015]-[0032]段,图3):如果加权因子之和大于第二阈值那么活动将被自动阻止(相当于权利要求2的响应于确定由与应用程序相关联的所述因子信息结构特性化的所述行为并非良性而限制所述应用程序使用)。另外,对于本领域技术人员而言除了使用阈值的方式来进行分类决策之外使用基于机器学习的方法来训练分类器也是本领域技术人员进行分类决策的常规选择,对于分类器而言,分类器的输入通常为向量形式,这属于本领域的常用技术手段。因此,当其引用的权利要求不具有创造性时,本权利要求也不具备专利法第22条第3款所规定的创造性。
2.3、权利要求3引用权利要求1。对比文件2还公开了(参见说明书第[0015]-[0032]段,图3):被保护的计算机102收集该计算机的历史活动,启发式模块224利用将活动历史和加权因子进行比较,以得到与加权因子相匹配的历史的活动(相当于权利要求3的其中所述处理器经配置有处理器可执行指令以执行操作以使得产生对关于存储于所述动作日志中的动作的查询的回答包括:产生对存在查询的回答)。在恶意软件的识别技术领域,在基于软件的行为进行恶意软件识别时还可以查询软件行为出现的次数以及软件行为序列出现的次数,这属于本领域的常用技术手段。因此,当其引用的权利要求不具有创造性时,本权利要求也不具备专利法第22条第3款所规定的创造性。
2.4、权利要求4引用权利要求3。对比文件2还公开了(参见说明书第[0015]-[0032]段,图3):被保护的计算机102收集该计算机的历史活动,启发式模块224利用将活动历史和加权因子进行比较,以得到与加权因子相匹配的历史的活动(相当于权利要求4的其中所述处理器经配置有处理器可执行指令以执行操作以使得产生对关于存储于所述动作日志中的动作的查询的回答进一步包括:产生对关于所观测到的行为的查询回答)。在恶意软件的识别技术领域,在基于软件的行为进行恶意软件识别时还可以基于期望的行为进行查询,这属于本领域的常用技术手段。因此,当其引用的权利要求不具有创造性时,本权利要求也不具备专利法第22条第3款所规定的创造性。
2.5、权利要求5、6引用权利要求1,权利要求7引用权利要求6。在恶意软件的识别技术领域,在基于软件的行为进行恶意软件识别时采集的行为可以是独立于装置的行为或者依存于装置的行为,依存于装置的行为又可以包括应用程序安装信息,装置信息,通信信息,用户交互信息等,这都属于本领域的常用技术手段。因此,当其引用的权利要求不具备创造性时,本权利要求也不具备专利法第22条第3款所规定的创造性。
2.6、权利要求8-14请求保护一种分析在移动计算装置上操作的多个应用程序的方法,其所限定的步骤与权利要求1-7处理器执行的指令相对应,权利要求15-21的所限定的装置也与在权利要求1-7处理器执行的指令相对应,因此基于评述权利要求1-7不具备创造性的相同理由,权利要求8-21也不具备专利法第22条第3款所规定的创造性。
对复审请求人相关意见的评述
针对复审请求人的意见陈述,合议组认为:
首先,参见权利要求1的评述可知对比文件2已经公开了行为模型,并且对比文件2中的行为模型是通过收集了众多被保护计算机的行为信息后在主机host产生的,由此可见该行为模型也是通过被保护计算机以及主机host合作产生的。
其次,为了提高软件行为识别的准确率,对行为模型进行更新是本领域技术人员的常规选择,对比文件2中还公开了(参见说明书第[0031]段)加权因子是根据将收集的到行为模式与白名单里面可信应用程序以及黑名单里面的恶意应用程序的模式进行比较得到,而本领域技术人员在通过识别方法识别到某应用程序为恶意的应用程序时将其加入到黑名单中是常规选择,在黑名单发生变化的情况下本领域技术人员自然而然地能够想到随之根据变化后的黑名单对行为模型进行更新。因此,在分类器是本领域技术人员进行软件行为模式分类识别常规选择的基础上本领域技术人员容易想到在主机host进行分类器的训练和更新,这就需要在识别到恶意软件时将恶意应用程序的行为向量发送至主机host,主机host根据更新的行为向量实现对分类器所需的行为模型的更新,这属于本领域的常用技术手段。
综上所述,复审请求人的理由不成立。本案合议组依法作出以下决定。
三、决定
维持国家知识产权局于2018 年01 月10 日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可以自收到本复审请求审查决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
