[发明专利]软件恶意行为的建模及判断方法、装置和移动终端

说明书

技术领域

本发明涉及移动通信技术领域，特别涉及一种软件恶意行为建模方法及建模装置、采用上述建模装置的移动终端以及软件恶意行为的判断方法和软件恶意的判断方法。

背景技术

随着软件及移动通信技术的发展，在移动终端(例如手机)中植入软件已成为智能手机的主要特征。伴随着越来越多的软件植入到手机中，部分恶意软件也被植入。其中，恶意软件是指执行恶意行为的软件。这些恶意行为包括窃取用户的隐私信息、窃听用户通话内容等。为此，需要对手机中的恶意软件建立模型以便对上述恶意软件的恶意行为进行管理。

传统的恶意软件的恶意行为建模方法包括以下两类：

1)基于可执行文件的恶意行为建模方法：该方法主要分析软件的可执行文件，对恶意软件可执行文件的特征进行法分析和抽象以建立恶意行为模型。其中，恶意软件可执行文件的特征包括：文件特征和API调用序列等。通常，每个恶意软件对应一个恶意行为特征。

基于可执行文件的恶意行为建模方法的缺陷在于：该方法为每一个恶意软件建立一个恶意行为特征，随着恶意软件越来越多，采用该方法建立的恶意行为模型数量过多，从而给系统或安全软件使用上述建模方法执行恶意行为检测时，带来大量资源开销，从而极大地影响系统性能。而且，通一个恶意软件可以通过加壳等技术改变可执行文件特征，从而使已有的恶意行为模型失效。

2)基于单一敏感权限的恶意行为建模方法。该方法将应用程序的单一权限访问作为恶意行为模型的主体。当软件采用了该单一权限时，则认为该软件符合此恶意行为模型。

基于单一敏感权限的恶意行为建模方法的缺陷在于：该方法过于笼统，无法有效地区分真正的恶意软件和使用了相同权限的正常软件，从而丧失了恶意行为建模的意义。

此外，传统的恶意行为建模方法没有考虑权限访问之间的内在联系以及其所处的系统状态，从而也就无法体现恶意行为的本质和目的。传统的恶意行为建模方法不具有可定制性，从而用户无法根据自己的需求自定义恶意行为模型，进而导致无法满足用户的定制需求，用户的体验度低。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一。

为此，本发明的第一目的在于提出一种软件恶意行为建模方法，该方法可以便于用户根据自身需求进行定义，提高了用户的体验度。本发明的第二个目的在于一种软件恶意行为建模装置。本发明的第三个目的在于提供一种具有上述建模装置的移动终端。本发明的第四个目的在于提供一种软件恶意行为的判断方法，该方法可以对软件执行的恶意行为进行判断。本发明的第五个目的在于提供一种具有上述建模装置的移动终端，该移动终端可以对软件的恶意行为进行判断。本发明的第六个目的在于提供一种软件恶意的判断方法，该方法可以根据上述建模方法建立的恶意行为模型判断软件是否为恶意软件。本发明的第七个目的在于提供一种具有上述建模装置的移动终端，该移动终端可以用于判断软件是否为恶意软件。

为实现上述目的，本发明的第一方面的实施例提供了一种软件恶意行为建模方法，包括如下步骤：

根据对移动终端中敏感资源的访问生成至少一个敏感动作；

根据所述移动终端中系统所处的持续状态生成至少一个上下文；以及

根据所述至少一个敏感动作中的一个或多个敏感动作和/或所述至少一个上下文中的一个上下文生成恶意行为模型。

根据本发明实施例的软件恶意行为建模方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。

本发明第二方面的实施例提供了一种软件恶意行为建模装置，包括敏感动作生成模块，用于对移动终端中敏感资源的访问生成至少一个敏感动作；上下文生成模块，用于根据所述移动终端中系统当前所处的持续状态生成至少一个上下文；以及建模模块，用于根据所述至少一个敏感动作中的一个或多个敏感动作和/或所述至少一个上下文中的一个上下文生成恶意行为模型。

根据本发明实施例的软件恶意行为建模装置，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。

本发明第三方面的实施例提供了一种移动终端，包括本发明第二实施例提供的软件恶意行为建模装置和恶意模型编辑模块，用于将所述软件恶意行为建模装置已建立的恶意行为模型显示给所述移动终端的用户，以供所述用户进行编辑、浏览或删除。