應(yīng)用程序的分析方法���、裝置和客戶端的制作方法
【專利摘要】本發(fā)明提出一種應(yīng)用程序的分析方法�����、裝置和客戶端�。其中����,該應(yīng)用程序的分析方法包括以下步驟:獲取待檢測的應(yīng)用程序的一個或多個行為;分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)���;以及根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析應(yīng)用程序的類型����。根據(jù)本發(fā)明實施例方法,能夠全面地分析出異常應(yīng)用程序�,可防止對應(yīng)用程序類型的誤判,提高應(yīng)用程序分析的準確率�����,從而對異常應(yīng)用程序進行有效攔截�����。
【專利說明】應(yīng)用程序的分析方法����、裝置和客戶端
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機【技術(shù)領(lǐng)域】���,尤其涉及一種應(yīng)用程序的分析方法�����、裝置和客戶端�。
【背景技術(shù)】
[0002]目前,一些第三方開發(fā)者會在部分網(wǎng)絡(luò)資源寫入惡意代碼使其成為惡意文件�,當用戶下載、傳輸或使用這些文件時��,惡意文件中的惡意代碼會在用戶的終端執(zhí)行�����,惡意代碼執(zhí)行過程中會彈出惡意廣告�、掃描用戶信息,甚至?xí)鄹目蛻舳说奈募蚬艨蛻舳说南到y(tǒng)����,存在嚴重的安全隱患并且還可能泄露用戶信息,給用戶帶來干擾和不便����。因此如何對惡意文件進行分析和檢測已成為現(xiàn)下亟待解決的問題。
[0003]現(xiàn)有的惡意文件檢測方法主要是基于文件的行為特征進行檢測的方法�,該方法首先將待檢測文件在虛擬機中運行,并記錄待檢測文件運行過程中的指令序列�、API (Applicat1n Programming Interface,應(yīng)用程序接口)調(diào)用組合及頻率以及在運行過程中產(chǎn)生的行為等行為特征,然后將記錄的行為特征的與預(yù)先收集的異常行為特征進行對t匕�,進而可根據(jù)異常行為特征的出現(xiàn)數(shù)量來確定待檢測文件為惡意文件的概率。
[0004]實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:基于文件的行為特征進行檢測的方法僅僅通過文件運行過程中產(chǎn)生的行為命中黑行為特征的數(shù)量來判斷一個文件是否是惡意文件���,容易造成誤報���,檢測不準確,不能有效的對而已文件進行檢測���。例如�,一個文件運行過程中產(chǎn)生的行為總數(shù)較少���,即使該文件的全部行為命中黑行為特征��,但由于數(shù)量較少而未達到判定惡意文件的條件�����,則將該文件誤報為正常文件���;又如�,一個文件運行過程產(chǎn)生的行為雖然命中黑行為特征的條數(shù)比較多,達到了判定為惡意文件的數(shù)量�����,但是還有更多的行為沒有命中,那么直接將該文件判定為惡意文件也會產(chǎn)生誤報�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明旨在至少解決上述技術(shù)問題之一��。
[0006]為此����,本發(fā)明的第一個目的在于提出一種應(yīng)用程序的分析方法。該方法能夠全面地分析出異常應(yīng)用程序�����,可防止對應(yīng)用程序類型的誤判����,提高應(yīng)用程序分析的準確率,從而對異常應(yīng)用程序進行有效攔截�����。
[0007]本發(fā)明的第二個目的在于提出一種應(yīng)用程序的分析裝置�����。
[0008]本發(fā)明的第三個目的在于提出一種客戶端。
[0009]為了實現(xiàn)上述目的���,本發(fā)明第一方面實施例的應(yīng)用程序的分析方法���,包括以下步驟:獲取待檢測的應(yīng)用程序的一個或多個行為;分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)�;以及根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型。
[0010]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析方法�����,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型����,由此,能夠全面地分析出異常應(yīng)用程序��,由此����,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型���,可防止對應(yīng)用程序類型的誤判��,提高應(yīng)用程序分析的準確率��,從而對異常應(yīng)用程序進行有效攔截�。
[0011]為了實現(xiàn)上述目的,本發(fā)明第二方面實施例的應(yīng)用程序的分析裝置����,包括:獲取模塊,用于待檢測的應(yīng)用程序的一個或多個行為��;檢測模塊����,用于分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù);以及分析模塊���,用于根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型�����。
[0012]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析裝置���,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型�,由此����,能夠全面地分析出異常應(yīng)用程序,由此���,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型����,可防止對應(yīng)用程序類型的誤判�����,提高應(yīng)用程序分析的準確率�����,從而對異常應(yīng)用程序進行有效攔截�����。
[0013]為了實現(xiàn)上述目的���,本發(fā)明第三方面實施例的客戶端�,包括:外殼,顯示器����、電路板和處理器���,其中�����,所述電路板安置在所述外殼圍成的空間內(nèi)部�����,所述顯示器在所述外殼外部����,并與所述電路板相連接���,所述處理器設(shè)置在所述電路板上�����;所述處理器用于處理數(shù)據(jù)����,并具體用于:獲取待檢測的應(yīng)用程序的一個或多個行為;分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)���;以及根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型���。
[0014]根據(jù)本發(fā)明實施例的客戶端,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型��,由此�����,能夠全面地分析出異常應(yīng)用程序�����,由此�����,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型����,可防止對應(yīng)用程序類型的誤判�,提高應(yīng)用程序分析的準確率����,從而對異常應(yīng)用程序進行有效攔截。
[0015]本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出���,部分將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到��。
【專利附圖】
【附圖說明】
[0016]本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解����,其中,
[0017]圖1是根據(jù)本發(fā)明一個實施例的應(yīng)用程序的分析方法的流程圖��;
[0018]圖2是根據(jù)本發(fā)明一個實施例的步驟S103的具體流程圖�;
[0019]圖3是根據(jù)本發(fā)明另一個實施例的應(yīng)用程序的分析方法的流程圖;
[0020]圖4是根據(jù)本發(fā)明一個實施例的步驟S302的具體流程圖����;
[0021]圖5是根據(jù)本發(fā)明又一個實施例的應(yīng)用程序的分析方法的流程圖;
[0022]圖6是根據(jù)本發(fā)明一個實施例的步驟S505的具體流程圖�;
[0023]圖7是根據(jù)本發(fā)明一個實施例的應(yīng)用程序的分析裝置的結(jié)構(gòu)示意圖;
[0024]圖8是根據(jù)本發(fā)明另一個實施例的行為特征的分析裝置的結(jié)構(gòu)示意圖��。
【具體實施方式】
[0025]下面詳細描述本發(fā)明的實施例,所述實施例的示例在附圖中示出�,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的��,僅用于解釋本發(fā)明���,而不能理解為對本發(fā)明的限制�。相反�,本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物�����。
[0026]在本發(fā)明的描述中��,需要理解的是��,術(shù)語“第一”�����、“第二”等僅用于描述目的�,而不能理解為指示或暗示相對重要性。在本發(fā)明的描述中,需要說明的是����,除非另有明確的規(guī)定和限定,術(shù)語“相連”�、“連接”應(yīng)做廣義理解,例如��,可以是固定連接��,也可以是可拆卸連接����,或一體地連接����;可以是機械連接,也可以是電連接����;可以是直接相連,也可以通過中間媒介間接相連����。對于本領(lǐng)域的普通技術(shù)人員而言,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。此外����,在本發(fā)明的描述中,除非另有說明�����,“多個”的含義是兩個或兩個以上�����。
[0027]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為����,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分���,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)��,其中可以不按所示出或討論的順序�,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序��,來執(zhí)行功能�����,這應(yīng)被本發(fā)明的實施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解。
[0028]下面參考附圖描述根據(jù)本發(fā)明實施例的應(yīng)用程序的分析方法��、裝置和客戶端��。
[0029]目前���,通過靜態(tài)特征分析法分析應(yīng)用程序類型會因程序代碼結(jié)果變化而失效����。而基于行為特征對應(yīng)用程序進行動態(tài)分析時�����,通過應(yīng)用程序在運行過程中產(chǎn)生的行為命中異常樣本特征庫中行為的數(shù)量判斷其類型��,也容易造成誤判��,分析結(jié)果不夠準確如�。如果根據(jù)應(yīng)用程序的行為在異常特征庫中的出現(xiàn)次數(shù)對行為特征進行綜合分析�����,則可準確的分析應(yīng)用程序的類型,為此提出一種應(yīng)用程序的分析方法��。
[0030]圖1是根據(jù)本發(fā)明一個實施例的應(yīng)用程序的分析方法的流程圖���。如圖1所示��,該應(yīng)用程序的分析方法包括以下步驟���。
[0031]S101,獲取待檢測的應(yīng)用程序的一個或多個行為��。
[0032]在本發(fā)明的一個實施例中����,待檢測的應(yīng)用程序的行為可以是待檢測的應(yīng)用程序在虛擬機中運行過程中所進行的操作,如創(chuàng)建文件����、訪問注冊表、連接網(wǎng)絡(luò)等操作��。舉例來說�����,服務(wù)器可獲取該應(yīng)用程序在運行過程中產(chǎn)生的注入系統(tǒng)進程、釋放病毒文件����、連接特定IP(Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)地址或者打開特定網(wǎng)站等行為。
[0033]S102��,分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)��。
[0034]在本發(fā)明的一個實施例中�,第一樣本特征庫可以為異常樣本特征庫,其中�����,第一樣本特征庫中可包括多個異常樣本行為特征和多個異常樣本行為�����,其中�,異常樣本行為特征為異常應(yīng)用程序在運行過程中產(chǎn)生的一個或多個行為的組合,如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個異常行為特征��,釋放病毒文件等高風(fēng)險行為可單獨作為一個異常行為特征���。每個異常樣本行為特征可對應(yīng)至少一個異常樣本行為��。異常樣本特征庫中的異常樣本行為特征可來源于用戶反饋���、安全組織或者反病毒公司提供分析數(shù)據(jù)。每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為每個行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中出現(xiàn)的次數(shù)�����,具體地��,對于每個行為����,如果第一樣本特征庫中存在N個異常樣本行為特征對應(yīng)的異常樣本行為中包含該行為,則該行為在第一樣本特征庫中的出現(xiàn)次數(shù)為N����。由此,可獲取每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)����。
[0035]S103,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型�����。
[0036]在本發(fā)明的一個實施例中,如圖2所示�,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型可進一步包括以下步驟:
[0037]S1031,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率���。
[0038]在本發(fā)明的一個實施例中����,可將該出現(xiàn)率定義為偏黑率���,一個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率可以是該行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中的出現(xiàn)概率���。例如,第一樣本特征庫中有500個異常樣本行為特征���,如果一個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為450次����,則該行為在第一樣本特征庫中的出現(xiàn)率為90%���。
[0039]S1032�,獲取出現(xiàn)率大于第一閾值的行為占該應(yīng)用程序的行為總數(shù)的比例���,如果比例大于第一預(yù)設(shè)比例����,則判斷該應(yīng)用程序為異常應(yīng)用程序�。
[0040]舉例來說,一個應(yīng)用程序總共產(chǎn)生了 10個行為����,第一閾值為80%,第一預(yù)設(shè)比例為1/4����,如果出現(xiàn)率大于第一閾值的行為有4個,則出現(xiàn)率大于第一閾值的行為占該應(yīng)用程序行為總數(shù)的比例為2/5���,大于第一預(yù)設(shè)比例1/4��,則可判斷該應(yīng)用程序為是異常應(yīng)用程序��。
[0041]S1033�����,獲取第二預(yù)設(shè)比例的行為�,其中,第二預(yù)設(shè)比例的行為的出現(xiàn)率大于該應(yīng)用程序的行為中其他行為的出現(xiàn)率�,并獲取第二預(yù)設(shè)比例的行為的出現(xiàn)率的第一平均值,如果第一平均值大于第二閾值���,則判斷應(yīng)用程序為異常應(yīng)用程序�。
[0042]舉例來說���,若第二預(yù)設(shè)比例為1/3��,該應(yīng)用程序共產(chǎn)生了 30個行為��,則可將這30個行為的出現(xiàn)率按照從大到小進行排序��,選取前10個行為的出現(xiàn)率��,由此選取的10個行為的出現(xiàn)率中任意一個都大于未被選中的行為的出現(xiàn)率���,可計算選取的10個行為的出現(xiàn)率的平均值,如果該平均值大于第二閾值��,則服務(wù)器可判斷該應(yīng)用程序為異常應(yīng)用程序����。
[0043]S1034��,獲取應(yīng)用程序的所有行為的出現(xiàn)率的第二平均值�,如果第二平均值大于第三閾值���,則判斷應(yīng)用程序為異常應(yīng)用程序。
[0044]在本發(fā)明的一個實施例中����,第二平均值為該應(yīng)用程序產(chǎn)生的全部行為的出現(xiàn)率的平均值,如果該平均值大于第三閾值����,則可判斷該應(yīng)用程序為異常應(yīng)用程序。
[0045]在本發(fā)明的一個實施例中�,服務(wù)器可通過步驟S1032、S1033���、S1034中的一個或多個根據(jù)每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷應(yīng)用程序的類型���,當根據(jù)其中一個步驟不能判斷出應(yīng)用程序的類型時,可選擇其中多個步驟聯(lián)合判斷�����,例如,如果通過步驟S1032未能判斷該應(yīng)用程序的類型�����,可繼續(xù)執(zhí)行步驟S1033進行判斷����,如果通過步驟S1033仍然未能判斷該應(yīng)用程序的類型,可繼續(xù)執(zhí)行步驟S1034進行判斷����,如果依然無法判斷該應(yīng)用程序是否為異常應(yīng)用程序,則判斷該應(yīng)用程序為可疑應(yīng)用程序��。
[0046]在本發(fā)明的一個實施例中�,當服務(wù)器判斷一個應(yīng)用程序為異常應(yīng)用程序時,可根據(jù)該異常應(yīng)用程序產(chǎn)生的行為提取其行為特征�����,并將提取的行為特征和該應(yīng)用程序產(chǎn)生的行為添加至異常特征庫中�,由此,可不斷豐富異常特征庫的數(shù)據(jù)���,為應(yīng)用程序的分析提供更可靠的分析樣本����,使得分析結(jié)果更加準確。
[0047]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析方法�,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型,由此��,能夠全面地分析出異常應(yīng)用程序��,由此�����,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型�����,可防止對應(yīng)用程序類型的誤判��,提高應(yīng)用程序分析的準確率���,從而對異常應(yīng)用程序進行有效攔截。
[0048]圖3是根據(jù)本發(fā)明另一個實施例的應(yīng)用程序的分析方法的流程圖���。在該實施例中�,服務(wù)器首先根據(jù)該應(yīng)用程序的行為提取其行為特征,并根據(jù)行為特征和第一樣本特征庫判斷判斷應(yīng)用程序的類型���,并在判斷應(yīng)用程序為可疑應(yīng)用程序時執(zhí)行分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)以對應(yīng)用程序進行分析的步驟���,從而提高應(yīng)用程序的分析效率。具體地���,如圖3所示�,該應(yīng)用程序的分析方法包括以下步驟����。
[0049]S301,獲取待檢測的應(yīng)用程序的一個或多個行為�����。
[0050]S302�����,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫��,判斷應(yīng)用程序是否為可疑應(yīng)用程序,其中�,可疑應(yīng)用程序的行為不全部為異常樣本行為。
[0051]在本發(fā)明的一個實施例中����,如圖4所示,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫����,判斷應(yīng)用程序是否為可疑應(yīng)用程序可進一步包括以下步驟:
[0052]S3021,根據(jù)該應(yīng)用程序的行為提取該應(yīng)用程序的一個或多個行為特征���。
[0053]在本發(fā)明的一個實施例中,應(yīng)用程序的行為特征為應(yīng)用程序的一個或多個行為的組合����。如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個行為特征,釋放病毒文件等特征明顯的行為可單獨作為一個行為特征����。
[0054]S3022,判斷該應(yīng)用程序的行為特征中存在于第一樣本特征庫中的行為特征的個數(shù)是否超過預(yù)設(shè)閾值���。
[0055]在本發(fā)明的一個實施例中�����,預(yù)設(shè)閾值可為該應(yīng)用程序的行為特征總數(shù)��,如果該應(yīng)用程序的全部行為特征均存在于第一樣本特征庫中����,則可判斷該應(yīng)用程序為異常應(yīng)用程序,如果該應(yīng)用程序的部分行為特征存在于第一樣本特征庫中�����,則可判斷該應(yīng)用程序為可疑應(yīng)用程序�����。
[0056]S3023,如果超過預(yù)設(shè)閾值��,則該應(yīng)用程序為異常應(yīng)用程序��。
[0057]S3024,如果未超過預(yù)設(shè)閾值�����,則該應(yīng)用程序為可疑應(yīng)用程序��。
[0058]S303,若判斷該應(yīng)用程序為可疑應(yīng)用程序,則分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)����。
[0059]S304,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型����。
[0060]在本發(fā)明的一個實施例中,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型的具體步驟可如圖2中S1031-S1034所示��。服務(wù)器可通過步驟S1032�、S1033、S1034中的一個或多個根據(jù)每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷應(yīng)用程序的類型��,當根據(jù)其中一個步驟不能判斷出應(yīng)用程序的類型時���,可選擇其中多個步驟聯(lián)合判斷,例如��,如果通過步驟S1032未能判斷該應(yīng)用程序的類型����,可繼續(xù)執(zhí)行步驟S1033進行判斷,如果通過步驟S1033仍然未能判斷該應(yīng)用程序的類型��,可繼續(xù)執(zhí)行步驟S1034進行判斷,如果依然無法判斷該應(yīng)用程序是否為異常應(yīng)用程序����,則判斷該應(yīng)用程序為可疑應(yīng)用程序。
[0061]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析方法���,可根據(jù)待檢測應(yīng)用程序的行為特征判斷該應(yīng)用程序的類型�����,并在該應(yīng)用程序為可疑應(yīng)用程序時�,根據(jù)該應(yīng)用程序的行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析其類型�,由此,對于可直接判斷為異常應(yīng)用程序�����,無需分析其行為在第一樣本特征庫中的出現(xiàn)次數(shù)����,從而進一步提高了應(yīng)用程序分析的準確性,并且提高了應(yīng)用程序的分析效率���。
[0062]圖5是根據(jù)本發(fā)明又一個實施例的應(yīng)用程序的分析方法的流程圖�。在本實施例中,服務(wù)器還可獲取待檢測的應(yīng)用程序產(chǎn)生的行為在非異常樣本特征庫中的出現(xiàn)次數(shù)����,并根據(jù)該應(yīng)用程序在異常樣本特征庫中的出現(xiàn)次數(shù)和在非異常樣本特征庫中的出現(xiàn)次數(shù)分析該也應(yīng)用程序的類型,進一步提高了行為特征的準確率�,具體地,如圖5所示��,應(yīng)用程序的分析方法包括以下步驟���。
[0063]S501�����,獲取待檢測的應(yīng)用程序的一個或多個行為���。
[0064]S502,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫�,判斷應(yīng)用程序是否為可疑應(yīng)用程序,其中���,可疑應(yīng)用程序的行為不全部為異常樣本行為。
[0065]在本發(fā)明的一個實施例中���,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫���,判斷應(yīng)用程序是否為可疑應(yīng)用程序的具體步驟可如圖4中S3021-S3024所示�。
[0066]S503,若判斷該應(yīng)用程序為可疑應(yīng)用程序�,則分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)。
[0067]S504�����,分別檢測每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)�。
[0068]在本發(fā)明的一個實施例中,第二樣本特征庫可以為非異常樣本特征庫���,其中��,第二樣本特征庫中可包括多個非異常樣本行為特征和多個非異常樣本行為��。其中����,每個非異常樣本行為特征可對應(yīng)至少一個非異常樣本行為����,非異常樣本特征庫中的非異常樣本行為特征可來源于用戶反饋�、安全組織或者反病毒公司提供分析數(shù)據(jù)�。每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)為每個行為在第二樣本特征庫中的非異常樣本行為特征對應(yīng)的非異常樣本行為中出現(xiàn)的次數(shù),具體地�����,對于每個行為�����,如果第二樣本特征庫中存在N個非異常樣本行為特征對應(yīng)的非異常樣本行為中包含該行為���,則該行為在第二樣本特征庫中的出現(xiàn)次數(shù)為N����。由此��,可獲取每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)���。
[0069]S505�,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型�����。
[0070]在本發(fā)明的一個實施例中�,如圖6所示,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型可進一步包括以下步驟:
[0071]S5051�,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為的異常率。
[0072]在本發(fā)明的一個實施例中����,異常率為一個行為在第一樣本特征庫中的出現(xiàn)次數(shù)占總出現(xiàn)次數(shù)的比例,其中�,總出現(xiàn)次數(shù)為該行為在第一樣本特征庫中的出現(xiàn)次數(shù)與在第二樣本特征庫中的出現(xiàn)次數(shù)的總和。例如�,第一樣本特征庫中有500個樣本,第二樣本特征庫中有500個樣本��,一個行為在第一樣本特征庫中出現(xiàn)次數(shù)為400次���,在第二樣本特征庫中出現(xiàn)100次�����,則該行為的異常率為400/(400+100) =80%���,非異常率為100/ (400+100) =20%�����。
[0073]S5052����,獲取異常率大于第四閾值的行為占該應(yīng)用程序的行為總數(shù)的比例���,如果該比例大于第三預(yù)設(shè)比例�,則判斷該應(yīng)用程序為異常應(yīng)用程序��。
[0074]舉例來說�����,一個應(yīng)用程序總共產(chǎn)生了 10個行為�����,第一閾值為80%�,第一預(yù)設(shè)比例為1/4,如果異常率大于第一閾值的行為有4個�����,則異常率大于第一閾值的行為占該應(yīng)用程序行為總數(shù)的比例為2/5,大于第一預(yù)設(shè)比例1/4�,則可判斷該應(yīng)用程序為是異常應(yīng)用程序。
[0075]S5053�����,獲取第五預(yù)設(shè)比例的行為�����,其中�,第五預(yù)設(shè)比例的行為的異常率大于該應(yīng)用程序的行為中其他行為的異常率�,并獲取第五預(yù)設(shè)比例的行為的異常率的第三平均值,如果第三平均值大于第五閾值���,則判斷該應(yīng)用程序為異常應(yīng)用程序��。
[0076]舉例來說����,若第五預(yù)設(shè)比例為1/3���,該應(yīng)用程序共產(chǎn)生了 30個行為����,則可將這30個行為的異常率按照從大到小進行排序,選取前10個行為的異常率��,由此選取的10個行為的異常率中任意一個都大于未被選中的行為的異常率�����,可計算選取的10個行為的異常率的平均值�,如果該平均值大于第五閾值,則可判斷該應(yīng)用程序為異常應(yīng)用程序����。
[0077]S5054,獲取該應(yīng)用程序的所有行為的異常率的第四平均值���,如果第四平均值大于第六閾值�����,則判斷該應(yīng)用程序為異常應(yīng)用程序���。
[0078]在本發(fā)明的一個實施例中,第四平均值為該應(yīng)用程序產(chǎn)生的全部行為的異常率的平均值��,如果該平均值大于第六閾值,則可判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0079]在本發(fā)明的一個實施例中���,服務(wù)器可通過步驟S5052�、S5053���、S5054中的一個或多個根據(jù)每個行為的異常率判斷應(yīng)用程序的類型,當根據(jù)其中一個步驟不能判斷出應(yīng)用程序的類型時��,可選擇其中多個步驟聯(lián)合判斷�����,例如�����,如果通過步驟S5052未能判斷該應(yīng)用程序的類型���,可繼續(xù)執(zhí)行步驟S5053進行判斷��,如果通過步驟S5053仍然未能判斷該應(yīng)用程序的類型�����,可繼續(xù)執(zhí)行步驟S5054進行判斷���,如果依然無法判斷該應(yīng)用程序是否為異常應(yīng)用程序��,則判斷該應(yīng)用程序為可疑應(yīng)用程序��。
[0080]在本發(fā)明的一個實施例中����,當服務(wù)器判斷一個應(yīng)用程序為異常應(yīng)用程序時�,將根據(jù)該異常應(yīng)用程序產(chǎn)生的行為提取其行為特征,并將提取的行為特征和該應(yīng)用程序產(chǎn)生的行為添加至異常特征庫中���,由此����,可不斷豐富異常特征庫的數(shù)據(jù)��,為應(yīng)用程序的分析提供更可靠的分析樣本,使得分析結(jié)果更加準確���。
[0081]應(yīng)當理解��,根據(jù)應(yīng)用程序的行為的異常率分析應(yīng)用程序的類型僅為示例性的����,在本發(fā)明的其他實施例中�,還可針對應(yīng)用程序的行為的非異常率設(shè)定相應(yīng)的閾值,并對應(yīng)用程序的類型進行分析��。
[0082]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析方法�,可分別獲取待檢測的應(yīng)用程序的行為在第一樣本特征庫和第二樣本特征庫中的出現(xiàn)次數(shù),從而進一步獲取該應(yīng)用程序的行為的異常率���,并據(jù)此分析應(yīng)用程序的類型,將異常特征庫與非異常特征庫相結(jié)合以分析應(yīng)用程序類型�,進一步提高了應(yīng)用程序分析的準確率。
[0083]為了實現(xiàn)上述實施例��,本發(fā)明還提出一種行為特征的分析裝置���。
[0084]圖7是根據(jù)本發(fā)明一個實施例的應(yīng)用程序的分析裝置的結(jié)構(gòu)示意圖�。如圖7所示,應(yīng)用程序分析的裝置包括獲取模塊100�、檢測模塊200和分析模塊300。
[0085]具體地���,獲取模塊100用于獲取待檢測的應(yīng)用程序的一個或多個行為���。在本發(fā)明的一個實施例中,待檢測的應(yīng)用程序的行為可以是待檢測的應(yīng)用程序在虛擬機中運行過程中所進行的操作�,如創(chuàng)建文件、訪問注冊表�����、連接網(wǎng)絡(luò)等操作����。舉例來說,獲取模塊100可獲取應(yīng)用程序在運行過程中產(chǎn)生的注入系統(tǒng)進程����、釋放病毒文件、連接特定IP地址或者打開特定網(wǎng)站等行為�����。
[0086]檢測模塊200用于分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)。在本發(fā)明的一個實施例中��,第一樣本特征庫可以為異常樣本特征庫��,其中����,第一樣本特征庫中可包括多個異常樣本行為特征和多個異常樣本行為,其中��,異常樣本行為特征為異常應(yīng)用程序在運行過程中產(chǎn)生的一個或多個行為的組合����,如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個異常行為特征,釋放病毒文件等高風(fēng)險行為可單獨作為一個異常行為特征�����。每個異常樣本行為特征可對應(yīng)至少一個異常樣本行為��。異常樣本特征庫中的異常樣本行為特征可來源于用戶反饋���、安全組織或者反病毒公司提供分析數(shù)據(jù)。每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為每個行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中出現(xiàn)的次數(shù)��,具體地,對于每個行為����,如果檢測模塊200檢測到第一樣本特征庫中存在N個異常樣本行為特征對應(yīng)的異常樣本行為中包含該行為,則該行為在第一樣本特征庫中的出現(xiàn)次數(shù)為N�����。由此�����,可獲取每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)����。
[0087]分析模塊300用于根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析應(yīng)用程序的類型。在本發(fā)明的一個實施例中�����,分析模塊300可進一步包括第一獲取子模塊310�����、判斷子模塊320和第二獲取子模塊330��。
[0088]更具體地,第一獲取子模塊310用于根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率����。在本發(fā)明的一個實施例中,可將該出現(xiàn)率定義為偏黑率�����,一個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率可以是該行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中的出現(xiàn)概率��。例如�,第一樣本特征庫中有500個異常樣本行為特征,如果一個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為450次����,則該行為在第一樣本特征庫中的出現(xiàn)率為90%。
[0089]判斷子模塊320用于根據(jù)每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷應(yīng)用程序的類型�����。
[0090]第二獲取子模塊330可用于獲取出現(xiàn)率大于第一閾值的行為占應(yīng)用程序的行為總數(shù)的比例�,判斷子模塊320具體用于在該比例大于第一預(yù)設(shè)比例時,判斷該應(yīng)用程序為異常應(yīng)用程序�����。舉例來說�����,一個應(yīng)用程序總共產(chǎn)生了 10個行為����,第一閾值為80%,第一預(yù)設(shè)比例為1/4����,如果出現(xiàn)率大于第一閾值的行為有4個,則出現(xiàn)率大于第一閾值的行為占該應(yīng)用程序行為總數(shù)的比例為2/5���,大于第一預(yù)設(shè)比例1/4���,則可判斷該應(yīng)用程序為是異常應(yīng)用程序。
[0091]第二獲取子模塊330還可用于獲取第二預(yù)設(shè)比例的行為����,其中,第二預(yù)設(shè)比例的行為的出現(xiàn)率大于應(yīng)用程序的行為中其他行為的出現(xiàn)率�,并獲取第二預(yù)設(shè)比例的行為的出現(xiàn)率的第一平均值,判斷子模塊320還具體用于在第一平均值大于第二閾值時�����,判斷該應(yīng)用程序為異常應(yīng)用程序。舉例來說�����,若第二預(yù)設(shè)比例為1/3��,該應(yīng)用程序共產(chǎn)生了 30個行為�,則可將這30個行為的出現(xiàn)率按照從大到小進行排序,選取前10個行為的出現(xiàn)率��,由此選取的10個行為的出現(xiàn)率中任意一個都大于未被選中的行為的出現(xiàn)率�����,可計算選取的10個行為的出現(xiàn)率的平均值���,如果該平均值大于第二閾值��,則服務(wù)器可判斷該應(yīng)用程序為異常應(yīng)用程序��。
[0092]第二獲取子模塊330還可用于獲取應(yīng)用程序的所有行為的出現(xiàn)率的第二平均值���,判斷子模塊320還具體用于在第二平均值大于第三閾值時����,判斷該應(yīng)用程序為異常應(yīng)用程序����。在本發(fā)明的一個實施例中���,第二平均值為該應(yīng)用程序產(chǎn)生的全部行為的出現(xiàn)率的平均值�����,如果該平均值大于第三閾值�,則可判斷該應(yīng)用程序為異常應(yīng)用程序���。
[0093]在本發(fā)明的一個實施例中����,當判斷一個應(yīng)用程序為異常應(yīng)用程序時�����,可根據(jù)該異常應(yīng)用程序產(chǎn)生的行為提取其行為特征���,并將提取的行為特征和該應(yīng)用程序產(chǎn)生的行為添加至異常特征庫中�����,由此�����,可不斷豐富異常特征庫的數(shù)據(jù)���,為應(yīng)用程序的分析提供更可靠的分析樣本�,使得分析結(jié)果更加準確�����。
[0094]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析裝置�,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型,由此�����,能夠全面地分析出異常應(yīng)用程序���,由此����,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型,可防止對應(yīng)用程序類型的誤判�����,提高應(yīng)用程序分析的準確率����,從而對異常應(yīng)用程序進行有效攔截��。
[0095]在本發(fā)明的一個實施例中��,檢測模塊200還用于分別檢測每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)����,分析模塊300還用于根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型。其中���,第二樣本特征庫可以為非異常樣本特征庫��,其中���,第二樣本特征庫中可包括多個非異常樣本行為特征和多個非異常樣本行為����。
[0096]具體地�����,可通過第一獲取子模塊310根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為的異常率�,然后由判斷子模塊320根據(jù)每個行為的異常率判斷應(yīng)用程序的類型。更具體地�����,可通過第二獲取子模塊330獲取異常率中大于第四閾值的行為占應(yīng)用程序的行為總數(shù)的比例�����,當此比例大于第三預(yù)設(shè)比例時�����,判斷子模塊320判斷該應(yīng)用程序為異常應(yīng)用程序�;還可通過第二獲取子模塊330獲取第五預(yù)設(shè)比例的行為,其中���,第五預(yù)設(shè)比例的行為的異常率大于應(yīng)用程序中其他行為的異常率�����,并獲取第五預(yù)設(shè)比例的行為的異常率的第三平均值����,當此第三平均值大于第五閾值時,判斷子模塊320判斷該應(yīng)用程序為異常應(yīng)用程序��;也可通過第二獲取子模塊330獲取應(yīng)用程序的所有行為的異常率的第四平均值��,當此第四平均值大于第六閾值時�����,判斷子模塊320判斷該應(yīng)用程序為異常應(yīng)用程序��。
[0097]應(yīng)當理解��,根據(jù)應(yīng)用程序的行為的異常率分析應(yīng)用程序的類型僅為示例性的���,在本發(fā)明的其他實施例中,還可針對應(yīng)用程序的行為的非異常率設(shè)定相應(yīng)的閾值�����,并對應(yīng)用程序的類型進行分析。
[0098]圖8是根據(jù)本發(fā)明另一個實施例的行為特征的分析裝置的結(jié)構(gòu)示意圖�����。如圖8所示�����,行為特征的分析裝置包括獲取模塊100�、檢測模塊200、分析模塊300和判斷模塊400����。
[0099]具體地,判斷模塊400用于根據(jù)待檢測的應(yīng)用程序的行為和第一樣本特征庫����,判斷該應(yīng)用程序是否為可疑應(yīng)用程序,其中����,可疑應(yīng)用程序的行為不全部為異常樣本行為。更具體地���,判斷模塊400可具體用于根據(jù)該應(yīng)用程序的行為提取該應(yīng)用程序的一個或多個行為特征���,并在該應(yīng)用程序的行為特征中存在于第一樣本特征庫中的行為特征的個數(shù)超過預(yù)設(shè)閾值時�����,判斷該應(yīng)用程序為異常應(yīng)用程序�,以及在行為特征中存在于第一樣本特征庫中的行為特征的個數(shù)未超過預(yù)設(shè)閾值時�����,判斷該應(yīng)用程序為可疑應(yīng)用程序���。其中�����,應(yīng)用程序的行為特征為應(yīng)用程序的一個或多個行為的組合。如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個行為特征�,釋放病毒文件等特征明顯的行為可單獨作為一個行為特征。預(yù)設(shè)閾值可為該應(yīng)用程序的行為特征總數(shù)����,如果該應(yīng)用程序的全部行為特征均存在于第一樣本特征庫中�����,則可判斷該應(yīng)用程序為異常應(yīng)用程序��,如果該應(yīng)用程序的部分行為特征存在于第一樣本特征庫中�����,則可判斷該應(yīng)用程序為可疑應(yīng)用程序�。
[0100]其中����,檢測模塊200在判斷模塊400判斷該應(yīng)用程序為可疑應(yīng)用程序時分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)。
[0101]根據(jù)本發(fā)明實施例的應(yīng)用程序的分析裝置�,可根據(jù)待檢測應(yīng)用程序的行為特征判斷該應(yīng)用程序的類型,并在該應(yīng)用程序為可疑應(yīng)用程序時���,根據(jù)該應(yīng)用程序的行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析其類型�����,由此����,對于可直接判斷為異常應(yīng)用程序,無需分析其行為在第一樣本特征庫中的出現(xiàn)次數(shù)��,從而進一步提高了應(yīng)用程序分析的準確性���,并且提高了應(yīng)用程序的分析效率�。
[0102]為了實現(xiàn)上述實施例���,本發(fā)明提出一種客戶端��。
[0103]根據(jù)本發(fā)明實施例的客戶端�,包括外殼���,顯示器�、電路板和處理器����,其中,電路板安置在外殼圍成的空間內(nèi)部��,顯示器在外殼外部��,并與電路板相連接����,處理器設(shè)置在電路板上;處理器用于處理數(shù)據(jù)����,并具體用于執(zhí)行以下步驟:
[0104]S101’,獲取待檢測的應(yīng)用程序的一個或多個行為���。
[0105]在本發(fā)明的一個實施例中�,待檢測的應(yīng)用程序的行為可以是待檢測的應(yīng)用程序在虛擬機中運行過程中所進行的操作�,如創(chuàng)建文件、訪問注冊表��、連接網(wǎng)絡(luò)等操作���。舉例來說�����,服務(wù)器可獲取該應(yīng)用程序在運行過程中產(chǎn)生的注入系統(tǒng)進程�����、釋放病毒文件�����、連接特定IP地址或者打開特定網(wǎng)站等行為���。
[0106]S102’��,分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)����。
[0107]在本發(fā)明的一個實施例中�,第一樣本特征庫可以為異常樣本特征庫�,其中��,第一樣本特征庫中可包括多個異常樣本行為特征和多個異常樣本行為��,其中��,異常樣本行為特征為異常應(yīng)用程序在運行過程中產(chǎn)生的一個或多個行為的組合����,如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個異常行為特征,釋放病毒文件等高風(fēng)險行為可單獨作為一個異常行為特征����。每個異常樣本行為特征可對應(yīng)至少一個異常樣本行為。異常樣本特征庫中的異常樣本行為特征可來源于用戶反饋�����、安全組織或者反病毒公司提供分析數(shù)據(jù)��。每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為每個行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中出現(xiàn)的次數(shù)����,具體地,對于每個行為���,如果第一樣本特征庫中存在N個異常樣本行為特征對應(yīng)的異常樣本行為中包含該行為����,則該行為在第一樣本特征庫中的出現(xiàn)次數(shù)為N���。由此��,可獲取每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)����。
[0108]S103’根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型。
[0109]在本發(fā)明的一個實施例中���,處理器在根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型時可進一步用于執(zhí)行以下步驟:�����。
[0110]S1031’���,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率。
[0111]在本發(fā)明的一個實施例中����,可將該出現(xiàn)率定義為偏黑率,一個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率可以是該行為在第一樣本特征庫中的異常樣本行為特征對應(yīng)的異常樣本行為中的出現(xiàn)概率�。例如,第一樣本特征庫中有500個異常樣本行為特征���,如果一個行為在第一樣本特征庫中的出現(xiàn)次數(shù)為450次���,則該行為在第一樣本特征庫中的出現(xiàn)率為90%。
[0112]S1032’��,獲取出現(xiàn)率大于第一閾值的行為占該應(yīng)用程序的行為總數(shù)的比例���,如果比例大于第一預(yù)設(shè)比例���,則判斷該應(yīng)用程序為異常應(yīng)用程序���。
[0113]舉例來說��,一個應(yīng)用程序總共產(chǎn)生了 10個行為���,第一閾值為80%���,第一預(yù)設(shè)比例為1/4,如果出現(xiàn)率大于第一閾值的行為有4個���,則出現(xiàn)率大于第一閾值的行為占該應(yīng)用程序行為總數(shù)的比例為2/5�����,大于第一預(yù)設(shè)比例1/4����,則可判斷該應(yīng)用程序為是異常應(yīng)用程序����。
[0114]S1033’��,獲取第二預(yù)設(shè)比例的行為���,其中,第二預(yù)設(shè)比例的行為的出現(xiàn)率大于該應(yīng)用程序的行為中其他行為的出現(xiàn)率�,并獲取第二預(yù)設(shè)比例的行為的出現(xiàn)率的第一平均值,如果第一平均值大于第二閾值����,則判斷應(yīng)用程序為異常應(yīng)用程序。
[0115]舉例來說�����,若第二預(yù)設(shè)比例為1/3��,該應(yīng)用程序共產(chǎn)生了 30個行為��,則可將這30個行為的出現(xiàn)率按照從大到小進行排序�,選取前10個行為的出現(xiàn)率,由此選取的10個行為的出現(xiàn)率中任意一個都大于未被選中的行為的出現(xiàn)率���,可計算選取的10個行為的出現(xiàn)率的平均值��,如果該平均值大于第二閾值�����,則服務(wù)器可判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0116]S1034’���,獲取應(yīng)用程序的所有行為的出現(xiàn)率的第二平均值,如果第二平均值大于第三閾值��,則判斷應(yīng)用程序為異常應(yīng)用程序���。
[0117]在本發(fā)明的一個實施例中����,第二平均值為該應(yīng)用程序產(chǎn)生的全部行為的出現(xiàn)率的平均值���,如果該平均值大于第三閾值�����,則可判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0118]在本發(fā)明的一個實施例中��,可通過步驟S1032’��、S1033’�����、S1034’中的一個或多個根據(jù)每個行為在第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷應(yīng)用程序的類型�,當根據(jù)其中一個步驟不能判斷出應(yīng)用程序的類型時,可選擇其中多個步驟聯(lián)合判斷����,例如,如果通過步驟S1032’該應(yīng)用程序的類型����,可繼續(xù)執(zhí)行步驟S1033’進行判斷,如果通過步驟S1033’仍然未能判斷該應(yīng)用程序的類型�,可繼續(xù)執(zhí)行步驟S1034’進行判斷,如果依然無法判斷該應(yīng)用程序是否為異常應(yīng)用程序�����,則判斷該應(yīng)用程序為可疑應(yīng)用程序。
[0119]根據(jù)本發(fā)明實施例的客戶端�����,可根據(jù)待檢測的應(yīng)用程序的每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該待檢測的應(yīng)用程序的類型�����,由此�,能夠全面地分析出異常應(yīng)用程序,由此����,對于產(chǎn)生的行為較少的應(yīng)用程序也可準確的分析其類型���,可防止對應(yīng)用程序類型的誤判��,提高應(yīng)用程序分析的準確率�����,從而對異常應(yīng)用程序進行有效攔截��。
[0120]在本發(fā)明的另一個實施例中�����,處理器還用于執(zhí)行以下步驟�。
[0121]S301’,獲取待檢測的應(yīng)用程序的一個或多個行為����。
[0122]S302’,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫�,判斷應(yīng)用程序是否為可疑應(yīng)用程序,其中�����,可疑應(yīng)用程序的行為不全部為異常樣本行為��。
[0123]在本發(fā)明的一個實施例中��,處理器根據(jù)該應(yīng)用程序的行為和第一樣本特征庫�����,判斷應(yīng)用程序是否為可疑應(yīng)用程序時可進一步用于執(zhí)行以下步驟:
[0124]S3021’,根據(jù)該應(yīng)用程序的行為提取該應(yīng)用程序的一個或多個行為特征�。
[0125]在本發(fā)明的一個實施例中,應(yīng)用程序的行為特征為應(yīng)用程序的一個或多個行為的組合����。如注入指定系統(tǒng)進程與連接了特定網(wǎng)站這兩個行為可組合為一個行為特征,釋放病毒文件等特征明顯的行為可單獨作為一個行為特征�。
[0126]S3022’,判斷該應(yīng)用程序的行為特征中存在于第一樣本特征庫中的行為特征的個數(shù)是否超過預(yù)設(shè)閾值�。
[0127]在本發(fā)明的一個實施例中,預(yù)設(shè)閾值可為該應(yīng)用程序的行為特征總數(shù)�,如果該應(yīng)用程序的全部行為特征均存在于第一樣本特征庫中,則可判斷該應(yīng)用程序為異常應(yīng)用程序��,如果該應(yīng)用程序的部分行為特征存在于第一樣本特征庫中�����,則可判斷該應(yīng)用程序為可疑應(yīng)用程序��。
[0128]S3023’�,如果超過預(yù)設(shè)閾值�,則該應(yīng)用程序為異常應(yīng)用程序。
[0129]S3024’���,如果未超過預(yù)設(shè)閾值�����,則該應(yīng)用程序為可疑應(yīng)用程序�����。
[0130]S303’�����,若判斷該應(yīng)用程序為可疑應(yīng)用程序��,則分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)��。
[0131]S304’�,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型。
[0132]在本法明的一個實施例中��,此步驟的具體實現(xiàn)方法可如S1031’ -S1034’所示����。
[0133]根據(jù)本發(fā)明實施例的客戶端,可根據(jù)待檢測應(yīng)用程序的行為特征判斷該應(yīng)用程序的類型�,并在該應(yīng)用程序為可疑應(yīng)用程序時,根據(jù)該應(yīng)用程序的行為在第一樣本特征庫中的出現(xiàn)次數(shù)分析其類型,由此�����,對于可直接判斷為異常應(yīng)用程序�,無需分析其行為在第一樣本特征庫中的出現(xiàn)次數(shù),從而進一步提高了應(yīng)用程序分析的準確性���,并且提高了應(yīng)用程序的分析效率�����。
[0134]在本發(fā)明的又一個實施例中�����,處理器還用于執(zhí)行以下步驟:
[0135]S501’����,獲取待檢測的應(yīng)用程序的一個或多個行為�����。
[0136]S502’��,根據(jù)該應(yīng)用程序的行為和第一樣本特征庫�����,判斷應(yīng)用程序是否為可疑應(yīng)用程序���,其中��,可疑應(yīng)用程序的行為不全部為異常樣本行為��。
[0137]在本發(fā)明的一個實施例中��,此步驟的具體實現(xiàn)方法可如S3021’ -S3024’所示��。
[0138]S503’���,若判斷該應(yīng)用程序為可疑應(yīng)用程序,則分別檢測每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)��。
[0139]S504 ’��,分別檢測每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)�����。
[0140]在本發(fā)明的一個實施例中,第二樣本特征庫可以為非異常樣本特征庫��,其中��,第二樣本特征庫中可包括多個非異常樣本行為特征和多個非異常樣本行為��。其中��,每個非異常樣本行為特征可對應(yīng)至少一個非異常樣本行為����,非異常樣本特征庫中的非異常樣本行為特征可來源于用戶反饋、安全組織或者反病毒公司提供分析數(shù)據(jù)�。每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)為每個行為在第二樣本特征庫中的非異常樣本行為特征對應(yīng)的非異常樣本行為中出現(xiàn)的次數(shù),具體地����,對于每個行為,如果第二樣本特征庫中存在N個非異常樣本行為特征對應(yīng)的非異常樣本行為中包含該行為���,則該行為在第二樣本特征庫中的出現(xiàn)次數(shù)為N���。由此,可獲取每個行為在第二樣本特征庫中的出現(xiàn)次數(shù)�����。
[0141]S505’����,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型。
[0142]在本發(fā)明的一個實施例中�,處理器根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析該應(yīng)用程序的類型時具體用于執(zhí)行以下步驟:
[0143]S5051’,根據(jù)每個行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個行為的異常率�����。
[0144]在本發(fā)明的一個實施例中���,異常率為一個行為在第一樣本特征庫中的出現(xiàn)次數(shù)占總出現(xiàn)次數(shù)的比例���,其中,總出現(xiàn)次數(shù)為該行為在第一樣本特征庫中的出現(xiàn)次數(shù)與在第二樣本特征庫中的出現(xiàn)次數(shù)的總和���。例如��,第一樣本特征庫中有500個樣本�,第二樣本特征庫中有500個樣本��,一個行為在第一樣本特征庫中出現(xiàn)次數(shù)為400次,在第二樣本特征庫中出現(xiàn)100次����,則該行為的異常率為400/(400+100) =80%,非異常率為100/ (400+100) =20%����。
[0145]S5052’,獲取異常率大于第四閾值的行為占該應(yīng)用程序的行為總數(shù)的比例�,如果該比例大于第三預(yù)設(shè)比例,則判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0146]舉例來說����,一個應(yīng)用程序總共產(chǎn)生了 10個行為,第一閾值為80%�����,第一預(yù)設(shè)比例為1/4����,如果異常率大于第一閾值的行為有4個����,則異常率大于第一閾值的行為占該應(yīng)用程序行為總數(shù)的比例為2/5���,大于第一預(yù)設(shè)比例1/4,則可判斷該應(yīng)用程序為是異常應(yīng)用程序����。
[0147]S5053’,獲取第五預(yù)設(shè)比例的行為�����,其中�,第五預(yù)設(shè)比例的行為的異常率大于該應(yīng)用程序的行為中其他行為的異常率,并獲取第五預(yù)設(shè)比例的行為的異常率的第三平均值���,如果第三平均值大于第五閾值�����,則判斷該應(yīng)用程序為異常應(yīng)用程序���。
[0148]舉例來說�����,若第五預(yù)設(shè)比例為1/3��,該應(yīng)用程序共產(chǎn)生了 30個行為�����,則可將這30個行為的異常率按照從大到小進行排序�,選取前10個行為的異常率�����,由此選取的10個行為的異常率中任意一個都大于未被選中的行為的異常率����,可計算選取的10個行為的異常率的平均值,如果該平均值大于第五閾值���,則可判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0149]S5054’��,獲取該應(yīng)用程序的所有行為的異常率的第四平均值�,如果第四平均值大于第六閾值,則判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0150]在本發(fā)明的一個實施例中����,第四平均值為該應(yīng)用程序產(chǎn)生的全部行為的異常率的平均值��,如果該平均值大于第六閾值�����,則可判斷該應(yīng)用程序為異常應(yīng)用程序�����。
[0151 ] 在本發(fā)明的一個實施例中�����,服務(wù)器可通過步驟S5052’、S5053’�����、S5054’中的一個或多個根據(jù)每個行為的異常率判斷應(yīng)用程序的類型���,當根據(jù)其中一個步驟不能判斷出應(yīng)用程序的類型時�,可選擇其中多個步驟聯(lián)合判斷����,例如,如果通過步驟S5052’未能判斷該應(yīng)用程序的類型���,可繼續(xù)執(zhí)行步驟S5053’進行判斷����,如果通過步驟S5053’仍然未能判斷該應(yīng)用程序的類型�,可繼續(xù)執(zhí)行步驟S5054’進行判斷,如果依然無法判斷該應(yīng)用程序是否為異常應(yīng)用程序�����,則判斷該應(yīng)用程序為可疑應(yīng)用程序���。
[0152]根據(jù)本發(fā)明實施例的客戶端����,可分別獲取待檢測的應(yīng)用程序的行為在第一樣本特征庫和第二樣本特征庫中的出現(xiàn)次數(shù),從而進一步獲取該應(yīng)用程序的行為的異常率����,并據(jù)此分析應(yīng)用程序的類型,將異常特征庫與非異常特征庫相結(jié)合以分析應(yīng)用程序類型���,進一步提高了應(yīng)用程序分析的準確率���。
[0153]應(yīng)當理解,本發(fā)明實施例中的閾值和預(yù)設(shè)比例僅是示例性的�,在本發(fā)明的其他實施例中��,可根據(jù)實驗測定不同閾值以及求取平均值時所需的行為預(yù)設(shè)比例����。
[0154]應(yīng)當理解,本發(fā)明的各部分可以用硬件�����、軟件、固件或它們的組合來實現(xiàn)���。在上述實施方式中����,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)�����。例如�,如果用硬件來實現(xiàn),和在另一實施方式中一樣���,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路��,具有合適的組合邏輯門電路的專用集成電路����,可編程門陣列(PGA)�,現(xiàn)場可編程門陣列(FPGA)等。
[0155]在本說明書的描述中���,參考術(shù)語“一個實施例”�、“一些實施例”、“示例”��、“具體示例”�、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征、結(jié)構(gòu)���、材料或者特點包含于本發(fā)明的至少一個實施例或示例中�。在本說明書中��,對上述術(shù)語的示意性表述不一定指的是相同的實施例或示例�。而且,描述的具體特征���、結(jié)構(gòu)�、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合�。
[0156]盡管已經(jīng)示出和描述了本發(fā)明的實施例,本領(lǐng)域的普通技術(shù)人員可以理解:在不脫離本發(fā)明的原理和宗旨的情況下可以對這些實施例進行多種變化��、修改�、替換和變型��,本發(fā)明的范圍由權(quán)利要求及其等同物限定���。
【權(quán)利要求】
1.一種應(yīng)用程序的分析方法�,其特征在于,包括以下步驟: 獲取待檢測的應(yīng)用程序的一個或多個行為�; 分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù);以及 根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型�。
2.如權(quán)利要求1所述的方法,其特征在于����,所述第一樣本特征庫為異常樣本特征庫,所述第一樣本特征庫中包括多個異常樣本行為���。
3.如權(quán)利要求2所述的方法�,其特征在于�����,所述根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型進一步包括: 根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率�;以及 根據(jù)每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷所述應(yīng)用程序的類型。
4.如權(quán)利要求3所述的方法��,其特征在于����,所述根據(jù)每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷所述應(yīng)用程序的類型進一步包括: 獲取出現(xiàn)率大于第一閾值的行為占所述應(yīng)用程序的行為總數(shù)的比例�����,如果所述比例大于第一預(yù)設(shè)比例����,則判斷所述應(yīng)用程序為異常應(yīng)用程序����; 或者,獲取第二預(yù)設(shè)比例的所述行為����,其中,所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率大于所述應(yīng)用程序的行為中其他所述行為的出現(xiàn)率�����,并獲取所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率的第一平均值���,如果所述第一平均值大于第二閾值�,則判斷所述應(yīng)用程序為異常應(yīng)用程序�; 或者�����,獲取所述應(yīng)用程序的所有所述行為的出現(xiàn)率的第二平均值,如果所述第二平均值大于第三閾值��,則判斷所述應(yīng)用程序為異常應(yīng)用程序��。
5.如權(quán)利要求1-4任一項所述的方法���,其特征在于�,還包括: 分別檢測每個所述行為在第二樣本特征庫中的出現(xiàn)次數(shù)�,以根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型。
6.如權(quán)利要求5所述的方法���,其特征在于���,所述第二樣本特征庫為非異常樣本特征庫,所述第二樣本特征庫中包括多個樣本行為�。
7.如權(quán)利要求6所述的方法,其特征在于��,所述根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型進一步包括: 根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為的異常率���;以及 根據(jù)每個所述行為的異常率判斷所述應(yīng)用程序的類型��。
8.如權(quán)利要求7所述的方法����,其特征在于,所述根據(jù)每個所述行為的異常率判斷所述應(yīng)用程序的類型進一步包括: 獲取異常率中大于第四閾值的行為占所述應(yīng)用程序的行為總數(shù)的比例�,如果所述比例大于第三預(yù)設(shè)比例,則判斷所述應(yīng)用程序為異常應(yīng)用程序��; 或者��,獲取第五預(yù)設(shè)比例的所述行為����,其中,所述第五預(yù)設(shè)比例的所述行為的異常率大于所述應(yīng)用程序中其他所述行為的異常率�����,并獲取所述第五預(yù)設(shè)比例的所述行為的異常率的第三平均值����,如果所述第三平均值大于第五閾值,則判斷所述應(yīng)用程序為異常應(yīng)用程序; 或者����,獲取所述應(yīng)用程序的所有所述行為的異常率的第四平均值����,如果所述第四平均值大于第六閾值�����,則判斷所述應(yīng)用程序為異常應(yīng)用程序����。
9.如權(quán)利要求2所述的方法�����,其特征在于�����,所述第一樣本特征庫中還包括多個異常樣本行為特征�����,在所述分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)之前還包括: 根據(jù)所述行為和第一樣本特征庫��,判斷所述應(yīng)用程序是否為可疑應(yīng)用程序,其中��,所述可疑應(yīng)用程序的行為不全部為異常樣本行為��;以及 若判斷所述應(yīng)用程序是可疑應(yīng)用程序�����,則執(zhí)行所述分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)的步驟��。
10.如權(quán)利要求9所述的方法���,其特征在于�,所述根據(jù)所述行為和異常樣本特征庫�,判斷所述應(yīng)用程序是否為可疑應(yīng)用程序具體包括: 根據(jù)所述行為提取所述應(yīng)用程序的一個或多個行為特征; 判斷所述行為特征中存在于所述第一樣本特征庫中的行為特征的個數(shù)是否超過預(yù)設(shè)閾值����; 如果超過預(yù)設(shè)閾值,則所述應(yīng)用程序為異常應(yīng)用程序��;以及 如果未超過預(yù)設(shè)閾值�����,則所述應(yīng)用程序為可疑應(yīng)用程序。
11.一種應(yīng)用程序的分析裝置���,其特征在于��,包括: 獲取模塊���,用于獲取待檢測的應(yīng)用程序的一個或多個行為���; 檢測模塊��,用于分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)�����;以及分析模塊�����,用于根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型�。
12.如權(quán)利要求11所述的裝置���,其特征在于�����,所述第一樣本特征庫為異常樣本特征庫�����,所述第一樣本特征庫中包括多個異常樣本行為�。
13.如權(quán)利要求12所述的裝置,其特征在于���,所述分析模塊具體包括: 第一獲取子模塊��,用于根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率���;以及 判斷子模塊,用于根據(jù)每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷所述應(yīng)用程序的類型�。
14.如權(quán)利要求13所述的裝置,其特征在于��,所述分析模塊還包括第二獲取子模塊��,其中�����, 所述第二獲取子模塊用于獲取出現(xiàn)率大于第一閾值的行為占所述應(yīng)用程序的行為總數(shù)的比例,如果所述比例大于第一預(yù)設(shè)比例�,則判斷所述應(yīng)用程序為異常應(yīng)用程序; 或者����,所述第二獲取子模塊用于獲取第二預(yù)設(shè)比例的所述行為,其中���,所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率大于所述應(yīng)用程序的行為中其他所述行為的出現(xiàn)率���,并獲取所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率的第一平均值�,如果所述第一平均值大于第二閾值,則判斷所述應(yīng)用程序為異常應(yīng)用程序���; 或者����,所述第二獲取子模塊用于獲取所述應(yīng)用程序的所有所述行為的出現(xiàn)率的第二平均值����,如果所述第二平均值大于第三閾值,則判斷所述應(yīng)用程序為異常應(yīng)用程序�����。
15.如權(quán)利要求11-14任一項所述的裝置,其特征在于����, 所述檢測模塊還用于分別檢測每個所述行為在第二樣本特征庫中的出現(xiàn)次數(shù);以及所述分析模塊還用于根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型����。
16.如權(quán)利要求15所述的裝置,其特征在于����,所述第二樣本特征庫為非異常樣本特征庫,所述第二樣本特征庫中包括多個樣本行為��。
17.如權(quán)利要求16所述的裝置���,其特征在于����, 所述第一獲取子模塊還用于根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為的異常率�;以及 所述判斷子模塊還用于根據(jù)每個所述行為的異常率判斷所述應(yīng)用程序的類型。
18.如權(quán)利要求17所述的裝置�����,其特征在于, 所述第二獲取子模塊還用于獲取異常率中大于第四閾值的行為占所述應(yīng)用程序的行為總數(shù)的比例����; 或者,所述第二獲取子模塊還用于獲取第五預(yù)設(shè)比例的所述行為����,其中,所述第五預(yù)設(shè)比例的所述行為的異常率大于所述應(yīng)用程序中其他所述行為的異常率����,并獲取所述第五預(yù)設(shè)比例的所述行為的異常率的第三平均值; 或者�����,獲取所述應(yīng)用程序的所有所述行為的異常率的第四平均值���。
19.如權(quán)利要求12所述的裝置,其特征在于�����,所述第一樣本特征庫中還包括多個異常樣本行為特征,還包括: 判斷模塊����,用于根據(jù)所述行為和第一樣本特征庫,判斷所述應(yīng)用程序是否為可疑應(yīng)用程序��,其中����,所述可疑應(yīng)用程序的行為不全部為異常樣本行為,其中�����, 所述檢測模塊在所述判斷模塊判斷所述應(yīng)用程序為可疑應(yīng)用程序時分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)�����。
20.如權(quán)利要求19所述的裝置��,其特征在于��,所述判斷模塊具體用于根據(jù)所述行為提取所述應(yīng)用程序的一個或多個行為特征����,并在所述行為特征中存在于所述第一樣本特征庫中的行為特征的個數(shù)超過預(yù)設(shè)閾值時���,判斷所述應(yīng)用程序為異常應(yīng)用程序,以及在所述行為特征中存在于所述第一樣本特征庫中的行為特征的個數(shù)未超過預(yù)設(shè)閾值時��,判斷所述應(yīng)用程序為可疑應(yīng)用程序��。
21.一種客戶端����,其特征在于,包括:外殼�,顯示器、電路板和處理器���,其中�,所述電路板安置在所述外殼圍成的空間內(nèi)部�,所述顯示器在所述外殼外部,并與所述電路板相連接����,所述處理器設(shè)置在所述電路板上���; 所述處理器用于處理數(shù)據(jù)�����,并具體用于執(zhí)行以下步驟: 獲取待檢測的應(yīng)用程序的一個或多個行為�����; 分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)���;以及 根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型����。
22.如權(quán)利要求21所述的客戶端���,其特征在于��,所述第一樣本特征庫為異常樣本特征庫�,所述第一樣本特征庫中包括多個異常樣本行為����。
23.如權(quán)利要求22所述的客戶端,其特征在于����,所述處理器進一步用于執(zhí)行以下步驟: 根據(jù)每個所述行為在所述第一樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率���;以及 根據(jù)每個所述行為在所述第一樣本特征庫的多個異常樣本行為中的出現(xiàn)率判斷所述應(yīng)用程序的類型。
24.如權(quán)利要求23所述的客戶端��,其特征在于���,所述處理器進一步用于執(zhí)行以下步驟: 獲取出現(xiàn)率大于第一閾值的行為占所述應(yīng)用程序的行為總數(shù)的比例���,如果所述比例大于第一預(yù)設(shè)比例,則判斷所述應(yīng)用程序為異常應(yīng)用程序���; 或者����,獲取第二預(yù)設(shè)比例的所述行為���,其中����,所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率大于所述應(yīng)用程序的行為中其他所述行為的出現(xiàn)率���,并獲取所述第二預(yù)設(shè)比例的所述行為的出現(xiàn)率的第一平均值���,如果所述第一平均值大于第二閾值,則判斷所述應(yīng)用程序為異常應(yīng)用程序�����; 或者�,獲取所述應(yīng)用程序的所有所述行為的出現(xiàn)率的第二平均值,如果所述第二平均值大于第三閾值�,則判斷所述應(yīng)用程序為異常應(yīng)用程序。
25.如權(quán)利要求21-24任一項所述的客戶端�����,其特征在于�,所述處理器還用于執(zhí)行以下步驟: 分別檢測每個所述行為在第二樣本特征庫中的出現(xiàn)次數(shù),以根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)分析所述應(yīng)用程序的類型�。
26.如權(quán)利要求25所述的客戶端,其特征在于����,所述第二樣本特征庫為非異常樣本特征庫,所述第二樣本特征庫中包括多個樣本行為����。
27.如權(quán)利要求26所述的客戶端��,其特征在于�,所述處理器進一步用于執(zhí)行以下步驟: 根據(jù)每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)和在第二樣本特征庫中的出現(xiàn)次數(shù)獲取每個所述行為的異常率���;以及 根據(jù)每個所述行為的異常率判斷所述應(yīng)用程序的類型��。
28.如權(quán)利要求27所述的客戶端�����,其特征在于��,所述處理器進一步用于執(zhí)行以下步驟: 獲取異常率中大于第四閾值的行為占所述行為特征的一個或多個行為的比例�����,如果所述比例大于第三預(yù)設(shè)比例�,則判斷所述應(yīng)用程序為異常應(yīng)用程序����; 或者,獲取第五預(yù)設(shè)比例的所述行為���,其中����,所述第五預(yù)設(shè)比例的所述行為的異常率大于所述行為特征的一個或多個行為中其他所述行為的異常率�����,并獲取所述第五預(yù)設(shè)比例的所述行為的異常率的第三平均值���,如果所述第三平均值大于第五閾值�,則判斷所述應(yīng)用程序為異常應(yīng)用程序��; 或者����,獲取所述應(yīng)用程序的所有所述行為的異常率的第四平均值,如果所述第四平均值大于第六閾值�,則判斷所述應(yīng)用程序為異常應(yīng)用程序。
29.如權(quán)利要求22所述的客戶端���,其特征在于���,所述第一樣本特征庫中還包括多個異常樣本行為特征�����,所述處理器在所述分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)之前還用于執(zhí)行: 根據(jù)所述行為和第一樣本特征庫��,判斷所述應(yīng)用程序是否為可疑應(yīng)用程序���,其中,所述可疑應(yīng)用程序的行為不全部為異常樣本行為��;以及 若判斷所述應(yīng)用程序是可疑應(yīng)用程序���,則執(zhí)行所述分別檢測每個所述行為在第一樣本特征庫中的出現(xiàn)次數(shù)的步驟��。
30.如權(quán)利要求29所述的客戶端����,其特征在于���,所述處理器具體用于執(zhí)行以下步驟: 根據(jù)所述行為提取所述應(yīng)用程序的一個或多個行為特征�; 判斷所述行為特征中存在于所述第一樣本特征庫中的行為特征的個數(shù)是否超過預(yù)設(shè)閾值�; 如果超過預(yù)設(shè)閾值,則所述應(yīng)用程序為異常應(yīng)用程序����;以及 如果未超過預(yù)設(shè)閾值���,則所述應(yīng)用程序為可疑應(yīng)用程序。
【文檔編號】G06F21/56GK104252595SQ201310268349
【公開日】2014年12月31日 申請日期:2013年6月28日 優(yōu)先權(quán)日:2013年6月28日
【發(fā)明者】潘泉海, 張楠, 趙閩 申請人:貝殼網(wǎng)際(北京)安全技術(shù)有限公司, 北京金山網(wǎng)絡(luò)科技有限公司, 北京金山安全軟件有限公司, 珠海市君天電子科技有限公司, 可牛網(wǎng)絡(luò)技術(shù)(北京)有限公司