1.?一種防御未知病毒程序的方法，其特征在于，包括：

獲取待檢測(cè)程序的運(yùn)行特征數(shù)據(jù)；

根據(jù)獲得的所述待檢測(cè)程序的運(yùn)行特征數(shù)據(jù)或運(yùn)行特征數(shù)據(jù)集合，結(jié)合預(yù)置的病毒程序的病毒運(yùn)行特征數(shù)據(jù)或病毒運(yùn)行特征數(shù)據(jù)集合，判斷所述待檢測(cè)程序是否為病毒程序。

2.?根據(jù)權(quán)力要求1所述的防御未知病毒程序的方法，其特征在于，還包括：

獲取待檢測(cè)程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合；

根據(jù)獲得的所述待檢測(cè)程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合，結(jié)合預(yù)置的病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合，判斷所述待檢測(cè)程序是否為病毒程序。

3.?如權(quán)利要求2所述的防御未知病毒程序的方法，其特征在于，還包括：

建立程序行為經(jīng)驗(yàn)庫(kù)，用于存儲(chǔ)病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)的集合，以及存儲(chǔ)病毒程序從行為數(shù)據(jù)到結(jié)果數(shù)據(jù)的過(guò)程表達(dá)式，所述過(guò)程表達(dá)式包括行為數(shù)據(jù)和結(jié)果數(shù)據(jù)以及從行為到結(jié)果的對(duì)應(yīng)關(guān)系數(shù)據(jù)；以及，將獲得的所述待檢測(cè)程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合與所述程序行為經(jīng)驗(yàn)庫(kù)中的行為數(shù)據(jù)進(jìn)行比較，獲得所述過(guò)程表達(dá)式，通過(guò)所述過(guò)程表達(dá)式判斷所述待檢測(cè)程序是否為病毒程序。

4.?如權(quán)利要求2或3所述的防御未知病毒程序的方法，其特征在于，按照下列步驟建立病毒程序運(yùn)行特征經(jīng)驗(yàn)庫(kù)：

獲得已知病毒程序運(yùn)行過(guò)程中的內(nèi)存數(shù)據(jù)；

記錄已知病毒程序運(yùn)行過(guò)程中相同或相似部分的內(nèi)存數(shù)據(jù)或內(nèi)存數(shù)據(jù)的集合以及按序排列所述相同或相似部分的內(nèi)存數(shù)據(jù)片段，將所述排列后的內(nèi)存數(shù)據(jù)片段存儲(chǔ)并形成病毒程序運(yùn)行特征經(jīng)驗(yàn)庫(kù)；以及，將對(duì)系統(tǒng)進(jìn)行惡意操作的指令或指令集在被執(zhí)行過(guò)程中的內(nèi)存數(shù)據(jù)存儲(chǔ)到所述病毒程序運(yùn)行特征經(jīng)驗(yàn)庫(kù)中，利用所述特征經(jīng)驗(yàn)庫(kù)中的數(shù)據(jù)判斷所述待檢測(cè)程序是否為病毒程序。

5.?如權(quán)利要求4所述的防御未知病毒程序的方法，其特征在于，按照下列步驟建立原則庫(kù)：

將已知病毒程序的破壞性操作行為與該破壞性操作行為對(duì)應(yīng)的運(yùn)行結(jié)果，以及病毒程序運(yùn)行特征經(jīng)驗(yàn)庫(kù)中存儲(chǔ)的數(shù)據(jù)形成對(duì)應(yīng)關(guān)系表達(dá)式，將所述對(duì)應(yīng)關(guān)系表達(dá)式儲(chǔ)存到原則庫(kù)中；

把對(duì)系統(tǒng)進(jìn)行惡意操作的指令或指令集與對(duì)應(yīng)的指令或指令集執(zhí)行后的結(jié)果，以及該指令或指令集被執(zhí)行過(guò)程中的內(nèi)存數(shù)據(jù)形成對(duì)應(yīng)關(guān)系表達(dá)式，將所述對(duì)應(yīng)關(guān)系表達(dá)式儲(chǔ)存到原則庫(kù)中；

利用所述原則庫(kù)中的數(shù)據(jù)判斷所述待檢測(cè)程序是否為病毒程序。

6.?如權(quán)利要求5所述的防御未知病毒程序的方法，其特征在于，按照下述步驟獲取待檢測(cè)程序的行為數(shù)據(jù)：

獲得已知病毒程序的破壞性行為數(shù)據(jù)；

根據(jù)所述破壞性行為數(shù)據(jù)設(shè)置對(duì)應(yīng)的控制處理程序；

使控制處理程序獲得對(duì)所述破壞性行為數(shù)據(jù)操作的控制權(quán)；

待檢測(cè)程序的破壞性行為數(shù)據(jù)調(diào)用相應(yīng)的控制處理程序，由所述控制處理程序記錄所述待檢測(cè)程序的行為數(shù)據(jù)。

7.?如權(quán)利要求4所述的防御未知病毒程序的方法，其特征在于，還包括：

建立虛擬裝置，將待檢測(cè)程序放入所述虛擬裝置中運(yùn)行，獲取待檢測(cè)程序運(yùn)行過(guò)程中的特征數(shù)據(jù)。

8.?如權(quán)利要求4所述的防御未知病毒程序的方法，其特征在于，還包括：

獲得已知病毒程序的破壞性行為數(shù)據(jù)，將待檢測(cè)程序的行為數(shù)據(jù)與建立的所述程序行為經(jīng)驗(yàn)庫(kù)中存儲(chǔ)的數(shù)據(jù)進(jìn)行比較，判斷所述待檢測(cè)程序是否為病毒程序；

建立虛擬裝置，將待檢測(cè)程序放入所述虛擬裝置中運(yùn)行，獲取待檢測(cè)程序運(yùn)行過(guò)程中的特征數(shù)據(jù)，將獲取的所述待檢測(cè)程序運(yùn)行過(guò)程中的特征數(shù)據(jù)與建立的病毒程序運(yùn)行特征經(jīng)驗(yàn)庫(kù)中存儲(chǔ)的數(shù)據(jù)進(jìn)行比較，判斷所述待檢測(cè)程序是否為病毒程序。

9.?如權(quán)利要求4所述的防御未知病毒程序的方法，其特征在于，還包括：

獲得已知病毒程序的破壞性行為數(shù)據(jù)，將待檢測(cè)程序的行為數(shù)據(jù)與建立的所述程序行為經(jīng)驗(yàn)庫(kù)中存儲(chǔ)的數(shù)據(jù)進(jìn)行比較，判斷所述程序行為經(jīng)驗(yàn)庫(kù)中是否存儲(chǔ)有與待檢測(cè)程序的行為數(shù)據(jù)符合度大于指定的閥值；

根據(jù)上述比較的結(jié)果，按照預(yù)置的判定規(guī)則，判斷待檢測(cè)程序是否為病毒程序。