技術領域

本發明涉及移動通信技術領域，特別涉及一種軟件惡意行為建模方法及建模裝置、采用上述建模裝置的移動終端以及軟件惡意行為的判斷方法和軟件惡意的判斷方法。

背景技術

隨著軟件及移動通信技術的發展，在移動終端(例如手機)中植入軟件已成為智能手機的主要特征。伴隨著越來越多的軟件植入到手機中，部分惡意軟件也被植入。其中，惡意軟件是指執行惡意行為的軟件。這些惡意行為包括竊取用戶的隱私信息、竊聽用戶通話內容等。為此，需要對手機中的惡意軟件建立模型以便對上述惡意軟件的惡意行為進行管理。

傳統的惡意軟件的惡意行為建模方法包括以下兩類：

1)基于可執行文件的惡意行為建模方法：該方法主要分析軟件的可執行文件，對惡意軟件可執行文件的特征進行法分析和抽象以建立惡意行為模型。其中，惡意軟件可執行文件的特征包括：文件特征和API調用序列等。通常，每個惡意軟件對應一個惡意行為特征。

基于可執行文件的惡意行為建模方法的缺陷在于：該方法為每一個惡意軟件建立一個惡意行為特征，隨著惡意軟件越來越多，采用該方法建立的惡意行為模型數量過多，從而給系統或安全軟件使用上述建模方法執行惡意行為檢測時，帶來大量資源開銷，從而極大地影響系統性能。而且，通一個惡意軟件可以通過加殼等技術改變可執行文件特征，從而使已有的惡意行為模型失效。

2)基于單一敏感權限的惡意行為建模方法。該方法將應用程序的單一權限訪問作為惡意行為模型的主體。當軟件采用了該單一權限時，則認為該軟件符合此惡意行為模型。

基于單一敏感權限的惡意行為建模方法的缺陷在于：該方法過于籠統，無法有效地區分真正的惡意軟件和使用了相同權限的正常軟件，從而喪失了惡意行為建模的意義。

此外，傳統的惡意行為建模方法沒有考慮權限訪問之間的內在聯系以及其所處的系統狀態，從而也就無法體現惡意行為的本質和目的。傳統的惡意行為建模方法不具有可定制性，從而用戶無法根據自己的需求自定義惡意行為模型，進而導致無法滿足用戶的定制需求，用戶的體驗度低。

發明內容

本發明的目的旨在至少解決上述技術缺陷之一。

為此，本發明的第一目的在于提出一種軟件惡意行為建模方法，該方法可以便于用戶根據自身需求進行定義，提高了用戶的體驗度。本發明的第二個目的在于一種軟件惡意行為建模裝置。本發明的第三個目的在于提供一種具有上述建模裝置的移動終端。本發明的第四個目的在于提供一種軟件惡意行為的判斷方法，該方法可以對軟件執行的惡意行為進行判斷。本發明的第五個目的在于提供一種具有上述建模裝置的移動終端，該移動終端可以對軟件的惡意行為進行判斷。本發明的第六個目的在于提供一種軟件惡意的判斷方法，該方法可以根據上述建模方法建立的惡意行為模型判斷軟件是否為惡意軟件。本發明的第七個目的在于提供一種具有上述建模裝置的移動終端，該移動終端可以用于判斷軟件是否為惡意軟件。

為實現上述目的，本發明的第一方面的實施例提供了一種軟件惡意行為建模方法，包括如下步驟：

根據對移動終端中敏感資源的訪問生成至少一個敏感動作；

根據所述移動終端中系統所處的持續狀態生成至少一個上下文；以及

根據所述至少一個敏感動作中的一個或多個敏感動作和/或所述至少一個上下文中的一個上下文生成惡意行為模型。

根據本發明實施例的軟件惡意行為建模方法，通過檢測敏感資源獲取敏感動作以及表示系統所處狀態的上下文生成惡意行為模型，從而可以有效發現軟件執行的任一行為是否為惡意行為以便準確判斷出惡意軟件，提高移動終端的安全性。

本發明第二方面的實施例提供了一種軟件惡意行為建模裝置，包括敏感動作生成模塊，用于對移動終端中敏感資源的訪問生成至少一個敏感動作；上下文生成模塊，用于根據所述移動終端中系統當前所處的持續狀態生成至少一個上下文；以及建模模塊，用于根據所述至少一個敏感動作中的一個或多個敏感動作和/或所述至少一個上下文中的一個上下文生成惡意行為模型。

根據本發明實施例的軟件惡意行為建模裝置，通過檢測敏感資源獲取敏感動作以及表示系統所處狀態的上下文生成惡意行為模型，從而可以有效發現軟件執行的任一行為是否為惡意行為以便準確判斷出惡意軟件，提高移動終端的安全性。

本發明第三方面的實施例提供了一種移動終端，包括本發明第二實施例提供的軟件惡意行為建模裝置和惡意模型編輯模塊，用于將所述軟件惡意行為建模裝置已建立的惡意行為模型顯示給所述移動終端的用戶，以供所述用戶進行編輯、瀏覽或刪除。