1.一種惡意軟件行為特征標(biāo)識(shí)方法，其特征在于，該方法的步驟為：

1）通過(guò)分析工具獲取帶有時(shí)間戳的惡意軟件的一個(gè)或者多個(gè)行為序列，其中惡意軟件的每個(gè)進(jìn)程對(duì)應(yīng)一個(gè)行為序列，對(duì)所述行為序列按照時(shí)間戳進(jìn)行排序，組合為當(dāng)前行為序列；

2）分析當(dāng)前行為序列中可能出現(xiàn)的行為特征的上限，此處的行為特征表示所述當(dāng)前行為序列中描述一個(gè)特定系統(tǒng)行為的標(biāo)識(shí)對(duì)象，設(shè)定所述行為特征上限值為UpFeatures；

3）設(shè)定布爾變量為IsVisible，選擇是否需要使用可視的單字節(jié)字符，所述的可視的單字節(jié)字符是指ASCII碼表中從33到126之間的可以被屏幕顯示的字符，不包含控制字符；

4）根據(jù)UpFeatures和IsVisible的賦值，構(gòu)建行為特征編碼表；

5）根據(jù)行為特征編碼表，將原有文本格式或者XML格式的行為序列編碼為單字節(jié)字符序列或者多字節(jié)字符序列，從而有效減小當(dāng)前行為序列的存儲(chǔ)代價(jià)和作為機(jī)器學(xué)習(xí)方法的輸入?yún)?shù)時(shí)帶來(lái)的運(yùn)算代價(jià)；

6）計(jì)算連續(xù)重復(fù)度L：在一個(gè)單字節(jié)字符序列或者多字節(jié)字符序列中，定義每一個(gè)字符為一個(gè)特征，如果一個(gè)特征在所述單字節(jié)字符序列或者多字節(jié)字符序列中連續(xù)出現(xiàn)的次數(shù)大于1，則認(rèn)為所述特征存在連續(xù)重復(fù)度，其中連續(xù)出現(xiàn)的次數(shù)即為連續(xù)重復(fù)度L；

7）設(shè)定重復(fù)度壓縮起始值StartNum；

8）如果L>=StartNum，則進(jìn)入步驟9），否則，所述單字節(jié)字符序列或者多字節(jié)字符序列長(zhǎng)度保持不變；

9）對(duì)所述單字節(jié)字符序列或者多字節(jié)字符序列進(jìn)行對(duì)數(shù)級(jí)重復(fù)度壓縮，從而提高或者保持惡意軟件不同變種間行為序列的相似性。

2.根據(jù)權(quán)利要求1所述的惡意軟件行為特征標(biāo)識(shí)方法，其特征在于，所述步驟1）中，對(duì)所述序列按照時(shí)間戳進(jìn)行排序時(shí)，滿足以下規(guī)則：

1）同一進(jìn)程的行為序列按時(shí)間順序排列，越早調(diào)用的行為特征位置越靠前；

2）在合并后的總序列中，不同進(jìn)程的行為序列不交叉，把每個(gè)行為序列當(dāng)做一個(gè)整體放入總序列；

3）總序列中，不同進(jìn)程對(duì)應(yīng)的行為序列順序按照每一個(gè)進(jìn)程對(duì)應(yīng)的第一個(gè)行為特征所發(fā)生的時(shí)間點(diǎn)進(jìn)行排序，最早調(diào)用的進(jìn)程排在最前面。

3.根據(jù)權(quán)利要求1所述的惡意軟件行為特征標(biāo)識(shí)方法，其特征在于，所述步驟4）中：

1）在構(gòu)建行為特征編碼表的過(guò)程中，如果IsVisible為TRUE，則表示編碼表全部采用可視單字節(jié)字符，根據(jù)以下規(guī)則構(gòu)建行為特征編碼表：

當(dāng)UpFeatures＜＝94時(shí)，在ASCII碼表的33到126之間任意選擇UpFeatures個(gè)不同的ASCII字符來(lái)與行為特征一一對(duì)應(yīng)構(gòu)成編碼表，其中33和126均為十進(jìn)制；

當(dāng)UpFeatures＞94時(shí),一個(gè)行為特征不能只用一個(gè)單字節(jié)字符表示，需要2個(gè)或者多個(gè)字符來(lái)表示，字符個(gè)數(shù)最小值N通過(guò)如下公式計(jì)算：

94^N-1<UpFeatures<＝94^N；

得到N值后，利用N個(gè)單字節(jié)字符表示一個(gè)行為特征，構(gòu)建編碼表；

2）在構(gòu)建行為特征編碼表的過(guò)程中，如果IsVisible為FALSE，則表示編碼表可不全部采用可視單字節(jié)字符，此時(shí)一個(gè)字節(jié)可以獨(dú)立的對(duì)應(yīng)2⁸＝256個(gè)行為特征，構(gòu)建行為特征編碼表的規(guī)則為：

當(dāng)UpFeatures<＝256時(shí)，則在0到255之間隨機(jī)的選取UpFeatures個(gè)數(shù)值來(lái)對(duì)應(yīng)行為特征，此時(shí)表示0到255的數(shù)值采用十六進(jìn)制形式來(lái)構(gòu)建行為特征編碼表；

當(dāng)UpFeatures＞256時(shí),一個(gè)行為特征不能只用一個(gè)字節(jié)的字符表示，需要2個(gè)或者多個(gè)字節(jié)的字符來(lái)表示，最小字節(jié)數(shù)N通過(guò)如下公式計(jì)算：

256^N-1<UpFeatures<＝256^N????(2)

得到N值后，利用2N個(gè)十六進(jìn)制字符來(lái)表示一個(gè)行為特征，構(gòu)建行為特征編碼表。