1.一種基于系統(tǒng)調(diào)用分析的軟件行為評(píng)估方法，其特征在于，包括：

在監(jiān)控到待評(píng)估的軟件的一次軟件行為后，獲取所述軟件的監(jiān)控日志中針對(duì)該次軟件行為記錄的信息，并從中提取出每個(gè)系統(tǒng)調(diào)用的入口地址和返回地址，以及系統(tǒng)調(diào)用序列；

將提取出的系統(tǒng)調(diào)用序列與知識(shí)庫(kù)中預(yù)先存儲(chǔ)的所述軟件的各系統(tǒng)調(diào)用子序列進(jìn)行比較，根據(jù)比較結(jié)果確定提取出的系統(tǒng)調(diào)用序列的評(píng)估值，該步驟具體包括：

將提取出的系統(tǒng)調(diào)用序列與所述知識(shí)庫(kù)中預(yù)先存儲(chǔ)的各系統(tǒng)調(diào)用子序列進(jìn)行比較，從該系統(tǒng)調(diào)用序列中提取出與所述知識(shí)庫(kù)中預(yù)先存儲(chǔ)的系統(tǒng)調(diào)用子序列相同的子序列作為該系統(tǒng)調(diào)用序列中所包含的匹配子序列；并根據(jù)各系統(tǒng)調(diào)用子序列在所述知識(shí)庫(kù)中的評(píng)估因子、各匹配子序列在該系統(tǒng)調(diào)用序列中出現(xiàn)的次數(shù)，計(jì)算出該系統(tǒng)調(diào)用序列的評(píng)估值；

對(duì)于獲取的信息中涉及的每個(gè)系統(tǒng)調(diào)用，根據(jù)該系統(tǒng)調(diào)用的入口地址和返回地址計(jì)算出該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移后，將計(jì)算出的該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移與知識(shí)庫(kù)中預(yù)先存儲(chǔ)的該系統(tǒng)調(diào)用的常見內(nèi)存偏移進(jìn)行比較，根據(jù)比較結(jié)果確定該系統(tǒng)調(diào)用的評(píng)估結(jié)果；

根據(jù)確定出的每個(gè)系統(tǒng)調(diào)用的評(píng)估結(jié)果，以及系統(tǒng)調(diào)用序列的評(píng)估值，對(duì)該次軟件行為進(jìn)行評(píng)估。

2.如權(quán)利要求1所述的方法，其特征在于，所述知識(shí)庫(kù)中的各系統(tǒng)調(diào)用子序列是預(yù)先對(duì)所述軟件的若干次軟件正常行為進(jìn)行學(xué)習(xí)獲取的；其中，對(duì)所述軟件的一次軟件正常行為進(jìn)行學(xué)習(xí)的過(guò)程為：

在監(jiān)控到所述軟件的一次軟件正常行為后，從所述軟件的監(jiān)控日志中的針對(duì)該次軟件正常行為所記錄的系統(tǒng)調(diào)用信息中提取出系統(tǒng)調(diào)用序列，作為本次學(xué)習(xí)過(guò)程中得到的所述軟件的樣本系統(tǒng)調(diào)用序列記錄在所述知識(shí)庫(kù)中；

將所述知識(shí)庫(kù)中中記錄的所述軟件的各樣本系統(tǒng)調(diào)用序列所共有的若干個(gè)子序列作為所述軟件的系統(tǒng)調(diào)用子序列；

針對(duì)所述軟件的每個(gè)系統(tǒng)調(diào)用子序列，將該系統(tǒng)調(diào)用子序列在所述軟件的所有樣本系統(tǒng)調(diào)用序列中出現(xiàn)的次數(shù)總和與所述軟件的樣本系統(tǒng)調(diào)用序列的個(gè)數(shù)的比值作為該系統(tǒng)調(diào)用子序列的評(píng)估因子；并將該系統(tǒng)調(diào)用子序列的評(píng)估因子對(duì)應(yīng)該系統(tǒng)調(diào)用子序列存儲(chǔ)在所述知識(shí)庫(kù)中。

3.如權(quán)利要求2所述的方法，其特征在于，所述對(duì)所述軟件的一次軟件正常行為進(jìn)行學(xué)習(xí)的過(guò)程中還包括：

針對(duì)該次軟件正常行為所包含的每個(gè)系統(tǒng)調(diào)用，從所述系統(tǒng)調(diào)用信息中提取出該系統(tǒng)調(diào)用的入口地址和返回地址，并根據(jù)提取出的返回地址和入口地址，計(jì)算出該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移，并作為本次學(xué)習(xí)過(guò)程中得到的該系統(tǒng)調(diào)用的常見內(nèi)存偏移記錄在所述知識(shí)庫(kù)中。

4.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)各系統(tǒng)調(diào)用子序列在所述知識(shí)庫(kù)中的評(píng)估因子、各匹配子序列在該系統(tǒng)調(diào)用序列中出現(xiàn)的次數(shù)，計(jì)算出該系統(tǒng)調(diào)用序列的評(píng)估值，具體包括：

根據(jù)如下公式1，計(jì)算出該系統(tǒng)調(diào)用序列的評(píng)估值SQ：

式中，n為該系統(tǒng)調(diào)用序列中包含的匹配子序列的總數(shù)，F(xiàn)_i為第i個(gè)匹配子序列在該系統(tǒng)調(diào)用序列中出現(xiàn)的次數(shù)，sq_i為第i個(gè)匹配子序列在所述知識(shí)庫(kù)中的評(píng)估因子。

5.如權(quán)利要求1-3任一所述的方法，其特征在于，所述將計(jì)算出的該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移與知識(shí)庫(kù)中預(yù)先存儲(chǔ)的該系統(tǒng)調(diào)用的常見內(nèi)存偏移進(jìn)行比較，根據(jù)比較結(jié)果確定該系統(tǒng)調(diào)用的評(píng)估結(jié)果，具體包括：

對(duì)于該系統(tǒng)調(diào)用序列中所包含的每個(gè)匹配子序列，針對(duì)該匹配子序列中所包含的每個(gè)系統(tǒng)調(diào)用，將該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移與知識(shí)庫(kù)中預(yù)先存儲(chǔ)的該系統(tǒng)調(diào)用的常見內(nèi)存偏移進(jìn)行比較，若該系統(tǒng)調(diào)用的內(nèi)存相對(duì)偏移與所述知識(shí)庫(kù)中預(yù)先存儲(chǔ)的該系統(tǒng)調(diào)用的常見內(nèi)存偏移相同，則將該系統(tǒng)調(diào)用評(píng)估為該匹配子序列中所包含的正常系統(tǒng)調(diào)用。