1.一種基于系統(tǒng)調(diào)用的軟件行為評(píng)估方法，其特征在于，包括如下步驟：

步驟1、對(duì)軟件執(zhí)行進(jìn)行監(jiān)控，跟蹤軟件運(yùn)行軌跡，并從中提取出軟件運(yùn)行時(shí)的系統(tǒng)調(diào) 用信息、模塊入口地址和函數(shù)調(diào)用返回地址；

步驟2、根據(jù)模塊入口地址和系統(tǒng)調(diào)用函數(shù)返回地址計(jì)算出相對(duì)內(nèi)存偏移量；利用系統(tǒng) 調(diào)用信息和相對(duì)內(nèi)存偏移量形成的二元組和確認(rèn)知識(shí)庫中的標(biāo)準(zhǔn)二元組進(jìn)行對(duì)比，得到一 個(gè)評(píng)估值，該評(píng)估值作為系統(tǒng)調(diào)用監(jiān)測評(píng)估結(jié)果；所述確認(rèn)知識(shí)庫為由在軟件正常運(yùn)行過 程中形成的系統(tǒng)調(diào)用信息和相對(duì)內(nèi)存偏移量的二元組組成的集合；

步驟3、通過隱馬爾科夫模型評(píng)估得到的在正常的軟件行為的模型下此次軟件運(yùn)行出 現(xiàn)的概率，作為模型評(píng)估結(jié)果，將系統(tǒng)調(diào)用監(jiān)測評(píng)估結(jié)果和模型評(píng)估結(jié)果相結(jié)合作為軟件 行為最終評(píng)估結(jié)果。

2.如權(quán)利要求1所述的一種基于系統(tǒng)調(diào)用的軟件行為評(píng)估方法，其特征在于，利用系統(tǒng) 調(diào)用信息和相對(duì)內(nèi)存偏移量形成的二元組和確認(rèn)知識(shí)庫中的標(biāo)準(zhǔn)二元組進(jìn)行對(duì)比，設(shè)定評(píng) 估值初始為0，若系統(tǒng)調(diào)用信息或者相對(duì)內(nèi)存偏移量與確認(rèn)知識(shí)庫中的每一項(xiàng)標(biāo)準(zhǔn)二元組 不同，則該軟件的評(píng)估值減1，若系統(tǒng)調(diào)用信息和相對(duì)內(nèi)存偏移量與確認(rèn)知識(shí)庫中的其中一 項(xiàng)標(biāo)準(zhǔn)二元組相同，則該軟件的評(píng)估值加1。

3.如權(quán)利要求1或者2所述的一種基于系統(tǒng)調(diào)用的軟件行為評(píng)估方法，其特征在于，所 述系統(tǒng)調(diào)用信息中包括系統(tǒng)調(diào)用序列，則通過隱馬爾科夫模型評(píng)估時(shí)，對(duì)所述系統(tǒng)調(diào)用序 列進(jìn)行簡化后輸入到隱馬爾科夫模型中，其中系統(tǒng)調(diào)用序列的簡化過程如下：

1)從系統(tǒng)調(diào)用序列中提取出長度為1的序列組成序列集；

2)若序列集中長度為1的序列不少于2個(gè)，則在序列集中任意選取兩個(gè)長度為1的序列 組成長度為2的序列，判斷長度為2的序列的概率是否大于組成該長度為2的序列的任意一 個(gè)長度為1的序列概率的α倍，若是則將該長度為2的序列加入序列集中，否則舍棄該長度為 2的序列；若組成長度為2的序列的一個(gè)長度為1的序列的概率與該長度為2的序列的概率相 等，則將該長度為1的序列從序列集中刪除；α為預(yù)設(shè)值；

3)若序列集中長度為2的序列不少于2個(gè)，則在序列集中選取兩個(gè)長度為2的序列首尾 相接，從而組成長度為3的序列，判斷長度為3的序列的概率是否大于組成該長度為3的序列 的任意一個(gè)長度為2的序列概率的α倍，若是則將該長度為3的序列加入所述序列集中，否則 將該長度為3的序列舍棄；若組成長度為3的序列的一個(gè)長度為2的序列的概率與該長度為3 的序列的概率相等，則將該長度為2的序列從序列集中刪除；

以此類推，直至在序列集中獲得長度為n的序列，且序列集中長度為n的序列少于2個(gè)； 進(jìn)入4)；

4)將序列集中所有的序列均采用單個(gè)字符表示，所有字符不重復(fù)；設(shè)置替換迭代次數(shù) i，i的初始值為n；

5)將原有的系統(tǒng)調(diào)用序列中對(duì)應(yīng)序列集中的長度為i的序列采用其對(duì)應(yīng)字符替換，i自 減1；

6)重復(fù)5)直至i小于1，最終獲得的序列即為簡化后的系統(tǒng)調(diào)用序列。

4.如權(quán)利要求1所述的一種基于系統(tǒng)調(diào)用的軟件行為評(píng)估方法，其特征在于，所述模型 評(píng)估結(jié)果為P，所述系統(tǒng)調(diào)用監(jiān)測評(píng)估結(jié)果為Y，所述系統(tǒng)調(diào)用序列中所包含的系統(tǒng)調(diào)用的 個(gè)數(shù)為S；則最終的評(píng)估值計(jì)算方法為