本發明實施例提供了一種手機惡意軟件預警方法和裝置，所述方法包括：獲取待監測地區用戶終端的異常行為特征，并計算待監測地區中每類異常行為特征的發生概率，其中異常行為特征包括：訪問不良網站、發送不良短彩信、短信頻率異常、上網流量異常和短信語音話單離散度異常中的任意一種或任意組合；根據發生概率和行為特征關系概率模型計算出手機惡意軟件的傳播概率；與行為特征關系概率模型中的預設概率閾值對比，決策是否進行手機惡意軟件預警。所述裝置用于執行上述方法。本發明實施例根據用戶終端異常行為特征的發生概率，預測手機惡意軟件傳播事件發生的可能性，實現了手機惡意軟件傳播的預測和預警，提高了手機惡意軟件檢測的及時性。

技術領域

本發明實施例涉及移動通信技術領域，具體涉及一種手機惡意軟件預警方法和裝置。

背景技術

隨著科技的發展，智能手機普及范圍越來越廣，智能手機的出現為人們的生活帶來了很大的方便。但是手機惡意軟件也隨之出現，日益泛濫，手機惡意軟件會造成用戶隱私泄露、信息丟失、設備損壞、話費損失等諸多問題，給用戶利益帶來極大危害。

現有技術中，控制手機惡意軟件的方法主要有：用戶自主進行終端側控制，即在智能終端上安裝終端管理和防病毒軟件；另一種廣泛使用的控制手段是網絡側控制，即網絡運營商在網絡側部署監控設備，實現發現、告知和攔截等監控功能。其中，現有技術的網絡側控制技術主要是手機惡意軟件監測系統通過分析疑似樣本文件，爬取和還原疑似樣本文件后進行集中研判并形成統一的手機惡意軟件代碼特征庫，并將發現的惡意軟件主控URL(Uniform Resource Locator，統一資源定位符)提交流控系統進行封堵。具體過程如下：首先，手機惡意軟件監測系統通過DPI(Deep packet inspection，深度報文解析)和相關檢測技術，利用惡意軟件特征庫對樣本文件進行惡意軟件特征匹配，檢測惡意軟件傳播事件。人工研判階段主要基于軟件樣本檢測，樣本來源包括如前文所述DPI設備解析的網絡流量，和網絡爬蟲爬取特定URL獲取的文件樣本。通過用戶舉報收集的文件樣本較少。研判人員通過靜態、動態工具反編譯或運行樣文，還原疑似軟件的原始代碼，并記錄其運行過程中產生的系統和網絡調用行為。研判可確定樣本是否是惡意軟件，進而提取惡意軟件特征加入病毒庫，當這些軟件樣本在網絡中傳播時就可以通過特征匹配實現監控。最后，更新的惡意軟件特征庫將下發到網絡側部署的監測設備、流控設備進行過濾和攔截。

可以看出，現有技術中對手機惡意軟件的的監控都是事后監測方法，即手機惡意軟件已經感染用戶后，進行手機惡意軟件的過濾和攔截。這樣可能導致，過濾攔截的不及時，導致惡意軟件已經獲取到用戶的信息或已經造成用戶的損失。因此，如何提出一種方法，能夠對手機惡意軟件進行預警，提高手機惡意軟件檢測的及時性，成為亟待解決的問題。

發明內容

針對現有技術中的缺陷，本發明實施例提供了一種手機惡意軟件預警方法和裝置。

一方面，本發明實施例提供了一種手機惡意軟件預警方法，包括：

獲取待監測地區用戶終端的異常行為特征，并計算所述待監測地區中每類所述異常行為特征的發生概率，其中所述異常行為特征包括：訪問不良網站、發送不良短彩信、短信頻率異常、上網流量異常和短信語音話單離散度異常；

根據所述發生概率和預存儲的行為特征關系概率模型計算出手機惡意軟件的傳播概率；

將所述傳播概率與所述行為特征關系概率模型中的預設概率閾值對比，則進行手機惡意軟件預警。

另一方面，本發明實施例提供一種手機惡意軟件預警裝置，包括：

行為特征概率計算單元，用于獲取待監測地區用戶終端的異常行為特征，并計算所述待監測地區中每類所述異常行為特征的發生概率，其中所述異常行為特征包括：訪問不良網站、發送不良短彩信、短信頻率異常、上網流量異常和短信語音話單離散度異常；