專利名稱:基于行為判斷軟件是否含有病毒的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域�����,具體涉及一種基于行為判斷軟件是否含有病毒的方法和設(shè)備���。
背景技術(shù):
軟件中的惡意代碼通常含義為軟件中的病毒,當(dāng)軟件中含有病毒時(shí)�����,不僅會(huì)妨礙軟件的正常運(yùn)行��,還會(huì)給安裝軟件的操作系統(tǒng)帶來很多危害,所以���,在軟件安裝或使用過程中�,需要頻繁掃描軟件����,判斷軟件中是否含有病毒。現(xiàn)有技術(shù)中�,判斷軟件中是否含有病毒的方法為反病毒研究人員根據(jù)已經(jīng)掌握的現(xiàn)有各種病毒樣本信息,從中提取出病毒特征碼���,然后將各類病毒特征碼組成一個(gè)病毒庫��;當(dāng)對某一待檢測軟件進(jìn)行掃描時(shí),判斷待檢測軟件中是否存在與病毒庫中已存在的病毒特征碼相同的代碼���,如果判斷結(jié)果為是�,則認(rèn)為該待檢測軟件已感染了該病毒��。例如如果研究人員發(fā)現(xiàn)感染了病毒A的軟件中全都存在以下代碼"X50 �! P% iAP[4\PZX54(P")7CC]7]$EICAR-STANDARD-ANTIVIRUS-TEST-FILE ! $H+H*”�,則研究人員將上述代碼設(shè)置為病毒特征碼,并取名為“AN/EICAR. Virus",然后將該病毒特征碼加入病毒庫中;當(dāng)后續(xù)對其他軟件掃描時(shí)�,一旦發(fā)現(xiàn)該軟件中存在與上述代碼相同的代碼,則認(rèn)為該軟件被感染了 “AN/EICAR. Virus”病毒�。基于病毒特征碼的掃描采用了“同一病毒或同類病毒的某一部分代碼相同”的原理��,也就是說��,如果病毒及其變種具有同一性���,則可以對這種同一性進(jìn)行描述��,作為該病毒的特征碼���,通過程序體與特征碼進(jìn)行比較來查找病毒。上述基于病毒特征碼的掃描方法只能判斷待檢測軟件中是否被感染已知病毒�,但卻無法判斷待檢測軟件中是否存在未知病毒,例如新出現(xiàn)的病毒����,從而導(dǎo)致新病毒無法盡早查殺,擴(kuò)大了病毒傳播和危害的范圍��。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)存在的缺陷��,本發(fā)明提供一種基于行為判斷軟件是否含有病毒的方法和設(shè)備,通過對軟件已執(zhí)行或可能執(zhí)行的行為進(jìn)行分析���,從而判斷軟件是否含有病毒����,因此���,所查找到的病毒并不局限于病毒庫中已知的病毒��,也包括未知的病毒�����,從而使軟件使用者能夠及時(shí)發(fā)現(xiàn)軟件中包含的病毒��,避免了病毒傳播的范圍和可能造成的危害�����。本發(fā)明采用的技術(shù)方案如下本發(fā)明提供一種基于行為判斷軟件是否含有病毒的方法,包括以下步驟Si��,獲取待檢測軟件的一種以上敏感行為信息���;S2�,分別為Sl獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值;S3�����,按預(yù)設(shè)算法對S2得到的權(quán)值進(jìn)行綜合計(jì)算�,得到總權(quán)值;S4�����,根據(jù)所述總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率��。優(yōu)選的���,所述敏感行為信息具體為所述待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息�����。優(yōu)選的�,所述操作包括以下操作的一種或幾種所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行�����、所述待檢測軟件自動(dòng)啟動(dòng)、所述待檢測軟件在安裝及運(yùn)行時(shí)使用與通用慣例不符合的名稱或標(biāo)識(shí)符���、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)���、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信��、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出和/或?qū)懭霐?shù)據(jù)�����、 所述待檢測軟件自動(dòng)獲取通訊錄信息�����、所述待檢測軟件自動(dòng)獲取通話記錄信息����、所述待檢測軟件自動(dòng)調(diào)用攝像頭和所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)。優(yōu)選的���,S4之后��,還包括S5�,根據(jù)所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容���, 并當(dāng)所述概率高于預(yù)設(shè)極大值時(shí)����,發(fā)出報(bào)警信號(hào)�����。本發(fā)明還提供一種基于行為判斷軟件是否含有病毒的裝置��,包括獲取模塊�,用于獲取待檢測軟件的一種以上敏感行為信息;權(quán)值設(shè)置模塊�,用于分別為所述獲取模塊獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值;權(quán)值計(jì)算模塊�����,用于按預(yù)設(shè)算法對所述權(quán)值設(shè)置模塊設(shè)置的權(quán)值進(jìn)行綜合計(jì)算�����, 得到總權(quán)值����;判斷模塊��,用于根據(jù)所述權(quán)值計(jì)算模塊計(jì)算得到的總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率���。優(yōu)選的,所述敏感行為信息具體為所述待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息�。優(yōu)選的,所述操作包括以下操作的一種或幾種所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行����、所述待檢測軟件自動(dòng)啟動(dòng)、所述待檢測軟件在安裝及運(yùn)行時(shí)使用與通用慣例不符合的名稱或標(biāo)識(shí)符���、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)��、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作��、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信�、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出和/或?qū)懭霐?shù)據(jù)���、 所述待檢測軟件自動(dòng)獲取通訊錄信息��、所述待檢測軟件自動(dòng)獲取通話記錄信息�、所述待檢測軟件自動(dòng)調(diào)用攝像頭和所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)。優(yōu)選的�,還包括顯示模塊�����,用于根據(jù)所述判斷模塊判斷的所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容���,并當(dāng)所述判斷模塊判斷的所述概率高于預(yù)設(shè)極大值時(shí)�,發(fā)出報(bào)警信號(hào)���。本發(fā)明的有益效果如下本發(fā)明提供的基于行為判斷軟件是否含有病毒的方法和設(shè)備��,通過對軟件已執(zhí)行或可能執(zhí)行的敏感行為進(jìn)行分析���,從而判斷軟件含有病毒的概率,因此�����,所查找到的病毒并不局限于病毒庫中已知的病毒����,也包括未知的病毒�����,從而使軟件使用者能夠及時(shí)發(fā)現(xiàn)軟件中包含的病毒����,避免了病毒傳播的范圍和可能造成的危害����。
圖1為本發(fā)明提供的基于行為判斷軟件是否含有病毒的方法的流程示意圖;圖2為本發(fā)明提供的基于行為判斷軟件是否含有病毒的裝置的結(jié)構(gòu)圖�����。
具體實(shí)施例方式以下結(jié)合附圖對本發(fā)明詳細(xì)介紹如圖1所示�,為本發(fā)明實(shí)施例提供的一種基于行為判斷軟件是否含有病毒的方法的流程示意圖,包括以下步驟Si���,獲取待檢測軟件的一種以上敏感行為信息���;其中,敏感行為信息具體為待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息�。 具體操作方式包括但不限于所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行、所述待檢測軟件自動(dòng)啟動(dòng)、所述待檢測軟件在安裝及運(yùn)行時(shí)使用與通用慣例不符合的名稱或標(biāo)識(shí)符�、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作�����、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信�、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出和/或?qū)懭霐?shù)據(jù)���、所述待檢測軟件自動(dòng)獲取通訊錄信息��、所述待檢測軟件自動(dòng)獲取通話記錄信息���、所述待檢測軟件自動(dòng)調(diào)用攝像頭和所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)。本發(fā)明中�,獲取待檢測軟件的敏感行為信息的方式包括以下兩種第一種,對于待檢測軟件自動(dòng)啟動(dòng)�、自動(dòng)聯(lián)網(wǎng)、自動(dòng)進(jìn)行藍(lán)牙操作��、自動(dòng)讀取和/ 或接收和/或發(fā)送短信��、自動(dòng)向SD卡內(nèi)讀出或?qū)懭霐?shù)據(jù)����、自動(dòng)獲取通訊錄信息����、自動(dòng)獲取通話記錄信息����、自動(dòng)調(diào)用攝像頭、自動(dòng)調(diào)用麥克風(fēng)等敏感行為����,由于待檢測軟件在執(zhí)行該類敏感行為前,均需要向系統(tǒng)申請執(zhí)行權(quán)限�����,系統(tǒng)記錄并審核該執(zhí)行權(quán)限�����,只有當(dāng)系統(tǒng)審核通過后��,待檢測軟件才能執(zhí)行該類敏感行為�,所以,本發(fā)明中��,通過讀取并分析系統(tǒng)記錄的與待檢測軟件對應(yīng)的執(zhí)行權(quán)限�,可以獲知待檢測軟件已執(zhí)行或?qū)⒁獔?zhí)行的操作�。第二種,對于待檢測軟件自動(dòng)后臺(tái)運(yùn)行、待檢測軟件的名稱或標(biāo)識(shí)符與通用慣例不符合等敏感行為���,由于待檢測軟件在執(zhí)行該類敏感行為前,不需要向系統(tǒng)申請執(zhí)行權(quán)限����, 但是,待檢測軟件在安裝后�,會(huì)自動(dòng)在系統(tǒng)中注冊一些注冊信息�,所以,本發(fā)明中�,通過讀取并分析該注冊信息,可以獲知待檢測軟件是否自動(dòng)后臺(tái)運(yùn)行以及待檢測軟件的名稱或標(biāo)識(shí)符是否與通用慣例不符合��。S2����,分別為Sl獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值;具體的����,根據(jù)各敏感行為信息中含有病毒概率的高低,為其設(shè)置對應(yīng)的權(quán)值。例如按照通常理解�����,對使用者而言�����,待檢測軟件自動(dòng)獲取通話記錄信息的危險(xiǎn)性高于待檢測軟件自動(dòng)后臺(tái)運(yùn)行���,所以���,可以為待檢測軟件自動(dòng)獲取通話記錄信息這一操作設(shè)置高的權(quán)值,例如��,80 ��;而為待檢測軟件自動(dòng)后臺(tái)運(yùn)行設(shè)置低的權(quán)值�,例如30。也就是說�����,各敏感行為信息對應(yīng)權(quán)值的大小可以根據(jù)使用者或反病毒專家的經(jīng)驗(yàn)等靈活設(shè)置�,只要各敏感行為信息對應(yīng)權(quán)值的大小與待檢測軟件中含有病毒的概率間存在相關(guān)性即可��。S3��,按預(yù)設(shè)算法對S2得到的權(quán)值進(jìn)行綜合計(jì)算���,得到總權(quán)值;作為一種具體實(shí)現(xiàn)方式�����,可以對各權(quán)值進(jìn)行求和運(yùn)算���。S4��,根據(jù)所述總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率����。S4之后���,還包括S5,根據(jù)所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容�, 并當(dāng)所述概率高于預(yù)設(shè)極大值時(shí),發(fā)出報(bào)警信號(hào)����。具體的���,可以設(shè)置預(yù)設(shè)極小值和預(yù)設(shè)極大值兩個(gè)參數(shù),例如預(yù)設(shè)極小值為60��、預(yù)設(shè)極大值為80�。當(dāng)總權(quán)值小于預(yù)設(shè)極小值時(shí),則認(rèn)為待檢測軟件中不含有病毒��;當(dāng)總權(quán)值位于預(yù)設(shè)極小值和預(yù)設(shè)極大值之間時(shí)�,則認(rèn)為待檢測軟件中可能含有病毒,從而向終端發(fā)出提示信息����;當(dāng)總權(quán)值大于預(yù)設(shè)極大值時(shí),則認(rèn)為待檢測軟件中含有病毒�����,在向終端發(fā)出提示信息的同時(shí)����,向終端發(fā)出報(bào)警信號(hào)。如圖2所示��,本發(fā)明還提供一種基于行為判斷軟件是否含有病毒的裝置,包括獲取模塊21�,用于獲取待檢測軟件的一種以上敏感行為信息;其中���,敏感行為信息具體為所述待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息��,具體的操作方式包括所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行��、所述待檢測軟件自動(dòng)啟動(dòng)����、判斷所述待檢測軟件的名稱或標(biāo)識(shí)符與通用慣例是否符合�����、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)�����、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作���、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出或?qū)懭霐?shù)據(jù)��、所述待檢測軟件自動(dòng)獲取通訊錄信息、所述待檢測軟件自動(dòng)獲取通話記錄信息����、所述待檢測軟件自動(dòng)調(diào)用攝像頭、所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)�。權(quán)值設(shè)置模塊22,用于分別為獲取模塊21獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值�;權(quán)值計(jì)算模塊23,用于按預(yù)設(shè)算法對權(quán)值設(shè)置模塊22設(shè)置的權(quán)值進(jìn)行綜合計(jì)算���, 得到總權(quán)值���;判斷模塊M,用于根據(jù)權(quán)值計(jì)算模塊23計(jì)算得到的總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率���。還包括顯示模塊25����,用于根據(jù)判斷模塊M判斷的所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容���,并當(dāng)判斷模塊判斷的概率高于預(yù)設(shè)極大值時(shí)�����,發(fā)出報(bào)警信號(hào)�。綜上所述,本發(fā)明提供的基于行為判斷軟件是否含有病毒的方法和設(shè)備�����,通過對軟件已執(zhí)行或可能執(zhí)行的敏感行為進(jìn)行分析���,從而判斷軟件含有病毒的概率����,因此���,所查找到的病毒并不局限于病毒庫中已知的病毒��,也包括未知的病毒�����,從而使軟件使用者能夠及時(shí)發(fā)現(xiàn)軟件中包含的病毒����,避免了病毒傳播的范圍和可能造成的危害�����。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾��,這些改進(jìn)和潤飾也應(yīng)視本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種基于行為判斷軟件是否含有病毒的方法�����,其特征在于����,包括以下步驟 Si,獲取待檢測軟件的一種以上敏感行為信息���;S2���,分別為Sl獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值��;S3��,按預(yù)設(shè)算法對S2得到的權(quán)值進(jìn)行綜合計(jì)算���,得到總權(quán)值;S4���,根據(jù)所述總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率����。
2.根據(jù)權(quán)利要求1所述的基于行為判斷軟件是否含有病毒的方法����,其特征在于,所述敏感行為信息具體為所述待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息����。
3.根據(jù)權(quán)利要求2所述的基于行為判斷軟件是否含有病毒的方法,其特征在于��,所述操作包括以下操作的一種或幾種所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行、所述待檢測軟件自動(dòng)啟動(dòng)�����、所述待檢測軟件在安裝及運(yùn)行時(shí)使用與通用慣例不符合的名稱或標(biāo)識(shí)符�、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)��、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作�、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出和/或?qū)懭霐?shù)據(jù)����、所述待檢測軟件自動(dòng)獲取通訊錄信息、所述待檢測軟件自動(dòng)獲取通話記錄信息�、所述待檢測軟件自動(dòng)調(diào)用攝像頭和所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)。
4.根據(jù)權(quán)利要求1所述的基于行為判斷軟件是否含有病毒的方法�����,其特征在于�,S4之后,還包括S5��,根據(jù)所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容����,并當(dāng)所述概率高于預(yù)設(shè)極大值時(shí)�����,發(fā)出報(bào)警信號(hào)����。
5.一種基于行為判斷軟件是否含有病毒的裝置����,其特征在于,包括 獲取模塊��,用于獲取待檢測軟件的一種以上敏感行為信息�����;權(quán)值設(shè)置模塊�����,用于分別為所述獲取模塊獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值����; 權(quán)值計(jì)算模塊����,用于按預(yù)設(shè)算法對所述權(quán)值設(shè)置模塊設(shè)置的權(quán)值進(jìn)行綜合計(jì)算�,得到總權(quán)值;判斷模塊��,用于根據(jù)所述權(quán)值計(jì)算模塊計(jì)算得到的總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率�。
6.根據(jù)權(quán)利要求5所述的基于行為判斷軟件是否含有病毒的裝置,其特征在于���,所述敏感行為信息具體為所述待檢測軟件已自動(dòng)執(zhí)行或?qū)⒁詣?dòng)執(zhí)行的操作信息。
7.根據(jù)權(quán)利要求5所述的基于行為判斷軟件是否含有病毒的裝置�����,其特征在于����,所述操作包括以下操作的一種或幾種所述待檢測軟件自動(dòng)后臺(tái)運(yùn)行、所述待檢測軟件自動(dòng)啟動(dòng)�����、所述待檢測軟件在安裝及運(yùn)行時(shí)使用與通用慣例不符合的名稱或標(biāo)識(shí)符��、所述待檢測軟件自動(dòng)聯(lián)網(wǎng)、所述待檢測軟件自動(dòng)進(jìn)行藍(lán)牙操作���、所述待檢測軟件自動(dòng)讀取和/或接收和/或發(fā)送短信���、所述待檢測軟件自動(dòng)向SD卡內(nèi)讀出和/或?qū)懭霐?shù)據(jù)、所述待檢測軟件自動(dòng)獲取通訊錄信息����、所述待檢測軟件自動(dòng)獲取通話記錄信息、所述待檢測軟件自動(dòng)調(diào)用攝像頭和所述待檢測軟件自動(dòng)調(diào)用麥克風(fēng)��。
8.根據(jù)權(quán)利要求5所述的基于行為判斷軟件是否含有病毒的裝置��,其特征在于�����,還包括顯示模塊�����,用于根據(jù)所述判斷模塊判斷的所述待檢測軟件中含有病毒的概率的高低向終端顯示對應(yīng)的提示內(nèi)容�����,并當(dāng)所述判斷模塊判斷的所述概率高于預(yù)設(shè)極大值時(shí),發(fā)出報(bào)警信號(hào)�。
全文摘要
本發(fā)明提供一種基于行為判斷軟件是否含有病毒的方法和設(shè)備,其中�����,所述方法包括以下步驟S1���,獲取待檢測軟件的一種以上敏感行為信息�;S2�����,分別為S1獲取到的各敏感行為信息設(shè)置對應(yīng)的權(quán)值����;S3�����,按預(yù)設(shè)算法對S2得到的權(quán)值進(jìn)行綜合計(jì)算����,得到總權(quán)值����;S4�����,根據(jù)所述總權(quán)值的大小判斷所述待檢測軟件中含有病毒的概率���。本發(fā)明提供的基于行為判斷軟件是否含有病毒的方法和設(shè)備�����,通過對軟件已執(zhí)行或可能執(zhí)行的敏感行為進(jìn)行分析�,從而判斷軟件含有病毒的概率���,因此���,所查找到的病毒并不局限于病毒庫中已知的病毒,也包括未知的病毒�,從而使軟件使用者能夠及時(shí)發(fā)現(xiàn)軟件中包含的病毒,避免了病毒傳播的范圍和可能造成的危害�����。
文檔編號(hào)G06F21/00GK102567674SQ20121003035
公開日2012年7月11日 申請日期2012年2月10日 優(yōu)先權(quán)日2012年2月10日
發(fā)明者高勐勐 申請人:聯(lián)信摩貝軟件(北京)有限公司