本發(fā)明涉及通信技術(shù)領(lǐng)域,特別涉及一種移動(dòng)終端、可疑行為檢測及判定系統(tǒng)和方法。
背景技術(shù):隨著移動(dòng)智能終端功能的日益強(qiáng)大,移動(dòng)智能終端應(yīng)用軟件數(shù)量激增,移動(dòng)智能終端用戶數(shù)量快速增多。但隨之而來的是,帶有惡意行為的應(yīng)用程序也越來越多,令人防不勝防。這些應(yīng)用程序的惡意行為主要有:惡意扣費(fèi)或消耗套餐,竊取用戶隱私資料,無提示聯(lián)網(wǎng)下載軟件,大量傳播惡意軟件等。如何防范這些惡意程序已經(jīng)成為亟待解決的問題。各手機(jī)操作系統(tǒng)平臺(tái)對現(xiàn)有的用程序進(jìn)行資源訪問控制的技術(shù)具體包括以下幾種:(1)Android平臺(tái)的資源訪問控制機(jī)制:在應(yīng)用安裝時(shí),向用戶展示應(yīng)用程序所聲明其所需要的權(quán)限,用戶確定安裝該應(yīng)用則說明用戶允許該應(yīng)用程序使用這些權(quán)限,允許應(yīng)用程序訪問這些權(quán)限相對應(yīng)的資源,應(yīng)用安裝成功后,其應(yīng)用程序信息中就包含了其所聲明的權(quán)限。應(yīng)用程序運(yùn)行時(shí),訪問敏感資源時(shí),系統(tǒng)會(huì)去判斷該應(yīng)用程序信息中是否包含有相應(yīng)的權(quán)限,若有相應(yīng)的權(quán)限則直接允許應(yīng)用程序訪問該資源,若沒有相應(yīng)的權(quán)限則系統(tǒng)拋出安全異常迫使應(yīng)用程序停止運(yùn)行來禁止應(yīng)用程序訪問該資源。(2)Symbian平臺(tái)Symbian平臺(tái)上,應(yīng)用程序能力分類非常粗糙,一個(gè)能力可以指代很大范圍的操作類型。并且Symbian平臺(tái)也沒有將應(yīng)用程序行為通過可疑行為監(jiān)測的方式暴露給用戶的機(jī)制,也由用戶來斷定可疑行為的惡意性的機(jī)制。(3)WindowsMobile系統(tǒng)WindowsMobile系統(tǒng)上,沒有對應(yīng)用程序進(jìn)行行為能力分類和資源訪問控制。上述各種手機(jī)操作系統(tǒng)平臺(tái)對應(yīng)用程序的控制具有以下的技術(shù)缺陷:(1)惡意程序可以輕易地逃過普通用戶的眼睛來實(shí)施惡意行為。訪問資源的權(quán)限,一次允許,無法更改,應(yīng)用被卸載前永久生效。Android平臺(tái)的資源訪問控制機(jī)制,是對敏感資源的訪問通過權(quán)限許可來進(jìn)行控制。如果一個(gè)應(yīng)用程序被用戶安裝到了手機(jī)上,該應(yīng)用將擁有其所聲明需要使用的所有權(quán)限。隨后應(yīng)用程序在運(yùn)行時(shí),系統(tǒng)將根據(jù)該應(yīng)用程序擁有的權(quán)限來進(jìn)行資源訪問許可判斷,應(yīng)用程序訪問安裝包中聲明過相應(yīng)權(quán)限的資源將直接被系統(tǒng)允許,并且通常都是在用戶不知情的情況下進(jìn)行資源的訪問。(2)對于用戶來說,權(quán)限粒度太小,使用難度大。權(quán)限所能控制的范圍是某項(xiàng)敏感資源的訪問。然而一個(gè)對用戶利益產(chǎn)生損害的行為,很多情況下是需要按照一定的順序訪問好幾項(xiàng)敏感資源的,所以讓用戶通過權(quán)限來了解和控制應(yīng)用程序行為能力,會(huì)給用戶帶來一定的難度。對用戶來說,權(quán)限所代表的應(yīng)用程序操作粒度太小,無法反映應(yīng)用程序的一項(xiàng)完整的行為。(3)對于資源保護(hù)來說,權(quán)限粒度太大,不能對更細(xì)化的敏感資源分類進(jìn)行單獨(dú)控制。
技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的旨在至少解決上述技術(shù)缺陷之一。為此,本發(fā)明的第一個(gè)目的在于提出一種移動(dòng)終端,可以提供應(yīng)用程序的安全保障,具備惡意行為預(yù)防和監(jiān)測能力。本發(fā)明的第二個(gè)目的在于提出一種可疑行為檢測及判定系統(tǒng)。本發(fā)明的第三個(gè)目的在于提出一種可疑行為檢測及判定方法。為達(dá)到上述目的,本發(fā)明第一方面的實(shí)施例提出一種移動(dòng)終端,包括:惡意行為特征模型庫,用于存儲(chǔ)惡意行為模型;敏感資源監(jiān)控模塊,用于監(jiān)控應(yīng)用程序?qū)γ舾匈Y源的訪問以獲得所述應(yīng)用程序的行為數(shù)據(jù);行為采集模塊,用于對所述敏感資源監(jiān)控模塊監(jiān)控到的所述行為數(shù)據(jù)獲得所述應(yīng)用程序?qū)λ雒舾匈Y源的敏感行為;應(yīng)用行為數(shù)據(jù)庫,用于存儲(chǔ)所述行為采集模塊檢測的所述敏感行為;應(yīng)用行為分析中心,用于接收來自所述行為采集模塊的所述敏感行為,并調(diào)用所述惡意行為特征模型庫中的惡意行為模型,以及將所述敏感行為與所述惡意行為模型進(jìn)行匹配以判斷所述敏感行為對應(yīng)的行為是否為可疑行為;以及應(yīng)用安全中心,用于查詢所述應(yīng)用行為數(shù)據(jù)庫中存儲(chǔ)的所述敏感行為,以及當(dāng)判斷所述敏感行為為可疑行為后,以惡意程度對所述敏感行為所對應(yīng)的應(yīng)用程序訪問進(jìn)行排序,并設(shè)置所述應(yīng)用程序訪問的警告級別。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端,可以將采集到的敏感行為與預(yù)存的惡意行為特征模型庫中的惡意行為模型進(jìn)行匹配,從而判斷該敏感行為是否為可疑行為,從而為用戶提供應(yīng)用程序的安全保障,并且本發(fā)明的移動(dòng)終端提供敏感行為的查詢功能,且具有惡意行為預(yù)防和監(jiān)測能力。本發(fā)明第二方面的實(shí)施例提出了一種可疑行為檢測及判定系統(tǒng),包括:云服務(wù)器,用于收集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并根據(jù)所述應(yīng)用行為數(shù)據(jù)獲取可疑行為特征數(shù)據(jù);以及第一方面實(shí)施例中的移動(dòng)終端,用于同步云服務(wù)器的所述可疑行為特征數(shù)據(jù),并根據(jù)惡意行為特征數(shù)據(jù)判斷移動(dòng)終端內(nèi)部執(zhí)行的所述敏感行為是否為惡意行為。根據(jù)本發(fā)明實(shí)施例的惡意行為檢測及判定系統(tǒng),利用云服務(wù)器采集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并通過對應(yīng)用行為數(shù)據(jù)的分析獲取可疑行為特征數(shù)據(jù),并且實(shí)現(xiàn)云服務(wù)器和移動(dòng)終端的數(shù)據(jù)同步,從而為移動(dòng)終端判斷應(yīng)用程序的敏感行為是否為可疑行為提供依據(jù)。通過依靠云服務(wù)器的資源優(yōu)勢,提供更廣泛范圍的應(yīng)用程序的安全保障,具有更可靠的惡意行為預(yù)防和監(jiān)測能力。本發(fā)明第三方面的實(shí)施例還提出了一種可疑行為檢測及判定方法,包括如下步驟:云服務(wù)器收集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),根據(jù)應(yīng)用行為數(shù)據(jù)獲取可疑行為特征數(shù)據(jù)并更新至移動(dòng)終端;移動(dòng)終端監(jiān)控應(yīng)用程序?qū)γ舾匈Y源的訪問以獲得所述應(yīng)用程序的行為數(shù)據(jù)并根據(jù)所述行為數(shù)據(jù)獲得所述應(yīng)用程序?qū)?yīng)的敏感行為,以及將敏感行為與預(yù)設(shè)的惡意行為模型進(jìn)行匹配以判斷敏感行為是否為可疑行為,其中,所述敏感資源為惡意行為對應(yīng)的應(yīng)用程序訪問的資源,惡意行為模型根據(jù)可疑行為特征數(shù)據(jù)建立;移動(dòng)終端在判斷敏感行為為可疑行為后,以惡意程度對所述敏感行為所對應(yīng)的應(yīng)用程序訪問進(jìn)行排序,并設(shè)置所述應(yīng)用程序訪問的警告級別。根據(jù)本發(fā)明實(shí)施例的可疑行為檢測及判定方法,利用云服務(wù)器采集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并通過對應(yīng)用行為數(shù)據(jù)的分析獲取可疑行為特征數(shù)據(jù),并且實(shí)現(xiàn)云服務(wù)器和移動(dòng)終端的數(shù)據(jù)同步,從而為移動(dòng)終端判斷應(yīng)用程序的敏感行為是否為可疑行為提供依據(jù)。通過依靠云服務(wù)器的資源優(yōu)勢,提供更廣泛范圍的應(yīng)用程序的安全保障,具有更可靠的惡意行為預(yù)防和監(jiān)測能力。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出,部分將從下面的描述中變得明顯,或通過本發(fā)明的實(shí)踐了解到。附圖說明本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變得明顯和容易理解,其中:圖1為本發(fā)明實(shí)施例的移動(dòng)終端的示意圖;圖2為本發(fā)明實(shí)施例的可疑行為檢測及判定系統(tǒng)的示意圖;圖3為本發(fā)明實(shí)施例的云服務(wù)器的示意圖;圖4為本發(fā)明實(shí)施例的可疑行為檢測及判定系統(tǒng)的結(jié)構(gòu)框圖;以及圖5為本發(fā)明實(shí)施例的可疑行為檢測及判定方法的流程圖。具體實(shí)施方式下面詳細(xì)描述本發(fā)明的實(shí)施例,所述實(shí)施例的示例在附圖中示出,其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的,僅用于解釋本發(fā)明,而不能解釋為對本發(fā)明的限制。在本發(fā)明的描述中,需要說明的是,除非另有規(guī)定和限定,術(shù)語“安裝”、“相連”、“連接”應(yīng)做廣義理解,例如,可以是機(jī)械連接或電連接,也可以是兩個(gè)元件內(nèi)部的連通,可以是直接相連,也可以通過中間媒介間接相連,對于本領(lǐng)域的普通技術(shù)人員而言,可以根據(jù)具體情況理解上述術(shù)語的具體含義。參照下面的描述和附圖,將清楚本發(fā)明的實(shí)施例的這些和其他方面。在這些描述和附圖中,具體公開了本發(fā)明的實(shí)施例中的一些特定實(shí)施方式,來表示實(shí)施本發(fā)明的實(shí)施例的原理的一些方式,但是應(yīng)當(dāng)理解,本發(fā)明的實(shí)施例的范圍不受此限制。相反,本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。如圖1所示,本發(fā)明實(shí)施例的移動(dòng)終端100,包括:惡意行為特征模型庫110、敏感資源監(jiān)控模塊120、應(yīng)用行為采集模塊130、應(yīng)用行為數(shù)據(jù)庫140、應(yīng)用行為分析中心150以及應(yīng)用安全中心160。惡意行為特征模型庫110用于存儲(chǔ)系統(tǒng)中所有的惡意行為模型。惡意行為特征模型庫110中存儲(chǔ)的行為特征模型都是經(jīng)過加工,應(yīng)用行為分析中心150可直接使用的數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,惡意行為特征模型庫中存儲(chǔ)的所述惡意行為模型通過以下一種或多種方式獲?。?1)移動(dòng)終端的操作系統(tǒng)內(nèi)置惡意行為模型的特征,換言之移動(dòng)終端的Yi平臺(tái)內(nèi)置惡意行為模型;(2)移動(dòng)終端從云服務(wù)器動(dòng)態(tài)更新下載惡意型行為模型的特征,換言之云平臺(tái)動(dòng)態(tài)更新惡意行為模型;(3)移動(dòng)終端的用戶自定義惡意行為模型的特征。敏感資源監(jiān)控(ApplicationProgrammingInterfaceMonitor,APIMonitor)模塊120用于監(jiān)控應(yīng)用程序?qū)γ舾匈Y源的訪問以獲得應(yīng)用程序的行為數(shù)據(jù)。為實(shí)現(xiàn)敏感資源API(ApplicationProgrammingInterface,應(yīng)用編程接口)訪問的監(jiān)測,當(dāng)前需檢測的可疑行為所對應(yīng)的所有API訪問敏感資源監(jiān)控模塊120關(guān)注的敏感資源,敏感資源監(jiān)控模塊120只對關(guān)注的行為相關(guān)的API進(jìn)行監(jiān)測。在本發(fā)明的一個(gè)實(shí)施例中,敏感資源包括短信、通話記錄、網(wǎng)上瀏覽記錄、網(wǎng)站登陸賬戶密碼等隱私數(shù)據(jù)、SIM(SubscriberIdentityModule,用戶身份識(shí)別)卡信息、IMEI(InternationalMobileEquipmentIdentity,國際移動(dòng)設(shè)備身份碼)、GPS(GlobalPositioningSystem,全球定位系統(tǒng))信息等。應(yīng)用行為采集(ApplicationBehaviorsCollector,ABC)模塊130用于根據(jù)敏感資源監(jiān)控模塊120監(jiān)控到的行為數(shù)據(jù)獲得應(yīng)用程序?qū)γ舾匈Y源的敏感行為。具體地,應(yīng)用行為采集模塊130可以負(fù)責(zé)收集、管理敏感資源監(jiān)控模塊120監(jiān)測到的信息,并將監(jiān)測到的信息抽象生成一個(gè)與敏感資源對應(yīng)敏感行為(action),提供給應(yīng)用行為分析中心150。應(yīng)用行為采集模塊130將一系列的API的訪問映射到一個(gè)具體的高層的動(dòng)作上,并將該動(dòng)作通報(bào)給應(yīng)用行為分析中心150以使自動(dòng)機(jī)的狀態(tài)得以跳轉(zhuǎn),其中,一個(gè)動(dòng)作實(shí)際上就對應(yīng)著自動(dòng)機(jī)的一個(gè)狀態(tài)。由此,利用應(yīng)用行為采集模塊130采集得到敏感行為,從而可以便于后續(xù)的統(tǒng)計(jì)分析。應(yīng)用行為數(shù)據(jù)庫140(ApplicationBehaviorsCollectorProvider,ABCProvider)用于存儲(chǔ)應(yīng)用行為采集模塊130檢測的敏感行為。對于需要統(tǒng)計(jì)的行為信息,都會(huì)存儲(chǔ)到應(yīng)用行為數(shù)據(jù)庫140內(nèi)。并且,應(yīng)用行為數(shù)據(jù)庫140還可以對外向應(yīng)用行為分析中心150和應(yīng)用安全中心160提供數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,應(yīng)用行為數(shù)據(jù)庫140還用于創(chuàng)建敏感行為的索引表,其中,應(yīng)用行為分析中心150和應(yīng)用安全中心160通過索引表查詢及調(diào)用敏感行為。應(yīng)用行為分析中心150用于接收來自應(yīng)用行為采集模塊130的敏感行為,并調(diào)用惡意行為特征模型庫110中的惡意行為模型,以及將敏感行為與惡意行為模型進(jìn)行匹配,分析當(dāng)前某個(gè)程序執(zhí)行的操作是否與某個(gè)行為模型相符,以判斷敏感行為對應(yīng)的行為是否為可疑行為。判斷過程通過將所有的可疑行為模型抽象為一個(gè)個(gè)有限狀態(tài)自動(dòng)機(jī)來進(jìn)行維護(hù),達(dá)到鑒定可疑行為的目的。在本發(fā)明的一個(gè)實(shí)施例中,敏感行為包括多個(gè)敏感動(dòng)作,多個(gè)敏感動(dòng)作之間具有執(zhí)行順序,如果應(yīng)用行為分析中心檢測敏感行為同時(shí)包括多個(gè)敏感動(dòng)作且具有相同的執(zhí)行順序,則判斷為可疑行為。惡意行為建模是基于細(xì)分的權(quán)限來建模的。一項(xiàng)細(xì)分的權(quán)限可以對應(yīng)到應(yīng)用程序的一個(gè)細(xì)節(jié)的敏感操作,應(yīng)用程序一系列按順序執(zhí)行的敏感操作,才能實(shí)現(xiàn)應(yīng)用程序的完整的意圖。換言之,一項(xiàng)可疑行為可以通過定義若干項(xiàng)敏感操作的順序、狀態(tài)和其它相關(guān)數(shù)據(jù),來建立一個(gè)描述和定義該項(xiàng)惡意行為的模型。移動(dòng)終端的操作系統(tǒng)可以通過將應(yīng)用程序敏感操作序列與惡意行為模型進(jìn)行匹配,來識(shí)別應(yīng)用程序的可疑行為。通過深入敏感資資源管理的具體業(yè)務(wù)邏輯,對敏感資源的分類進(jìn)行細(xì)化劃分,便于對應(yīng)用程序的更具體、細(xì)化的敏感資源訪問操作進(jìn)行識(shí)別并記錄相關(guān)信息,同時(shí)也可以對更細(xì)化分類的資源進(jìn)行訪問控制。下面對將敏感行為與惡意行為模型進(jìn)行匹配的過程進(jìn)行描述。如果一個(gè)可疑行為的惡意行為模型中定義的所有關(guān)鍵操作的最后一個(gè)操作得以完成,則說明該可疑行為發(fā)生了。通過對應(yīng)用程序的敏感動(dòng)作進(jìn)行統(tǒng)計(jì)分析,將應(yīng)用程序的敏感動(dòng)作序列與惡意行為模型定義的操作序列進(jìn)行匹配,如果匹配得上,則說明該應(yīng)用程序發(fā)了可疑行為,該可疑行為即是需要用戶做進(jìn)一步判定才能確定的惡意行為。每個(gè)用戶對可疑行為的判定結(jié)果可能不一樣,所以同一個(gè)應(yīng)用程序的同一個(gè)行為對于不同用戶來說,可能是或者不是惡意行為。但是,只要用戶關(guān)注這個(gè)行為,該行為即是可疑行為。應(yīng)用安全中心160用于查詢應(yīng)用行為數(shù)據(jù)庫140中存儲(chǔ)的敏感行為,以及當(dāng)判斷該敏感行為為可疑行為后,以惡意程度對敏感行為所對應(yīng)的應(yīng)用程序訪問進(jìn)行排序,并設(shè)置應(yīng)用程序訪問的警告級別。在本發(fā)明的一個(gè)實(shí)施例中,應(yīng)用安全中心160包括:查詢模塊161和排序模塊162。其中,查詢模塊161與應(yīng)用行為數(shù)據(jù)庫140相連,用于查詢敏感行為的信息。在本發(fā)明的一個(gè)實(shí)施例中,敏感行為的信息包括:敏感行為的名稱、描述、定義以及關(guān)鍵操作信息。排序模塊162與應(yīng)用行為分析中心150相連,用于根據(jù)應(yīng)用行為分析中心150的分析結(jié)果對敏感行為對應(yīng)的應(yīng)用程序訪問進(jìn)行排序,并設(shè)置敏感行為的警告級別。在本發(fā)明的一個(gè)實(shí)施例中,關(guān)鍵操作信息包括敏感行為的執(zhí)行時(shí)間、執(zhí)行順序以及用戶敏感數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,應(yīng)用安全中心160還包括:配置模塊163和提示模塊164。其中,配置模塊163與應(yīng)用行為分析中心150相連,用于根據(jù)應(yīng)用行為分析中心150的分析結(jié)果配置敏感行為的許可策略或警告策略。提示模塊164與配置模塊163相連,用于將上述許可策略或警告策略提示給移動(dòng)終端100的用戶。具體地,提示模塊164將當(dāng)前監(jiān)測到的可疑行為的詳細(xì)信息展現(xiàn)給用戶,包括該行為的名稱、描述、定義、所有關(guān)鍵操作信息等。其中,行為的定義是指相應(yīng)惡意行為模型的定義。在用戶允許的情況下采用系統(tǒng)推薦的配置,或者根據(jù)用戶基于自己的需求所作的設(shè)置,判定應(yīng)用程序當(dāng)前發(fā)生的某個(gè)可疑行為是否為惡意行為,如果為惡意行為則進(jìn)一步判斷其惡意程度。可疑行為可以通過以下兩種方式進(jìn)行展示:(1)實(shí)時(shí)展示。在應(yīng)用程序運(yùn)行時(shí),將當(dāng)前監(jiān)測到的可疑行為信息,通過通知、提醒、警告等方式實(shí)時(shí)地展現(xiàn)給用戶。(2)任意時(shí)刻查詢。用戶在任意時(shí)刻可以通過使用系統(tǒng)提供預(yù)置功能,查詢所有應(yīng)用程序信息,包括:應(yīng)用程序名稱和描述、應(yīng)用程序已被系統(tǒng)監(jiān)測到的可疑行為、以及這些可疑行為的詳細(xì)信息。在本發(fā)明的又一個(gè)實(shí)施例中,應(yīng)用安全中心160進(jìn)一步還包括:用戶自定義模塊165。其中,用戶自定義模塊165與惡意行為特征模型庫110相連,用于由移動(dòng)終端100的用戶自定義惡意行為的特征,并同步至惡意行為特征模型庫110。用戶根據(jù)終端展示的可疑行為的信息判斷可疑行為是否為惡意行為。(1)用戶判定惡意行為。用戶通過在實(shí)時(shí)展示可疑行為的界面上查看可疑行為信息,并判定該可疑行為是否損害到了自己的利益。如果是,則判定該應(yīng)用程序的該項(xiàng)行為是惡意行為,同時(shí)用戶可以對應(yīng)用程序的惡意行為做出執(zhí)行許可控制,例如可以將該應(yīng)用程序的該項(xiàng)惡意行為設(shè)置為不可再次被該應(yīng)用程序執(zhí)行。(2)系統(tǒng)協(xié)助用戶惡意行為。移動(dòng)終端可以在用戶允許的情況下,為了給用戶帶來便利,并盡可能地保障用戶的利益不受損害,可以幫助用戶做出惡意行為的判定。例如:對于新安裝的應(yīng)用程序,用戶對該應(yīng)用不清楚,則用戶可以允許移動(dòng)終端協(xié)助其對該應(yīng)用程序預(yù)設(shè)值的一項(xiàng)可疑行為為惡意行為,禁止該應(yīng)用程序執(zhí)行該惡意行為。根據(jù)本發(fā)明實(shí)施例的移動(dòng)終端,可以將采集到的敏感行為與預(yù)存的惡意行為特征模型庫中的惡意行為模型進(jìn)行匹配,從而判斷該敏感行為是否為可疑行為,從而為用戶提供應(yīng)用程序的安全保障,并且本發(fā)明的移動(dòng)終端提供敏感行為的查詢功能,且具有惡意行為預(yù)防和監(jiān)測能力。下面參考圖2至圖4描述根據(jù)本發(fā)明實(shí)施例的惡意行為檢測及判定系統(tǒng)。如圖2所示,本發(fā)明實(shí)施例的惡意行為檢測及判定系統(tǒng),包括:云服務(wù)器200和移動(dòng)終端。其中,移動(dòng)終端可以為本發(fā)明上述實(shí)施例提供的移動(dòng)終端100。云服務(wù)器200用于收集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并根據(jù)應(yīng)用行為數(shù)據(jù)獲取惡意行為特征數(shù)據(jù)。移動(dòng)終端100用于同步云服務(wù)器200的惡意行為特征數(shù)據(jù),并根據(jù)惡意行為特征數(shù)據(jù)判斷移動(dòng)終端100內(nèi)部執(zhí)行的敏感行為是否為可疑行為。云服務(wù)器200為了提供預(yù)先(并非在應(yīng)用程序運(yùn)行時(shí))判斷應(yīng)用程序可疑行為的功能所需要的數(shù)據(jù),可通過以下兩種方式來獲取應(yīng)用行為數(shù)據(jù):(1)對應(yīng)用程序進(jìn)行測試以獲取應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并將應(yīng)用行為數(shù)據(jù)更新至云服務(wù)器。具體地,依賴于應(yīng)用審核小組,將其工作范圍擴(kuò)大到對所有新增、熱門應(yīng)用進(jìn)行深度測試,預(yù)先收集應(yīng)用程序的行為,然后更新這些數(shù)據(jù)到云服務(wù)器200中。(2)移動(dòng)終端將應(yīng)用程序的應(yīng)用行為數(shù)據(jù)同步至云服務(wù)器200。所有用戶的移動(dòng)終端100上收集到的應(yīng)用行為數(shù)據(jù)(不包括用戶隱私數(shù)據(jù)),會(huì)不定時(shí)同步到云服務(wù)器200,而利用云服務(wù)器200持續(xù)積累的應(yīng)用行為信息,同時(shí)又可以持續(xù)更新用戶移動(dòng)終端100中的數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,如圖3所示,云服務(wù)器200包括:接收模塊210、分析模塊220和發(fā)送模塊230。接收模塊210用于接收來自用戶或移動(dòng)終端100的應(yīng)用行為數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,應(yīng)用行為數(shù)據(jù)包括:應(yīng)用程序的名稱、包括的敏感動(dòng)作、執(zhí)行時(shí)間、以及上述敏感動(dòng)作的執(zhí)行順序。分析模塊220用于對應(yīng)用行為數(shù)據(jù)進(jìn)行分析以獲取惡意行為特征數(shù)據(jù)。發(fā)送模塊230用于將惡意行為特征數(shù)據(jù)發(fā)送至移動(dòng)終端100。如圖4所示,移動(dòng)終端100的應(yīng)用安全中心接收來自云服務(wù)器200的惡意行為特征數(shù)據(jù),并將這些惡意行為特征數(shù)據(jù)更新到惡意行為特征模型庫以便于應(yīng)用行為分析中心將將敏感行為與惡意行為模型進(jìn)行匹配以判斷敏感行為對應(yīng)的行為是否為可疑行為。用戶根據(jù)終端展示的可疑行為的信息判斷可疑行為是否為惡意行為。(1)用戶判定惡意行為。用戶通過在實(shí)時(shí)展示可疑行為的界面上查看可疑行為信息,并判定該可疑行為是否損害到了自己的利益。如果是,則判定該應(yīng)用程序的該項(xiàng)行為是惡意行為,同時(shí)用戶可以對應(yīng)用程序的惡意行為做出執(zhí)行許可控制,例如可以將該應(yīng)用程序的該項(xiàng)惡意行為設(shè)置為不可再次被該應(yīng)用程序執(zhí)行。(2)系統(tǒng)協(xié)助用戶惡意行為。移動(dòng)終端可以在用戶允許的情況下,為了給用戶帶來便利,并盡可能地保障用戶的利益不受損害,可以幫助用戶做出惡意行為的判定。例如:對于新安裝的應(yīng)用程序,用戶對該應(yīng)用不清楚,則用戶可以允許移動(dòng)終端協(xié)助其對該應(yīng)用程序預(yù)設(shè)值的一項(xiàng)可疑行為為惡意行為,禁止該應(yīng)用程序執(zhí)行該惡意行為。根據(jù)本發(fā)明實(shí)施例的惡意行為檢測及判定系統(tǒng),利用云服務(wù)器采集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并通過對應(yīng)用行為數(shù)據(jù)的分析獲取可疑行為特征數(shù)據(jù),并且實(shí)現(xiàn)云服務(wù)器和移動(dòng)終端的數(shù)據(jù)同步,從而為移動(dòng)終端判斷應(yīng)用程序的敏感行為是否為可疑行為提供依據(jù)。通過依靠云服務(wù)器的資源優(yōu)勢,提供更廣泛范圍的應(yīng)用程序的安全保障,具有更可靠的惡意行為預(yù)防和監(jiān)測能力。如圖5所示,本發(fā)明實(shí)施例的惡意行為檢測及判定方法,包括如下步驟:S101:云服務(wù)器收集應(yīng)用程序的應(yīng)用行為數(shù)據(jù),根據(jù)應(yīng)用行為數(shù)據(jù)獲取惡意行為特征數(shù)據(jù)并更新至移動(dòng)終端。云服務(wù)器為了提供預(yù)先(并非在應(yīng)用程序運(yùn)行時(shí))判斷應(yīng)用程序可疑行為的功能所需要的數(shù)據(jù),可通過以下兩種方式來獲取應(yīng)用行為數(shù)據(jù):(1)對應(yīng)用程序進(jìn)行測試以獲取應(yīng)用程序的應(yīng)用行為數(shù)據(jù),并將應(yīng)用行為數(shù)據(jù)更新至云服務(wù)器。具體地,依賴于應(yīng)用審核小組,將其工作范圍擴(kuò)大到對所有新增、熱門應(yīng)用進(jìn)行深度測試,預(yù)先收集應(yīng)用程序的行為,然后更新這些數(shù)據(jù)到云服務(wù)器中。(2)移動(dòng)終端將應(yīng)用程序的應(yīng)用行為數(shù)據(jù)同步至云服務(wù)器200。所有用戶的移動(dòng)終端上收集到的應(yīng)用行為數(shù)據(jù)(不包括用戶隱私數(shù)據(jù)),會(huì)不定時(shí)同步到云服務(wù)器,而利用云服務(wù)器持續(xù)積累的應(yīng)用行為信息,同時(shí)又可以持續(xù)更新用戶移動(dòng)終端中的數(shù)據(jù)。S102:移動(dòng)終端監(jiān)控應(yīng)用程序?qū)γ舾匈Y源的訪問以獲得應(yīng)用程序的行為數(shù)據(jù)并根據(jù)行為數(shù)據(jù)獲得所述應(yīng)用程序?qū)?yīng)的敏感行為,以及將敏感行為與預(yù)設(shè)的惡意行為模型進(jìn)行匹配以判斷敏感行為是否為可疑行為。其中,敏感資源為惡意行為對應(yīng)的應(yīng)用程序訪問的資源,惡意行為模型根據(jù)惡意行為特征數(shù)據(jù)建立。移動(dòng)終端監(jiān)控應(yīng)用程序?qū)γ舾匈Y源的訪問以獲得應(yīng)用程序的行為數(shù)據(jù)。為實(shí)現(xiàn)敏感資源API訪問的監(jiān)測。在本發(fā)明的一個(gè)實(shí)施例中,敏感資源包括短信、通話記錄、網(wǎng)上瀏覽記錄、網(wǎng)站登陸賬戶密碼等隱私數(shù)據(jù)、SIM卡信息、IMEI、GPS信息等。根據(jù)監(jiān)控到的行為數(shù)據(jù)獲得應(yīng)用程序?qū)γ舾匈Y源的敏感行為。具體地,收集、管理監(jiān)測到的信息,并將監(jiān)測到的信息抽象生成一個(gè)與敏感資源對應(yīng)敏感行為(action)。在采集的過程中,移動(dòng)終端的應(yīng)用行為采集中心將一系列的API的訪問映射到一個(gè)具體的高層的動(dòng)作上,并將該動(dòng)作通報(bào)給移動(dòng)終端的應(yīng)用行為分析中心以使自動(dòng)機(jī)的狀態(tài)得以跳轉(zhuǎn),其中,一個(gè)動(dòng)作實(shí)際上就對應(yīng)著自動(dòng)機(jī)的一個(gè)狀態(tài)。由此,利用應(yīng)用行為采集模塊130采集得到敏感行為,從而可以便于后續(xù)的統(tǒng)計(jì)分析。移動(dòng)終端的應(yīng)用行為數(shù)據(jù)庫存儲(chǔ)檢測的敏感行為。對于需要統(tǒng)計(jì)的行為信息,都會(huì)存儲(chǔ)到應(yīng)用行為數(shù)據(jù)庫內(nèi)。并且,應(yīng)用行為數(shù)據(jù)庫還可以對外向應(yīng)用行為分析中心和應(yīng)用安全中心提供數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,還包括如下步驟:應(yīng)用行為數(shù)據(jù)庫創(chuàng)建敏感行為的索引表,其中,應(yīng)用行為分析中心和應(yīng)用安全中心通過索引表查詢及調(diào)用敏感行為。應(yīng)用行為分析中心根據(jù)采集的敏感行為,并調(diào)用移動(dòng)終端的惡意行為特征模型庫中的惡意行為模型,以及將敏感行為與惡意行為模型進(jìn)行匹配,分析當(dāng)前某個(gè)程序執(zhí)行的操作是否與某個(gè)行為模型相符,以判斷敏感行為對應(yīng)的行為是否為可疑行為。判斷過程通過將所有的可疑行為模型抽象為一個(gè)個(gè)有限狀態(tài)自動(dòng)機(jī)來進(jìn)行維護(hù),達(dá)到鑒定可疑行為的目的。在本發(fā)明的一個(gè)實(shí)施例中,敏感行為包括多個(gè)敏感動(dòng)作,多個(gè)敏感動(dòng)作之間具有執(zhí)行順序,如果應(yīng)用行為分析中心檢測敏感行為同時(shí)包括多個(gè)敏感動(dòng)作且具有相同的執(zhí)行順序,則判斷為可疑行為。惡意行為建模是基于細(xì)分的權(quán)限來建模的。一項(xiàng)細(xì)分的權(quán)限可以對應(yīng)到應(yīng)用程序的一個(gè)細(xì)節(jié)的敏感操作,應(yīng)用程序一系列按順序執(zhí)行的敏感操作,才能實(shí)現(xiàn)應(yīng)用程序的完整的意圖。換言之,一項(xiàng)可疑行為可以通過定義若干項(xiàng)敏感操作的順序、狀態(tài)和其它相關(guān)數(shù)據(jù),來建立一個(gè)描述和定義該項(xiàng)惡意行為的模型。移動(dòng)終端的操作系統(tǒng)可以通過將應(yīng)用程序敏感操作序列與惡意行為模型進(jìn)行匹配,來識(shí)別應(yīng)用程序的可疑行為。通過深入敏感資資源管理的具體業(yè)務(wù)邏輯,對敏感資源的分類進(jìn)行細(xì)化劃分,便于對應(yīng)用程序的更具體、細(xì)化的敏感資源訪問操作進(jìn)行識(shí)別并記錄相關(guān)信息,同時(shí)也可以對更細(xì)化分類的資源進(jìn)行訪問控制。下面對將敏感行為與惡意行為模型進(jìn)行匹配的過程進(jìn)行描述。如果一個(gè)可疑行為的惡意行為模型中定義的所有關(guān)鍵操作的最后一個(gè)操作得以完成,則說明該可疑行為發(fā)生了。通過對應(yīng)用程序的敏感動(dòng)作進(jìn)行統(tǒng)計(jì)分析,將應(yīng)用程序的敏感動(dòng)作序列與惡意行為模型定義的操作序列進(jìn)行匹配,如果匹配得上,則說明該應(yīng)用程序發(fā)了可疑行為,該可疑行為即是需要用戶做進(jìn)一步判定才能確定的惡意行為。每個(gè)用戶對可疑行為的判定結(jié)果可能不一樣,所以同一個(gè)應(yīng)用程序的同一個(gè)行為對于不同用戶來說,可能是或者不是惡意行為。但是,只要用戶關(guān)注這個(gè)行為,該行為即是可疑行為。移動(dòng)終端的惡意行為特征模型庫存儲(chǔ)系統(tǒng)中所有的惡意行為模型。惡意行為特征模型庫中存儲(chǔ)的行為特征模型都是經(jīng)過加工,應(yīng)用行為分析中心直接使用的數(shù)據(jù)。在本發(fā)明的一個(gè)實(shí)施例中,惡意行為特征模型庫中存儲(chǔ)的所述惡意行為模型通過以下一種或多種方式建立:(1)移動(dòng)終端的操作系統(tǒng)內(nèi)置惡意行為模型的特征,換言之移動(dòng)終端的Yi平臺(tái)內(nèi)置惡意行為模型;(2)移動(dòng)終端從云服務(wù)器動(dòng)態(tài)更新下載惡意型行為模型的特征,換言之云平臺(tái)動(dòng)態(tài)更新惡意行為模型;(3)移動(dòng)終端的用戶自定義惡意行為模型的特征。S103:移動(dòng)終端將敏感行為判斷為可疑行為之后,以惡意程度對敏感行為所對應(yīng)的應(yīng)用程序訪問進(jìn)行排序,并設(shè)置該應(yīng)用程序訪問的警告級別。如果判斷敏感行為為非可疑行為,則對敏感行為配置許可策略,并提示移動(dòng)終端的用戶許可所述敏感行為的訪問。如果判斷敏感行為為可疑行為,則對敏感行為配置警告策略,并提示移動(dòng)終端的用戶選擇性的禁止敏感行為的訪問。根據(jù)本發(fā)明實(shí)施例的惡意行為檢測及判定方法,本發(fā)明可以在應(yīng)用程序執(zhí)行到用戶所關(guān)心的可能造成利益損害的可疑行為時(shí),實(shí)時(shí)的提示和告知用戶,并且用戶可在任何時(shí)候查看到用戶所關(guān)心的應(yīng)用程序可疑行為的具體操作流程,便于用戶判斷該可疑行為是否真的會(huì)損害到自己的利益,進(jìn)而做出更有效的許可授權(quán)。本發(fā)明使得用戶可以針對某項(xiàng)可疑行為對應(yīng)用程序進(jìn)行執(zhí)行許可設(shè)置,而不是對權(quán)限的許可進(jìn)行設(shè)置。用戶設(shè)置的是一項(xiàng)或者多項(xiàng)完整的行為是否可以被某個(gè)應(yīng)用程序執(zhí)行,而不僅僅是設(shè)置一個(gè)或者多個(gè)權(quán)限對應(yīng)的資源是否允許被某個(gè)應(yīng)用程序訪問。對于一項(xiàng)完整的應(yīng)用程序行為,用戶可以更好理解應(yīng)用程序的意圖,于是用戶也更容易知道是否該做允許或者禁止該行為被某個(gè)應(yīng)用程序執(zhí)行。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為,表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分,并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn),其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序,來執(zhí)行功能,這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。在流程圖中表示或在此以其他方式描述的邏輯和/或步驟,例如,可以被認(rèn)為是用于實(shí)現(xiàn)邏輯功能的可執(zhí)行指令的定序列表,可以具體實(shí)現(xiàn)在任何計(jì)算機(jī)可讀介質(zhì)中,以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備(如基于計(jì)算機(jī)的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指令執(zhí)行系統(tǒng)、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng))使用,或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用。就本說明書而言,″計(jì)算機(jī)可讀介質(zhì)″可以是任何可以包含、存儲(chǔ)、通信、傳播或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用的裝置。計(jì)算機(jī)可讀介質(zhì)的更具體的示例(非窮盡性列表)包括以下:具有一個(gè)或多個(gè)布線的電連接部(電子裝置),便攜式計(jì)算機(jī)盤盒(磁裝置),隨機(jī)存取存儲(chǔ)器(RAM),只讀存儲(chǔ)器(ROM),可擦除可編輯只讀存儲(chǔ)器(EPROM或閃速存儲(chǔ)器),光纖裝置,以及便攜式光盤只讀存儲(chǔ)器(CDROM)。另外,計(jì)算機(jī)可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其他合適的介質(zhì),因?yàn)榭梢岳缤ㄟ^對紙或其他介質(zhì)進(jìn)行光學(xué)掃描,接著進(jìn)行編輯、解譯或必要時(shí)以其他合適方式進(jìn)行處理來以電子方式獲得所述程序,然后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中。應(yīng)當(dāng)理解,本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中,多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如,如果用硬件來實(shí)現(xiàn),和在另一實(shí)施方式中一樣,可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路,具有合適的組合邏輯門電路的專用集成電路,可編程門陣列(PGA),現(xiàn)場可編程門陣列(FPGA)等。本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),包括方法實(shí)施例的步驟之一或其組合。此外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤或光盤等。在本說明書的描述中,參考術(shù)語“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說明書中,對上述術(shù)語的示意性表述不一定指的是相同的實(shí)施例或示例。而且,描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例,對于本領(lǐng)域的普通技術(shù)人員而言,可以理解在不脫離本發(fā)明的原理和精神的情況下可以對這些實(shí)施例進(jìn)行多種變化、修改、替換和變型,本發(fā)明的范圍由所附權(quán)利要求及其等同限定。