本發(fā)明實(shí)施例涉及移動(dòng)通信技術(shù)領(lǐng)域，具體涉及一種手機(jī)惡意軟件預(yù)警方法和裝置。

背景技術(shù)：

隨著科技的發(fā)展，智能手機(jī)普及范圍越來(lái)越廣，智能手機(jī)的出現(xiàn)為人們的生活帶來(lái)了很大的方便。但是手機(jī)惡意軟件也隨之出現(xiàn)，日益泛濫，手機(jī)惡意軟件會(huì)造成用戶隱私泄露、信息丟失、設(shè)備損壞、話費(fèi)損失等諸多問(wèn)題，給用戶利益帶來(lái)極大危害。

現(xiàn)有技術(shù)中，控制手機(jī)惡意軟件的方法主要有：用戶自主進(jìn)行終端側(cè)控制，即在智能終端上安裝終端管理和防病毒軟件；另一種廣泛使用的控制手段是網(wǎng)絡(luò)側(cè)控制，即網(wǎng)絡(luò)運(yùn)營(yíng)商在網(wǎng)絡(luò)側(cè)部署監(jiān)控設(shè)備，實(shí)現(xiàn)發(fā)現(xiàn)、告知和攔截等監(jiān)控功能。其中，現(xiàn)有技術(shù)的網(wǎng)絡(luò)側(cè)控制技術(shù)主要是手機(jī)惡意軟件監(jiān)測(cè)系統(tǒng)通過(guò)分析疑似樣本文件，爬取和還原疑似樣本文件后進(jìn)行集中研判并形成統(tǒng)一的手機(jī)惡意軟件代碼特征庫(kù)，并將發(fā)現(xiàn)的惡意軟件主控URL(Uniform Resource Locator，統(tǒng)一資源定位符)提交流控系統(tǒng)進(jìn)行封堵。具體過(guò)程如下：首先，手機(jī)惡意軟件監(jiān)測(cè)系統(tǒng)通過(guò)DPI(Deep packet inspection，深度報(bào)文解析)和相關(guān)檢測(cè)技術(shù)，利用惡意軟件特征庫(kù)對(duì)樣本文件進(jìn)行惡意軟件特征匹配，檢測(cè)惡意軟件傳播事件。人工研判階段主要基于軟件樣本檢測(cè)，樣本來(lái)源包括如前文所述DPI設(shè)備解析的網(wǎng)絡(luò)流量，和網(wǎng)絡(luò)爬蟲爬取特定URL獲取的文件樣本。通過(guò)用戶舉報(bào)收集的文件樣本較少。研判人員通過(guò)靜態(tài)、動(dòng)態(tài)工具反編譯或運(yùn)行樣文，還原疑似軟件的原始代碼，并記錄其運(yùn)行過(guò)程中產(chǎn)生的系統(tǒng)和網(wǎng)絡(luò)調(diào)用行為。研判可確定樣本是否是惡意軟件，進(jìn)而提取惡意軟件特征加入病毒庫(kù)，當(dāng)這些軟件樣本在網(wǎng)絡(luò)中傳播時(shí)就可以通過(guò)特征匹配實(shí)現(xiàn)監(jiān)控。最后，更新的惡意軟件特征庫(kù)將下發(fā)到網(wǎng)絡(luò)側(cè)部署的監(jiān)測(cè)設(shè)備、流控設(shè)備進(jìn)行過(guò)濾和攔截。

可以看出，現(xiàn)有技術(shù)中對(duì)手機(jī)惡意軟件的的監(jiān)控都是事后監(jiān)測(cè)方法，即手機(jī)惡意軟件已經(jīng)感染用戶后，進(jìn)行手機(jī)惡意軟件的過(guò)濾和攔截。這樣可能導(dǎo)致，過(guò)濾攔截的不及時(shí)，導(dǎo)致惡意軟件已經(jīng)獲取到用戶的信息或已經(jīng)造成用戶的損失。因此，如何提出一種方法，能夠?qū)κ謾C(jī)惡意軟件進(jìn)行預(yù)警，提高手機(jī)惡意軟件檢測(cè)的及時(shí)性，成為亟待解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中的缺陷，本發(fā)明實(shí)施例提供了一種手機(jī)惡意軟件預(yù)警方法和裝置。

一方面，本發(fā)明實(shí)施例提供了一種手機(jī)惡意軟件預(yù)警方法，包括：

獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常；

根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；

將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值對(duì)比，則進(jìn)行手機(jī)惡意軟件預(yù)警。

另一方面，本發(fā)明實(shí)施例提供一種手機(jī)惡意軟件預(yù)警裝置，包括：

行為特征概率計(jì)算單元，用于獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常；

傳播概率計(jì)算單元，用于根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；

預(yù)警單元，用于將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

本發(fā)明實(shí)施例提供的一種手機(jī)惡意軟件預(yù)警方法和裝置，通過(guò)獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，并計(jì)算出每一類異常行為特征的發(fā)生概率，根據(jù)計(jì)算出的概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，若判斷獲知計(jì)算出的傳播概率大于預(yù)設(shè)概率閾值，則進(jìn)行手機(jī)惡意軟件預(yù)警。即可以根據(jù)已經(jīng)發(fā)生的用戶終端的異常行為特征的概率，預(yù)測(cè)手機(jī)惡意軟件傳播事件發(fā)生的可能性。實(shí)現(xiàn)了手機(jī)惡意軟件傳播或爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警方法流程示意圖；

圖2為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警的流程圖；

圖3為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警的應(yīng)用流程圖；

圖4為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖；

圖6為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

圖1為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警方法流程示意圖，如圖1所示，本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法包括：

S1、獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合；

具體地，獲取待監(jiān)測(cè)地區(qū)內(nèi)所有用戶終端的異常行為特征，其中異常行為特征的類型包括訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合，當(dāng)然還可能包括其他異常行為特征，本發(fā)明實(shí)施例不作具體限定。其中發(fā)送不良短彩信表示發(fā)送的短信內(nèi)容中包括異常網(wǎng)址或異常內(nèi)容；短信頻率異常表示以特定頻率發(fā)送短信或短時(shí)間內(nèi)發(fā)送短信的條數(shù)出現(xiàn)異常；上網(wǎng)流量異常表示上網(wǎng)流量在某一時(shí)刻或短時(shí)間內(nèi)超過(guò)一定閾值；短信語(yǔ)音話單離散度異常表示短信或語(yǔ)音電話的被叫數(shù)量異常，并且被叫不屬于用戶常用聯(lián)系人中。獲取到各個(gè)用戶終端的異常行為特征后，計(jì)算待檢測(cè)地區(qū)每類異常行為特征的發(fā)生概率。

S2、根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；

具體地，計(jì)算出待監(jiān)測(cè)地區(qū)內(nèi)各類異常行為特征的發(fā)生概率后，根據(jù)計(jì)算出的發(fā)生概率，以及預(yù)先存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算手機(jī)惡意軟件的傳播概率。

S3、將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值對(duì)比，并決策進(jìn)行手機(jī)惡意軟件預(yù)警。

具體地，根據(jù)各類異常行為特征的發(fā)生概率和行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率后，將計(jì)算出的傳播概率和行為特征關(guān)系概率模型中存儲(chǔ)的預(yù)設(shè)概率閾值進(jìn)行比較。并決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

例如：若要對(duì)待監(jiān)測(cè)地區(qū)A的手機(jī)惡意軟件感染或傳播情況進(jìn)行監(jiān)測(cè)，首先獲取待監(jiān)測(cè)地區(qū)A內(nèi)所有用戶終端的異常行為特征。假設(shè)待監(jiān)測(cè)地區(qū)A在一定時(shí)間內(nèi)有1000個(gè)用戶終端，獲取到待監(jiān)測(cè)地區(qū)A內(nèi)有100個(gè)用戶終端在一定時(shí)間內(nèi)多次訪問(wèn)不良網(wǎng)站，有200個(gè)用戶終端在一定時(shí)間內(nèi)上網(wǎng)流量超過(guò)正常流量。計(jì)算出待監(jiān)測(cè)地區(qū)A訪問(wèn)不良網(wǎng)站的異常行為特征對(duì)應(yīng)的發(fā)生概率為100/1000＝0.1，上網(wǎng)流量異常的異常行為特征對(duì)應(yīng)的發(fā)生概率為200/1000＝0.2。根據(jù)計(jì)算出的概率值以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，并判斷計(jì)算出的傳播概率是否大于預(yù)設(shè)概率閾值，若大于，則進(jìn)行手機(jī)惡意軟件預(yù)警。提醒監(jiān)測(cè)人員確定是否確實(shí)發(fā)生手機(jī)惡意軟件傳播事件，進(jìn)行手機(jī)惡意軟件的攔截，或向用戶發(fā)送提醒短信，避免用戶被手機(jī)惡意軟件感染。需要說(shuō)明的是，本發(fā)明實(shí)施例中計(jì)算各類異常行為特征的發(fā)生概率還可采用其他方法，如根據(jù)預(yù)設(shè)時(shí)間內(nèi)待監(jiān)測(cè)地區(qū)所有用戶發(fā)生某種異常行為特征的次數(shù)，根據(jù)發(fā)生的次數(shù)計(jì)算出該異常行為特征對(duì)應(yīng)的發(fā)生概率，當(dāng)然，因?yàn)槊款惍惓Ｐ袨樘卣鞯牟煌?jì)算概率的方法也可以不同，本發(fā)明實(shí)施例不作具體限定。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，通過(guò)獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，并計(jì)算出每一類異常行為特征的發(fā)生概率，根據(jù)計(jì)算出的概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，若判斷獲知計(jì)算出的傳播概率大于預(yù)設(shè)概率閾值，則進(jìn)行手機(jī)惡意軟件預(yù)警。即可以根據(jù)用戶終端的異常行為特征的發(fā)生概率，預(yù)測(cè)手機(jī)惡意軟件傳播事件發(fā)生的可能性。實(shí)現(xiàn)了手機(jī)惡意軟件傳播或爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。

在上述實(shí)施例的基礎(chǔ)上，所述行為特征關(guān)系概率模型包括：所述異常行為特征或異常行為特征組對(duì)應(yīng)的所述預(yù)設(shè)概率閾值，以及所述異常行為特征組中各異常行為特征對(duì)應(yīng)的權(quán)重。

具體地，根據(jù)歷史數(shù)據(jù)可以獲知，被手機(jī)惡意軟件感染的用戶終端的異常行為特征的發(fā)生概率比正常狀態(tài)下用戶終端出現(xiàn)異常行為特征的發(fā)生概率高，并且有些異常行為特征會(huì)結(jié)伴成組出現(xiàn)，如被手機(jī)惡意軟件感染的用戶終端出現(xiàn)短信頻率異常和短信語(yǔ)音話單離散度異常的情況經(jīng)常會(huì)一起出現(xiàn)。本發(fā)明實(shí)施例在預(yù)存儲(chǔ)的特征關(guān)系概率模型中包括每類異常行為特征對(duì)應(yīng)的預(yù)設(shè)概率閾值，或異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值以及異常行為特征組中各類異常行為特征對(duì)應(yīng)的權(quán)重?？梢钥闯觯景l(fā)明實(shí)施例中的預(yù)設(shè)概率閾值可以不止一個(gè)，每類或每組異常行為特征都可以對(duì)應(yīng)一個(gè)預(yù)設(shè)概率閾值，其中預(yù)設(shè)概率閾值和異常相位特征組中的異常行為特征對(duì)應(yīng)的權(quán)重的具體設(shè)置可以根據(jù)實(shí)際情況而定，本發(fā)明實(shí)施例不作具體限定。

例如：若根據(jù)歷史數(shù)據(jù)可以獲知，被手機(jī)惡意軟件感染的用戶終端出現(xiàn)發(fā)送不良短彩信的發(fā)生概率為0.5，正常狀態(tài)下的用戶終端發(fā)送不良短彩信的概率為0.2，并且沒(méi)有發(fā)現(xiàn)發(fā)送不良短彩信與其他異常行為特征之間存在關(guān)聯(lián)關(guān)系，則在行為特征關(guān)系概率模型中可以將發(fā)送不良短彩信作為單獨(dú)的異常行為特征進(jìn)行存儲(chǔ)，并可以將其對(duì)應(yīng)的預(yù)設(shè)概率閾值儲(chǔ)存為0.4。當(dāng)獲取待監(jiān)測(cè)地區(qū)的用戶終端發(fā)送不良短彩信的發(fā)生概率為0.48，則可以將手機(jī)惡意軟件的傳播概率記為0.48，大于預(yù)設(shè)的概率閾值0.4，則進(jìn)行手機(jī)惡意軟件預(yù)警。假設(shè)在行為特征關(guān)系概率模型中將短信頻率異常和短信語(yǔ)音話單離散度異常作為異常行為特征組，并且短信頻率異常的權(quán)重設(shè)置為0.5，短信語(yǔ)音話單離散度異常的權(quán)重設(shè)置為0.5，將該異常行為特征組的預(yù)設(shè)概率閾值設(shè)置為0.4。若獲取到待監(jiān)測(cè)地區(qū)的用戶終端短信頻率異常的概率為0.6，并且獲取到短信語(yǔ)音話單離散度異常的概率為0.5，則計(jì)算出手機(jī)惡意軟件的傳播概率為0.6×0.5+0.5×0.5＝0.55，大于預(yù)設(shè)概率閾值0.4，則進(jìn)行手機(jī)惡意軟件預(yù)警。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，根據(jù)異常行為特征以及異常行為特征之間的關(guān)聯(lián)關(guān)系，設(shè)置不同異常行為特征或異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值，使得最終計(jì)算出的手機(jī)惡意軟件的傳播概率更加準(zhǔn)確，提高了手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

在上述實(shí)施例的基礎(chǔ)上，所述方法還包括：根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下用戶終端發(fā)生所述異常行為特征的發(fā)生概率，以及手機(jī)惡意軟件感染后用戶終端發(fā)生所述異常行為特征的發(fā)生概率，建立所述行為特征關(guān)系概率模型。

具體地，本發(fā)明實(shí)施例可以根據(jù)獲取歷史數(shù)據(jù)中用戶終端在正常狀態(tài)下行為特征的發(fā)生概率，以及用戶終端被惡意軟件感染后異常行為特征的發(fā)生概率，建立出行為特征關(guān)系概率模型。具體可以根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下行為特征的發(fā)生概率，和被感染后異常行為特征的發(fā)生概率，設(shè)置異常行為特征的預(yù)設(shè)概率閾值；還可以根據(jù)用戶終端被感染后異常行為特征發(fā)生的關(guān)聯(lián)關(guān)系，設(shè)置異常行為特征組，并設(shè)置異常行為特征組中的各個(gè)異常行為特征對(duì)應(yīng)的權(quán)重，以及異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值。其中預(yù)設(shè)概率閾值、異常行為特征組以及異常行為特征組中的各個(gè)異常行為特征對(duì)應(yīng)的權(quán)重的設(shè)置，可以根據(jù)對(duì)歷史數(shù)據(jù)的分析進(jìn)行設(shè)置，本發(fā)明實(shí)施例不作具體限定。

因?yàn)樨惾~斯公式提出了關(guān)聯(lián)事件出現(xiàn)概率的計(jì)算方法，即P(A|B)＝P(B|A)×P(A)/P(B)，可以通過(guò)關(guān)聯(lián)事件發(fā)生概率的因果關(guān)系建立模型，預(yù)測(cè)事件的發(fā)生概率。解決在有限信息空間或測(cè)量數(shù)據(jù)不完全的現(xiàn)實(shí)環(huán)境中，更有效獲得預(yù)測(cè)結(jié)果的方法。因此，本發(fā)明可以根據(jù)歷史數(shù)據(jù)中異常行為特征的關(guān)聯(lián)關(guān)系，以及用戶終端在正常狀態(tài)下異常行為特征的發(fā)生概率，和被惡意軟件感染后異常行為特征的發(fā)生概率，建立出行為特征關(guān)系概率模型，再根據(jù)監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征預(yù)測(cè)出手機(jī)惡意軟件的傳播概率。其中歷史數(shù)據(jù)的獲取可以采用運(yùn)營(yíng)商現(xiàn)有信息安全系統(tǒng)通過(guò)系統(tǒng)間接口、DPI技術(shù)和網(wǎng)絡(luò)爬蟲技術(shù)采集數(shù)據(jù)。歷史數(shù)據(jù)的具體內(nèi)容包括但不限于用戶終端的上網(wǎng)日志、短彩信話單、通話話單、用戶投訴數(shù)據(jù)、舉報(bào)數(shù)據(jù)、用戶業(yè)務(wù)定購(gòu)數(shù)據(jù)等。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，根據(jù)獲取歷史數(shù)據(jù)中正常狀態(tài)下用戶終端的異常行為特征的發(fā)生概率，以及被手機(jī)惡意軟件感染后異常行為特征的發(fā)生概率，建立出行為特征關(guān)系概率模型。再根據(jù)建立的概率模型，以及被監(jiān)測(cè)地區(qū)用戶終端的行為特征的數(shù)據(jù)，進(jìn)行手機(jī)惡意軟件的預(yù)警。根據(jù)貝葉斯理論，根據(jù)已經(jīng)發(fā)生的事件可以預(yù)測(cè)未來(lái)事件發(fā)生的可能性，本發(fā)明實(shí)施例實(shí)現(xiàn)了手機(jī)惡意軟件傳播和爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。

在上述實(shí)施例的基礎(chǔ)上，所述獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，包括：獲取待監(jiān)測(cè)地區(qū)的用戶終端的行為特征，將所述行為特征和預(yù)先建立的異常行為特征庫(kù)進(jìn)行比對(duì)，獲取到所述異常行為特征，其中異常行為特征庫(kù)包括：異常網(wǎng)站的網(wǎng)址庫(kù)、不良短彩信庫(kù)、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語(yǔ)音話單離散度中的任意一種或任意組合。

具體地，本發(fā)明實(shí)施例根據(jù)歷史數(shù)據(jù)，獲取到被手機(jī)惡意軟件感染后用戶終端的異常行為特征的種類，建立出異常行為特征庫(kù)。異常行為特征庫(kù)包括：異常網(wǎng)站的網(wǎng)址庫(kù)、不良短彩信庫(kù)、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語(yǔ)音話單離散度中的任意一種或任意組合。其中異常網(wǎng)站網(wǎng)址庫(kù)中包括被手機(jī)惡意軟件感染后用戶終端經(jīng)常訪問(wèn)的網(wǎng)站的網(wǎng)址；不良短彩信庫(kù)包括發(fā)送不良短信或彩信是包括的不良網(wǎng)址或不良內(nèi)容；異常的短信頻率可以包括發(fā)送短信的時(shí)間間隔以及發(fā)送短信的條數(shù)；異常的上網(wǎng)流量可以包括流量閾值。當(dāng)需要對(duì)待監(jiān)測(cè)地區(qū)時(shí)，獲取到待監(jiān)測(cè)地區(qū)用戶終端的行為特征，用戶終端的行為特征主要是上網(wǎng)訪問(wèn)網(wǎng)站、下載APP、發(fā)送短彩信、發(fā)布微博、微信消息、呼叫等。將獲取到的行為特征和預(yù)先建立的異常行為特征庫(kù)進(jìn)行比對(duì)，判斷用戶終端是否訪問(wèn)異常行為特征庫(kù)中的異常網(wǎng)站網(wǎng)址庫(kù)中的網(wǎng)址、發(fā)送的短信內(nèi)容是否有不良短彩信庫(kù)中的內(nèi)容、發(fā)送短信的頻率是否屬于異常的短信頻率、上網(wǎng)流量是否屬于異常的流量、短信語(yǔ)音話單離散度是否屬于異常的離散度等。若存在上述任意一種或幾種情況，則確定該行為特征為異常行為特征，獲取待監(jiān)測(cè)地區(qū)所有用戶終端的異常行為特征，并計(jì)算各類異常行為特征的發(fā)生概率，進(jìn)一步根據(jù)預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，判斷是否大于預(yù)設(shè)概率閾值，以進(jìn)行手機(jī)惡意軟件預(yù)警。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，根據(jù)歷史數(shù)據(jù)將被手機(jī)惡意軟件感染的用戶終端的異常行為特征建立為異常行為特征庫(kù)，并將獲取到的待監(jiān)測(cè)地區(qū)的用戶終端的行為特征與異常行為特征庫(kù)進(jìn)行比對(duì)，獲取到待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征。提高了異常行為特征獲取的準(zhǔn)確性，進(jìn)一步提高了手機(jī)惡意軟件傳播預(yù)測(cè)和預(yù)警的準(zhǔn)確性。

在上述實(shí)施例的基礎(chǔ)上，所述方法還包括：在進(jìn)行手機(jī)惡意軟件預(yù)警后，更新所述異常行為特征庫(kù)和所述行為特征關(guān)系概率模型。

具體地，在根據(jù)待監(jiān)測(cè)地區(qū)各類異常行為特征的發(fā)生概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型，計(jì)算出手機(jī)惡意軟件的傳播概率并進(jìn)行手機(jī)惡意軟件預(yù)警后，將待監(jiān)測(cè)地區(qū)的用戶終端的數(shù)據(jù)作為新的樣本數(shù)據(jù)，對(duì)異常行為特征庫(kù)和行為特征關(guān)系概率模型進(jìn)行更新。因?yàn)?，手機(jī)惡意軟件會(huì)不斷出現(xiàn)新的類型，并且不同的手機(jī)惡意軟件可能帶來(lái)不同的異常行為特征，異常行為特征的發(fā)生概率也會(huì)隨之變化，因此需要對(duì)異常行為特征庫(kù)和行為特征關(guān)系概率模型進(jìn)行更新，以使得提高手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

此外，每個(gè)待監(jiān)測(cè)地區(qū)的手機(jī)惡意軟件的感染情況可能會(huì)不同，可以根據(jù)不同的待監(jiān)測(cè)地區(qū)的用戶終端的行為特征數(shù)據(jù)，建立不同的異常行為特征庫(kù)和行為特征關(guān)系概率模型。即在根據(jù)歷史數(shù)據(jù)建立異常行為特征庫(kù)和行為特征關(guān)系概率模型時(shí)，可以根據(jù)全網(wǎng)的歷史數(shù)據(jù)進(jìn)行建立，也可以根據(jù)待監(jiān)測(cè)地區(qū)的歷史數(shù)據(jù)建立，本發(fā)明實(shí)施例不作具體限定。并且本發(fā)明實(shí)施例不僅可以對(duì)待監(jiān)測(cè)地區(qū)的手機(jī)惡意軟件進(jìn)行預(yù)測(cè)和預(yù)警，還可以對(duì)單個(gè)用戶終端進(jìn)行監(jiān)測(cè)，對(duì)單個(gè)用戶終端的手機(jī)惡意軟件的感染情況進(jìn)行預(yù)測(cè)和預(yù)警。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，通過(guò)網(wǎng)絡(luò)中采集到的用戶行為特征的已經(jīng)發(fā)生的概率預(yù)測(cè)手機(jī)惡意軟件的傳播和爆發(fā)概率，可及時(shí)發(fā)現(xiàn)異常，采取有效措施。具體通過(guò)獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，并計(jì)算出每一類異常行為特征的發(fā)生概率，根據(jù)計(jì)算出的概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，實(shí)現(xiàn)了手機(jī)惡意軟件傳播或爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。并且對(duì)預(yù)先建立的異常行為特征庫(kù)以及行為特征關(guān)系概率模型進(jìn)行不斷的更新，以保證手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

圖2為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警的流程圖，如圖2所示，本發(fā)明實(shí)施例中的手機(jī)惡意軟件預(yù)警具體方法包括：

R1、提取惡意軟件感染用戶終端的異常行為特征，建立異常行為特征庫(kù)。具體通過(guò)歷史數(shù)據(jù)中被手機(jī)惡意軟件感染的用戶終端的行為特征與正常狀態(tài)下用戶終端的行為特征的比對(duì)，獲取手機(jī)惡意軟件感染用戶終端的異常行為特征。異常行為特征包括但不限于以下內(nèi)容：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常。

R2、挖掘歷史數(shù)據(jù)，統(tǒng)計(jì)分析異常行為特征的發(fā)生概率。

R3、建立行為特征關(guān)系概率模型。根據(jù)歷史數(shù)據(jù)中異常行為特征的發(fā)生的概率，以及異常行為特征之間的關(guān)聯(lián)關(guān)系，根據(jù)貝葉斯理論建立行為特征關(guān)系概率模型。

R4、預(yù)測(cè)安全事件。即根據(jù)待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征的發(fā)生概率以及行為特征關(guān)系概率模型，預(yù)測(cè)手機(jī)惡意軟件傳播或暴發(fā)的概率。

R5、進(jìn)行手機(jī)惡意軟件預(yù)警。根據(jù)計(jì)算出的手機(jī)惡意軟件傳播或暴發(fā)的概率，與預(yù)設(shè)概率閾值進(jìn)行比對(duì)，若手機(jī)惡意軟件的傳播概率大于概率閾值時(shí)，則進(jìn)行手機(jī)惡意軟件預(yù)警。在進(jìn)行預(yù)警時(shí)，可以設(shè)置手機(jī)惡意軟件傳播的預(yù)設(shè)概率閾值和手機(jī)惡意軟件暴發(fā)的預(yù)設(shè)概率閾值，根據(jù)計(jì)算出的概率與不同的預(yù)設(shè)概率閾值進(jìn)行比較，進(jìn)行不同程度的手機(jī)惡意軟件預(yù)警。

R6、更新異常行為特征庫(kù)以及行為特征關(guān)系概率模型。在進(jìn)行手機(jī)惡意軟件預(yù)警后，提取待監(jiān)測(cè)地區(qū)的用戶終端的行為特征數(shù)據(jù)，進(jìn)行異常行為特征庫(kù)以及行為特征關(guān)系概率模型的更新。實(shí)際應(yīng)用時(shí)，預(yù)警后還可以提取特定的異常行為特征進(jìn)行研判，確定手機(jī)惡意軟件傳播或暴發(fā)事件是否真實(shí)發(fā)生，進(jìn)行相應(yīng)的攔截獲告知用戶。在確定手機(jī)惡意軟件傳播或爆發(fā)后，進(jìn)行異常行為特征庫(kù)以及行為特征關(guān)系概率模型的更新，以確保異常行為特征庫(kù)以及行為特征關(guān)系概率模型的準(zhǔn)確性。本發(fā)明實(shí)施例可以周期性對(duì)待監(jiān)測(cè)地區(qū)進(jìn)行手機(jī)惡意軟件傳播的預(yù)測(cè)和預(yù)警，并更新異常行為特征庫(kù)以及行為特征關(guān)系概率模型。

圖3為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警的應(yīng)用流程圖，如圖3所示，本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警方法，通過(guò)互聯(lián)網(wǎng)、移動(dòng)網(wǎng)等技術(shù)獲取數(shù)據(jù)，與預(yù)先建立的惡意軟件下載URL庫(kù)和惡意軟件主控URL庫(kù)等進(jìn)行對(duì)比，進(jìn)行樣本的收集，并根據(jù)預(yù)先建立的行為特征關(guān)系概率模型以及待監(jiān)測(cè)地區(qū)中用戶終端異常行為特征的發(fā)生概率，計(jì)算出手機(jī)惡意軟件的傳播概率，結(jié)合人工研判等，進(jìn)行相應(yīng)的預(yù)警，當(dāng)通過(guò)移動(dòng)互聯(lián)網(wǎng)獲取到用戶終端產(chǎn)生超高流量時(shí)，也可以進(jìn)行手機(jī)惡意軟件預(yù)警。

圖4為本發(fā)明實(shí)施例中手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖，如圖4所示，本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝置包括：行為特征概率計(jì)算單元41、傳播概率計(jì)算單元42和預(yù)警單元43，其中：

行為特征概率計(jì)算單元41用于獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合；傳播概率計(jì)算單元42用于根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；預(yù)警單元43用于將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值進(jìn)行對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

具體地，行為特征概率計(jì)算單元41獲取待監(jiān)測(cè)地區(qū)內(nèi)所有用戶終端的異常行為特征，其中異常行為特征的類型包括訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合，當(dāng)然還可能包括其他異常行為特征，本發(fā)明實(shí)施例不作具體限定。獲取到各個(gè)用戶終端的異常行為特征后，計(jì)算待檢測(cè)地區(qū)每類異常行為特征的發(fā)生概率。傳播概率計(jì)算單元42根據(jù)計(jì)算出的發(fā)生概率，以及預(yù)先存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算手機(jī)惡意軟件的傳播概率。預(yù)警單元43將計(jì)算出的傳播概率和行為特征關(guān)系概率模型中存儲(chǔ)的預(yù)設(shè)概率閾值進(jìn)行比較。若計(jì)算出的手機(jī)惡意軟件的傳播概率大于預(yù)設(shè)概率閾值，則進(jìn)行手機(jī)惡意軟件預(yù)警。

其中各類異常行為特征的計(jì)算方法以及異常行為特征的判斷方法同上述實(shí)施例一致，此處不再贅述。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝置，通過(guò)獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，并計(jì)算出每一類異常行為特征的發(fā)生概率，根據(jù)計(jì)算出的發(fā)生概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，若判斷獲知計(jì)算出的傳播概率大于預(yù)設(shè)概率閾值，則進(jìn)行手機(jī)惡意軟件預(yù)警。即可以根據(jù)用戶終端的異常行為特征的發(fā)生概率，預(yù)測(cè)手機(jī)惡意軟件傳播事件發(fā)生的可能性。實(shí)現(xiàn)了手機(jī)惡意軟件傳播或爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。

在上述實(shí)施例的基礎(chǔ)上，所述行為特征關(guān)系概率模型包括：所述異常行為特征或異常行為特征組對(duì)應(yīng)的所述預(yù)設(shè)概率閾值，以及所述異常行為特征組中各異常行為特征對(duì)應(yīng)的權(quán)重。

具體地，根據(jù)歷史數(shù)據(jù)可以獲知，被手機(jī)惡意軟件感染的用戶終端的異常行為特征的發(fā)生概率比正常狀態(tài)下用戶終端出現(xiàn)異常行為特征的發(fā)生概率高，并且有些異常行為特征會(huì)結(jié)伴成組出現(xiàn)，如被手機(jī)惡意軟件感染的用戶終端的出現(xiàn)短信頻率異常和短信語(yǔ)音話單離散度異常的情況經(jīng)常會(huì)一起出現(xiàn)。本發(fā)明實(shí)施例在預(yù)存儲(chǔ)的特征關(guān)系概率模型中包括每類異常行為特征對(duì)應(yīng)的預(yù)設(shè)概率閾值，或異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值以及異常行為特征組中各類異常行為特征對(duì)應(yīng)的權(quán)重?？梢钥闯觯景l(fā)明實(shí)施例中的預(yù)設(shè)概率閾值可以不止一個(gè)，每類或每組異常行為特征都可以對(duì)應(yīng)一個(gè)預(yù)設(shè)概率閾值，其中預(yù)設(shè)概率閾值和異常相位特征組中的異常行為特征對(duì)應(yīng)的權(quán)重的具體設(shè)置方法，同上述實(shí)施例一致，此處不再贅述。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝置，根據(jù)異常行為特征以及異常行為特征之間的關(guān)聯(lián)關(guān)系，設(shè)置不同異常行為特征或異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值，使得最終計(jì)算出的手機(jī)惡意軟件的傳播概率更加準(zhǔn)確，提高了手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

圖5為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖，在上述實(shí)施例的基礎(chǔ)上，所述裝置還包括：模型建立單元51，用于根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下用戶終端發(fā)生所述異常行為特征的發(fā)生概率，以及手機(jī)惡意軟件感染后用戶終端發(fā)生所述異常行為特征的發(fā)生概率，建立所述行為特征關(guān)系概率模型。

具體地，模型建立單元51可以根據(jù)獲取歷史數(shù)據(jù)中用戶終端在正常狀態(tài)下異常行為特征的發(fā)生概率，以及用戶終端被惡意軟件感染后異常行為特征的發(fā)生概率，建立出行為特征關(guān)系概率模型。具體可以根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下異常行為特征的發(fā)生概率，和被感染后異常行為特征的發(fā)生概率，設(shè)置異常行為特征的預(yù)設(shè)概率閾值；還可以根據(jù)用戶終端被感染后異常行為特征發(fā)生的關(guān)聯(lián)關(guān)系，設(shè)置異常行為特征組，并設(shè)置異常行為特征組中的各個(gè)異常行為特征對(duì)應(yīng)的權(quán)重，以及異常行為特征組對(duì)應(yīng)的預(yù)設(shè)概率閾值。其中預(yù)設(shè)概率閾值、異常行為特征組以及異常行為特征組中的各個(gè)異常行為特征對(duì)應(yīng)的權(quán)重的設(shè)置和歷史數(shù)據(jù)的獲取方法，同上述實(shí)施例一致，此處不再贅述。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝裝置，根據(jù)獲取歷史數(shù)據(jù)中正常狀態(tài)下用戶終端的異常行為特征的發(fā)生概率，以及被手機(jī)惡意軟件感染后異常行為特征的發(fā)生概率，建立出行為特征關(guān)系概率模型。再根據(jù)建立的概率模型，以及被監(jiān)測(cè)地區(qū)用戶終端的行為特征的數(shù)據(jù)，進(jìn)行手機(jī)惡意軟件的預(yù)警。根據(jù)貝葉斯理論，根據(jù)已經(jīng)發(fā)生的事件可以預(yù)測(cè)未來(lái)事件發(fā)生的可能性。本發(fā)明實(shí)施例實(shí)現(xiàn)了手機(jī)惡意軟件傳播和爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。

在上述實(shí)施例的基礎(chǔ)上，所述行為特征概率計(jì)算單元具體用于：獲取待監(jiān)測(cè)地區(qū)的用戶終端的行為特征，將所述行為特征和預(yù)先建立的異常行為特征庫(kù)進(jìn)行比對(duì)，獲取到所述異常行為特征，其中異常行為特征庫(kù)包括：異常網(wǎng)站的網(wǎng)址庫(kù)、不良短彩信庫(kù)、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語(yǔ)音話單離散度中的任意一種或任意組合。

具體地，本發(fā)明實(shí)施例根據(jù)歷史數(shù)據(jù)，獲取到被手機(jī)惡意軟件感染后用戶終端的異常行為特征的種類，建立出異常行為特征庫(kù)。異常行為特征庫(kù)包括：異常網(wǎng)站的網(wǎng)址庫(kù)、不良短彩信庫(kù)、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語(yǔ)音話單離散度中的任意一種或任意組合。其中異常網(wǎng)站網(wǎng)址庫(kù)中包括被手機(jī)惡意軟件感染后用戶終端經(jīng)常訪問(wèn)的網(wǎng)站的網(wǎng)址；不良短彩信庫(kù)包括發(fā)送不良短信或彩信是包括的不良網(wǎng)址或不良內(nèi)容；異常的短信頻率可以包括發(fā)送短信的時(shí)間間隔以及發(fā)送短信的條數(shù)；異常的上網(wǎng)流量可以包括流量閾值。當(dāng)需要對(duì)待監(jiān)測(cè)地區(qū)時(shí)，行為特征概率計(jì)算單元獲取到待監(jiān)測(cè)地區(qū)用戶終端的行為特征，用戶終端的行為特征主要是上網(wǎng)訪問(wèn)網(wǎng)站、下載APP、發(fā)送短彩信、發(fā)布微博、微信消息、呼叫等。并將獲取到的行為特征和預(yù)先建立的異常行為特征庫(kù)進(jìn)行比對(duì)，判斷用戶終端是否訪問(wèn)異常行為特征庫(kù)中的異常網(wǎng)站網(wǎng)址庫(kù)中的網(wǎng)址、發(fā)送的短信內(nèi)容是否有不良短彩信庫(kù)中的內(nèi)容、發(fā)送短信的頻率是否屬于異常的短信頻率、上網(wǎng)流量是否屬于異常的流量、短信語(yǔ)音話單離散度是否屬于異常的離散度等。若存在上述任意一種或幾種情況，則確定該行為特征為異常行為特征，獲取待監(jiān)測(cè)地區(qū)所有用戶終端的異常行為特征，并計(jì)算各類異常行為特征的發(fā)生概率，進(jìn)一步根據(jù)預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，判斷是否大于預(yù)設(shè)概率閾值，以進(jìn)行手機(jī)惡意軟件預(yù)警。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝置，根據(jù)歷史數(shù)據(jù)將被手機(jī)惡意軟件感染的用戶終端的異常行為特征建立為異常行為特征庫(kù)，并將獲取到的待監(jiān)測(cè)地區(qū)的用戶終端的行為特征與異常行為特征庫(kù)進(jìn)行比對(duì)，獲取到待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征。提高了異常行為特征獲取的準(zhǔn)確性，進(jìn)一步提高了手機(jī)惡意軟件傳播預(yù)測(cè)和預(yù)警的準(zhǔn)確性。

在上述實(shí)施例的基礎(chǔ)上，所述預(yù)警單元還用于在進(jìn)行手機(jī)惡意軟件預(yù)警后，更新所述異常行為特征庫(kù)和所述行為特征關(guān)系概率模型。

具體地，在根據(jù)待監(jiān)測(cè)地區(qū)各類異常行為特征的發(fā)生概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型，計(jì)算出手機(jī)惡意軟件的傳播概率并進(jìn)行手機(jī)惡意軟件預(yù)警后，預(yù)警單元將待監(jiān)測(cè)地區(qū)的用戶終端的數(shù)據(jù)作為新的樣本數(shù)據(jù)，對(duì)異常行為特征庫(kù)和行為特征關(guān)系概率模型進(jìn)行更新。因?yàn)?，手機(jī)惡意軟件會(huì)不斷出現(xiàn)新的類型，并且不同的手機(jī)惡意軟件可能帶來(lái)不同的異常行為特征，異常行為特征的發(fā)生概率也會(huì)隨之變化，因此需要對(duì)異常行為特征庫(kù)和行為特征關(guān)系概率模型進(jìn)行更新，以使得提高手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

本發(fā)明實(shí)施例提供的裝置用于執(zhí)行上述方法，具體實(shí)施過(guò)程此處不再贅述。

本發(fā)明實(shí)施例提供的手機(jī)惡意軟件預(yù)警裝置，通過(guò)網(wǎng)絡(luò)中采集到的用戶終端的異常行為特征的發(fā)生概率預(yù)測(cè)手機(jī)惡意軟件的傳播和爆發(fā)概率，可及時(shí)發(fā)現(xiàn)異常，采取有效措施。具體通過(guò)獲取待監(jiān)測(cè)地區(qū)的用戶終端的異常行為特征，并計(jì)算出每一類異常行為特征的發(fā)生概率，根據(jù)計(jì)算出的概率以及預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率，實(shí)現(xiàn)了手機(jī)惡意軟件傳播或爆發(fā)的提前預(yù)測(cè)和預(yù)警，提高了手機(jī)惡意軟件檢測(cè)的及時(shí)性。并且對(duì)預(yù)先建立的異常行為特征庫(kù)以及行為特征關(guān)系概率模型進(jìn)行不斷的更新，以保證手機(jī)惡意軟件預(yù)警的準(zhǔn)確性。

圖6為本發(fā)明實(shí)施例中又一手機(jī)惡意軟件預(yù)警裝置的結(jié)構(gòu)示意圖，如圖6所示，所述裝置可以包括：處理器(processor)601、存儲(chǔ)器(memory)602和通信總線603，其中，處理器601，存儲(chǔ)器602通過(guò)通信總線603完成相互間的通信。處理器601可以調(diào)用存儲(chǔ)器602中的邏輯指令，以執(zhí)行如下方法：獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單短信語(yǔ)音話單離散度異常中的任意一種或任意組合；根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值進(jìn)行對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

此外，上述的存儲(chǔ)器602中的邏輯指令可以通過(guò)軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

本發(fā)明實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括存儲(chǔ)在非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，當(dāng)所述程序指令被計(jì)算機(jī)執(zhí)行時(shí)，計(jì)算機(jī)能夠執(zhí)行上述各方法實(shí)施例所提供的方法，例如包括：獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合；根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

本發(fā)明實(shí)施例提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)計(jì)算機(jī)指令，所述計(jì)算機(jī)指令使所述計(jì)算機(jī)執(zhí)行上述各方法實(shí)施例所提供的方法，例如包括：獲取待監(jiān)測(cè)地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測(cè)地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問(wèn)不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語(yǔ)音話單離散度異常中的任意一種或任意組合；根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值進(jìn)行對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

以上所描述的裝置以及系統(tǒng)實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性的勞動(dòng)的情況下，即可以理解并實(shí)施。