技術(shù)特征：

1.一種手機(jī)惡意軟件預(yù)警方法，其特征在于，包括：

獲取待監(jiān)測地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語音話單離散度異常中的任意一種或任意組合；

根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；

將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述行為特征關(guān)系概率模型包括：所述異常行為特征或異常行為特征組對(duì)應(yīng)的所述預(yù)設(shè)概率閾值，以及所述異常行為特征組中各異常行為特征對(duì)應(yīng)的權(quán)重。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，所述方法還包括：根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下用戶終端發(fā)生所述異常行為特征的發(fā)生概率，以及手機(jī)惡意軟件感染后用戶終端發(fā)生所述異常行為特征的發(fā)生概率，建立所述行為特征關(guān)系概率模型。

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取待監(jiān)測地區(qū)的用戶終端的異常行為特征，包括：獲取待監(jiān)測地區(qū)的用戶終端的行為特征，將所述行為特征和預(yù)先建立的異常行為特征庫進(jìn)行比對(duì)，獲取到所述異常行為特征，其中異常行為特征庫包括：異常網(wǎng)站的網(wǎng)址庫、不良短彩信庫、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語音話單離散度中的任意一種或任意組合。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述方法還包括：在進(jìn)行手機(jī)惡意軟件預(yù)警后，更新所述異常行為特征庫和所述行為特征關(guān)系概率模型。

6.一種手機(jī)惡意軟件預(yù)警裝置，其特征在于，包括：

行為特征概率計(jì)算單元，用于獲取待監(jiān)測地區(qū)用戶終端的異常行為特征，并計(jì)算所述待監(jiān)測地區(qū)中每類所述異常行為特征的發(fā)生概率，其中所述異常行為特征包括：訪問不良網(wǎng)站、發(fā)送不良短彩信、短信頻率異常、上網(wǎng)流量異常和短信語音話單離散度異常中的任意一種或任意組合；

傳播概率計(jì)算單元，用于根據(jù)所述發(fā)生概率和預(yù)存儲(chǔ)的行為特征關(guān)系概率模型計(jì)算出手機(jī)惡意軟件的傳播概率；

預(yù)警單元，用于將所述傳播概率與所述行為特征關(guān)系概率模型中的預(yù)設(shè)概率閾值對(duì)比，決策是否進(jìn)行手機(jī)惡意軟件預(yù)警。

7.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述行為特征關(guān)系概率模型包括：所述異常行為特征或異常行為特征組對(duì)應(yīng)的所述預(yù)設(shè)概率閾值，以及所述異常行為特征組中各異常行為特征對(duì)應(yīng)的權(quán)重。

8.根據(jù)權(quán)利要求6或7所述的裝置，其特征在于，所述裝置還包括：模型建立單元，用于根據(jù)歷史數(shù)據(jù)中正常狀態(tài)下用戶終端發(fā)生所述異常行為特征的發(fā)生概率，以及手機(jī)惡意軟件感染后用戶終端發(fā)生所述異常行為特征的發(fā)生概率，建立所述行為特征關(guān)系概率模型。

9.根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述行為特征概率計(jì)算單元具體用于：獲取待監(jiān)測地區(qū)的用戶終端的行為特征，將所述行為特征和預(yù)先建立的異常行為特征庫進(jìn)行比對(duì)，獲取到所述異常行為特征，其中異常行為特征庫包括：異常網(wǎng)站的網(wǎng)址庫、不良短彩信庫、異常的短信頻率、異常的上網(wǎng)流量和異常的短信語音話單離散度中的任意一種或任意組合。

10.根據(jù)權(quán)利要求9所述的裝置，其特征在于，所述預(yù)警單元還用于在進(jìn)行手機(jī)惡意軟件預(yù)警后，更新所述異常行為特征庫和所述行為特征關(guān)系概率模型。