[发明专利]程序的行为特征提取方法、恶意程序的检测方法及其装置

权利要求书

1.一种程序的行为特征提取方法，其特征在于，包括以下步骤：

运行待测程序；

接收第一测试短信，并获取所述待测程序在匹配所述第一测试短信时调用的预置关键字，其中，所述第一测试短信为根据已知的不同恶意程序的预置关键字创建的短信，并且所述第一测试短信的内容与所述不同恶意程序的预置关键字均不相关；以及

根据所述预置关键字生成第二测试短信，并提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合，以建立恶意行为特征库，其中，根据每个预置关键字分别生成一个第二测试短信，根据每个第二测试短信产生的行为特征与每个第二测试短信中的预置关键字相对应。

2.如权利要求1所述的方法，其特征在于，所述获取待测程序在匹配所述第一测试短信时调用的预置关键字进一步包括：

监控所述待测程序针对所述第一测试短信调用的应用程序编程接口API；

当根据所述API判断所述待测程序调用广播接收器对所述第一测试短信进行监听时，获取所述广播接收器所使用的匹配函数；以及

对所述匹配函数所使用的关键字进行监听，并将监听到的关键字作为所述待测程序在匹配所述第一测试短信时调用的预置关键字。

3.如权利要求1所述的方法，其特征在于，在所述提取待测程序根据所述第二测试短信产生的行为特征之后，还包括：

确定所述预置关键字之间的逻辑关系，并根据所述逻辑关系更新所述行为特征集合，其中，所述逻辑关系为逻辑或关系或逻辑与关系中的一种。

4.一种程序的行为特征提取装置，其特征在于，包括：

程序运行模块，用于运行待测程序；

接收模块，用于接收第一测试短信，其中，所述第一测试短信为根据已知的不同恶意程序的预置关键字创建的短信，并且所述第一测试短信的内容与所述不同恶意程序的预置关键字均不相关；

获取模块，用于获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；

生成模块，用于根据所述预置关键字生成第二测试短信；以及

提取模块，用于提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合，以建立恶意行为特征库，其中，根据每个预置关键字分别生成一个第二测试短信，根据每个第二测试短信产生的行为特征与每个第二测试短信中的预置关键字相对应。

5.如权利要求4所述的装置，其特征在于，所述获取模块具体包括：

监控子模块，用于监控所述待测程序针对所述第一测试短信调用的API；

获取子模块，用于在根据所述API判断所述待测程序调用广播接收器对所述第一测试短信进行监听时，获取所述广播接收器所使用的匹配函数；以及

监听子模块，用于对所述匹配函数所使用的关键字进行监听，并将监听到的关键字作为所述待测程序在匹配所述第一测试短信时调用的预置关键字。

6.如权利要求4所述的装置，其特征在于，还包括：

更新模块，用于确定所述预置关键字之间的逻辑关系，并根据所述逻辑关系更新所述行为特征集合，其中，所述逻辑关系为逻辑或关系或逻辑与关系中的一种。

7.一种客户端，其特征在于，包括：外壳，屏幕，处理器和电路板；

所述屏幕安置在所述外壳上，所述电路板安置在所述外壳围成的空间内部，所述处理器设置在所述电路板上；

所述处理器用于处理数据，并具体用于：

运行待测程序；

接收第一测试短信，并获取所述待测程序在匹配所述第一测试短信时调用的预置关键字，其中，所述第一测试短信为根据已知的不同恶意程序的预置关键字创建的短信，并且所述第一测试短信的内容与所述不同恶意程序的预置关键字均不相关；以及

根据所述预置关键字生成第二测试短信，并提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合，以建立恶意行为特征库，其中，根据每个预置关键字分别生成一个第二测试短信，根据每个第二测试短信产生的行为特征与每个第二测试短信中的预置关键字相对应。