[发明专利]一种平台数据的操作方法

权利要求书

1.一种平台数据的操作方法，包括：

在步骤S1中，在平台上的应用的运行中获取特征；

在步骤S2中，平台分析简档类型，并与远程设备交互，确定一致性；

在步骤S3中，针对不符合一致性的目标应用，平台通过本地比较进行可疑目标应用的初步筛选；

在步骤S4中，针对不符合初步筛查的目标应用，平台进行应用的行为评价；

在步骤S5中，确定恶意应用后，本地查杀并报备远程设备；

在步骤S6中，对于受损的平台数据进行验证和修复；

在步骤S7中，运行修复的平台数据，核查是否有已被查杀的应用的简档；

在步骤S8中，如果有已被查杀的应用的简档，则重复执行步骤S5至S7，直至不再有已被查杀的应用的简档；如果不再有已被查杀的应用的简档，则设置定时，后续继续重复执行步骤S1至S7；

其中在步骤S1中，在平台上的应用的运行中获取特征包括：在平台的应用启动过程中，根据内存加载来启动监视进程，收集应用的启动项、运行环境、加载器信息、对底层接口的调用信息、句柄、应用在同期产生的简档，并记录其路径和文档名、类型、时间；其中启动项包括校验和其它结构的偏移地址和长度信息；加载器信息包括与上下文相关联的信息和耦合参数配置信息；该简档既包括在主存储器中的信息，也包括在辅助存储器中的信息，并且包括临时文件以及在运行结束时和运行结束后一段时间终止执行或删除的文件；

其中在步骤S2中，平台分析简档类型，并与远程设备交互，确定一致性包括：根据简档信息的收集，对于可疑目标应用，先进行解压，然后进行文件名和类型的筛查；所述可疑目标应用包括与平台上已安装的合法应用相关的应用；对于与合法应用类似文件名、扩展名的简档，则通过有线或无线链路而将可疑信息发送至远程设备；该远程设备存储有可疑信息的不同类型和不同类别的历史简档，所述不同类型包括：已确定的恶意应用、待确定的恶意应用和合法应用，待确定的恶意应用包括各平台汇聚的有潜在威胁的和无法确定的应用；不同各类别包括不同的扩展名；其中该远程设备首先对用户信息进行识别和认证，该用户信息包括用户ID、IP、时间戳、可疑应用简档信息，如果通过识别和认证则允许通过查询来确定，如果无法通过识别和认证则发回拒绝响应；远程设备交互确定一致性包括：遍历不同类别的历史简档，逐个核查可疑应用简档信息与历史简档的一致性，如果匹配查找器对应的类型然后输出，如果不匹配则直接输出结果。

2.如权利要求1所述的平台数据的操作方法，其中在步骤S3中，针对不符合一致性的目标应用，平台通过本地比较进行可疑目标应用的初步筛选包括：将可疑应用信息进行反编译以生成第一对象，分析第一对象的调用，并进行矢量化，获取矢量，分析与参照值的各元素值的平方差最小的矢量，据此分析该可疑应用与合法应用的近似程度，如果近似程度的量化值大于或等于第一阈值，则进入下一步骤；如果近似程度的量化值小于第一阈值，则确定该可疑应用为非恶意应用。

3.如权利要求2所述的平台数据的操作方法，其中在步骤S4中，针对不符合初步筛查的目标应用，平台进行应用的行为评价包括：生成该可疑应用的数据流和控制流，确定其信息流向，并且分析可疑应用是与用户进行交互，与射频收发装置是否有双向或单向的信号流动或控制，是否新建文件夹路径来保存生成和已生成的文件，分别根据这些情况进行赋值，并且根据预设的权重值对其进行加权求和并获得行为评价参数，并与第二阈值比较，如果大于或等于第二阈值，则确定该可疑应用确实为恶意应用；如果小于第二阈值，则确定该可疑应用为非恶意应用。

4.如权利要求3所述的平台数据的操作方法，其中在步骤S5中，确定恶意应用后，本地查杀并报备远程设备包括：查询进程列表，由确定后生成的使能指令自动结束该进程，调取该恶意应用的简档和文件夹位置、相关生成文件和压缩包，进行删除，并在预设时间值之后检查是否重新生成或更新，如果是的话则执行该步骤，直到不再存在；并且将该恶意应用的所有信息传输到远程设备进行报备，其中远程设备通过再次核实用户端的请求和身份，通过则接受该传输的信息并进行分类和存储。