[发明专利]病毒行为检测方法、装置及计算机可读存储介质

权利要求书

1.一种病毒行为检测方法，应用于移动终端，其特征在于，所述方法包括：

在沙箱环境中运行所述移动终端中的应用程序，以对所述应用程序进行扫描；

根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；

基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；

将所述识别结果显示在所述移动终端的显示屏上。

2.根据权利要求1所述的病毒行为检测方法，其特征在于，在所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列之前，所述方法还包括：

将所述应用程序的目标信息发送给服务器，以使所述服务器根据所述目标信息查询应用程序的黑白名单数据库，确定所述应用程序是否为正常应用程序；

在接收到所述服务器的反馈结果为所述应用程序为非正常应用程序时，执行所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列的步骤。

3.根据权利要求1所述的病毒行为检测方法，其特征在于，所述在所述移动终端的沙箱环境中运行应用程序之后，所述方法还包括：

在所述应用程序的运行过程中，模拟用户对所述移动终端的操作，以触发所述应用程序的行为。

4.根据权利要求1所述的病毒行为检测方法，其特征在于，所述预设打桩点为通过对所述移动终端的目标系统服务进行打桩处理得到的打桩点。

5.根据权利要求4所述的病毒行为检测方法，其特征在于，所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列，包括：

根据预设打桩点，确定所述应用程序在运行过程中调用的N个系统服务，其中，所述N个系统服务为包含在所述目标系统服务中的服务，N为正整数；

根据所述N个系统服务的调用行为，获取所述目标行为序列。

6.根据权利要求1所述的病毒行为检测方法，其特征在于，所述基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果，包括：

按照预设批次长度，将所述目标行为序列分批次输入至所述预设的病毒行为识别模型进行行为序列识别，获得与多个输入批次对应的多个识别结果；

在所述多个识别结果中存在一个或多个识别结果为病毒行为时，确定所述目标行为序列的识别结果为病毒行为。

7.根据权利要求1所述的病毒行为检测方法，其特征在于，所述基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果，包括：

所述预设的病毒行为识别模型根据预设的病毒特征，过滤掉所述目标行为序列中与所述预设的病毒特征不匹配的数据，获得过滤后的行为序列；

对所述过滤后的行为序列进行识别，获得所述过滤后的行为序列的识别结果，作为所述目标行为序列的识别结果。

8.一种病毒行为检测装置，其特征在于，所述装置包括：

扫描模块，用于在沙箱环境中运行移动终端中的应用程序，以对所述应用程序进行扫描；

获取模块，用于根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；

识别模块，用于基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；

显示模块，用于将所述识别结果显示在所述移动终端的显示屏上。

9.一种病毒行为检测装置，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现权利要求1-7任一项所述方法的步骤。

10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，该程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。