[发明专利]恶意行为识别方法、装置、系统和存储介质

权利要求书

1.一种恶意行为识别方法，包括：

监控运行中的终端应用中的一个或多个目标应用程序编程接口API；

响应于终端应用调用所述一个或多个目标API，记录终端应用对所述一个或多个API的调用信息；

根据所述一个或多个API的调用信息生成行为序列；

根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。

2.根据权利要求1所述的恶意行为识别方法，还包括：

逆向开发工具Theos或修改系统框架服务Xposed接收输入的一个或多个目标API，以便监控运行中的终端应用中的一个或多个目标API。

3.根据权利要求1所述的恶意行为识别方法，其中，

第一终端监控在第一终端运行中的终端应用中的一个或多个目标应用程序编程接口API，所述第一终端为移动终端；

响应于终端应用调用所述一个或多个目标API，第一终端记录终端应用对所述一个或多个API的调用信息；

第二终端根据第一终端发送的所述一个或多个API的调用信息生成行为序列；

第二终端根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。

4.根据权利要求1所述的恶意行为识别方法，其中，所述API的调用信息包括API的调用时间，以及调用参数、返回值中的至少一种。

5.根据权利要求4所述的恶意行为识别方法，其中，根据所述一个或多个API的调用时间，排列所述一个或多个API的所述调用时间以外的其他调用信息，生成行为序列。

6.根据权利要求1所述的恶意行为识别方法，其中，目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。

7.一种恶意行为识别系统，包括：

监控模块，被配置为监控运行中的终端应用中的一个或多个目标应用程序编程接口API；

调用信息记录模块，被配置为响应于终端应用调用所述一个或多个目标API，记录终端应用对所述一个或多个API的调用信息；

行为序列生成模块，被配置为根据所述一个或多个API的调用信息生成行为序列；

恶意行为识别模块，被配置为根据所述行为序列在恶意行为序列库中的匹配结果识别恶意行为。

8.根据权利要求7所述的恶意行为识别系统，还包括：

逆向开发工具Theos模块或修改系统框架服务Xposed模块，被配置为接收输入的一个或多个目标API，以便监控运行中的终端应用中的一个或多个目标API。

9.根据权利要求7所述的恶意行为识别系统，其中，所述监控模块和所述调用信息记录模块位于第一终端，所述第一终端为移动终端；所述行为序列生成模块和所述恶意行为识别模块位于第二终端。

10.根据权利要求7所述的恶意行为识别系统，其中，所述API的调用信息包括API的调用时间，以及调用参数、返回值中的至少一种。

11.根据权利要求10所述的恶意行为识别系统，其中，所述行为序列生成模块进一步被配置为根据所述一个或多个API的调用时间，排列所述一个或多个API的所述调用时间以外的其他调用信息，生成行为序列。

12.根据权利要求7所述的恶意行为识别系统，其中，目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。