具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种应用程序行为的处理方法,用于服务器,如图1所示,该方法包括:
步骤101,接收来自客户端的应用程序行为记录。
在本申请的实施例中,客户端会将监控到的应用程序的行为记录发送至服务器中,服务器接收这些行为记录,以便利用应用程序行为记录确定对应行为的处理方式。例如,接收某办公软件打开文档文件A的行为记录。
步骤102,若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型。
如果接收到的应用程序行为记录对应的应用程序行为是首次出现的行为,没有历史数据作为参考依据从而确定该行为的处理方案,则依据应用程序的行为记录,确定该行为对应的行为类型。例如,通过某办公软件打开文档文件A的行为记录,可以确定该行为是文件读写类型的行为。再例如,通过某应用程序启动摄像头的行为记录,可以确定该行为是I/O设备调用类型的行为。
步骤103,根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令。
根据应用程序行为记录对应的行为类型,确定与该行为类型对应的应用程序行为分析专家,由专家对应用程序行为记录进行分析确定对该应用程序行为的处理指令,或者由与该行为类型对应的智能审核系统确定对应的处理指令,智能审核系统一般为具有大量的对该种类型行为处理领域的专门知识与经验的程序系统,它应用人工智能技术和计算机技术,根据该领域一个或多个专家提供的知识和经验,进行推理和判断,模拟人类专家的决策过程,生成应用程序行为对应的处理指令。该处理指令为客户端如何处理应用程序行为提供了依据。其中,由不同的专家或智能审核系统分别对与其匹配的行为类型的应用程序行为记录进行分析,能够提高处理指令生成的效率和准确率。利用上述方法确定首次出现的应用程序行为的处理方案,并且解决了由于缺乏处理依据,导致处理方案过于宽松或者过于严格的问题。
例如,对于某办公软件打开文档文件A的行为,将其对应的行为记录发送给文件读写类型的智能审核系统中,智能审核系统根据行为记录对该行为的合法性进行分析后,得出该行为的处理指令。
步骤104,将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
将应用程序行为处理指令发送到客户端中,从而客户端接收到应用程序行为处理指令后,可以依据该指令对应用程序的行为进行处理,防止客户端中的应用程序行为超出其合法权限,威胁客户端系统安全,提高了客户端的安全性。
例如,对于某办公软件打开文档文件A的行为,假设智能审核系统认定该办公软件具备打开该文档文件A的权限,认定该行为是合法的,则可以生成相应的行为合法的处理指令。
再例如,对于另一个办公软件调用摄像头的行为,假设智能审核系统认定该办公软件不具备调用摄像头的权限,认定该行为是违规的,则可以生成相应的违规行为的处理指令。
通过应用本实施例的技术方案,在接收到应用程序的行为记录后,首先分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,进而生成应用程序行为的处理指令,最后将处理指令发送给客户端,从而使客户端执行该处理指令,实现应用程序的行为安全防控。本申请利用人工审核的方式或智能审核系统生成首次出现的应用程序行为的处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种应用程序行为的处理方法,如图2所示,该方法包括:
步骤201,接收来自客户端的应用程序行为记录。
步骤202,若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型。
步骤203,根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令。
步骤204,将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
上述步骤201至步骤204中,在接收到应用程序的行为记录后,分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,并通过与应用程序行为类型匹配的行为处理专家或智能审核系统生成应用程序行为的处理指令,从而将处理指令发送给客户端,实现应用程序的行为安全防控。
步骤205,当应用程序行为处理指令为应用程序拦截指令时,根据应用程序行为记录,建立违规行为库。
若应用程序行为处理指令为拦截指令,说明该应用程序的行为是存在风险或者超出权限的违规行为,这时应将该行为记录下来,以便下次相同的应用程序行为再次出现时,可以直接根据历史记录生成行为处理指令对该行为进行拦截处理。因此,应根据应用程序拦截指令相应的应用程序行为记录,建立违规行为库,为以后再次出现相同行为时提供处理依据。
在具体的实施例中,步骤205可以包括:
步骤2051,根据应用程序行为记录,确定与应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
步骤2052,根据违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库。
对于每个应用程序的行为都有其相应的运行特点,这些特点可以作为判断该行为是否为违规行为的依据,比如应用程序的行为会对应的调起进程,例如摄像头的打开行为对应的调起进程是某办公软件进程,办公软件一般来说可以对文档文件进行读写操作,但是可能会有恶意代码注入到文档文件中,当办公软件打开包含恶意代码的文件时,办公软件可能会受到恶意代码的恶意操控去打开摄像头。另外,要实现应用程序的行为需要一系列的系统调用,而行为堆栈就是系统的API(ApplicationProgramming Interface,应用程序编程接口)调用序列,应用程序的堆栈特征也可以作为判断某应用程序行为是否为违规行为的依据。
因此,可以利用违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库,为以后再次出现相同的应用程序行为时,提供处理依据。
步骤206,若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为。
在具体的实施例中,步骤206具体可以包括:
步骤2061,获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
步骤2062,根据违规行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为违规行为。
对应用程序行为记录进行解析,得到应用程序进程和/或应用程序的行为堆栈特征,从而利用违规行为库判断应用程序行为的合法性,具体分为三种情况,一是违规行为库中只包括违规应用程序进程,二是违规行为库中只包括违规应用程序行为堆栈特征,三是违规行为库中包括违规应用程序进程和违规应用程序行为堆栈特征。
具体来说,第一,若违规行为库中包括违规应用程序进程,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的进程;
若违规行为库中的违规应用程序进程包括应用程序的进程,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
第二,若违规行为库中包括违规应用程序行为堆栈特征,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的行为堆栈特征;
若违规行为库中的违规应用程序行为堆栈特征包括应用程序的行为堆栈特征,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
第三,若违规行为库中包括违规应用程序进程和违规应用程序行为堆栈特征,步骤2062具体可以为:
获取应用程序行为记录对应的应用程序的进程和应用程序的行为堆栈特征;
若违规行为库中的违规应用程序进程包括应用程序的进程和/或违规行为库中的违规应用程序行为堆栈特征包括应用程序的行为堆栈特征,则判定应用程序行为记录对应的行为是违规行为,否则,判定应用程序行为记录对应的行为不是违规行为。
步骤207,若行为是违规行为,则向客户端发送应用程序拦截指令;
步骤208,若行为不是违规行为,则向客户端发送应用程序放行指令。
在上述实施例中,当依据违规行为库判断应用程序行为是违规行为时,向客户端发送拦截指令,以使客户端对该行为进行拦截操作,避免违规行为造成信息安全风险,当依据违规行为库判断应用程序行为不是违规行为时,向客户端发送放行指令,以使客户端对该行为执行放行操作,保证客户端内应用程序能够安全的运行。
步骤209,当应用程序行为处理指令为应用程序放行指令时,根据应用程序行为记录,建立合法行为库。
在具体的实施例中,步骤209可以包括:
步骤2091,根据应用程序行为记录,确定与应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
步骤2092,根据合法应用程序进程和/或合法应用程序行为堆栈特征,建立合法行为库。
若应用程序行为处理指令为放行指令,说明该应用程序的行为是安全、合理的合法行为,这时应将该行为记录下来,以便下次相同的应用程序行为再次出现时,可以直接根据历史记录生成行为处理指令对该行为进行放行处理。因此,应根据应用程序放行指令相应的应用程序行为记录,建立合法行为库,为以后再次出现相同行为时提供处理依据。合法行为库的具体建立规则与违规行为库的建立规则相似,是依据影响程序行为记录对应的合法应用程序进程和/或应用程序行为堆栈特征建立,在此不再赘述。
步骤210,若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据合法行为库,判断应用程序行为记录对应的行为是否为合法行为。
在具体的实施例中,步骤210具体可以包括:
步骤2101,获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
步骤2102,根据合法行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为合法行为。
对应用程序行为记录进行解析,得到应用程序进程和/或应用程序的行为堆栈特征,从而利用合法行为库判断应用程序行为的合法性,具体分为三种情况,一是合法行为库中只包括合法应用程序进程,二是合法行为库中只包括合法应用程序行为堆栈特征,三是合法行为库中包括合法应用程序进程和合法应用程序行为堆栈特征。具体的判断方式与步骤206中根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为的方法相似,也是对应用程序行为记录进行解析,得到应用程序进程和/或应用程序行为堆栈特征,从而依据合法行为库进行判断,在此不再赘述。
步骤211,若行为是合法行为,则向客户端发送应用程序放行指令;
步骤212,若行为不是合法行为,则向客户端发送应用程序拦截指令。
在上述实施例中,当依据合法行为库判断应用程序行为是合法行为时,向客户端发送放行指令,以使客户端对该行为执行放行操作,保证客户端内应用程序能够安全的运行,当依据违规行为库判断应用程序行为不是违规行为时,向客户端发送拦截指令,以使客户端对该行为进行拦截操作,避免违规行为造成信息安全风险。
在本实施例中提供了一种应用程序行为的处理方法,用于客户端,如图3所示,该方法包括:
步骤301,当监控到应用程序的行为时,将应用程序的行为对应的应用程序行为记录发送至服务器中,以使服务器生成与应用程序行为记录对应的应用程序行为处理指令。
在本申请的实施例中,当监控到客户端中存在目标应用程序的行为后,在系统日志中获取与该应用程序的行为对应的行为记录,并将行为记录发送到服务器中,以使服务器通过对行为记录进行分析,从而生成对应的应用程序行为处理指令,以指导客户端对该行为如何处理,避免违规行为造成信息安全风险。
步骤302,接收并执行来自服务器的应用程序行为处理指令。
客户端接收应用程序行为处理指令,从而通过执行该处理指令,实现对客户端的应用程序行为的控制。
具体地,应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;若应用程序行为处理指令为应用程序拦截指令,则拦截应用程序的行为;若应用程序行为处理指令为应用程序放行指令,则放行应用程序的行为。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种服务器,如图4所示,该服务器包括:行为记录接收模块41、行为类型确定模块42、处理指令生成模块43、处理指令发送模块44。
行为记录接收模块41,用于接收来自客户端的应用程序行为记录;
行为类型确定模块42,用于若应用程序行为记录对应的应用程序行为是首次出现行为,则根据应用程序行为记录,确定应用程序的行为类型;
处理指令生成模块43,用于根据应用程序的行为类型,生成与应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块44,用于将应用程序行为处理指令发送至客户端,以使客户端执行应用程序行为处理指令。
在具体的应用场景中,如图5所示,应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;上述服务器还包括:违规行为库建立模块45、违规行为判断模块46、第一拦截指令发送模块47、第一放行指令发送模块48。
违规行为库建立模块45,用于当应用程序行为处理指令为应用程序拦截指令时,根据应用程序行为记录,建立违规行为库。
违规行为判断模块46,用于若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据违规行为库,判断应用程序行为记录对应的行为是否为违规行为;
第一拦截指令发送模块47,用于若行为是违规行为,则向客户端发送应用程序拦截指令;
第一放行指令发送模块48,用于若行为不是违规行为,则向客户端发送应用程序放行指令。
在具体的应用场景中,如图5所示,违规行为库建立模块45,具体包括:违规行为分析单元451、违规行为库建立单元452。
违规行为分析单元451,用于根据应用程序行为记录,确定与应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
违规行为库建立单元452,用于根据违规应用程序进程和/或违规应用程序行为堆栈特征,建立违规行为库。
在具体的应用场景中,如图5所示,违规行为判断模块46,具体包括:第一行为特征获取单元461、违规行为判断单元462。
第一行为特征获取单元461,用于获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
违规行为判断单元462,用于根据违规行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为违规行为。
在具体的应用场景中,如图5所示,上述服务器还包括:合法行为库建立模块49、合法行为判断模块410、第二放行指令发送模块411、第二拦截指令发送模块412。
合法行为库建立模块49,用于当应用程序行为处理指令为应用程序放行指令时,根据应用程序行为记录,建立合法行为库。
合法行为判断模块410,用于若应用程序行为记录对应的应用程序行为不是首次出现行为,则根据合法行为库,判断应用程序行为记录对应的行为是否为合法行为;
第二放行指令发送模块411,用于若行为是合法行为,则向客户端发送应用程序放行指令;
第二拦截指令发送模块412,用于若行为不是合法行为,则向客户端发送应用程序拦截指令。
在具体的应用场景中,如图5所示,合法行为库建立模块49,具体包括:合法行为分析单元491、合法行为库建立单元492。
合法行为分析单元491,用于根据应用程序行为记录,确定与应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
合法行为库建立单元492,用于根据合法应用程序进程和/或合法应用程序行为堆栈特征,建立合法行为库。
在具体的应用场景中,如图5所示,合法行为判断模块410,具体包括:第二行为特征获取单元4101、合法行为判断单元4102。
第二行为特征获取单元4101,用于获取应用程序行为记录对应的应用程序的进程和/或应用程序的行为堆栈特征;
合法行为判断单元4102,用于根据合法行为库与应用程序的进程和/或应用程序的行为堆栈特征的关系,确定应用程序行为记录对应的行为是否为合法行为。
需要说明的是,本申请实施例提供的一种服务器所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
进一步的,本申请实施例还提供一种应用程序行为的处理系统,如图6所示,该系统包括:如图4或图5所示的服务器以及客户端;客户端用于当监控到应用程序的行为时,将应用程序的行为对应的应用程序行为记录发送至服务器中,以使服务器生成与应用程序行为记录对应的应用程序行为处理指令;接收并执行来自服务器的应用程序行为处理指令。
本实施例提供的服务器、客户端以及应用程序行为的处理系统,由客户端对应用程序的行为进行监控并将相应的应用程序的行为记录发送至服务器中,从而服务器根据行为记录生成行为处理指令后,将处理指令反馈至客户端中,进而客户端执行该处理指令,避免违规行为造成信息安全风险。
基于上述如图1和图2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的应用程序行为的处理方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1、图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种计算机设备,具体可以为个人计算机、服务器、网络设备等,该计算机设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的应用程序行为的处理方法。
可选地,该计算机设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种计算机设备结构并不构成对该计算机设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存计算机设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现在接收到应用程序的行为记录后,首先分析应用程序的行为是否为首次出现的行为,若是首次出现行为,则根据行为记录确定应用程序行为的类型,然后通过与应用程序行为类型匹配的行为处理专家或智能审核系统生成应用程序行为的处理指令,最后将处理指令发送给客户端,从而使客户端执行该处理指令,实现应用程序的行为安全防控。本申请利用行为处理专家或智能审核系统生成首次出现的应用程序行为的处理指令,解决了应用程序行为首次出现时由于缺乏处理依据导致处理方式过于宽松或过于严格的问题,有助于提高客户端的安全性和实用性。
本发明实施例提供了以下技术方案:
1、一种应用程序行为的处理方法,用于服务器,包括:
接收来自客户端的应用程序行为记录;
若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
2、根据1所述的方法,所述应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;
当所述应用程序行为处理指令为所述应用程序拦截指令时,所述方法还包括:
根据所述应用程序行为记录,建立违规行为库。
3、根据2所述的方法,所述方法还包括:
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为;
若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
4、根据2或3所述的方法,所述根据所述应用程序行为记录,建立违规行为库,具体包括:
根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
根据所述违规应用程序进程和/或所述违规应用程序行为堆栈特征,建立所述违规行为库。
5、根据4所述的方法,所述根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
6、根据1所述的方法,当所述应用程序行为处理指令为所述应用程序放行指令时,所述方法还包括:
根据所述应用程序行为记录,建立合法行为库。
7、根据6所述的方法,所述方法还包括:
若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
8、根据6或7所述的方法,所述根据所述应用程序行为记录,建立合法行为库,具体包括:
根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
9、根据8所述的方法,所述根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为,具体包括:
获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
10、一种服务器,包括:
行为记录接收模块,用于接收来自客户端的应用程序行为记录;
行为类型确定模块,用于若所述应用程序行为记录对应的应用程序行为是首次出现行为,则根据所述应用程序行为记录,确定所述应用程序的行为类型;
处理指令生成模块,用于根据所述应用程序的行为类型,生成与所述应用程序行为记录对应的应用程序行为处理指令;
处理指令发送模块,用于将所述应用程序行为处理指令发送至所述客户端,以使所述客户端执行所述应用程序行为处理指令。
11、根据10所述的服务器,所述应用程序行为处理指令具体为应用程序拦截指令或应用程序放行指令;
所述服务器还包括:
违规行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序拦截指令时,根据所述应用程序行为记录,建立违规行为库。
12、根据11所述的服务器,所述服务器还包括:
违规行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述违规行为库,判断所述应用程序行为记录对应的行为是否为违规行为;
第一拦截指令发送模块,用于若所述行为是所述违规行为,则向所述客户端发送所述应用程序拦截指令;
第一放行指令发送模块,用于若所述行为不是所述违规行为,则向所述客户端发送所述应用程序放行指令。
13、根据11或12所述的服务器,所述违规行为库建立模块,具体包括:
违规行为分析单元,用于根据所述应用程序行为记录,确定与所述应用程序行为记录对应的违规应用程序进程和/或违规应用程序行为堆栈特征;
违规行为库建立单元,用于根据所述违规应用程序进程和/或所述违规应用程序行为堆栈特征,建立所述违规行为库。
14、根据13所述的服务器,所述违规行为判断模块,具体包括:
第一行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
违规行为判断单元,用于根据所述违规行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述违规行为。
15、根据10所述的服务器,所述服务器还包括:
合法行为库建立模块,用于当所述应用程序行为处理指令为所述应用程序放行指令时,根据所述应用程序行为记录,建立合法行为库。
16、根据15所述的服务器,所述服务器还包括:
合法行为判断模块,用于若所述应用程序行为记录对应的应用程序行为不是所述首次出现行为,则根据所述合法行为库,判断所述应用程序行为记录对应的行为是否为合法行为;
第二放行指令发送模块,用于若所述行为是所述合法行为,则向所述客户端发送所述应用程序放行指令;
第二拦截指令发送模块,用于若所述行为不是所述合法行为,则向所述客户端发送所述应用程序拦截指令。
17、根据15或16所述的服务器,所述合法行为库建立模块,具体包括:
合法行为分析单元,用于根据所述应用程序行为记录,确定与所述应用程序行为记录对应的合法应用程序进程和/或合法应用程序行为堆栈特征;
合法行为库建立单元,用于根据所述合法应用程序进程和/或所述合法应用程序行为堆栈特征,建立所述合法行为库。
18、根据17所述的服务器,所述合法行为判断模块,具体包括:
第二行为特征获取单元,用于获取所述应用程序行为记录对应的所述应用程序的进程和/或所述应用程序的行为堆栈特征;
合法行为判断单元,用于根据所述合法行为库与所述应用程序的进程和/或所述应用程序的行为堆栈特征的关系,确定所述应用程序行为记录对应的行为是否为所述合法行为。
19、一种应用程序行为的处理系统,包括:如10至18中任一项所述的服务器以及所述客户端;
所述客户端用于当监控到应用程序的行为时,将所述应用程序的行为对应的应用程序行为记录发送至服务器中,以使所述服务器生成与所述应用程序行为记录对应的应用程序行为处理指令;
接收并执行来自所述服务器的所述应用程序行为处理指令。
20、一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现1至9中任一项所述的应用程序行为的处理方法。
21、一种服务器,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现1至9中任一项所述的应用程序行为的处理方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。