WO2019091028A1

WO2019091028A1 - 应用软件恶意行为的动态告警方法和终端

Info

Publication number: WO2019091028A1
Application number: PCT/CN2018/077937
Authority: WO
Inventors: 林子敏; 刘艺锋; 袁中举
Original assignee: 华为技术有限公司
Priority date: 2017-11-10
Filing date: 2018-03-02
Publication date: 2019-05-16
Also published as: CN110447215B; CN110447215A

Abstract

本申请公开了一种应用软件恶意行为的动态告警方法和终端，涉及终端安全领域，用于动态调整针对应用软件恶意行为的告警。该方法包括：终端监控应用软件调用关键函数的行为；终端根据在预设时间内监控到应用软件调用关键函数的次数生成行为向量；终端基于机器学习算法，将行为向量输入恶意行为模型得到应用软件的结果向量；终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息；终端提示告警信息；终端获取用户针对告警信息的第一反馈信息；终端根据第一反馈信息保持恶意行为类型对应的告警阈值；终端获取用户针对告警信息的第二反馈信息；终端根据第二反馈信息提高恶意行为类型对应的告警阈值。本申请实施例用于对恶意软件进行告警。

Description

应用软件恶意行为的动态告警方法和终端

本申请要求于2017年11月10日提交中国专利局、申请号为201711101431.7、申请名称为“一种适应用户的移动设备恶意行为判别与告警方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及终端安全领域，尤其涉及一种应用软件恶意行为的动态告警方法和终端。

背景技术

随着终端设备承载越来越多的用户隐私、财产等重要数据，恶意应用软件逐渐成为威胁终端安全的重要来源，针对应用软件的恶意行为分析技术也在不断发展。现有技术中，对于不同的用户采用相同的模型告警终端软件的恶意行为，但实际上存在许多应用软件的行为介于正常行为和恶意行为之间，不同的用户对于应用的这类行为有不同的判断标准，可能产生告警结果与用户感知不一致的情况。

发明内容

本申请实施例提供一种应用软件恶意行为的动态告警方法和终端，用于动态调整针对应用软件恶意行为的告警。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种应用软件恶意行为的动态告警方法，其特征在于，包括：终端监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为；终端根据在预设时间内监控到应用软件调用N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，行为向量A＝(A ₁,A ₂,.......,A _N)的第i维A _i表示应用软件调用关键函数F _i的次数，1≤i≤N；终端基于机器学习算法，将行为向量A＝(A ₁,A ₂,.......,A _N)输入恶意行为模型得到应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，结果向量B＝(B ₁,B ₂,......,B _M)的每一维对应一种恶意行为类型及其威胁等级；终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；终端提示告警信息；终端获取用户针对告警信息的第一反馈信息，第一反馈信息为认可告警信息；终端根据第一反馈信息保持告警信息中的恶意行为类型对应的告警阈值；终端获取用户针对告警信息的第二反馈信息，第二反馈信息为不认可告警信息；终端根据第二反馈信息提高告警信息中的恶意行为类型对应的告警阈值。本申请实施例通过在终端设备中监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为，根据在预设时间内监控到该应用软件调用N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，行为向量的第i维A _i表示应用软件调用关键函数F _i的次数，1≤i≤N；终端基于机器学习算法，将行为向量输入恶意行为模型得到应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，结果向量的每一维对应一种恶意行为类型及其威胁等级；终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；终端提示告警信息；终端获取用户针对告警信息的第一反馈信息，第一反馈信息为认可告警信息；终端根据第一反馈信息保持告警信息中的恶意行为类型对应的告警阈值；终端获取用户针对告警信息的第二反馈信息，第二反馈信息为不认可告警信息；终端根据第二反馈信息提高告警信息中的恶意行为类型对应的告警阈值。终端通过将应用软件调用关键函数的次数以行为向量进行数学表示，输入恶意行为模型后得到表示恶意行为类型及其威胁等级结果向量，再根据各个恶意行为类型的威胁等级和告警阈值来生成告警信息，然后根据用户对告警信息的反馈来调整告警阈值，以适应不同用户和终端，实现了动态调整针对应用软件恶意行为的告警。

在一种可能的实施方式中，该方法还包括：终端获取终端的安全性信息，安全性信息包括安全性状态和安全性要求；如果终端的安全性状态较低或者安全性要求较高，则降低部分或全部恶意行为类型的告警阈值。该实施方式可以根据终端的安全性信息来调整告警阈值。

第二方面，提供了一种终端，包括：监控单元，用于监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为；生成单元，用于根据监控单元在预设时间内监控到应用软件调用N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，行为向量A＝(A ₁,A ₂,.......,A _N)的第i维A _i表示应用软件调用关键函数F _i的次数，1≤i≤N；获取单元，用于基于机器学习算法，将生成单元生成的行为向量A＝(A ₁,A ₂,.......,A _N)输入恶意行为模型得到应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，结果向量B＝(B ₁,B ₂,......,B _M)的每一维对应一种恶意行为类型及其威胁等级；生成单元，还用于对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；提示单元，用于提示生成单元生成的告警信息；获取单元，还用于获取用户针对告警信息的第一反馈信息，第一反馈信息为认可告警信息；调整单元，用于根据获取单元获取的第一反馈信息保持告警信息中的恶意行为类型对应的告警阈值；获取单元，还用于获取用户针对告警信息的第二反馈信息，第二反馈信息为不认可告警信息；调整单元，还用于根据第二反馈信息提高告警信息中的恶意行为类型对应的告警阈值。基于同一发明构思，由于该终端解决问题的原理以及有益效果可以参见上述第一方面和第一方面的各可能的方法实施方式以及所带来的有益效果，因此该终端的实施可以参见上述第一方面和第一方面的各可能的方法的实施方式，重复之处不再赘述。

第三方面，本申请的实施例提供一种终端，包括：处理器、存储器和通信接口；该存储器用于存储计算机执行指令，该处理器与该存储器耦接，当终端运行时，该处理器执行该存储器存储的该计算机执行指令，以使终端执行上述任一项应用软件恶意行为的动态告警方法。

第四方面，本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当该指令在上述任一项终端上运行时，使得终端执行上述任一项应用软件恶意行为的动态告警方法。

第五方面，本申请实施例提供一种包含指令的计算机程序产品，当其在上述任一项终端上运行时，使得终端执行上述任一项应用软件恶意行为的动态告警方法。

本申请的实施例中，上述终端内各部件的名字对设备本身不构成限定，在实际实现中，这些部件可以以其他名称出现。只要各个部件的功能和本申请的实施例类似，即属于本申请权利要求及其等同技术的范围之内。

另外，第三方面至第五方面中任一种设计方式所带来的技术效果可参见上述第一方面中不同设计方法所带来的技术效果，此处不再赘述。

附图说明

图1为本申请实施例提供的一种终端的正面示意图；

图2为本申请实施例提供的一种终端的硬件结构示意图；

图3为本申请实施例提供的一种应用软件恶意行为的动态告警方法的流程示意图一；

图4为本申请实施例提供的得到行为向量的示意图；

图5为本申请实施例提供的得到结果向量的示意图；

图6为本申请实施例提供的显示告警信息的示意图；

图7为本申请实施例提供的以消息框形式显示告警信息的示意图；

图8为本申请实施例提供的在通知中心中显示告警信息的示意图；

图9为本申请实施例提供的一种应用软件恶意行为的动态告警方法的流程示意图二；

图10为本申请实施例提供的一种应用软件恶意行为的动态告警方法的流程示意图三；

图11为本申请实施例提供的一种终端的结构示意图一；

图12为本申请实施例提供的一种终端的结构示意图二。

具体实施方式

本申请实施例中的终端可以为配置有显示屏的各种电子设备，例如，可以为可穿戴电子设备(例如智能手表等)、平板电脑、台式电脑、虚拟现实装置、增强现实装置，也可以是图1或图2所示的手机200，本申请实施例对终端的具体形式不做限制。

以下实施例以手机作为例子来说明终端如何实现实施例中的具体技术方案。如图1或图2所示，本申请实施例中的终端可以为手机200。图1为手机200的正面示意图，图2为手机200的硬件结构示意图。下面以手机200为例对实施例进行具体说明。应该理解的是，图示手机200仅仅是终端的一个范例，其可以具有比图中所示出的更多的或者更少的部件，可以组合两个或更多的部件，或者可以具有不同的部件。

如图2所示，手机200可以包括：射频(Radio Frequency，RF)电路210、存储器220、输入单元230、显示单元240、传感器250、音频电路260、无线保真(Wireless Fidelity，Wi-Fi)模块270、处理器280、蓝牙模块281、以及电源290等部件。

RF电路210可用于在收发信息或通话过程中信号的接收和发送，可以接收基站的下行数据后交给处理器280处理；可以将上行数据发送给基站。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等器件。本申请的RF电路210可以从云端获取恶意行为模型和告警策略。

存储器220可用于存储软件程序及数据。处理器280通过运行存储在存储器220 的软件程序或数据，从而执行手机200的各种功能以及数据处理。存储器220可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。存储器220存储有使得手机200能运行的操作系统，例如苹果公司所开发的

操作系统，谷歌公司所开发的

开源操作系统，微软公司所开发的

操作系统等。本申请的存储器220可以存储来自云端的恶意行为模型和告警策略，还可以存储各种应用软件，还可以存储监控及分析应用软件的行为的代码。

输入单元230(例如触摸屏)可用于接收输入的数字或字符信息，产生与手机200的用户设置以及功能控制有关的信号输入。具体地，输入单元230可以包括如图1所示设置在手机200正面的触控面板231，可收集用户在其上或附近的触摸操作。本申请的输入单元230可以接收用户针对告警信息的反馈信息。

显示单元240(即显示屏)可用于显示由用户输入的信息或提供给用户的信息以及手机200的各种菜单的图形用户界面(Graphical User Interface，GUI)。显示单元240可包括设置在手机200正面的显示面板241。其中，显示面板241可以采用液晶显示器、发光二极管等形式来配置。显示单元240可以用于显示本申请中所述的各种图形用户界面。触控面板231可以覆盖在显示面板241之上，也可以将触控面板231与显示面板241集成而实现手机200的输入和输出功能，集成后可以简称触摸显示屏。显示单元240在本申请中可以显示告警信息。

手机200还可以包括至少一种传感器250，比如光传感器、运动传感器。手机200还可配置有陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器。

音频电路260、扬声器261、麦克风262可提供用户与手机200之间的音频接口。音频电路260可将接收到的音频数据转换后的电信号，传输到扬声器261，由扬声器261转换为声音信号输出；另一方面，麦克风262将收集的声音信号转换为电信号，由音频电路260接收后转换为音频数据，再将音频数据输出至RF电路210以发送给比如另一手机，或者将音频数据输出至存储器220以便进一步处理。

Wi-Fi属于短距离无线传输技术，手机200可以通过Wi-Fi模块270帮助用户收发电子邮件、浏览网页和访问流媒体等，它为用户提供了无线的宽带互联网访问。本申请的Wi-Fi模块270可以从云端获取恶意行为模型和告警策略。

处理器280是手机200的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器220内的软件程序，以及调用存储在存储器220内的数据，执行手机200的各种功能和处理数据。在一些实施例中，处理器280可包括一个或多个处理单元；处理器280还可以集成应用处理器和基带处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，基带处理器主要处理无线通信。可以理解的是，上述基带处理器也可以不集成到处理器280中。

蓝牙模块281，用于通过蓝牙协议来与其他具有蓝牙模块的蓝牙设备进行信息交互。例如，手机200可以通过蓝牙模块281与同样具备蓝牙模块的可穿戴电子设备(例如智能手表)建立蓝牙连接，从而进行数据交互。

手机200还包括给各个部件供电的电源290(比如电池)。电源可以通过电源管理系统与处理器280逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗等功能。

以下实施例中的方法均可以在具有上述硬件结构的手机200中实现。

如图3所示，本申请一实施例提供一种应用软件恶意行为的动态告警方法，该方法可以包括：

步骤S101、终端监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为。

在终端上安装并运行的应用软件可能来自不同下载源，例如应用商城，该应用软件的官方网站，网页链接等，本申请并不限定。不管应用软件来源如何，如果是恶意软件则在运行时会有共同的恶意行为，可能威胁终端信息安全。例如，恶意软件可能窃取用户隐私信息，包括通话录音、短信内容、国际移动设备身份码(International Mobile Equipment Identity，IMEI)、国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)、地理位置、通讯录、浏览器历史记录等信息，然后上传到黑客控制的远程服务器；恶意软件可能发送恶意扣费短信，恶意拨打电话，拦截验证码短信；恶意软件可能通过系统漏洞获取ROOT权限，在后台静默安装其他程序，或者通过伪造成杀毒软件、提示更新等方式欺骗用户安装其他程序；恶意软件可能在后台下载大量软件，消耗用户手机流量，或者执行一些比较耗电的操作来消耗手机电量，进而影响正常的手机通信。这些恶意行为在软件实现上是通过调用函数来实现的，例如安卓(Android)操作系统中提供SmsManager.sendDataMessage函数用于发送短消息；提供DefaultHttpClient.execute函数发送超文本传输协议(Hyper Text Transfer Protocol，HTTP)请求；提供URLConnection.connect函数来连接统一资源定位符(Uniform Resource Locator，URL)；提供java.lang.Runtime.exec函数用于执行外部命令。需要说明的是，即使调用上述函数也不一定属于恶意行为，例如正常应用软件进行正常的短信验证也可能调用SmsManager.sendDataMessage函数，而恶意软件发送恶意扣费短信则会非常频繁地调用SmsManager.sendDataMessage函数。因此，终端可以通过监控应用软件调用关键函数的频率来监控该应用软件是否有恶意行为。

具体的，由于操作系统提供的可被应用软件调用的函数非常之多，许多函数的调用并不会被应用软件用于执行恶意行为，因此在本申请以下实施例中用“关键函数”一词指能够被应用软件调用以执行恶意行为的函数。

终端软件系统的开发者可以在这N个关键函数F ₁、F ₂、...、F _N中增加相关代码，以便终端获取调用该关键函数的应用软件的标识，例如终端可以通过getpid函数获取进程标识符(Process Identifier，PID)或通过getuid函数获取用户标识符(User Identifier，UID)等。

可以理解的是，“关键函数”只是本申请实施例中所使用的一个词语，其代表的含义在本申请实施例中已经记载，其名称并不能对本申请实施例构成任何限制；另外，在本申请其他一些实施例中，“关键函数”也可以被称为例如“重要函数”、“敏感函数”、“特征函数”、“危险函数”等其他词语。

步骤S102、终端根据在预设时间内监控到上述应用软件调用N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)。

行为向量A＝(A ₁,A ₂,.......,A _N)的第i维A _i表示该应用软件调用关键函数F _i的次数，其中，1≤i≤N。需要说明的是，本申请并不要求应用软件调用所有N个关键函数F ₁、 F ₂、...、F _N，可以只调用其中的至少一个关键函数。

例如，开发者可以在发送短信SmsManager.sendDataMessage函数中增加获取应用软件的PID或UID的代码，由终端对该函数被某一应用软件调用的次数进行统计，因为调用该关键函数的行为可能涉及恶意扣费；又例如，开发者可以在系统调用的杀死进程sys_kill函数中增加获取应用软件的PID或UID的代码，由终端对该函数被某一应用软件调用的次数进行统计，因为调用该函数的行为可能涉及破坏系统。

终端可以将预设时间内每个应用软件调用N个关键函数的次数抽象为一个N维行为向量，每一维表示预设时间内该应用软件调用某一关键函数的次数，如果没有调用某一关键函数则对应维的次数统计值为0。N为应用软件可能调用的所有关键函数的数目。例如，参照图4中所示，假设得到的软件1的行为向量为A ₁＝(A ₁₁,A ₁₂,.......,A _1N)，第一维A ₁₁表示预设时间内软件1调用SmsManager.sendDataMessage函数的次数，第二维A ₁₂表示预设时间内软件1调用sys_kill函数的次数。类似地，得到软件2的行为向量为A ₂＝(A ₂₁,A ₂₂,.......,A _2N)，第一维A ₂₁表示预设时间内软件2调用SmsManager.sendDataMessage函数的次数，第二维A ₂₂表示预设时间内软件2调用sys_kill函数的次数，其他软件的行为向量以此类推。如果软件1在预设时间内调用SmsManager.sendDataMessage函数18次，调用sys_kill函数0次，则该软件1的行为向量可以表示为A ₁＝(18,0,.......,A _1N)。

步骤S103、终端或云端基于机器学习算法，将行为向量A＝(A ₁,A ₂,.......,A _N)输入恶意行为模型以得到该应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)。

M<N，结果向量B＝(B ₁,B ₂,......,B _M)的每一维对应一种恶意行为类型及其威胁等级。

如前文所述，行为向量的每一维表示预设时间内应用软件调用某一关键函数的次数，但是由于关键函数数目很多，可能多个关键函数对应一种恶意行为，并且对应一种恶意行为的不同关键函数的威胁程度也不同，不便于从关键函数角度分析应用软件的行为。

因此可以通过恶意行为模型对行为向量进行归纳总结，从而得到各个关键函数对应的恶意行为类型及其威胁等级，即结果向量。恶意行为类型可以包括例如隐私窃取、恶意扣费、破坏系统等。威胁等级指该应用软件的恶意行为的严重程度，例如可以以数字等级0-10表示。对于每个应用软件来说，其每一恶意行为类型都对应一威胁等级，例如某一恶意应用，其恶意行为类型包括隐私窃取和破坏系统，其中，隐私窃取的威胁等级为3，破坏系统的威胁等级为5。恶意行为模型为一种数学模型，是由云端根据机器学习算法对大量应用软件的行为向量和结果向量进行训练得到。结果向量的每一维表示某一恶意行为类型及其威胁等级。结果向量实际是对行为向量进行归纳总结后的降维处理结果，由于恶意行为的种类要远少于关键函数的数目，所以可以用较低维度的恶意行为类型及对应威胁等级来表示较高维度的调用关键函数的次数。

在云端训练恶意行为模型时，在云端可以构建大量真实或者模拟的终端设备系统环境，并在构建的系统环境上运行大量已知其M维结果向量(即恶意行为类型和威胁等级)的应用软件，来获取其N维行为向量，M表示恶意行为类型的数量。最后，将各应用软件的N维行为向量和M维结果向量作为训练数据对，基于机器学习算法对恶意行为模型进行训练，最终可以得到恶意行为模型。参与训练的各应用软件的恶意行为类型和威胁等级作为输入信息是已知的，该信息可以通过第三方获取或者通过人工输入。机器学习算法可以包括决策树、逻辑回归等算法，机器学习算法适用于对已有知识的归纳。需要说明的是，还可以用其他数学方式来训练恶意行为模型，例如将每个应用软件的恶意行为类型和威胁等级分别作为一个向量，两个向量构成一个结果向量组，将每个应用软件的N维行为向量和结果向量组作为训练数据对，基于机器学习算法对恶意行为模型进行训练，最终同样可以得到恶意行为模型。

在云端训练恶意行为模型时输入的行为向量与步骤S102得到的行为向量，每一维表示相同含义，所以将步骤S102得到的行为向量输入该恶意行为模型时，得到的结果向量与在云端训练恶意行为模型时输入的结果向量每一维也可以表示相同含义。参照图5中所示，将各应用软件的N维行为向量作为恶意行为模型的输入，基于与训练恶意行为模型时相同的机器学习方法可以得到M维结果向量，M维结果向量包括各应用软件的恶意行为类型和对应的威胁等级。

例如，假设得到软件1的结果向量为B ₁＝(B ₁₁,B ₁₂,......,B _1M)，第一维B ₁₁表示软件1恶意扣费的威胁等级，第二维B ₁₂表示软件1破坏系统的威胁等级。类似地，假设得到软件2的结果向量为B ₂＝(B ₂₁,B ₂₂,......,B _2M)，第一维B ₂₁表示软件2恶意扣费的威胁等级，第二维B ₂₂表示软件2破坏系统的威胁等级。其他软件的结果向量以此类推。如果得到软件1的恶意扣费威胁等级为3，破坏系统的威胁等级为5，则该软件1的结果向量可以表示为B ₁＝(3,5,......,B _1M)。

在本申请一些实施例中，可以由终端将该应用软件的行为向量发送给云端，由云端根据云端存储的恶意行为模型以及该应用软件的行为向量来生成应用软件的结果向量。在本申请其他一些实施例中，也可以由云端将恶意行为模型发送给终端，由终端根据恶意行为模型以及该应用软件的行为向量来生成该应用软件的结果向量。

步骤S104、终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息。

其中，每种恶意行为类型对应一个告警阈值，多种恶意行为类型对应的告警阈值可以统称为告警策略，同一恶意行为类型可以针对所有应用软件对应相同或不同的告警阈值。如果该应用软件的一个恶意行为类型的威胁等级大于等于对应告警阈值，则该终端生成告警信息。例如，假设隐私窃取的告警阈值为3，如果某一应用的隐私窃取的威胁等级大于等于3时，系统会提示告警信息，该告警信息可以显示该应用软件正在窃取隐私。

在本申请一些实施例中，如果由云端来生成应用软件的结果向量，则云端可以将该应用软件的恶意行为类型和威胁等级发送给终端，由终端结合告警策略生成告警信息。终端可以本地存储告警策略，或者，从云端获取告警策略。

告警信息可以包括：产生恶意行为的应用名称、恶意行为类型等，如果有多个恶意行为类型的威胁等级大于等于对应告警阈值，则告警信息可以包括上述多个恶意行为类型。

步骤S105、终端提示告警信息。

示例性的，参照图6中所示，完成某个应用软件的行为分析之后，终端根据云端下发的告警策略以及该应用软件的恶意行为类型和威胁等级确定是否向用户显示告警信息。告警策略针对某一应用软件的所有恶意行为类型和威胁等级进行告警。当该应用软件的一个恶意行为类型的威胁等级大于等于对应阈值时，即可以通过GUI提示用户告警信息，当该应用软件的所有恶意行为类型的威胁等级小于对应阈值时，则不必提示用户告警信息。

例如，假设隐私窃取的初始告警阈值很低为1，由于微信在运行时可能获取用户的通讯录，如果系统判断微信该行为属于隐私窃取，并且其威胁等级大于等于1时，系统会提示告警信息，该告警信息可以显示微信正在窃取隐私。示例性的，如图7中所示，可以以消息框形式显示告警信息；或者，如图8中所示，可以在通知中心中显示告警信息；或者以其他提醒方式显示告警信息，本申请不作限定。

步骤S106、终端获取用户针对告警信息的第一反馈信息。

第一反馈信息为认可所述告警信息。

用户针对不同恶意行为的感知和倾向可能有所不同，在显示告警信息之后可以接收用户针对告警信息的反馈，用户针对告警信息的反馈包括认可或不认可针对某一应用软件的一种恶意行为的告警信息。例如，参照图7和图8中所示，用户在看到告警信息后，可以点击“接受提醒”，表示用户认可该应用软件存在窃取隐私的恶意行为的告警信息。

步骤S107、终端根据第一反馈信息保持告警信息中的恶意行为类型对应的告警阈值。

如果用户认可针对某一应用软件的一种恶意行为的告警信息，终端可以保持告警阈值不变，以便下次再有相同恶意行为时能正确告警。

步骤S108、终端获取用户针对告警信息的第二反馈信息。

其中，第二反馈信息为不认可告警信息。

例如，参照图7和图8中所示，用户在看到告警信息后，可以点击“忽略提醒”，表示用户不认可该应用软件存在窃取隐私的恶意行为的告警信息。

步骤S109、终端根据第二反馈信息提高告警信息中的恶意行为类型对应的告警阈值。

如果用户不认可针对某一应用软件的一种恶意行为的告警信息，说明当前告警阈值低于用户期望，则终端可以提高告警信息中的恶意行为类型对应的告警阈值，相当于提高了下一次该应用软件产生相同行为时提示告警信息的条件，或者，在用户一次或多次不认可针对某一应用软件的一种恶意行为的告警信息之后，停止对告警信息中的恶意行为类型进行告警。需要说明的是，可以只调整产生恶意行为的应用软件的该恶意行为类型的告警阈值，或者调整所有应用软件的该恶意行为类型的告警阈值。

云端对所有终端下发的告警策略和恶意行为模型都是一样的，通过以上方式在每个终端上都可以根据用户的反馈调整告警策略，从而适应不同用户。需要说明的是，步骤S106-S107与步骤S108-S109并没有先后执行顺序，并且本申请并不限定只能执行一次，也不限定步骤S106-S107与步骤S108-S109必须都执行，例如可以只执行一次或多次步骤S106-S107，或者，只执行一次或多次步骤S108-S109。下面举例对步骤S106-S107或步骤S108-S109执行后的效果进行说明：

例如，两个持有相同终端的用户A和用户B，在二者的终端中均安装有微信软件，如图7或图8中所示，由于微信在运行时可能获取用户的通讯录，使得二者的终端均提示告警信息“微信正在窃取您的隐私”。如果用户A对隐私比较敏感因此连续多次点击接受提醒，使得针对微信的隐私窃取的告警阈值降低；用户B对隐私不敏感或者认为可以接受微信的行为因此连续多次点击忽略提醒，使得针对微信的隐私窃取的告警阈值升高。可能在多次提醒后，微信再出现相同行为时，用户A的终端仍然会提示告警信息，而用户B的终端则会在一段时间内不再提示告警信息。

本申请实施例通过在终端设备中监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为，根据在预设时间内监控到该应用软件调用N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，行为向量的第i维A _i表示应用软件调用关键函数F _i的次数，1≤i≤N；终端基于机器学习算法，将行为向量输入恶意行为模型得到应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，结果向量的每一维对应一种恶意行为类型及其威胁等级；终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；终端提示告警信息；终端获取用户针对告警信息的第一反馈信息，第一反馈信息为认可告警信息；终端根据第一反馈信息保持告警信息中的恶意行为类型对应的告警阈值；终端获取用户针对告警信息的第二反馈信息，第二反馈信息为不认可告警信息；终端根据第二反馈信息提高告警信息中的恶意行为类型对应的告警阈值。终端通过将应用软件调用关键函数的次数以行为向量进行数学表示，输入恶意行为模型后得到表示恶意行为类型及其威胁等级结果向量，再根据各个恶意行为类型的威胁等级和告警阈值来生成告警信息，然后根据用户对告警信息的反馈来调整告警阈值，以适应不同用户和终端，实现了动态调整针对应用软件恶意行为的告警。

在本申请另外一些实施例中，参照图9中所示，上述方法还可以包括步骤S201：

步骤S201、终端将调整后的告警策略发送给云端。

该步骤的目的在于改进云端的告警策略，如果非常多的用户针对某一应用软件的某一恶意行为类型的告警信息均选择相同的调整操作，则云端可以将告警策略按照相同方向进行调整，例如，非常多的用户都不认可针对某一应用软件的某一恶意行为类型的告警信息，说明该恶意行为类型对应的告警阈值设置过低，则云端可以提高该告警阈值。

在本申请一种实施例中，终端反馈的时间可以包括：周期性反馈，开机后反馈，关机前反馈，更新系统前反馈，每次调整告警策略之后等。

在本申请另外一些实施例中，参照图10中所示，上述方法还可以包括步骤S301和S302：

步骤S301、终端获取终端的安全性信息。

终端的安全性信息包括安全性状态和安全性要求。对于安全性状态来说，可以包括系统完整性和外部环境。可以提取终端的系统文件和文件挂载信息以验证终端的系统完整性，例如系统文件或文件挂载信息与出厂不符，表示系统可能已经被ROOT，系统完整性被破坏，因此其安全性更低；可以根据连接Wi-Fi是否加密或是否连接USB接口等确定外部环境是否安全，例如，如果连接至未加密的Wi-Fi则安全性更低，如果连接USB接口容易被ROOT因此安全性更低等等。对于安全性要求来说，可以包括系统运行环境，例如如果系统正运行支付宝、银行类软件等进程时的安全性要求较高。通过分析终端的安全性信息能够动态调整告警策略。

步骤S302、如果终端的安全性状态较低或者安全性要求较高，则降低部分或全部恶意行为类型的告警阈值。

终端可以根据终端的安全性信息以及用户的反馈调整告警策略，从而适应不同用户的终端。

下面举例说明，根据终端的安全性信息调整告警策略，提高恶意行为判别和告警的准确度。例如，两个持有相同终端的用户A和用户B，在二者的终端中均安装有伪装成普通游戏软件的某一恶意软件，但是用户A的终端已经被ROOT或者正运行支付宝软件，可以降低恶意截录屏的告警阈值；用户B的终端未被ROOT或未运行支付宝软件。当恶意软件进行恶意截录屏时，用户A的终端可以显示提示信息，显示该恶意软件正在恶意截录屏，而用户B的终端可以不显示提示信息。

综上所述，本申请实施例提供的方案，可以有效监测终端中应用软件的执行过程，识别恶意行为类型和威胁度，根据恶意行为模型快速发现恶意行为，并对用户进行提示。还可以针对不同的用户反馈和终端安全性信息，动态调整告警策略，提高恶意行为判别和告警的准确度。另外，本申请实施例提供的方案，不局限于恶意软件的识别和告警，还可以根据用户反馈的行为特征识别用户是资深用户还是新手用户，对于资深用户可以减少提醒告警信息的频率，对于新手用户增加提醒告警信息的频率，能够达到更好的用户体验。

可以理解的是，上述终端等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的范围。

本申请实施例可以根据上述方法示例对上述终端等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图11示出了上述实施例中所涉及的终端的一种可能的结构示意图，该终端200包括：监控单元2011、生成单元2012、获取单元2013、提示单元2014以及调整单元2015。

监控单元2011用于支持终端200执行图3、图4、图9、图10中的过程S101；生成单元2012用于支持终端200执行图3、图4、图9、图10中的过程S102，图3、图 6、图9、图10中的过程S104；获取单元2013用于支持终端200执行图3、图5、图9、图10中的过程S103，图3、图9、图10中的过程S106和S108，图10中的过程S301；提示单元2014用于支持终端200执行图3、图6、图9、图10中的过程S105；调整单元2015用于支持终端200执行图3、图9、图10中的过程S107和S109，图10中的过程S302。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在采用集成的单元的情况下，可将上述监控单元2011、生成单元2012、获取单元2013、提示单元2014以及调整单元2015集成为处理模块。当然，终端中还可以包括存储模块、通信模块以及输入输出模块等。

此时，如图12所示，示出了上述实施例中所涉及的终端的一种可能的结构示意图。其中，处理模块2021用于对终端的动作进行控制管理。通信模块2022用于支持终端与其他网络实体例如云端服务器、其他终端等的通信。输入/输出模块2023用于接收由用户输入的信息或输出提供给用户的信息以及终端的各种菜单。存储模块2024用于保存终端的程序代码和数据。

示例性的，处理模块2021可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，GPU，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。

通信模块2022可以是收发器、收发电路、输入输出设备或通信接口等。例如，通信模块2022具体可以是蓝牙装置、Wi-Fi装置、外设接口等等。

存储模块2024可以是存储器，该存储器可以包括高速随机存取存储器(RAM)，还可以包括非易失存储器，例如磁盘存储器件、闪存器件或其他易失性固态存储器件等。

输入/输出模块2023可以为触摸屏、键盘、麦克风以及显示器等输入输出设备。其中，显示器具体可以采用液晶显示器、有机发光二极管等形式来配置显示器。另外，显示器上还可以集成触控板，用于采集在其上或附近的触摸事件，并将采集到的触摸信息发送给其他器件(例如处理器等)。

当存储模块为存储器，输入/输出模块为显示器，处理模块为处理器，通信模块为通信接口时，存储器用于存储计算机执行指令，处理器与存储器耦接，当终端运行时，处理器执行存储器存储的计算机执行指令，以使终端执行如图3、图4、图5、图6、图9、图10中任一附图所述的应用软件恶意行为的动态告警方法。

本发明实施例还提供一种存储一个或多个程序的计算机存储介质，一个或多个程序包括指令，该指令当被终端执行时，使终端执行如图3、图4、图5、图6、图9、图10中任一附图所述的应用软件恶意行为的动态告警方法。

本发明实施例还提供了一种包含指令的计算机程序产品，当该计算机程序产品在终端上运行时，使得终端执行图3、图4、图5、图6、图9、图10中任一附图所述的应用软件恶意行为的动态告警方法。

其中，本发明实施例提供的终端、计算机存储介质或者计算机程序产品均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种应用软件恶意行为的动态告警方法，其特征在于，包括：

终端监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为；

所述终端根据在预设时间内监控到所述应用软件调用所述N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，所述行为向量A＝(A ₁,A ₂,.......,A _N)的第i维A _i表示所述应用软件调用关键函数F _i的次数，1≤i≤N；

所述终端基于机器学习算法，将所述行为向量A＝(A ₁,A ₂,.......,A _N)输入恶意行为模型得到所述应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，所述结果向量B＝(B ₁,B ₂,......,B _M)的每一维对应一种恶意行为类型及其威胁等级；

所述终端对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；

所述终端提示所述告警信息；

所述终端获取用户针对所述告警信息的第一反馈信息，所述第一反馈信息为认可所述告警信息；

所述终端根据所述第一反馈信息保持所述告警信息中的恶意行为类型对应的告警阈值；

所述终端获取所述用户针对所述告警信息的第二反馈信息，所述第二反馈信息为不认可所述告警信息；

所述终端根据所述第二反馈信息提高所述告警信息中的恶意行为类型对应的告警阈值。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述终端获取所述终端的安全性信息，所述安全性信息包括安全性状态和安全性要求；

如果所述终端的安全性状态较低或者安全性要求较高，则降低部分或全部恶意行为类型的告警阈值。
一种终端，其特征在于，包括：

监控单元，用于监控运行的应用软件调用N个关键函数F ₁、F ₂、...、F _N的行为；

生成单元，用于根据所述监控单元在预设时间内监控到所述应用软件调用所述N个关键函数的次数生成N维行为向量A＝(A ₁,A ₂,.......,A _N)，其中，所述行为向量A＝(A ₁,A ₂,.......,A _N)的第i维A _i表示所述应用软件调用关键函数F _i的次数，1≤i≤N；

获取单元，用于基于机器学习算法，将所述生成单元生成的行为向量A＝(A ₁,A ₂,.......,A _N)输入恶意行为模型得到所述应用软件的M维结果向量B＝(B ₁,B ₂,......,B _M)，M<N，所述结果向量B＝(B ₁,B ₂,......,B _M)的每一维对应一种恶意行为类型及其威胁等级；

所述生成单元，还用于对威胁等级大于或等于告警阈值的恶意行为类型生成告警信息，其中，每种恶意行为类型对应一个告警阈值；

提示单元，用于提示所述生成单元生成的告警信息；

所述获取单元，还用于获取用户针对所述告警信息的第一反馈信息，所述第一反馈信息为认可所述告警信息；

调整单元，用于根据所述获取单元获取的第一反馈信息保持所述告警信息中的恶意行为类型对应的告警阈值；

所述获取单元，还用于获取所述用户针对所述告警信息的第二反馈信息，所述第二反馈信息为不认可所述告警信息；

所述调整单元，还用于根据所述第二反馈信息提高所述告警信息中的恶意行为类型对应的告警阈值。
根据权利要求3所述的终端，其特征在于，

所述获取单元，还用于获取所述终端的安全性信息，所述安全性信息包括安全性状态和安全性要求；

所述调整单元，还用于如果所述终端的安全性状态较低或者安全性要求较高，则降低部分或全部恶意行为类型的告警阈值。
一种终端，其特征在于，包括：处理器、显示器、存储器和通信接口；

所述存储器用于存储计算机执行指令，所述处理器与所述存储器耦接，当所述终端运行时，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述终端执行如权利要求1或2所述的应用软件恶意行为的动态告警方法。
一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，其特征在于，当所述指令在终端上运行时，使得所述终端执行如权利要求1或2所述的应用软件恶意行为的动态告警方法。
一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在终端上运行时，使得所述终端执行如权利要求1或2所述的应用软件恶意行为的动态告警方法。