[发明专利]基于行为的程序种类判断方法、装置和程序控制方法、装置

权利要求书

1.一种基于行为的程序种类判断方法，其特征在于包括：

截获待检测程序，顺序获取待检测程序中能够完成特定功能或结果的行为数据，形成行为数据序列；

将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较，根据比较结果确定所述待检测程序的种类。

2.根据权利要求1所述的程序种类判断方法，其特征在于还包括：优化所述获取的行为数据，用优化后的数据形成行为数据序列。

3.根据权利要求1或2所述的程序种类判断方法，其特征在于：所述程序行为模式库至少有一个，当所述程序行为模式库有多个时，每一个程序行为模式库存储相同种类的程序行为模式。

4.根据权利要求1、2或3所述的程序种类判断方法，其特征在于：按照下述步骤将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较：

1)确定所述行为数据序列的关键行为数据；

2)在程序行为模式库中存储的行为数据序列中查找是否存在所述关键行为数据，如果存在，确定比较结果。

5.根据权利要求4所述的程序种类判断方法，其特征在于还包括：判断程序行为模式库中是否有多个行为数据序列中包括关键行为数据，如果是，根据行为数据序列确定具有程度特征的比较结果。

6.根据权利要求1、2或3所述的程序种类判断方法，其特征在于：按照下述步骤将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较：

1)确定所述行为数据序列的熵作为待检测熵；

2)比较所述待检测熵与程序行为模式库中存储的行为数据序列的熵，如果满足设定的条件，确定比较结果。

7.根据权利要求6所述的程序种类判断方法，其特征在于：所述条件为相等或者所述待检测熵与程序行为模式库中存储的行为数据序列的熵的差大于或等于设定的阈值。

8.根据权利要求7所述的程序种类判断方法，其特征在于：根据待检测熵的熵值和比较所述待检测熵与程序行为模式库中存储的行为数据序列的熵的结果，确定具有程度特征的比较结果。

9.根据权利要求6所述的程序种类判断方法，其特征在于：所述行为数据序列的长度为N，N＝7、8、9、10、11或12。

10.根据权利要求9所述的程序种类判断方法，其特征在于：所述行为模式数据库中的行为数据序列的长度相等。

11.根据权利要求10所述的程序种类判断方法，其特征在于：采用滑动窗口的方式或者函数计算的方式顺序获取待检测程序中能够完成特定功能或结果的行为数据。

12.一种基于行为的程序种类判断装置，包括存储有程序行为数据序列的程序行为模式库，其特征在于还包括：

用于截获待检测程序的程序截获单元，和，顺序获取待检测程序中能够完成特定功能或结果的行为数据，形成行为数据序列的数据序列生成单元，以及，

比较单元，用于将所述行为数据序列与预置的程序行为模式库中存储的行为数据序列进行比较；

程序确定单元，用于根据比较结果确定所述待检测程序的种类。

13.根据权利要求12所述的程序种类判断方装置，其特征在于还包括：设置在程序截获单元和数据序列生成单元之间的行为数据预处理单元，用于优化所述获取的行为数据，用优化后的数据形成行为数据序列。

14.根据权利要求12或13所述的程序种类判断装置，其特征在于：所述程序行为模式库至少有一个，当所述程序行为模式库有多个时，每一个程序行为模式库存储相同种类的程序行为模式。

15.根据权利要求14所述的程序种类判断装置，其特征在于还包括：设置在数据序列生成单元和比较单元之间的熵计算单元，用于计算所述行为数据序列的熵作为待检测熵；以及，

所述比较单元比较所述待检测熵与程序行为模式库中存储的行为数据序列的熵，如果满足设定的条件，确定比较结果。

16.根据权利要求15所述的程序种类判断装置，其特征在于：所述数据序列生成单元采用滑动窗口的方式或者函数计算的方式顺序获取待检测程序中能够完成特定功能或结果的行为数据。