[发明专利]一种基于行为的移动终端的安全防护系统和方法

权利要求书

1.一种基于程序行为的终端设备的安全防护系统，包括终端设备和服务器，其特征在于，所述服务器包括接收模块、分发模块、检测模块和报告产生模块，其中，接收模块用来接收来自终端设备发送的软件程序或者其他执行文件；分发模块用于将所接收的软件程序或者其他文件分发给由处理器组成的“云”中的其中一个的模拟器；检测模块用于检测并且记录在服务器的沙漏模型中运行的软件程序或者其他文件的执行行为；报告产生模块，用于根据软件程序或者其他文件在沙漏模型中执行的行为，评定软件程序或者其他文件的危害程度，提供分析报告给终端设备。

2.权利要求1所述的系统，其特征在于，还包括比较模块，用于将所检测到的该软件程序或者其他文件的执行过程中的行为和服务器中的行为库进行比较，获知是否是已有行为；或者直接将所接收的软件程序或者其他软件直接和行为库中的软件进行静态比较。

3.权利要求1所述的系统，其特征在于，所述检测模块在虚拟执行的环境中安装软件程序，生成虚拟执行的环境的沙漏，得到此软件的安装过程和执行过程的行为和跟踪信息。

4.权利要求3所述的系统，其特征在于，所述检测模块在虚拟机上运行该软件程序，分步执行该软件的每一个运行步骤，监控沙漏的输出数据和期望访问的存储位置，设定监控点，收集对于监控点的触发行为。

5.权利要求1所述的系统，其特征在于，所述系统的软件模拟执行环境包括由多个处理器构成的云端，所述分发模块将所接收到的软件程序根据云端的处理器的空闲程度将该软件程序分发；该模拟执行环境包括：用于模拟终端设备的虚拟机，用来模拟所接收软件程序或者可执行文件的运行的模拟器，用来监控软件文件的执行行为的沙漏。

6.权利要求1所述的系统，其特征在于，所述接收模块使用轮询机制或者侦听机制，收集来自终端设备发送的信息，并将所接收到的文件或者软件程序和该终端设备建立关联，并且获取该终端设备的设备信息。

7.权利要求6所述的系统，其特征在于，所述终端设备具有接收端口和发送端口，接收端口用于接收来自各种应用服务器的软件程序，发送端口用于将所接收的软件程序发送给所述服务器；其中，所述终端设备自动将所接收的文件发送给所述服务器，或者用户根据自身对于该文件的认知程度和可信度手动将所接收的文件发送给所述服务器。

8.权利要求1所述的系统，其特征在于，所述报告产生模块通过分析检测模块获知的安装行为、执行行为和跟踪信息，对这些行为和信息根据客观危害程度进行评定；根据评定得分，判断此软件是否为恶意软件；或者利用贝叶斯决策系统，分析行为和动作序列，给出此行为的安全评级，判断此软件是否为恶意软件。

9.权利要求8所述的系统，其特征在于，所述报告产生模块根据软件程序的危害程度，提供基于策略的系统或者专家系统；其中，对于基于策略的系统，管理员可以定义哪些行为是被禁止的，哪些行为是被允许的，对于专家系统，使用专家的意见和领域知识来判定恶意行为，并对每个行为给出一定的分数。

10.一种基于程序行为的终端设备的安全防护方法，包括：

步骤1)、终端设备接收到来自应用服务器的软件程序或者链接后，转发给服务器；其中，终端设备自动或者根据对于该文件的认知程度和可信度手动送给服务器；

步骤2)、服务器接收来自终端设备发送的软件程序或者其他文件，将所接收的软件程序或者其他文件分发给由处理器组成的“云”中的其中一个的模拟器；

步骤3)、服务器检测并且记录在沙漏模型中运行的软件程序或者其他文件的安装行为、执行行为或者跟踪信息；

步骤4)、服务器根据软件程序或者其他文件在沙漏模型中安装或者执行的行为，评定软件程序或者其他文件的友好或者危害程度，提供分析报告给终端设备。

11.权利要求10所述的方法，还包括：将所检测到的该软件程序或者其他文件的执行过程中的行为和服务器中的行为库进行比较，获知是否是已有行为；或者直接将所接收的软件程序或者其他软件直接和行为库中的软件进行静态比较。