[发明专利]一种风险识别方法及其设备、存储介质、电子设备

权利要求书

1.一种风险识别方法，其特征在于，包括：

获取针对终端应用程序所触发的运行行为链，所述运行行为链包括按照运行时间顺序排列的多个运行行为；

在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合，所述风险行为集合中存储有多个样本风险行为；

根据所述目标运行行为集合中各目标运行行为的第二运行时间戳，将所述各目标运行行为进行排列，以获取所述目标运行行为集合对应的目标运行行为链，基于时间窗口大小在所述目标运行行为链中截取运行子行为链，将所述运行子行为链的第一个运行行为确定为第一运行行为；

获取风险行为链集合中各风险行为链的第一个运行行为，将所述各风险行为链的第一个运行行为确定为第二运行行为集合；

在所述第二运行行为集合中获取与所述第一运行行为相匹配的目标第二运行行为，并在所述风险行为链集合中获取所述目标第二运行行为所指示的目标风险行为链；

将所述运行子行为链与所述目标风险行为链进行匹配，并获取所述运行子行为链与所述目标风险行为链的匹配相似度；

若所述匹配相似度大于或者等于相似度阈值，则确定所述终端应用程序存在攻击风险，并输出针对所述终端应用程序的风险攻击提示信息。

2.根据权利要求1所述的方法，其特征在于，所述获取针对终端应用程序所触发的运行行为链之后，还包括：

获取所述终端应用程序的应用标识；

所述在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合，包括：

在风险行为集合中获取所述应用标识对应的目标风险行为集合；

在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。

3.根据权利要求2所述的方法，其特征在于，所述获取针对终端应用程序所触发的运行行为链之前，还包括：

获取多个样本风险行为，基于所述多个样本风险行为中各样本风险行为对应的应用标识，将所述多个样本风险行为分别保存至所述应用标识对应的目标风险行为集合中，以生成风险行为集合；

获取所述目标风险行为集合中各样本风险行为的第一运行时间戳，按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列，以生成风险行为链集合。

4.根据权利要求1所述的方法，其特征在于，所述获取针对终端应用程序所触发的运行行为链之后，还包括：

获取所述多个运行行为中各运行行为的运行类型；

所述在所述多个运行行为中获取与风险行为集合的各风险行为相匹配的目标运行行为集合，包括：

在风险行为集合中获取所述运行类型对应的目标风险行为集合；

在多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合。

5.根据权利要求4所述的方法，其特征在于，所述获取针对终端应用程序所触发的运行行为链之前，还包括：

获取多个样本风险行为，基于所述多个样本风险行为中各样本风险行为对应的运行类型，将所述多个样本风险行为分别保存至所述运行类型对应的目标风险行为集合中，以生成风险行为集合；

获取所述目标风险行为集合中各样本风险行为的第一运行时间戳，按照所述第一运行时间戳将所述目标风险行为集合中各样本风险行为进行排列，以生成风险行为链集合。

6.根据权利要求2或4所述的方法，其特征在于，所述在所述多个运行行为中获取与所述目标风险行为集合的各风险行为相匹配的目标运行行为集合，包括：

将所述多个运行行为中各运行行为与所述目标风险行为集合中各风险行为进行匹配；

保存与所述各风险行为相匹配的目标运行行为集合。