数据处理和云服务的方法、装置及系统的制作方法

数据处理和云服务的方法、装置及系统的制作方法
【专利摘要】本发明提出一种在用户设备上执行的数据处理方法，包括：获取用户的第一查询请求类型；基于用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；将所述第一查询指令发送至查询服务器进行查询。本发明还公开一种在用户设备上执行的数据处理装置，以及一种提供多维度云服务的方法及系统。本发明技术方案，可以适应不同客户端的需求，能够为用户设备上的APP提供不同维度的云端安全数据服务，为客户端提供业务逻辑所需的详尽、准确数据，快速响应。
【专利说明】数据处理和云服务的方法、装置及系统
【技术领域】
[0001]本发明涉及互联网通信【技术领域】，尤其涉及一种多维度数据处理方法、装置及云服务方法及系统。
【背景技术】
[0002]云计算(cloud computing),基于互联网的超级计算模式,是一种利用大规模低成本运算单元通过IP(Internet Protocol,网络之间互连的协议)网络连接，以提供各种计算和存储服务的IT(Information Technology,信息技术)技术。是包含互联网上的应用服务以及数据中心提供服务的软件和硬件设施在内的总称。随着智能手机的普及，移动互联网把信息生产从PC (personal computer,个人计算机)拓展到手机,云计算技术在移动互联网中广泛应用，并且移动互联网正以飞快的发展速度赶超传统互联网，成为一种全新的应用模式。
[0003]“云安全”是“云计算”技术的重要分支，已经在反病毒领域当中获得了广泛应用。现有的云安全技术是服务器对网络中大量客户端软件异常行为进行监测，自动分析和处理，获取互联网中木马、恶意程序的最新信息，再把病毒和木马的解决方案分发到每一个客户端。
[0004]但是智能手机等移动终端设备越来越普及，移动终端中的应用也越来越多样化，各类应用中包含了越来越多的用户隐私信息和各类财产信息；加之移动终端设备的提携性也限制了其本身的硬件条件比如电池、内存大小；如何保证用户的各类信息安全，如何管理和分配有限的硬件资源，保证用户设备正常使用而不被恶意应用侵占，这些都是移动设备用户及其关心的问题，因此在移动互联网时代，用户设备的系统安全需求与传统的PC安全相比发生了很大的变化，在传统的云安全技术中，PC端与服务器之间一般只进行恶意程序鉴定，即服务端发送恶意程序鉴定和解决方案到客户端，在服务器端一般也只保存和处理应用程序的恶意信息，比如病毒名、恶意行为。但是在移动终端中，除了鉴定恶意程序，还包括恶意广告及恶意耗电应用识别、风险隐私权限管理、内存泄露应用管理、垃圾文件清理等等，用户移动终端设备系统中的应用需要多维度的安全服务，把传统PC互联网云安全技术简单照搬到移动互联网中，已经不能满足当前移动互联网安全的需求。

【发明内容】

[0005]为了解决上述技术问题，本发明提出为移动终端用户提供高效的多维度的数据安全服务的方法、装置及系统。
[0006]为了实现上述目的，本发明实施例是通过如下技术方案实现的:
[0007]—种在用户设备上执行的数据处理方法，包括:
[0008]获取用户的第一查询请求类型；
[0009]基于用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；
[0010]将所述第一查询指令发送至查询服务器进行查询。[0011]一种在用户设备上执行的数据处理装置，包括:
[0012]查询请求模块，用于获取用户的第一查询请求；
[0013]查询指令模块，用于根据用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；
[0014]发送指令模块，用于将第一查询指令发送至查询服务器进行查询。
[0015]一种提供多维度云服务的方法，包括:
[0016]获取用户的第一查询指令；
[0017]基于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库中进行查询；
[0018]基于行为码数据库的查询结果，根据预设的策略发送第一查询结果。
[0019]一种提供多维度云服务的系统，包括查询服务器，所述查询服务器包括:
[0020]接收模块，用于获取用户的第一查询指令；
[0021]查询模块，用于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库中进行查询；
[0022]发送模块，用于根据行为码数据库的查询结果，根据预设的策略发送第一查询结果O
[0023]本发明实施例提供的行为云技术方案，可以适应不同客户端的需求。通过后台自动化系统对APP (APPlication，应用程序)数据进行多维度分析，得到的行为云数据库，能够为用户设备上的APP提供不同维度的云端安全数据服务，为客户端提供业务逻辑所需的详尽、准确数据，快速响应。
[0024]本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
【专利附图】

【附图说明】
[0025]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，
[0026]图1是根据本发明一个实施例的在用户设备上执行数据处理的第一查询方法流程图；
[0027]图2是根据本发明一个实施例的在用户设备上执行数据处理的第二查询方法流程图；
[0028]图3是根据本发明一个实施例的在用户设备上执行数据处理的本地缓存查询方法流程图；
[0029]图4是根据本发明一个实施例的提供多维度云服务的第一次查询的方法流程图；
[0030]图5是根据本发明一个实施例的提供多维度云服务的第二次查询的方法流程图；
[0031]图6是根据本发明一个实施例的提供多维度云服务去误报方法流程图；
[0032]图7是根据本发明一个实施例的在用户设备上执行多维度数据处理的装置结构示意图；
[0033]图8是根据本发明另一个实施例的在用户设备上执行数据处理的装置结构示意图；[0034]图9是根据本发明一个实施例的多维度云服务系统中查询服务器的结构示意图；
[0035]图10是根据本发明一个实施例的多维度云服务系统的结构示意图；
[0036]图11是根据本发明另一个实施例的多维度云服务系统的结构示意图；
[0037]图12是根据本发明另一个实施例的多维度云服务系统的结构示意图。
【具体实施方式】
[0038]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0039]在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性；术语“和/或”包括一个或多个相关联的所列项目的任意和所有组合。在本说明书中使用时，指定了步骤，元件和/或模块，但不排除一个或多个其它特征的存在或增加，包括所述步骤，元件和/或模块成组出现。
[0040]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属【技术领域】的技术人员所理解。
[0041]下面参考附图描述根据本发明实施例的数据处理方法、装置及多维度云服务方法及系统。
[0042]图1是根据本发明一个实施例提供的在用户设备上执行数据处理的第一查询方法流程图，如图1所示，所述方法包括:
[0043]S100、获取用户的第一查询请求类型；
[0044]在本发明的实施例中，所述查询请求的类型可以包括app (application,应用程序)恶意行为扫描，app恶意广告鉴定，app隐私权限评估，恶意耗电app识别，卸载残留清理，缓存清理，预装软件停用等，用户的每次查询请求可以包括其中的一种或者任意几种的组合，也可以是针对一个或者多个应用程序进行查询。
[0045]可选的，所述查询请求可以是用户不定时主动发起，或者是用户设备按照预设的时间或者频率自主发起，或者是根据设定由于用户进行了某种操作触发了相关的查询请求，比如当用户卸载app时可以触发清理残留的查询请求。
[0046]S101、基于用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；
[0047]进一步的，第一查询指令至少包括应用程序特征码字段和查询请求类型字段；
[0048]可选的,可以使用应用程序的MD5 (Message-Digest Algorithm5,信息，摘要算法
5)作为第一查询指令的特征码字段，使用一定位数的比特位(bit，二进制数)数据表示请求类型字段，具体的可以预定义32bit，可以设定其中每个bit位或者某几个bit位的数据用来表示某个或者某几个查询请求的类型，这样使用不同的bit位的数据就可以代表不同的查询请求类型。
[0049]一般的，预定义的数据位数会多于目前用户已经提出来的查询请求类型的总数，目的是为以后可能出现的更多查询请求类型预留出可用字段，后续可扩展客户端新功能，满足用户多维度安全需求。
[0050]S102、发送所述第一查询指令至查询服务器。
[0051]具体的，所述查询服务器在云端，所述第一查询指令经由因特网使用TCP协议与所述查询服务器进行正常的网络通信；
[0052]所述查询服务器中包括应用程序的特征码，基本信息，行为码以及扩展信息；所述基本信息表示所述应用程序针对不同的查询请求类型的基本描述；所述行为码表示应用程序的行为信息的特征码，所述扩展信息表示与所述行为码对应的应用程序的行为信息。
[0053]其中，基本信息描述是指当提出某种查询请求类型时，所述查询服务器中对于所查询的app的基本描述，例如，当查询请求类型为app恶意行为扫描时，基本信息包括病毒名，安全状态等；若查询请求类型为恶意广告鉴定，则基本信息包含包名，安全状态等；如果查询请求的类型为隐私权限评估，则基本信息包括包名，隐私风险状态等；如果查询请求的类型为恶意耗电应用识别，则基本信息包括包名，耗电状态等。
[0054]行为码，是描述app各类行为特征的特征码，可选的，可以使用256bit数据，根据预先定义的规则，每个或某几个bit位可以用来表示该app的某个或某一类行为特征，因此使用不同的bit位的数据可以存储不同的数据，这样每个不同的256bit数据就描述了不同的app的所有类型的特征，比如:
[0055]第O?63位:描述app的恶意行为扫描信息,主要包含病毒行为扫描信息，比如云端预定的规则中恶意行为可以包括，利用短信进行控制、加载病毒子体、未经允许拨打电话、屏蔽电话、屏蔽短信、下载付费程序、自带提取、云端控制、调用su命令等，可以分别用一个bit位数据，比如用I则表示存在该行为，O表示不存在该行为；
[0056]第64?127位:描述隐私权限扫描信息，包含APP使用到的隐私权限以及相关的处理建议信息(如建议阻止或者放行等)，例如云端规则中可以包括，[未给建议]隐私获取电话号码，[未给建议]隐私获取定位信息；[建议阻止]隐私获取电话号码，[建议阻止]隐私获取定位信息；[建议放行]隐私获取电话号码，[建议放行]隐私获取定位信息；可以分别用一个bit位数据，O或者I表示是否存在该行为，或是否有建议；
[0057]第128?191位:表示恶意广告扫描信息，云端规则中可以包括，是否包含通知栏广告，是否包含恶意广告，是否包含耗电广告，是否有积分墙，是否有内嵌广告条，是否有视频广告，是否包含广告精灵等；同样的，每一个bit数据位表示是否存在上述行为；
[0058]第232?265位:表不恶意耗电应用扫描信息,云端规则中可以包括,是否包含唤醒锁(wakelock)，是否点亮屏幕，是否待机联网等；同样的，每一个bit数据位表示是否存在上述行为。
[0059]当行为码256bit中的某个bit位不足以描述该app的具体行为信息,则需要针对该bit位补充足够多的具体信息，即扩展信息。以广告为例，广告需要标记是什么类型的广告、广告SDK的详情、广告的动作、广告的行为等，这些可以存储在扩展信息中，在需要时可以按需去查询服务器中进行查询。
[0060]S103、接收查询服务器返回的第一查询结果，根据所述第一查询结果执行预设的处理操作，包括:
[0061](I)判断所述第一查询结果中是否存在所述应用程序对应的行为码，如果所述第一查询结果中不包含所述应用程序的行为码，则根据所述第一查询请求类型执行预设默认操作。
[0062]如果从查询服务器返回的查询结果中不包含行为码，则表示在查询服务器中没有匹配成功，此时查询服务器所返回的查询结果中没有相关特征信息，此时根据查询请求的类型执行默认处理逻辑，例如如果是恶意行为扫描，则告知用户该app安全状态未知。
[0063]可选的，除了执行预设的默认处理逻辑以外，还可以执行:发送所查询的应用程序信息至数据收集服务器；可选的，可以发送所查询的app的特征码，或者在网络状态允许的情况下，发送所查询的app程序的包裹文件到数据收集服务器，以便于云端对该未知状态的app做进一步的分析和处理。
[0064](2)判断所述第一查询结果中是否存在所述应用程序对应的行为码，若存在，则对所述行为码进行解析，并根据解析得到的信息对所述应用程序进行相应处理。
[0065]可选的，将所述第一查询结果中的基本信息和/或扩展信息摘要向用户进行展示，并根据基本信息进行下一步处理。所述扩展信息摘要，是对所述扩展信息进行概括的简要信息，比如如果是恶意广告扫描，扩展信息摘要中可以包括该app中所包含的恶意广告数量等；如果是隐私权限评估，扩展信息摘要中可以包括该app中所包含的风险隐私权限数量、恶意隐私权限数量等。
[0066]可选的，可以根据基本信息进行下一步处理，例如如果恶意行为扫描结果的安全状态为病毒，则建议用户调用本地引擎进行查杀；
[0067]可选的，解析所述第一查询结果中的行为码，如果所述行为码中包含对所查询的应用程序的处理建议，例如针对某一 app的隐私权限扫描，如果解析到所述行为码中包含[建议阻止]隐私获取电话号码，[建议阻止]隐私获取定位信息，则可以用选择按钮的方式建议用户对相应风险隐私权限进行阻止。
[0068]由于查询指令使用数据位表征查询类型，多数据位就能够定义多种不同类型的查询指令，相应的云端也能够反馈包含多查询请求类型信息的行为码以及扩展信息，通过实施本发明的实施例能够满足用户设备多维度的安全需求，用户设备向服务器发送一次查询请求就能够查询应用程序的多维度安全信息，用户设备与云端的通信方式更为规范多样化，查询效率大大提高。
[0069]对于上述实施例，可选的，如果所述第一查询结果中包括扩展信息摘要，则可以提醒用户进一步了解详细的扩展信息，即发起第二查询请求，如果图2所示。
[0070]图2是根据本发明一个实施例提供的在用户设备上执行数据处理的第二查询方法流程图，如图2所示，所述方法包括:
[0071]S200、获取用户的第二查询请求；
[0072]所述第二查询请求主要用于向查询服务器查询上文所述的应用程序的行为码所对应的详细扩展信息，便于用户获更了解所查询的app。
[0073]S201、基于用户设备上应用程序特征码及所述第二查询请求类型，生成第二查询指令；
[0074]具体的，可以结合第一查询结果中的行为码，根据第二查询请求的类型生成第二查询指令。
[0075]S202、发送所述第二查询指令至查询服务器；
[0076]S203、接收所述查询服务器返回的第二查询结果；
[0077]具体的，所述查询服务器根据所述第二查询指令中的特征码，找到数据库中对应的app，根据所述第二查询指令中的第二查询请求类型，查询该类型对应的扩展信息；
[0078]所述第二查询结果主要包括所查询app行为的详细扩展信息。
[0079]S204、根据所述第二查询结果执行预设的处理逻辑；
[0080]具体的，将基本信息、扩展信息、以及根据不同的查询请求类型从行为码中解析得到的信息，中的一种或者多种展示给用户。
[0081]第二次查询指令能够向云端服务器请求详细的应用程序扩展信息，用户在首次查询时获得的基本信息如果不能够满足用户对该应用程序做出判断，通过实施本实施例能使用户向云端获取足够多的信息。
[0082]对于上述实施例，可选的，发送所述第一查询指令或第二查询指令至查询服务器之前，先确定之前是否已获得过所述查询指令的查询结果，如图3所示。
[0083]图3是根据本发明一个实施例提供的在用户设备上执行数据处理的本地缓存查询方法流程图，如图3所示，所述方法包括:
[0084]S300、获取查询请求；
[0085]S301、根据所查询的应用程序特征码和查询请求类型生成查询指令；
[0086]S302、在用户设备的缓存和/或用户设备的数据库中查询是否有相应的查询结果；如果是，则执行S303 ;否则执行S304 ；
[0087]具体的，发送至查询服务器的查询指令以及所述查询服务器返回的查询结果，可以保存在用户设备的缓存和/或用户设备的数据库中。因此可以通过查找所述用户设备的缓存和/或所述用户设备的数据库来确定之前是否已经获得过所述查询指令的查询结果。
[0088]优选的，所述用户设备的缓存和/或用户设备的数据库可以设定老化时间，没有超过老化时间的查询指令以及查询结果可以正常保存，超过老化时间的查询指令以及查询结果则可以清除掉。例如，用户设备的缓存中可以只存储用户在过去三十分钟内发出的查询指令以及收到的查询结果，当用户设备在三十分钟内发起同样的查询指令的时候，可以迅速从本地缓存中查找到匹配的查询结果。
[0089]S303、直接采用为查询结果；
[0090]S304、发送所述查询指令至查询服务器，接收所述查询服务器返回的查询结果。
[0091]通过实施本实施例，如果在用户设备本地缓存或者数据库中已经有相关查询结果，则可以直接使用本地的查询结果，无须再向云端服务器进行查询，提高了查询的效率和速度。
[0092]图4是根据本发明一个实施例提供的进行多维度云服务的第一次查询方法流程图,如图4所示,所述方法包括:
[0093]S400、获取用户的第一查询指令；
[0094]具体的，获取查询指令，根据所述查询指令的查询请求类型可以判断所述查询指令是否为第一查询指令，如果是则继续执行，否则执行云端第二次查询过程，具体如图5所示；[0095]S401、基于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库中进行查询；
[0096]所述数据库包括应用程序的特征码，基本信息，行为码以及扩展信息；所述基本信息表示所述应用程序针对不同的查询请求类型的基本描述；所述行为码表示应用程序的行为信息的特征码，所述扩展信息表示与所述行为码对应的应用程序的行为信息。
[0097]其中，基本信息描述是指当提出某种查询请求类型时，所述查询服务器中对于所查询的app的基本描述，例如，当查询请求类型为app恶意行为扫描时，基本信息包括病毒名，安全状态等；若查询请求类型为恶意广告鉴定，则基本信息包含包名，安全状态等；如果查询请求的类型为隐私权限评估，则基本信息包括包名，隐私风险状态等；如果查询请求的类型为恶意耗电应用识别，则基本信息包括包名，耗电状态等。
[0098]行为码，是描述app各类行为特征的特征码，可选的，可以使用256bit数据，根据预先定义的规则，每个或某几个bit位可以用来表示该app的某个或某一类行为特征，因此使用不同的bit位的数据可以存储不同的数据，这样每个不同的256bit数据就描述了不同的app的所有类型的特征，比如:
[0099]第O?63位:描述app的恶意行为扫描信息,主要包含病毒行为扫描信息，比如云端预定的规则中恶意行为可以包括，利用短信进行控制、加载病毒子体、未经允许拨打电话、屏蔽电话、屏蔽短信、下载付费程序、自带提取、云端控制、调用su命令等，可以分别用一个bit位数据，比如用I则表示存在该行为，O表示不存在该行为；
[0100]第64?127位:描述隐私权限扫描信息，包含APP使用到的隐私权限以及相关的处理建议信息(如建议阻止或者放行等)，例如云端规则中可以包括，[未给建议]隐私获取电话号码，[未给建议]隐私获取定位信息；[建议阻止]隐私获取电话号码，[建议阻止]隐私获取定位信息；[建议放行]隐私获取电话号码，[建议放行]隐私获取定位信息；可以分别用一个bit位数据，O或者I表示是否存在该行为，或是否有建议；
[0101]第128?191位:表示恶意广告扫描信息，云端规则中可以包括，是否包含通知栏广告，是否包含恶意广告，是否包含耗电广告，是否有积分墙，是否有内嵌广告条，是否有视频广告，是否包含广告精灵等；同样的，每一个bit数据位表示是否存在上述行为；
[0102]第232?265位:表不恶意耗电应用扫描信息,云端规则中可以包括,是否包含唤醒锁(wakelock)，是否点亮屏幕，是否待机联网等；同样的，每一个bit数据位表示是否存在上述行为。
[0103]上述265bit只是一个云端可扩展接口的实施例，可以定义和添加多种类型的特征字段，并且可以为每个类型预留空白字段，以便于后续添加每个类型的规则特征。
[0104]当行为码256bit中的某个bit位不足以描述该app的具体行为信息,则需要针对该bit位补充足够多的具体信息，即扩展信息。以广告为例，广告需要标记是什么类型的广告、广告SDK的详情、广告的动作、广告的行为等，这些可以存储在扩展信息中，在需要时可以按需去查询服务器中进行查询。
[0105]S402、基于行为码数据库的查询结果，根据预设的策略发送第一查询结果；如果查询成功则执行S403，否则执行S404 ；
[0106]S403、在所述第一查询结果中发送所述应用程序对应的行为码；所述第一查询结果中还可以包含所述应用程序的基本信息和/或扩展信息摘要；[0107]具体的，扩展信息摘要，即对上述扩展信息进行概括的简要信息，比如如果是恶意广告扫描，扩展信息摘要中可以包括该app中所包含的恶意广告数量等；如果是隐私权限评估，扩展信息摘要中可以包括该app中所包含的风险隐私权限数量、恶意隐私权限数量
坐寸ο
[0108]进一步的，如果查询成功，本发明的另一实施例还包括去误报流程，具体如图6所
/Jn ο
[0109]S404、在所述第一查询结果中发送预设默认信息；
[0110]进一步可选的，可以接收从用户设备的客户端上传的该应用程序信息，然后发送至后台分析系统进行分析，并将分析结果对应存储在所述数据库中。
[0111]本发明实施例提供了一种可扩展的云端接口，后台分析系统对应用程序进行分析处理之后得到应用程序各类行为信息，本发明实施例中使用预设位数的二进制行为码来表征应用程序的这些行为信息特征，使用扩展信息的形式存储足够多的详细信息，这样一个云端接口就能够支持多种类型的查询请求，例如恶意行为扫描请求、卸载残留请求、恶意耗电应用扫描请求等。
[0112]图5是根据本发明一个实施例提供的进行多维度云服务的第二次查询方法流程图,如图5所示,所述方法包括:
[0113]S500、获取第二查询指令；
[0114]具体的，获取查询指令，根据所述查询指令的查询请求类型若判断所述查询指令为第二查询指令，则继续执行；
[0115]S501、基于所述第二查询指令中的应用程序特征码及第二查询请求类型，在所述扩展信息数据库中进行查询；
[0116]所述数据库包括应用程序的特征码，基本信息，行为码以及扩展信息；具体参见实施例4的说明。
[0117]S502、发送第二查询结果，所述第二查询结果中包含所述应用程序对应的扩展信
肩、O
[0118]这样，通过云端第二次查询，可以向用户设备发送详细的应用程序扩展信息，使用户更了解所查询的应用程序。
[0119]图6是根据本发明一个实施例提供的进行云端多维度云服务的去误报处理方法流程，如果图6所示，所述方法包括:
[0120]S600、统计所述应用程序的特征码查询成功的次数；
[0121]具体的，在预设时间周期内统计同一应用程序的特征码查询成功的次数；
[0122]具体的，当用户设备查询成功时，在一定周期内云端的数据收集服务器对同一应用程序被查询成功的次数进行统计，具体的数据收集服务器还可以收集所述应用程序信息，包括应用程序特征码被查询成功的次数和/或用户设备根据所述查询结果对所查询的应用程序所执行的操作信息，例如删除、卸载等。
[0123]S601、判断所统计的次数是否超过预设的阈值；如果没有超过则继续执行S600，否则执行S602 ；
[0124]S602、在所述第一查询结果中发送预设默认信息；
[0125]具体的，屏蔽数据库中所述应用程序对应的信息，以使针对所屏蔽掉的应用程序特征码再次接收第一查询指令时，在数据库中查询不成功，则在所述第一查询结果中发送预设默认信息。
[0126]在用户基数较大时，云端每天响应的查询次数会非常多，当云端数据库中存储的某一条应用程序数据在一定时间段内被查询命中的次数急剧增加时，则有可能是发生了误报，比如如果在一分钟内应用程序A(云端数据库中A的安全状态为恶意)的行为码等信息被一千个用户设备查询、甚至在客户端被处理了总共一千次，则A有可能不是恶意的，而是误报，此时需要暂时将该条数据特征进行屏蔽以免其他用户设备继续查询而发生更大规模误报，该条特征后续由人工干预进行分析后再行处理。
[0127]图7是根据本发明一个实施例提供的进行多维度数据处理装置结构示意图，如图7所示,包括:
[0128]查询请求模块710，用于获取用户的第一查询请求；
[0129]查询指令模块720，用于根据用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；
[0130]发送指令模块730，用于将第一查询指令发送至查询服务器进行查询。
[0131]可选的，所述装置还包括查询结果模块740，用于接收查询服务器返回的第一查询结果，根据所述第一查询结果执行预设的处理操作。
[0132]进一步的，所述根据所述第一查询结果执行预设的处理操作，包括判断所述第一查询结果中是否存在所述应用程序对应的行为码，若存在，则对所述行为码进行解析，并根据解析得到的信息对所述应用程序进行相应处理。
[0133]进一步的，所述查询结果模块740还用于，判断所述第一查询结果中如果不包含所述应用程序的行为码，则根据所述第一查询请求类型执行预设默认操作。
[0134]可选的，在本发明其他实施例中，所述查询请求模块710还用于获取用户的第二查询请求，所述查询指令模块720还用于根据用户设备上应用程序特征码及所述第二查询请求，生成第二查询指令，所述发送指令模块730还用于将所述第二查询指令发送至查询服务器进行查询；所述查询结果模块还用于接收查询服务器返回的第二查询结果，其中，第二查询结果中包含所述应用程序对应的扩展信息。
[0135]可选的，在本发明其他实施例中，如图8所示，上述装置还包括本地缓存模块750，用于保存设定时间段内已经获得过的查询指令及对应的查询结果；相应的，所述发送指令模块730还用于发送所述第一查询指令或第二查询指令至查询服务器之前如果在所述本地缓存模块750中已经已获得过所述第一查询结果或第二查询结果，则直接采用已经获得的查询结果。
[0136]可选的，上述装置还可以包括数据收集模块，用于判断所述第一查询结果中如果包含行为码，发送所查询的应用程序特征码和/或根据所述第一查询结果执行预设的处理逻辑对所述应用程序所执行的操作信息至数据收集服务器；否则发送所查询的应用程序信息至数据收集服务器。
[0137]图9是根据本发明一个实施例提供的进行多维度云服务系统结构示意图，如图9所示，包括:
[0138]包括查询服务器910，所述查询服务器910包括，接收模块810，用于获取用户的第一查询指令；[0139]查询模块820，用于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库800中进行查询；
[0140]所述行为码数据库800，主要包括应用程序的特征码和行为码，还可以包括应用程序的基本信息；所述基本信息表示所述应用程序针对不同的查询请求类型的基本描述；所述行为码表示应用程序的行为信息的特征码；
[0141]发送模块830，用于根据行为码数据库的查询结果，根据预设的策略发送第一查询结果。
[0142]所述根据预设的策略发送第一查询结果，包括:
[0143]如果查询成功，则在所述第一查询结果中发送所述应用程序对应的行为码。
[0144]如果查询不成功，则在所述第一查询结果中发送预设默认信息。
[0145]可选的，所述接收模块810还用于获取用户的第二查询指令；
[0146]所述查询模块820还用于根据所述第二查询指令中的应用程序特征码及第二查询请求类型，在所述扩展信息数据库中进行查询；
[0147]所述扩展信息数据库主要包括应用程序的特征码和扩展信息，所述扩展信息表示与所述行为码对应的应用程序的行为信息。
[0148]所述发送模块830还用于发送第二查询结果，所述第二查询结果中包含所述应用程序对应的扩展信息。
[0149]可选的，如图10所示，上述系统还包括数据收集服务器920，用于当所述查询指令为第一查询指令时如果查询不成功，接收应用程序信息，发送至后台分析系统930进行分析，所述后台分析系统930用于对所述应用程序进行分析，并将分析结果对应存储在所述行为码数据库800以及扩展信息数据库中；所述数据收集服务器920还用于当所述查询指令为第一查询指令时如果查询成功，统计所述应用程序被查询成功的次数，可选的还可以统计客户端根据所述第一查询结果执行的操作次数。
[0150]可选的，如图11所示，上述系统还包括防误报服务器940，用于统计同一应用程序被查询成功的次数，如果所统计的同一应用程序被查询成功的次数超过阈值，则将所述行为码数据库800中所述应用程序特征码对应的信息进行屏蔽，以使针对所屏蔽掉的应用程序特征码再次接收第一查询指令时，在数据库800中查询不成功，则在所述第一查询结果中发送预设默认信息。
[0151]可选的，如图12所示，上述系统还可以包括:
[0152]至少一个用户设备101-1，1-1-2，101-n，用于通过网络103发送用户的查询请求以及接收所述查询服务器返回的查询结果。
[0153]需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0154]尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。
【权利要求】
1.一种在用户设备上执行的数据处理方法，其特征在于，包括: 获取用户的第一查询请求类型； 基于用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令； 将所述第一查询指令发送至查询服务器进行查询。
2.如权利要求1所述的方法，其特征在于，还包括: 接收查询服务器返回的第一查询结果，根据所述第一查询结果执行预设的处理操作。
3.如权利要求2所述的方法，其特征在于，还包括: 获取用户的第二查询请求，基于用户设备上应用程序特征码及所述第二查询请求类型，生成第二查询指令，将所述第二查询指令发送至查询服务器进行查询。
4.如权利要求3所述的方法，其特征在于，还包括: 接收查询服务器返回的第二查询结果，根据所述第二查询结果执行预设的处理操作，其中，第二查询结果中包含所述应用程序对应的扩展信息。
5.如权利要求2所述的方法，其特征在于，所述根据所述第一查询结果执行预设的处理操作，包括: 判断所述第一查询结果中是否存在所述应用程序对应的行为码，若存在，则对所述行为码进行解析，并根据解析得到的信息对所述应用程序进行相应处理。
6.如权利要求2所述的方法，其特征在于，还包括； 如果所述第一查询结果中不包含所述应用程序的行为码，则根据所述第一查询请求类型执行预设默认操作。
7.如权利要求2或4所述的方法，其特征在于，还包括: 判断所述用户设备的缓存和/或所述用户设备的数据库中是否已获得过所述第一查询结果或第二查询结果，若存在，则直接采用已经获得的查询结果。
8.如权利要求7所述的方法，其特征在于，在所述用户设备的缓存和/或所述用户设备的数据库中保存设定时间段内的查询指令及对应的查询结果。
9.如权利要求2所述的方法，其特征在于，还包括: 如果所述第一查询结果中包含行为码，发送所查询的应用程序特征码和/或根据所述第一查询结果执行预设的处理操作信息至数据收集服务器。
10.如权利要求2所述的方法，其特征在于，还包括: 如果所述第一查询结果中不包含行为码，发送所查询的应用程序信息至数据收集服务器。
11.如权利要求1所述的方法，其特征在于，所述第一查询请求类型包括恶意行为扫描和/或恶意广告扫描和/或隐私权限评估和/或恶意耗电应用识别和/或卸载残留清理和/或缓存清理和/或预装软件停用。
12.如权利要求1所述的方法，其特征在于，所述第一查询指令中包括应用程序特征码字段和查询请求类型字段。
13.—种在用户设备上执行的数据处理装置，其特征在于，包括: 查询请求模块，用于获取用户的第一查询请求； 查询指令模块，用于根据用户设备上应用程序特征码及所述第一查询请求类型，生成第一查询指令；发送指令模块，用于将第一查询指令发送至查询服务器进行查询。
14.如权利要求13所述的装置，其特征在于，还包括: 查询结果模块，用于接收查询服务器返回的第一查询结果，根据所述第一查询结果执行预设的处理操作。
15.如权利要求14所述的装置，其特征在于，所述查询请求模块还用于获取用户的第二查询请求，所述查询指令模块还用于根据用户设备上应用程序特征码及所述第二查询请求，生成第二查询指令，所述发送指令模块还用于将所述第二查询指令发送至查询服务器进行查询。
16.如权利要求15所述的装置，其特征在于，所述查询结果模块还用于接收查询服务器返回的第二查询结果，其中，第二查询结果中包含所述应用程序对应的扩展信息。
17.如权利要求14所述的装置，其特征在于，所述根据所述第一查询结果执行预设的处理操作，包括判断所述第一查询结果中是否存在所述应用程序对应的行为码，若存在，则对所述行为码进行解析，并根据解析得到的信息对所述应用程序进行相应处理。
18.如权利要求14所述的装置，其特征在于，所述查询结果模块具体还用于，判断所述第一查询结果中如果不包含所述应用程序的行为码，则根据所述第一查询请求类型执行预设默认操作。
19.如权利要求14或者16所述的装置，其特征在于，还包括: 本地缓存模块，用于判断所述用户设备的缓存和/或所述用户设备的数据库中是否已获得过所述第一查询结果或第二查询结果，若存在，则直接采用已经获得的查询结果。
20.如权利要求19所述的装置，其特征在于，在所述用户设备的缓存和/或所述用户设备的数据库中保存设定时间段内的查询指令及对应的查询结果。
21.如权利要求14所述的装置，其特征在于，还包括: 数据收集模块，用于判断所述第一查询结果中如果包含行为码，发送所查询的应用程序特征码和/或根据所述第一查询结果执行预设的处理逻辑对所述应用程序所执行的操作信息至数据收集服务器。
22.如权利要求14所述的装置，其特征在于，还包括: 数据收集模块，用于判断所述第一查询结果中如果不包含行为码，发送所查询的应用程序信息至数据收集服务器。
23.如权利要求13所述的装置，其特征在于，所述第一查询请求类型包括恶意行为扫描和/或恶意广告扫描和/或隐私权限评估和/或恶意耗电应用识别和/或卸载残留清理和/或缓存清理和/或预装软件停用。
24.如权利要求13所述的装置，其特征在于，所述第一查询指令中包括应用程序特征码字段和查询请求类型字段。
25.—种提供多维度云服务的方法,其特征在于,包括: 获取用户的第一查询指令； 基于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库中进行查询； 基于行为码数据库的查询结果，根据预设的策略发送第一查询结果。
26.如权利要求25所述的方法，其特征在于，所述根据预设的策略发送第一查询结果，包括: 如果查询成功，则在所述第一查询结果中发送所述应用程序对应的行为码。
27.如权利要求25所述的方法，其特征在于，所述根据预设的策略发送第一查询结果，包括: 如果查询不成功，则在所述第一查询结果中发送预设默认信息。
28.如权利要求25所述的方法，其特征在于，还包括: 获取用户的第二查询指令； 基于所述第二查询指令中的应用程序特征码及第二查询请求类型，在扩展信息数据库中进行查询； 发送第二查询结果，所述第二查询结果中包含所述应用程序对应的扩展信息。
29.如权利要求26所述的方法，其特征在于，还包括: 统计所述应用程序的特征码查询成功的次数，如果所述次数超过阈值，则在所述第一查询结果中发送预设默认信息。
30.如权利要求27所述的方法，其特征在于，接收所查询的应用程序信息。
31.如权利要求30所述的方法，其特征在于，还包括: 对 所接收所查询的应用程序进行分析，并将分析生成的行为码及扩展信息存储在所述数据库中。
32.如权利要求25所述的方法，其特征在于，所述第一查询请求类型包括:恶意行为扫描和/或恶意广告扫描和/或隐私权限评估和/或恶意耗电应用识别和/或卸载残留清理和/或缓存清理和/或预装软件停用。
33.一种提供多维度云服务的系统，其特征在于，包括查询服务器，所述查询服务器包括: 接收模块，用于获取用户的第一查询指令； 查询模块，用于所述第一查询指令中的应用程序特征码及第一查询请求类型在行为码数据库中进行查询； 发送模块，用于根据行为码数据库的查询结果，根据预设的策略发送第一查询结果。
34.如权利要求33所述的系统，所述根据预设的策略发送第一查询结果，包括: 如果查询成功，则在所述第一查询结果中发送所述应用程序对应的行为码。
35.如权利要求33所述的系统，其特征在于，所述根据预设的策略发送第一查询结果，包括: 如果查询不成功，则在所述第一查询结果中发送预设默认信息。
36.如权利要求33所述的系统，其特征在于，所述接收模块还用于获取用户的第二查询指令； 所述查询模块还用于根据所述第二查询指令中的应用程序特征码及第二查询请求类型，在扩展信息数据库中进行查询； 所述发送模块还用于发送第二查询结果，所述第二查询结果中包含所述应用程序对应的扩展信息。
37.如权利要求34所述的系统，其特征在于，还包括:防误报服务器，用于统计所述应用程序的特征码查询成功的次数，如果所述次数超过阈值，则在所述第一查询结果中发送预设默认信息。
38.如权利要求35所述的系统，其特征在于，还包括:数据收集服务器，用于接收所查询的应用程序信息。
39.如权利要求38所述的系统，其特征在于，还包括后台分析系统，用于对所述数据收集服务器接收的应用程序进行分析，并将分析生成的行为码及扩展信息存储在所述数据库中。
40.如权利要求33所述的系统，其特征在于，所述第一查询请求类型包括:恶意行为扫描和/或恶意广告扫描和/或隐私权限评估和/或恶意耗电应用识别和/或卸载残留清理和/或缓存清理和/或 预装软件停用。
【文档编号】G06F17/30GK104021141SQ201410198591
【公开日】2014年9月3日 申请日期:2014年5月12日 优先权日:2014年5月12日
【发明者】邹义鹏, 赵闽, 罗鹏, 陈勇 申请人:北京金山安全软件有限公司