软件恶意行为的建模及判断方法、装置和移动终端与流程

本发明涉及移动通信技术领域，特别涉及一种软件恶意行为建模方法及建模装置、采用上述建模装置的移动终端以及软件恶意行为的判断方法和软件恶意的判断方法。

背景技术：
随着软件及移动通信技术的发展，在移动终端(例如手机)中植入软件已成为智能手机的主要特征。伴随着越来越多的软件植入到手机中，部分恶意软件也被植入。其中，恶意软件是指执行恶意行为的软件。这些恶意行为包括窃取用户的隐私信息、窃听用户通话内容等。为此，需要对手机中的恶意软件建立模型以便对上述恶意软件的恶意行为进行管理。传统的恶意软件的恶意行为建模方法包括以下两类：1)基于可执行文件的恶意行为建模方法：该方法主要分析软件的可执行文件，对恶意软件可执行文件的特征进行法分析和抽象以建立恶意行为模型。其中，恶意软件可执行文件的特征包括：文件特征和API调用序列等。通常，每个恶意软件对应一个恶意行为特征。基于可执行文件的恶意行为建模方法的缺陷在于：该方法为每一个恶意软件建立一个恶意行为特征，随着恶意软件越来越多，采用该方法建立的恶意行为模型数量过多，从而给系统或安全软件使用上述建模方法执行恶意行为检测时，带来大量资源开销，从而极大地影响系统性能。而且，通一个恶意软件可以通过加壳等技术改变可执行文件特征，从而使已有的恶意行为模型失效。2)基于单一敏感权限的恶意行为建模方法。该方法将应用程序的单一权限访问作为恶意行为模型的主体。当软件采用了该单一权限时，则认为该软件符合此恶意行为模型。基于单一敏感权限的恶意行为建模方法的缺陷在于：该方法过于笼统，无法有效地区分真正的恶意软件和使用了相同权限的正常软件，从而丧失了恶意行为建模的意义。此外，传统的恶意行为建模方法没有考虑权限访问之间的内在联系以及其所处的系统状态，从而也就无法体现恶意行为的本质和目的。传统的恶意行为建模方法不具有可定制性，从而用户无法根据自己的需求自定义恶意行为模型，进而导致无法满足用户的定制需求，用户的体验度低。

技术实现要素：
本发明的目的旨在至少解决上述技术缺陷之一。为此，本发明的第一目的在于提出一种软件恶意行为建模方法，该方法可以便于用户根据自身需求进行定义，提高了用户的体验度。本发明的第二个目的在于一种软件恶意行为建模装置。本发明的第三个目的在于提供一种具有上述建模装置的移动终端。本发明的第四个目的在于提供一种软件恶意行为的判断方法，该方法可以对软件执行的恶意行为进行判断。本发明的第五个目的在于提供一种具有上述建模装置的移动终端，该移动终端可以对软件的恶意行为进行判断。本发明的第六个目的在于提供一种软件恶意的判断方法，该方法可以根据上述建模方法建立的恶意行为模型判断软件是否为恶意软件。本发明的第七个目的在于提供一种具有上述建模装置的移动终端，该移动终端可以用于判断软件是否为恶意软件。为实现上述目的，本发明的第一方面的实施例提供了一种软件恶意行为建模方法，包括如下步骤：根据对移动终端中敏感资源的访问生成至少一个敏感动作；根据所述移动终端中系统所处的持续状态生成至少一个上下文；以及根据所述至少一个敏感动作中的一个或多个敏感动作和/或所述至少一个上下文中的一个上下文生成恶意行为模型。根据本发明实施例的软件恶意行为建模方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。本发明第二方面的实施例提供了一种软件恶意行为建模装置，包括敏感动作生成模块，用于对移动终端中敏感资源的访问生成至少一个敏感动作；上下文生成模块，用于根据所述移动终端中系统当前所处的持续状态生成至少一个上下文；以及建模模块，用于根据所述至少一个敏感动作中的一个或多个敏感动作和/或所述至少一个上下文中的一个上下文生成恶意行为模型。根据本发明实施例的软件恶意行为建模装置，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。本发明第三方面的实施例提供了一种移动终端，包括本发明第二实施例提供的软件恶意行为建模装置和恶意模型编辑模块，用于将所述软件恶意行为建模装置已建立的恶意行为模型显示给所述移动终端的用户，以供所述用户进行编辑、浏览或删除。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。本发明第四方面的实施例提供了一种软件恶意行为的判断方法，包括如下步骤：采用本发明第一方面实施例提供的软件恶意行为建模方法建立恶意行为模型；记录移动终端中系统当前所处的持续状态，并生成当前上下文；记录当前软件对所述移动终端中敏感资源的访问并生成相应的一个或多个敏感动作；以及根据所述当前上下文和当前软件相应的一个或多个敏感动作，以及所述恶意行为模型判断所述当前软件对所述敏感资源的访问是否为恶意行为。根据本发明实施例的软件恶意行为的判断方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。本发明第五方面实施例提供了一种移动终端，包括：本发明第二方面实施例提供的软件恶意行为建模装置；记录模块，用于记录移动终端中系统当前所处的持续状态，并生成当前上下文，以及记录当前软件对所述移动终端中敏感资源的访问并生成相应的一个或多个敏感动作；以及判断模块，用于根据所述当前上下文和当前软件相应的一个或多个敏感动作，以及所述软件恶意行为建模装置建立的恶意行为模型判断所述当前软件对所述敏感资源的访问是否为恶意行为。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。本发明第六方面实施例提供了一种软件恶意的判断方法，包括如下步骤：采用本发明第一方面实施例提供的软件恶意行为建模方法建立恶意行为模型；记录移动终端中系统当前所处的持续状态，并生成当前上下文；记录当前软件对所述移动终端中敏感资源的访问并生成相应的一个或多个敏感动作；根据所述当前上下文和当前软件相应的一个或多个敏感动作，以及所述恶意行为模型判断所述当前软件对所述敏感资源的访问是否为恶意行为；以及如果判断为恶意行为，则将所述当前软件的所述恶意行为提示给所述移动终端的用户，由所述用户判断所述当前软件是否为恶意软件。根据本发明实施例的软件恶意的判断方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并进一步可以判断出当前软件是否为恶意行为。此外，用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。本发明第七方面实施例提供一种移动终端，包括：本发明第二方面的实施例提供的软件恶意行为建模装置；记录模块，用于记录移动终端中系统当前所处的持续状态，并生成当前上下文，以及记录当前软件对所述移动终端中敏感资源的访问并生成相应的一个或多个敏感动作；判断模块，用于根据所述当前上下文和当前软件相应的一个或多个敏感动作，以及判断所述当前软件对所述敏感资源的访问是否为恶意行为；以及提示模块，用于在判断为恶意行为时，将所述当前软件的所述恶意行为提示给所述移动终端的用户，由所述用户判断所述当前软件是否为恶意软件。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并进一步可以判断出当前软件是否为恶意行为。此外，用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。附图说明本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：图1为根据本发明一个实施例的软件恶意行为建模方法的示意图；图2为根据本发明实施例的软件恶意行为的建模的示意图；图3为根据本发明另一个实施例的软件恶意行为建模方法的流程图；图4为根据本发明实施例的软件恶意行为建模装置的结构示意图；图5为根据本发明一个实施例的移动终端的示意图；图6为根据本发明实施例的软件恶意行为的判断方法的流程图；图7为根据本发明另一个实施例的移动终端的示意图；图8为根据本发明实施例的软件恶意的判断方法的流程图；以及图9为根据本发明又一个实施例的移动终端的示意图。具体实施方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。参照下面的描述和附图，将清楚本发明的实施例的这些和其他方面。在这些描述和附图中，具体公开了本发明的实施例中的一些特定实施方式，来表示实施本发明的实施例的原理的一些方式，但是应当理解，本发明的实施例的范围不受此限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。本发明通过对恶意软件对移动终端的敏感资源访问的动作以及移动终端当前的持续状态抽象出恶意软件执行恶意行为的行为序列，该行为序列即为恶意软件行为模型。该恶意软件行为模型可以反映出恶意软件执行恶意行为的目的和本质，从而用户可以对不希望出现在自己系统中的软件行为进行识别和处理。下面参考图1至图3描述根据本发明实施例软件恶意行为建模方法。如图1所示，本发明实施例提供的软件恶意行为建模方法，包括如下步骤：步骤S101，根据对移动终端中敏感资源的访问生成至少一个敏感动作。在移动终端中存储有大量资源，其中，根据资源对系统的敏感度的不同，上述资源可以划分为敏感资源和非敏感资源。具体而言，对于涉及到系统安全以及用户隐私的资源可以定义为敏感资源，例如：录音、设备号、GPS(GlobalPositioningSystem，全球定位系统)信息、付费短信、开关机口令、电话簿、机密短信、证书及用户私钥等，对该部分资源的访问设置敏感权限。需要说明的是，软件对自身资源和系统的非敏感权限的访问不会对外界产生影响，从而软件执行的上述动作定义为非敏感动作。其中，软件的自身资源包括属于该软件自身的文件等。移动终端中安装的软件每次对系统的敏感资源访问时，则生成一个敏感动作，从而根据软件的访问次数生成多个敏感动作。其中，多个敏感动作之间具有执行顺序。每个敏感动作均包括多个属性，这些属性记录了该敏感动作发生时执行动作的软件本身和系统的当前状况。在本发明的一个实施例中，恶意行为模型中的一个或多个敏感动作以及系统的敏感权限均可以由用户进行选取以确定。下面结合具体的示例对敏感权限和敏感动作进行描述。1)恶意目的：恶意窃听敏感权限：同时访问录音功能资源和通话功能资源。敏感动作：录音、电话。2)恶意目的：利用短信恶意定位位置信息敏感权限：同时访问GPS信息资源和短信资源。敏感动作：GPS、收发短信。3)恶意目的：利用短信恶意定位设备信息敏感权限：同时访问移动终端的设备资源和短信资源。敏感动作：获取系统信息中的设备号、收发短信。其中，移动终端的设备号可以为IMEI(InternationalMobileEquipmentIdentity)4)恶意目的：利用网络恶意定位位置信息敏感权限：同时访问GPS信息资源和网络资源。敏感动作：GPS、网络连通。5)恶意目的：利用短信恶意定位设备信息敏感权限：同时访问移动终端的设备资源和网络资源。敏感动作：获取系统信息中的设备号、网络连通。6)恶意目的：恶意窃取用户金融信息敏感权限：访问用户的收费短信资源。敏感动作：收发收费短信。可以理解的是，上述敏感权限和敏感动作仅是处于示例的目的，而不是为了限制本发明。用户可以根据自身对移动终端的安全性及自身利益的考虑，自行设置敏感权限和敏感动作。步骤S102，根据移动终端中系统所处的持续状态生成至少一个上下文。上下文用于反映系统当前所处的持续状态，例如：通话中、录音中、导航中、充电中、拍照中等。可以理解的是，一个上下文可以对应多个敏感动作。例如：上下文件描述的持续状态为通话且录音中，则对应的敏感动作为通话和录音。不同的上下文可以对应同一个敏感动作，并且不同上下文中的同一个动作可以根据敏感程度可以具有不同的含义。例如：上下文为通话且录音中时，则通话和录音为敏感动作；上下文为通话中时，则通话为敏感动作。在本发明的一个实施例中，上下文可以由移动终端的用户进行选择以确定。步骤S103，根据至少一个敏感动作中的一个或多个敏感动作和/或至少一个上下文中的一个上下文生成恶意行为模型。根据步骤S101中生成的一个或多个敏感动作和/或步骤S102中生成的至少一个上下文中的一个上下文生成恶意行为模型，并根据该恶意行为模型判断软件是否执行恶意行为。其中，在恶意行为模型中，定义了多个敏感动作的执行顺序，上述执行顺序可以代表恶意行为的目的和本质。换言之，如果恶意软件要实现一个恶意目的，必须按照执行顺序经过上述多个敏感动作。在移动终端的使用过程中，如果软件的行为同时包括多个敏感动作且具有相同的执行顺序，则上述生成的恶意行为模型可以判断该行为为恶意行为，则执行该恶意行为的软件为恶意软件。其中，由于恶意行为模型中的一个或多个敏感动作和上下文均可以由移动终端的用户进行选择以确定，从而用户可以根据自身对移动终端的安全性及自身利益进行设置，从而可以提高模型建立和使用的灵活性以及用户的体验度。在本发明的一个实施例中，可仅根据一个或多个敏感动作生成恶意行为模型。为了便于描述，在以下的实施例中，将以敏感动作和上下文共同生成恶意行为模型为例进行描述。在本发明的一个实施例中，在恶意行为模型判断行为恶意软件执行的行为为恶意行为之后，记录恶意行为的属性信息，并将属性信息展示给移动终端的用户。在本发明的一个示例中，属性信息可以包括以下内容的一种或多种：恶意行为中各个敏感动作的发生时间、各个敏感动作的动作类型、各个敏感动作执行者的身份标识和当前状态、两个敏感动作之间的时间间隔以及各个敏感动作所处的上下文。下面参考图2对本发明实施例的恶意行为模型进行详细描述。步骤S201，定义恶意行为模型的属性。在本发明的一个实施例中，恶意行为模型的属性包括恶意行为模型的名称、描述、处理方式等属性。步骤S202，添加敏感动作。敏感动作可以根据对移动终端中敏感资源的访问而生成。步骤S203，判断是否需要添加的敏感动作的详细信息。如果需要则执行步骤S204，否则执行步骤S205。步骤S204，定义并添加动作详细信息。在本发明的一个实施例中，敏感动作的详细信息可以为动作的属性，例如：敏感动作的发生时间、动作类型、动作执行者的身份标识等。步骤S205，判断敏感动作是否处于特定上下文中。如果是，则执行步骤S206，否则执行步骤S207。具体地，判断添加的敏感动作是否处于对应于敏感权限的上下文中。例如：步骤S202中添加的敏感动作为录音，如果该敏感动作处于“录音且通话中”的上下文，则可以判断该敏感动作处于特定上下文中。这是由于录音和通话同时执行，则通话内容可能恶意软件被窃听。步骤S206，添加上下文信息。上下文信息可以根据移动终端中系统所处的持续状态生成。步骤S207，判断是否有进一步动作，如果有则执行步骤S202，否则结束恶意行为模型建立过程。由上可知，恶意行为模型中可以包括一个或多个上下文信息以及包括至少一个敏感动作。为了便于用户根据需要对恶意行为模型进行调整，可以将步骤S103中已建立的恶意行为模型显示给移动终端的用户，从而可以供用户进行编辑、浏览或删除，进而根据使用户根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。例如，如果是移动终端的用户主动执行录音和通话两个敏感动作，则同时访问录音资源和通话资源设置为非敏感权限，因为，动作是由用户主动发起的，得到了用户的授权。如果录音动作不是用户主动执行，则可能是恶意软件处于恶意目的执行，以实现窃听用户的通话内容的恶意目的，则需要将同时访问录音资源和通话资源设置为敏感权限。因为，动作不是由用户主动发起的，未得到用户的授权。在动作的执行主体由用户变化到恶意软件时，则用户可以将同时访问录音资源和通话资源的权限由非敏感权限调整到敏感权限。由上可知，如图3所示，在恶意行为模型中，对应有多个上下文以及多敏感动作。其中，在恶意行为模型中包括n个敏感动作，分别为动作1、动作2、动作3......、动作n，其中，一个或多个动作对应一个上下文。例如：上下文1对应动作2和动作3。根据本发明实施例的软件恶意行为建模方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。此外，虽然恶意软件的种类很多且具有很多变种，但是增加的种类并不多，并且相同种类的恶意软件的行为方式基本一致，从而通过本发明实施例的软件恶意行为建模方法抽象出的恶意行为模型一致，可以适用于多种类且大批量的恶意软件。下面参考图4描述根据本发明实施例的软件恶意行为建模装置。如图4所示，本发明实施例提供的软件恶意行为建模装置400包括：敏感动作生成模块410、上下文生成模块420和建模模块430。其中，敏感动作生成模块410用于对移动终端中敏感资源的访问生成至少一个敏感动作。上下文生成模块420用于根据移动终端中系统当前所处的持续状态生成至少一个上下文。建模模块430用于根据至少一个敏感动作中的一个或多个敏感动作和/或至少一个上下文中的一个上下文生成恶意行为模型。根据资源对系统的敏感度的不同，资源可以划分为敏感资源和非敏感资源。具体而言，对于涉及到系统安全以及用户隐私的资源可以定义为敏感资源，例如：录音、设备号、GPS(GlobalPositioningSystem，全球定位系统)信息、付费短信、开关机口令、电话簿、机密短信、证书及用户私钥等，对该部分资源的访问设置敏感权限。需要说明的是，软件对自身资源和系统的非敏感权限的访问不会对外界产生影响，从而软件执行的上述动作定义为非敏感动作。其中，软件的自身资源包括属于该软件自身的文件等。敏感动作生成模块410在移动终端安装的软件每次对系统的敏感资源访问时，则生成一个敏感动作。从而，敏感动作生成模块410可以根据软件的访问次数生成多个敏感动作。其中，多个敏感动作之间具有执行顺序。每个敏感动作均包括多个属性，这些属性记录了该敏感动作发生时执行动作的软件本身和系统的当前状况。在本发明的一个实施例中，敏感动作生成模块410生成的一个或多个敏感动作以及系统的敏感权限均可以由用户进行选取以确定。例如：敏感权限可以为同时访问录音功能资源和通话功能资源，则对应的敏感动作为录音和电话。敏感权限为同时访问移动终端的设备资源和短信资源，则对应的敏感动作为获取系统信息中的设备号、收发短信。可以理解的是，上述敏感权限和敏感动作仅是处于示例的目的，而不是为了限制本发明。用户可以根据自身对移动终端的安全性及自身利益的考虑，自行设置敏感权限和敏感动作。上下文生成模块420根据移动终端中系统所处的持续状态生成至少一个上下文。其中，上下文用于反映系统当前所处的持续状态，例如：通话中、录音中、导航中、充电中、拍照中等。可以理解的是，一个上下文可以对应多个敏感动作。例如：上下文件描述的持续状态为通话且录音中，则对应的敏感动作为通话和录音。其中，不同的上下文可以对应同一个敏感动作，并且不同上下文中的同一个动作可以根据敏感程度可以具有不同的含义。建模模块430根据敏感动作生成模块410生成的至少一个敏感动作中的一个或多个敏感动作以及根据上下文生成模块420生成的至少一个上下文中的一个上下文生成恶意行为模型。其中，在恶意行为模型中，定义了多个敏感动作的执行顺序，上述执行顺序可以代表恶意行为的目的和本质。换言之，如果恶意软件要实现一个恶意目的，必须按照执行顺序经过上述多个敏感动作。如果行为同时包括多个敏感动作且具有相同的执行顺序，则恶意行为模型可以判断该行为为恶意行为。在本发明的一个实施例中，建模模块430建立的恶意行为模型中的一个或多个敏感动作和上下文可以由移动终端的用户进行选择以确定。在本发明的又一个实施例中，软件恶意行为建模装置400还包括属性信息记录模块。其中，属性信息记录模块400可以在恶意行为模型判断行为为恶意行为之后，记录恶意行为的属性信息，并将上述属性信息展示给移动终端的用户，从而便于用户根据需要对恶意行为模型进行调整。用户可以对恶意行为模型进行编辑、浏览或删除，进而根据使用户根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。具体地，用户可以浏览和编辑已有的恶意行为模型，并且可以根据自身利益和安全考虑删除已有的恶意行为模型。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。在本发明的一个示例中，属性信息可以包括以下内容的一种或多种：恶意行为中各个敏感动作的发生时间、各个敏感动作的动作类型、各个敏感动作执行者的身份标识和当前状态、两个敏感动作之间的时间间隔以及各个敏感动作所处的上下文。根据本发明实施例的软件恶意行为建模装置，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为以便准确判断出恶意软件，提高移动终端的安全性。此外，虽然恶意软件的种类很多且具有很多变种，但是增加的种类并不多，并且相同种类的恶意软件的行为方式基本一致，从而通过本发明实施例的软件恶意行为建模方法抽象出的恶意行为模型一致，可以适用于多种类且大批量的恶意软件。下面参考图5描述根据本发明实施例的移动终端。如图5所示，本发明实施例提供的移动终端包括：软件恶意行为建模装置和恶意模型编辑模块510。其中，软件恶意行为建模装置可以为本发明上述实施例提供的软件恶意行为建模装置400。恶意模型编辑模块用于将软件恶意行为建模装置400已建立的恶意行为模型显示给用户，从而供用户进行编辑、浏览或删除。用户可以通过恶意模型编辑模块510根据使用户根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。下面参考图6描述根据本发明实施例的软件恶意行为的判断方法。如图6所示，本发明实施例提供的软件恶意行为的判断方法包括如下步骤：步骤S601，建立恶意行为模型。在本发明的一个实施例中，采用本发明第一方面实施例的软件恶意行为建模方法建立恶意行为模型。步骤S602，记录移动终端中系统当前所处的持续状态，并生成当前上下文。上下文用于反映系统当前所处的持续状态，例如：通话中、录音中、导航中、充电中、拍照中等。可以理解的是，一个上下文可以对应多个敏感动作。例如：上下文件描述的持续状态为通话且录音中，则对应的敏感动作为通话和录音。不同的上下文可以对应同一个敏感动作，并且不同上下文中的同一个动作可以根据敏感程度可以具有不同的含义。在本发明的一个实施例中，上下文可以由移动终端的用户进行选择以确定。步骤S603，记录当前软件对移动终端中敏感资源的访问并生成相应的一个或多个敏感动作。移动终端中的当前软件对系统的敏感资源访问时，则生成一个敏感动作，从而根据当前软件的访问次数生成多个敏感动作。其中，多个敏感动作之间具有执行顺序。每个敏感动作均包括多个属性，这些属性记录了该敏感动作发生时执行动作的软件本身和系统的当前状况。在本发明的一个实施例中，恶意行为模型中的一个或多个敏感动作以及系统的敏感权限均可以由用户进行选取以确定。步骤S604，根据当前上下文和当前软件相应的一个或多个敏感动作，以及恶意行为模型判断当前软件对敏感资源的访问是否为恶意行为。在步骤S601中建立的恶意行为模型中，定义了多个敏感动作的执行顺序，上述执行顺序可以代表恶意行为的目的和本质。换言之，如果恶意软件要实现一个恶意目的，必须按照执行顺序经过上述多个敏感动作。在移动终端的使用过程中，如果步骤S603生成的当前软件的多个敏感动作为步骤S601中建立的恶意行为模型中的多个敏感动作且具有与恶意行为模型中定义的相同的执行顺序，则可以判断当前软件对敏感字眼的访问为恶意行为。在本发明的一个实施例中，在判断当前软件对敏感资源的访问为恶意行为之后，记录恶意行为的属性信息，并将属性信息展示给移动终端的用户，从而供用户进行编辑、浏览或删除。用户可以根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。在本发明的一个实施例中，属性信息可以包括以下内容的一种或多种：恶意行为中各个敏感动作的发生时间、各个敏感动作的动作类型、各个敏感动作执行者的身份标识和当前状态、两个敏感动作之间的时间间隔以及各个敏感动作所处的上下文。根据本发明实施例的软件恶意行为的判断方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。下面参考图7描述根据本发明实施例的移动终端。如图7所示，本发明实施例提供的移动终端包括软件恶意行为建模装置、记录模块710和判断模块720。在本发明的一个实施例中，软件恶意行为建模装置可以为本发明上述实施例提供的软件恶意行为建模装置400，用于建立恶意行为模型。恶意行为模型中，定义了多个敏感动作的执行顺序，上述执行顺序可以代表恶意行为的目的和本质。换言之，如果恶意软件要实现一个恶意目的，必须按照执行顺序经过上述多个敏感动作。记录模块710记录移动终端中系统当前所处的持续状态，并生成当前上下文，记录当前软件对移动终端中敏感资源的访问并生成相应的一个或多个敏感动作。其中，敏感动作可以为录音、拍摄或定位等。判断模块720根据当前上下文和当前软件相应的一个或多个敏感动作，以及上述软件恶意行为建模装置400建立的恶意行为模型判断当前软件对敏感资源的访问是否为恶意行为。具体地，如果记录模块710生成的当前软件的多个敏感动作为恶意行为模型中的多个敏感动作且具有与恶意行为模型中定义的相同的执行顺序，则判断模块720可以判断当前软件对敏感字眼的访问为恶意行为。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并且用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。下面参考图8描述根据本发明实施例的软件恶意的判断方法。如图8所示，本发明实施例提供的软件恶意的判断方法包括如下步骤：步骤S801，建立恶意行为模型。在本发明的一个实施例中，采用本发明第一方面实施例的软件恶意行为建模方法建立恶意行为模型。步骤S802，记录移动终端中系统当前所处的持续状态，并生成当前上下文。上下文用于反映系统当前所处的持续状态，例如：通话中、录音中、导航中、充电中、拍照中等。可以理解的是，一个上下文可以对应多个敏感动作。例如：上下文件描述的持续状态为通话且录音中，则对应的敏感动作为通话和录音。不同的上下文可以对应同一个敏感动作，并且不同上下文中的同一个动作可以根据敏感程度可以具有不同的含义。在本发明的一个实施例中，上下文可以由移动终端的用户进行选择以确定。步骤S803，记录当前软件对移动终端中敏感资源的访问并生成相应的一个或多个敏感动作。移动终端中的当前软件对系统的敏感资源访问时，则生成一个敏感动作，从而根据当前软件的访问次数生成多个敏感动作。其中，多个敏感动作之间具有执行顺序。每个敏感动作均包括多个属性，这些属性记录了该敏感动作发生时执行动作的软件本身和系统的当前状况。在本发明的一个实施例中，恶意行为模型中的一个或多个敏感动作以及系统的敏感权限均可以由用户进行选取以确定。步骤S804，根据当前上下文和当前软件相应的一个或多个敏感动作，以及根据恶意行为模型判断当前软件对敏感资源的访问是否为恶意行为。在步骤S801中建立的恶意行为模型中，定义了多个敏感动作的执行顺序，上述执行顺序可以代表恶意行为的目的和本质。换言之，如果恶意软件要实现一个恶意目的，必须按照执行顺序经过上述多个敏感动作。在移动终端的使用过程中，如果步骤S803生成的当前软件的多个敏感动作为步骤S801中建立的恶意行为模型中的多个敏感动作且具有与恶意行为模型中定义的相同的执行顺序，则可以判断当前软件对敏感字眼的访问为恶意行为。步骤S805，如果判断恶意行为，则将当前软件的恶意行为提示给移动终端的用户，由用户判断当前软件是否为恶意软件。在判断当前软件对敏感资源的访问为恶意行为之后，记录当前软件的恶意行为的属性信息，并将属性信息展示给移动终端的用户，从而供用户进行编辑、浏览或删除。用户可以根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。在本发明的一个实施例中，属性信息可以包括以下内容的一种或多种：恶意行为中各个敏感动作的发生时间、各个敏感动作的动作类型、各个敏感动作执行者的身份标识和当前状态、两个敏感动作之间的时间间隔以及各个敏感动作所处的上下文。根据本发明实施例的软件恶意的判断方法，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并进一步可以判断出当前软件是否为恶意行为。此外，用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。下面参考图9描述根据本发明实施例的移动终端。如图9所示，本发明实施例提供的移动终端包括：软件恶意行为建模装置、记录模块910、判断模块920和提示模块930。在本发明的一个实施例中，软件恶意行为建模装置可以为本发明上述实施例提供的软件恶意行为建模装置400。记录模块910用于记录移动终端中系统当前所处的持续状态，并生成当前上下文。其中上下文用于反映系统当前所处的持续状态，例如：通话中、录音中、导航中、充电中、拍照中等。可以理解的是，一个上下文可以对应多个敏感动作。例如：上下文件描述的持续状态为通话且录音中，则对应的敏感动作为通话和录音。不同的上下文可以对应同一个敏感动作，并且不同上下文中的同一个动作可以根据敏感程度可以具有不同的含义。在本发明的一个实施例中，上下文可以由移动终端的用户进行选择以确定。记录模块910还用于记录当前软件对移动终端中敏感资源的访问并生成相应的一个或多个敏感动作。其中，多个敏感动作之间具有执行顺序。每个敏感动作均包括多个属性，这些属性记录了该敏感动作发生时执行动作的软件本身和系统的当前状况。在本发明的一个实施例中，软件恶意行为建模装置400建立的恶意行为模型中的一个或多个敏感动作以及系统的敏感权限均可以由用户进行选取以确定。判断模块920用于根据当前上下文和当前软件相应的一个或多个敏感动作，以及判断当前软件对敏感资源的访问是否为恶意行为。具体地，如果记录模块910生成的当前软件的多个敏感动作为恶意行为模型中的多个敏感动作且具有与恶意行为模型中定义的相同的执行顺序，则判断模块920可以判断当前软件对敏感字眼的访问为恶意行为。提示模块930在判断模块920判断当前软件对敏感资源的访问为恶意行为时，将当前软件的恶意行为提示给移动终端的用户，由用户判断当前软件是否为恶意软件，从而供用户进行编辑、浏览或删除。用户可以根据自身需求调整系统所检测和控制的恶意行为。由于不同用户的自身利益有所不同，每个用户认为能够损害到自身利益的行为也会有所不同。通过上述用户自定义机制，有利于满足不同用户的需求。此外，用户也可以对当前系统中已有的不满足用户需求的恶意行为模型进行修改，从而使系统能够更加贴近用户需求。根据本发明实施例的移动终端，通过检测敏感资源获取敏感动作以及表示系统所处状态的上下文生成恶意行为模型，从而可以有效发现软件执行的任一行为是否为恶意行为，并进一步可以判断出当前软件是否为恶意行为。此外，用户可以根据自身利益和安全考虑对恶意行为模型进行修改，从而识别并处理用户所不希望运行的软件，进而最大程度满足用户的定制需求并且提高用户的使用粘性。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列0(PGA)，现场可编程门阵列(FPGA)等。本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器，磁盘或光盘等。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同限定。