基于行为的服务识别方法、装置、设备及可读存储介质与流程

本发明涉及互联网技术领域，特别是涉及一种基于行为的服务识别方法、装置、设备及可读存储介质。

背景技术：

随着互联网技术的飞速发展以及终端的日益普及，越来越多的用户选择使用终端执行日常生活中的各项活动，例如社交、通讯、拍照、游戏、购物等。用户在终端中进行各项活动时，通常是基于终端中的服务实现的，为了保证服务的正常运行，终端中搭载了操作系统，服务是操作系统中不可或缺的部分。目前，终端接收用户下发的服务指令，并对该服务指令进行识别，判断该服务指令是否允许执行。

相关技术中，在对服务指令进行识别时，通常每个服务指令均存在与其对应的指令黑名单或者指令白名单，通过查询指令黑名单或者指令白名单是否包括当前请求执行的服务指令，来确定该服务指令是否允许执行。

在实现本发明的过程中，发明人发现相关技术至少存在以下问题：

如果指令黑名单或者指令白名单中没有包括当前请求执行的服务指令，则无法对该服务指令进行识别，该服务指令便会直接执行，攻击者很容易利用指令黑名单或者指令白名单之外的服务指令对操作系统进行攻击，进而对操作系统造成重大破坏，操作系统的安全性较差。

技术实现要素：

有鉴于此，本发明提供了一种基于行为的服务识别方法、装置、设备及可读存储介质，主要目的在于解决目前攻击者很容易利用指令黑名单或者指令白名单之外的服务指令对操作系统进行攻击，进而对操作系统造成重大破坏，操作系统的安全性较差的问题。

依据本发明第一方面，提供了一种基于行为的服务识别方法，该方法包括：

当检测到敏感行为发生时，获取基本行为权限集，所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作；

如果所述基本行为权限集中不包括所述敏感行为，则确定请求执行所述敏感行为的目标行为主体，对所述目标行为主体的行为流程进行追溯，确定所述目标行为主体发起所述敏感行为的发起方式，所述发起方式至少为主动发起或被动发起中的任一个；

如果所述目标行为主体发起所述敏感行为的发起方式为主动发起，则获取所述目标行为主体的目标行为权限集；

如果所述目标行为权限集中包括所述敏感行为，则允许所述目标行为主体执行所述敏感行为。

在另一个实施例中，所述如果所述基本行为权限集中不包括所述敏感行为，则确定请求执行所述敏感行为的目标行为主体，对所述目标行为主体的行为流程进行追溯，确定所述目标行为主体发起所述敏感行为的发起方式，包括：

如果所述基本行为权限集中不包括所述敏感行为，则对所述敏感行为的来源进行追溯，确定发起所述敏感行为的所述目标行为主体；

获取进程调用链，基于所述进程调用链，确定所述目标行为主体的行为流程指示的目标对象，所述进程调用链包括所述目标行为主体被调用的过程，所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象；

当所述目标对象为执行指令时，则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起；

当所述目标对象为应用程序时，则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。

在另一个实施例中，所述如果所述目标行为主体发起所述敏感行为的发起方式为主动发起，则获取所述目标行为主体的目标行为权限集，包括：

如果所述目标行为主体发起所述敏感行为的发起方式为主动发起，则获取所述目标行为主体的主体标识；

确定所述主体标识指示的行为权限集作为所述目标行为权限集，并获取所述目标行为权限集。

在另一个实施例中，所述方法还包括：

如果所述基本行为权限集中包括所述敏感行为，则允许所述目标行为主体执行所述敏感行为。

在另一个实施例中，所述方法还包括：

如果所述目标行为主体发起所述敏感行为的发起方式为被动发起，则禁止所述目标行为主体执行所述敏感行为；或，

如果所述目标行为权限集中不包括所述敏感行为，则禁止所述目标行为主体执行所述敏感行为。

依据本发明第二方面，提供了一种基于行为的服务识别装置，该装置包括：

第一获取模块，用于当检测到敏感行为发生时，获取基本行为权限集，所述基本行为权限集包括允许系统中行为主体执行的至少一个行为动作；

确定模块，用于如果所述基本行为权限集中不包括所述敏感行为，则确定请求执行所述敏感行为的目标行为主体，对所述目标行为主体的行为流程进行追溯，确定所述目标行为主体发起所述敏感行为的发起方式，所述发起方式至少为主动发起或被动发起中的任一个；

第二获取模块，用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起，则获取所述目标行为主体的目标行为权限集；

执行模块，用于如果所述目标行为权限集中包括所述敏感行为，则允许所述目标行为主体执行所述敏感行为。

在另一个实施例中，所述确定模块，包括：

第一确定子模块，用于如果所述基本行为权限集中不包括所述敏感行为，则对所述敏感行为的来源进行追溯，确定发起所述敏感行为的所述目标行为主体；

获取子模块，用于获取进程调用链，基于所述进程调用链，确定所述目标行为主体的行为流程指示的目标对象，所述进程调用链包括所述目标行为主体被调用的过程，所述目标对象为控制所述目标行为主体下发所述进程执行请求的对象；

第二确定子模块，用于当所述目标对象为执行指令时，则确定所述目标行为主体发起所述敏感行为的发起方式为主动发起；

第三确定子模块，用于当所述目标对象为应用程序时，则确定所述目标行为主体发起所述敏感行为的发起方式为被动发起。

在另一个实施例中，所述第二获取模块，包括：

获取子模块，用于如果所述目标行为主体发起所述敏感行为的发起方式为主动发起，则获取所述目标行为主体的主体标识；

确定子模块，用于确定所述主体标识指示的行为权限集作为所述目标行为权限集，并获取所述目标行为权限集。

在另一个实施例中，所述执行模块，还用于如果所述基本行为权限集中包括所述敏感行为，则允许所述目标行为主体执行所述敏感行为。

在另一个实施例中，所述装置还包括：

禁止模块，用于如果所述目标行为主体发起所述敏感行为的发起方式为被动发起，则禁止所述目标行为主体执行所述敏感行为；或，如果所述目标行为权限集中不包括所述敏感行为，则禁止所述目标行为主体执行所述敏感行为。

依据本发明第三方面，提供了一种设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面所述方法的步骤。

依据本发明第四方面，提供了一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。

借由上述技术方案，本发明提供的一种基于行为的服务识别方法、装置、设备及可读存储介质，与目前基于指令黑名单或者指令白名单进行服务进程识别的方式相比，本发明当检测到敏感行为发生时，基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别，防止攻击者行为主体对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种基于行为的服务识别方法流程示意图；

图2示出了本发明实施例提供的一种基于行为的服务识别方法流程示意图；

图3a示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图；

图3b示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图；

图3c示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图；

图3d示出了本发明实施例提供的一种基于行为的服务识别装置的结构示意图；

图4示出了本发明实施例提供的一种设备的装置结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种基于行为的服务识别方法，可以在基于进程名单对目标行为主体无法识别时，通过对目标行为主体的行为流程进行追溯，确定目标行为主体的发起方式，来进一步对目标行为主体进行识别，达到防止攻击者利用进程名单之外的服务进程对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好的目的，如图1所示，该方法包括：

101、当检测到敏感行为发生时，获取基本行为权限集，基本行为权限集包括允许系统中行为主体执行的至少一个行为动作。

在本发明实施例中，为了初步对敏感行为进行识别，可以设置基本行为权限集，并在检测到敏感行为发生时，获取该基本行为权限集，以便在后续基于该基本行为权限集对该敏感行为进行识别。

102、如果基本行为权限集中不包括敏感行为，则确定请求执行敏感行为的目标行为主体，对目标行为主体的行为流程进行追溯，确定目标行为主体发起敏感行为的发起方式，发起方式至少为主动发起或被动发起中的任一个。

在本发明实施例中，如果基本行为权限集中不包括敏感行为，则可能目前基本行为权限集中尚未收录该敏感行为，此时需要继续对敏感行为进行识别，因此，确定请求执行敏感行为的目标行为主体，对目标行为主体的行为流程进行追溯，确定目标行为主体发起敏感行为的发起方式，从而根据该敏感行为的发起方式来对该敏感行为进行识别。

103、如果目标行为主体发起敏感行为的发起方式为主动发起，则获取目标行为主体的目标行为权限集。

在本发明实施例中，如果目标行为主体发起敏感行为的发起方式为主动发起，则表示此时可能是用户操控行为主体执行的，无法确定该敏感行为是否违法，因此，获取该目标行为主体的目标行为权限集，并基于该目标行为权限集确定该行为主体是否可以执行该敏感行为。

104、如果目标行为权限集中包括敏感行为，则允许目标行为主体执行敏感行为。

在本发明实施例中，如果目标行为权限集中包括敏感行为，则表示该敏感行为是允许该目标行为主体执行的，因此，允许目标行为主体执行敏感行为。

本发明实施例提供的方法，可以当检测到敏感行为发生时，基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别，防止攻击者利用行为主体对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好。

本发明实施例提供了一种基于行为的服务识别方法，可以在基于进程名单对目标行为主体无法识别时，通过对目标行为主体的行为流程进行追溯，确定目标行为主体的发起方式，来进一步对目标行为主体进行识别，达到防止攻击者利用进程名单之外的服务进程对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好的目的，如图2所示，该方法包括：

201、当检测到敏感行为发生时，获取基本行为权限集，基本行为权限集包括允许系统中行为主体执行的至少一个行为动作，如果基本行为权限集中包括敏感行为，则执行下述步骤202；如果基本行为权限集中不包括敏感行为，则执行下述步骤203。

发明人认识到，行为主体启动后执行的行为动作通常是固定的，也即该行为主体为用户提供服务时所依赖的行为动作是固定的，一个行为主体并不会在正常的运行中请求执行之前从未执行过的行为动作，因此，为了对行为主体的行为动作进行限制，避免行为主体执行不该执行的行为动作，实现对攻击者的恶意行为的识别，本发明实施例设置了基本行为权限集，并基于该基本行为权限集规定系统中的行为主体可执行的行为动作，进而对行为主体的运行进行约束。这样，当检测到敏感行为发生时，便可以获取该基本行为权限集，并通过确定该基本行为权限集中是否包括敏感行为来实现对敏感行为的识别。

具体地，如果基本行为权限集中包括敏感行为，则表示该敏感行为是合法的，是允许执行的，也即执行下述步骤202；如果基本行为权限集中不包括敏感行为，则表示该基本行为权限集中尚未收录该敏感行为，需要进一步地对该敏感行为进行识别，也即执行下述步骤203。

202、如果基本行为权限集中包括敏感行为，则允许目标行为主体执行敏感行为。

在本发明实施例中，如果基本行为权限集中包括敏感行为，则表示该敏感行为是合法的，是允许执行的，因此，允许目标行为主体执行敏感行为。

203、如果基本行为权限集中不包括敏感行为，则确定请求执行敏感行为的目标行为主体，对目标行为主体的行为流程进行追溯，确定目标行为主体发起敏感行为的发起方式，如果目标行为主体发起敏感行为的发起方式为被动发起，则执行下述步骤204；如果目标行为主体发起敏感行为的发起方式为主动发起，则执行下述步骤205。

在本发明实施例中，如果基本行为权限集中不包括敏感行为，则表示该基本行为权限集中尚未收录该敏感行为，需要进一步地对该敏感行为进行识别。为了使操作系统在检测到敏感行为时，可以确定当前请求执行敏感行为的行为主体是哪一个，可以对敏感行为的来源进行追溯，确定发起该敏感行为的行为主体作为目标行为主体。

由于通常来说一个目标行为主体主动发起行为的话，那么该目标行为主体一般是由人为操作发起的，例如，用户下发一个指令，并通过指令来请求执行目标行为主体；一个目标行为主体是被动发起的话，那么该目标行为主体一般可能是应用程序发起的，且由于攻击者是不具有下发指令的权限的，因此，很可能是攻击者利用操作系统中的漏洞，操纵目标行为主体被动发起的，这样，如果基于基本行为权限集无法对目标行为主体进行识别，则可以通过对目标行为主体的行为流程进行追溯，确定该目标行为主体发起敏感行为的发起方式，并基于发起方式来实现对目标行为主体的识别。

其中，发起方式可为主动发起或被动发起。主动发起也即用户通过下发指令发起的，这样，发起方式为主动发起的目标行为主体是允许执行的；被动发起也即应用程序自身请求执行的，很有可能是攻击者操纵应用程序实现的，这样，发起方式为被动发起的目标行为主体是禁止执行的。具体地，在确定目标行为主体的发起方式时，可以通过下述步骤一至步骤二实现。

步骤一、获取进程调用链，基于进程调用链，确定目标行为主体的行为流程指示的目标对象。

其中，进程调用链包括目标行为主体被调用的过程，目标对象为控制目标行为主体下发进程执行请求的对象。由于不同发起方式的服务进程的来源是不同的，因此，在确定目标行为主体的发起方式时，可以通过对目标行为主体的行为流程进行追溯，确定目标行为主体的行为流程指示的目标对象，从而确定目标行为主体执行的敏感行为来自于哪一个对象，并将这个对象作为目标对象，以便后续根据目标对象来确定目标行为主体的发起方式。

其中，由于发起方式可为主动发起和被动发起，因此，目标对象可以划分为执行指令和应用程序。具体地，如果目标对象为执行指令，则表示该目标行为主体是通过用户下发指令才请求执行的，因此，可将发起方式确定为主动发起；如果目标对象为应用程序，则表示该目标行为主体是应用程序自行请求执行的，因此，可将发起方式确定为被动发起。例如，设通过获取进程调用链，可以向上追溯到该目标行为主体的目标对象是explorer.exe(搜索)进程，且explorer.exe进程只能由用户操作才可以请求执行某一项任务，因此可以确认是人为主动发起的，也即该目标行为主体的发起方式为主动发起。

步骤二、当目标对象为执行指令时，则确定目标行为主体发起敏感行为的发起方式为主动发起。

当目标对象为执行指令时，确定目标行为主体是由用户下发执行指令才请求执行敏感行为的，因此，确定目标行为主体发起敏感行为的发起方式为主动发起。

步骤三、当目标对象为应用程序时，则确定目标行为主体发起敏感行为的发起方式为被动发起。

当目标对象为应用程序时，确定目标行为主体执行敏感行为是由应用程序请求执行的，因此，确定目标行为主体发起敏感行为的发起方式为被动发起。

通过执行上述步骤一至步骤二中所示的过程，便可以确定该目标行为主体执行敏感行为的发起方式，

如果该目标行为主体执行敏感行为的发起方式为被动发起，则表示该目标行为主体执行敏感行为是应用程序请求执行的，很可能是攻击者操纵应用程序发送的，该目标行为主体执行敏感行为是禁止执行的，也即执行下述步骤204。如果该目标行为主体执行敏感行为的发起方式为主动发起，则表示该目标行为主体执行敏感行为是由用户发起的，并不是攻击者操纵的，该目标行为主体执行敏感行为需要进一步地进行识别，也即执行下述步骤205。

204、如果目标行为主体发起敏感行为的发起方式为被动发起，则禁止目标行为主体执行敏感行为。

在本发明实施例中，如果目标行为主体的发起方式为被动发起，则表示该目标行为主体很可能是攻击者操纵应用程序发送的，该目标行为主体执行敏感行为是禁止执行的，因此，需要禁止该目标行为主体执行，并继续接收其他的进程执行请求。

205、如果目标行为主体发起敏感行为的发起方式为主动发起，则获取目标行为主体的目标行为权限集，如果目标行为权限集中包括敏感行为，则执行下述步骤206；如果目标行为权限集中不包括敏感行为，则执行下述步骤207。

在本发明实施例中，如果目标行为主体发起敏感行为的发起方式为主动发起，则表示该目标行为主体执行敏感行为是由用户发起的，并不是攻击者操纵的，该目标行为主体执行敏感行为需要进一步地进行识别。由于操作系统中每个行为主体都存在对应的行为权限集，因此，获取目标行为主体的目标行为权限集，并基于该目标行为权限集继续对该敏感行为进行识别。

其中，在为行为主体设置行为权限集时，可以启动目标行为主体，以便获取目标行为主体的至少一个服务行为，进而基于至少一个服务行为为目标程序生成权限集。其中，为了实现对目标行为主体的服务行为进行采集，可以基于采集行为程序采集。这样，当启动了目标行为主体后，便将行为采集程序也启动，使得该行为采集程序对目标行为主体启动后的全部服务行为进行监控并采集，行为采集程序具体可为hook(钩子)程序。在实际应用的过程中，为了使采集到的服务行为的数量具有说服力，且不至于数量过多造成操作系统的负载过重，可以设置采集周期，仅采集目标行为主体在采集周期中执行的服务行为即可，并根据在采集周期中采集到的服务行为在后续为目标行为主体生成权限集。例如，采集周期可为7天，这样，采集目标服务周期在7天内的服务行为即可。当采集到目标行为主体的至少一个服务行为后，便可以将至少一个服务行为存储，从而生成权限集。其中，在生成权限集时，为了保证每个行为主体的权限集的格式是一致的，便于对权限集进行管理，可以设置预设模板，并按照预设模板对至少一个服务行为进行整理，从而生成包括至少一个服务行为，且格式满足预设模板要求的权限集。在生成了该目标行为主体的权限集中，由于操作系统中的每一个行为主体均存在对应的权限集，这样，便会存在大量的权限集。为了对权限集进行管理，避免行为主体与权限集之间的对应关系混淆，从而造成后续对服务行为的识别发生错误，在生成了权限集后，可提取目标行为主体的主体标识，并将主体标识与权限集对应存储，从而保证每一个行为主体与其对应的权限集之间的对应关系是清晰的。在实际应用的过程中，在生成了权限集后，还可以采用主体标识对权限集进行标记，从而实现将目标行为主体与权限集之间相互对应。

这样，在获取目标行为权限集时，首先，获取目标行为主体的主体标识；随后，确定主体标识指示的行为权限集作为目标行为权限集，并获取目标行为权限集。

如果目标行为权限集中包括敏感行为，则表示该敏感行为包括在该目标行为主体可执行的行为动作范围内，因此，允许目标行为主体执行敏感行为，也即执行下述步骤206；如果目标行为权限集中不包括敏感行为，则表示该敏感行为不包括在该目标行为主体可执行的行为动作范围内，因此，禁止目标行为主体执行敏感行为，也即执行下述步骤207。

206、如果目标行为权限集中包括敏感行为，则允许目标行为主体执行敏感行为。

在本发明实施例中，如果目标行为权限集中包括敏感行为，则表示该敏感行为包括在该目标行为主体可执行的行为动作范围内，因此，允许目标行为主体执行敏感行为。

207、如果目标行为权限集中不包括敏感行为，则禁止目标行为主体执行敏感行为。

在本发明实施例中，如果目标行为权限集中不包括敏感行为，则表示该敏感行为不包括在该目标行为主体可执行的行为动作范围内，因此，禁止目标行为主体执行敏感行为。

在实际应用的过程中，考虑到有些恶意行为被大量接收到，因此，还可以利用大数据技术收集并定义一些恶意行为，例如修改系统启动项行为，并在基于进程名单对待执行服务识别失败时，先基于收集到的恶意行为进行识别，如果基于收集到的恶意行为确定该目标行为主体的敏感行为为恶意行为，则直接进行该目标行为主体的敏感行为进行拦截；如果基于收集到的恶意行为无法确定该目标行为主体的敏感行为是否为恶意行为，则继续执行上述步骤201中所示的方式对目标行为主体的敏感行为进行识别。

本发明实施例提供的方法，当检测到敏感行为发生时，基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别，防止攻击者利用行为主体对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好。

进一步地，作为图1方法的具体实现，本发明实施例提供了一种基于行为的服务识别装置，如图3a所示，装置包括：第一获取模块301，确定模块302，第二获取模块303和执行模块304。

该第一获取模块301，用于当检测到敏感行为发生时，获取基本行为权限集，基本行为权限集包括允许系统中行为主体执行的至少一个行为动作；

该确定模块302，用于如果基本行为权限集中不包括敏感行为，则确定请求执行敏感行为的目标行为主体，对目标行为主体的行为流程进行追溯，确定目标行为主体发起敏感行为的发起方式，发起方式至少为主动发起或被动发起中的任一个；

该第二获取模块303，用于如果目标行为主体发起敏感行为的发起方式为主动发起，则获取目标行为主体的目标行为权限集；

该执行模块304，用于如果目标行为权限集中包括敏感行为，则允许目标行为主体执行敏感行为。

在具体的应用场景中，如图3b所示，确定模块302，具体包括：第一确定子模块3021，获取子模块3022，第二确定子模块3023和第三确定子模块3024。

该第一确定子模块3021，用于如果基本行为权限集中不包括敏感行为，则对敏感行为的来源进行追溯，确定发起敏感行为的目标行为主体；

该获取子模块3022，用于获取进程调用链，基于进程调用链，确定目标行为主体的行为流程指示的目标对象，进程调用链包括目标行为主体被调用的过程，目标对象为控制目标行为主体下发进程执行请求的对象；

该第二确定子模块3023，用于当目标对象为执行指令时，则确定目标行为主体发起敏感行为的发起方式为主动发起；

该第三确定子模块3024，用于当目标对象为应用程序时，则确定目标行为主体发起敏感行为的发起方式为被动发起。

在具体的应用场景中，如图3c所示，该第二获取模块303，包括：获取子模块3031和确定子模块3032。

该获取子模块3031，用于如果目标行为主体发起敏感行为的发起方式为主动发起，则获取目标行为主体的主体标识；

该确定子模块3032，用于确定主体标识指示的行为权限集作为目标行为权限集，并获取目标行为权限集。

在具体的应用场景中，该执行模块304，还用于如果基本行为权限集中包括敏感行为，则允许目标行为主体执行敏感行为。

在具体的应用场景中，如图3d所示，该装置还包括禁止模块305。

该禁止模块305，用于如果目标行为主体发起敏感行为的发起方式为被动发起，则禁止目标行为主体执行敏感行为；或，如果目标行为权限集中不包括敏感行为，则禁止目标行为主体执行敏感行为。

本发明实施例提供的装置，可以当检测到敏感行为发生时，基于基本行为权限集、敏感行为的发起方式以及执行敏感行为的行为主体的目标行为权限集逐一对该敏感行为进行识别，防止攻击者利用行为主体对操作系统进行攻击，避免攻击者对操作系统造成重大破坏，操作系统的安全性较好。

需要说明的是，本发明实施例提供的一种基于行为的服务识别装置所涉及各功能单元的其他相应描述，可以参考图1和图2中的对应描述，在此不再赘述。

在示例性实施例中，参见图4，还提供了一种设备，该设备400包括通信总线、处理器、存储器和通信接口，还可以包括、输入输出接口和显示设备，其中，各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序，处理器，用于执行存储器上所存放的程序，执行上述实施例中的基于行为的服务识别方法。

一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的基于行为的服务识别方法的步骤。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本申请所必须的。

本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本申请序号仅仅为了描述，不代表实施场景的优劣。

以上公开的仅为本申请的几个具体实施场景，但是，本申请并非局限于此，任何本领域的技术人员能思之的变化都应落入本申请的保护范围。