终端设备系统防护方法及装置与流程

本发明涉及安全技术领域，特别是涉及一种终端设备系统防护方法及装置。

背景技术：

随着互联网技术的高速发展，为了方便用户的生活和工作，越来越多的应用程序出现并被广泛应用到终端设备上。因此，为了避免终端设备数据泄露，造成用户财产损失，终端设备系统安全变防护变得越来越重要。通常可以通过预先配置权限的方式对终端设备系统进行防护，即预先为应用程序配置对应的行为权限，然后利用预先配置的行为权限判别应用程序的操作行为是否越权，进而判断终端设备系统是否存在安全威胁。

目前，在进行终端设备系统防护时，通常为每个应用程序配置各自对应的行为权限。然而，应用程序数量较大，若通过上述方式配置行为权限，会造成配置工作量较大，系统防护成本较高。且容易出现某些应用程序的行为权限配置遗漏或者新出现应用程序行为权限配置不及时的情况，造成终端设备系统存在安全风险，导致终端设备系统的安全性较低。因此，提出一种新的终端设备系统防护方式已成为终端设备安全领域亟待解决的技术问题。

技术实现要素：

有鉴于此，本发明提供一种终端设备系统防护方法及装置，主要目的在于能够实现利用所述最小行为规则对应用程序的操作行为进行安全检测，无需为每个应用程序配置各自对应的行为权限，从而能够减少工作量，节省终端设备系统防护成本，避免遗漏应用程序的行为权限配置，并且能够对未知应用程序的操作行为进行安全检测，提升终端设备系统的安全性。

依据本发明第一方面，提供了一种终端设备系统防护方法，包括：

获取批量应用程序对终端设备操作的行为日志信息；

对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。

依据本发明第二方面，提供了一种终端设备系统防护装置，包括：

获取单元，用于获取批量应用程序对终端设备操作的行为日志信息；

分析单元，用于对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

生成单元，用于根据所述共性行为生成最小行为规则；

检测单元，用于利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测。

依据本发明第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

获取批量应用程序对终端设备操作的行为日志信息；

对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。

依据本发明第四方面，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：

获取批量应用程序对终端设备操作的行为日志信息；

对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。

本发明提供一种终端设备系统防护方法及装置，与目前为每个应用程序配置各自对应的行为权限相比，本发明通过获取批量应用程序对终端设备操作的行为日志信息；并对所述行为日志信息进行分析，能够得到所述批量应用程序的共性行为。与此同时，能够根据所述共性行为生成最小行为规则，从而能够实现利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测，无需为每个应用程序配置各自对应的行为权限，进而能够减少工作量，节省终端设备系统防护成本，避免遗漏应用程序的行为权限配置并且能够对未知应用程序的操作行为进行安全检测，提升终端设备系统的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种终端设备系统防护方法的流程示意图；

图2示出了本发明实施例提供的另一种终端设备系统防护方法的流程示意图；

图3示出了本发明实施例提供的一种终端设备系统防护装置的结构示意图；

图4示出了本发明实施例提供的另一种终端设备系统防护装置的结构示意图；

图5示出了本发明实施例提供的一种计算机设备的实体结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如背景技术所述，目前通常为每个应用程序配置各自对应的行为权限。然而，应用程序数量较大，若通过上述方式配置行为权限，会造成配置工作量较大，系统防护成本较高。且容易出现某些应用程序的行为权限配置遗漏或者新出现应用程序行为权限配置不及时的情况，造成终端设备系统存在安全风险，导致终端设备系统的安全性较低。因此，提出一种新的终端设备系统防护方式已成为终端设备安全领域亟待解决的技术问题。

为了解决上述技术问题，本发明实施例提供了一种终端设备系统防护方法，如图1所示，所述方法包括：

101、获取批量应用程序对终端设备操作的行为日志信息。

需要说明的是，本发明实施例的执行主体可以为服务器，为了获取所述行为日志信息，终端设备系统平台上可以运行批量的应用程序，并针对批量应用程序对系统平台操作的批量行为设置监控权限，当批量行为发生以后，终端设备可以记录这些批量行为的行为日志信息并上传给所述服务器。为了提升监控效率，可以按照行为类型针对批量应用程序对系统平台操作的批量行为设置监控权限。

其中，所述批量应用程序对终端设备操作的行为可以包括读文件行为、写文件行为、重命名文件行为、启动进程行为、停止进程行为、关闭进程行为、注入进程行为、调起进程的线程行为、读注册表行为、写注册表行为、重命名注册表行为、访问域名的网络行为、访问目标的网络行为、访问协议的网络行为、建立连接的网络行为、安装驱动行为、卸载驱动行为等。

102、对所述行为日志信息进行分析，得到所述批量应用程序的共性行为。

其中，所述共性行为可以为具有共性特征的行为。因此，对所述行为日志信息进行分析的过程可以为：从所述行为日志信息中提取所述批量应用程序具有共性特征的行为；将所述具有共性特征的行为确定为所述批量应用程序的共性行为。例如，若从所述行为日志信息中提取出所述批量应用程序的共性特征为读取应用程序自己目录下的文件，则读取应用程序自己目录下的文件为所述批量应用程序的共性行为。又例如，若从所述行为日志信息中提取所述批量应用程序的共性特征为将驱动安装到自己所在的目录下，则所述批量应用程序的共性行为为将驱动安装到自己所在的目录下。

103、根据所述共性行为生成最小行为规则。

对于本发明实施例，，所述最小行为规则可以用于对应用程序对所述终端设备操作的行为进行安全检测，所述最小行为规则可以为对应用程序的操作行为进行描述的规则，具体地，可以将所述共性行为描述为安全行为，并将与所述安全行为匹配的操作行为描述为安全行为；将与所述共性行为相对应的个性行为描述为危险行为，并将与所述危险行为匹配的操作行为描述为危险行为。具体地，可以将所述最小行为规则发送给终端设备，使得所述终端设备通过将应用程序的操作行为与所述最小行为规则进行匹配的方式进行安全检测。

此外，所述最小行为规则还可以为不同黑白行为规则的组合，所述最小行为规则可以包括文件行为黑白规则、进程行为黑白规则、网络行为黑白规则、注册表行为黑白规则、驱动行为黑白规则。所述文件行为黑白规则可以为将所述文件共性行为描述为白文件行为，并将与所述白文件行为匹配的文件行为描述为安全文件行为；将与所述文件共性行为相对应的文件个性行为描述为黑文件行为，并将与所述黑文件行为匹配的文件行为描述为危险文件行为。同理，其他行为黑白规则也可以按照上述方式进行设定。

本发明实施例提供的一种终端设备系统防护方法，与目前为每个应用程序配置各自对应的行为权限相比，本发明实施例通过获取批量应用程序对终端设备操作的行为日志信息；并对所述行为日志信息进行分析，能够得到所述批量应用程序的共性行为。与此同时，能够根据所述共性行为生成最小行为规则，从而能够实现利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测，无需为每个应用程序配置各自对应的行为权限，进而能够减少工作量，节省终端设备系统防护成本，避免遗漏应用程序的行为权限配置，并且能够对未知应用程序的操作行为进行安全检测，提升终端设备系统的安全性。

进一步的，为了更好的说明上述终端设备系统防护的过程，作为对上述实施例的细化和扩展，本发明实施例提供了另一种终端设备系统防护方法，如图2所示，但不限于此，具体如下所示：

201、获取批量应用程序对终端设备操作的行为日志信息。

其中，本发明实施例的执行主体可以为服务器，为了提升所述批量应用程序的共性行为的分析效率，所述步骤201具体可以包括：获取批量应用程序根据行为类型对终端设备操作的行为日志信息。所述行为类型包括但不限于：文件行为类型、进程行为类型、网络行为类型、驱动行为类型、注册表行为类型。所述行为日志信息可以为终端设备上传给所述服务器的，所述终端设备可以预先针对不同行为类型分别设定相应的监控权限，当监控权限的行为发生时，终端设备会自动将所述行为的相关行为信息上传给所述服务器。例如，针对文件行为类型设定“重命名”的监控权限，当发生文件“重命名”的行为时，文件“重命名”的行为的相关行为信息会自动上传给所述服务器。针对注册表行为类型设定“读”的监控权限，当发生注册表“读”的行为时，注册表“读”的行为的相关行为信息会自动上传给所述服务器。针对进程行为类型设定“启动”的监控权限，当发生进程“启动”的行为时，进程“启动”的行为的相关行为信息会自动上传给所述服务器。针对驱动行为类型设定“安装”的监控权限，当发生驱动“安装”的行为时驱动“安装”的行为的相关行为信息会自动上传给所述服务器。针对网络行为类型设定“访问域名”的监控权限，当发生“访问域名”的行为时“访问域名”的相关行为信息会自动上传给所述服务器。

202、对所述行为日志信息进行分析，得到所述批量应用程序的共性行为。

对于本发明实施例，所述步骤202具体可以包括：从所述行为日志信息中提取所述批量应用程序具有共性特征的行为；将所述具有共性特征的行为确定为所述批量应用程序的共性行为。

在具体应用场景中，所述具有共性特征的行为可以为具有相同行为路径规则的行为，所述从所述行为日志信息中提取所述批量应用程序具有共性特征的行为的步骤可以包括：从所述行为日志信息中提取所述批量应用程序具有相同行为路径规则的行为；将所述具有相同行为路径规则的行为确定为所述批量应用程序具有共性特征的行为。其中，所述相同行为路径规则可以为根据自己目录路径进行操作的规则，例如，行为路径规则可以为读取应用程序自己目录下的文件，或者安装驱动的路径为将驱动安装到应用程序自己目录下。例如，若应用程序a读取自己目录下的文件，应用程序b读取自己目录下的文件，应用程序c读取自己目录下的文件，则读取文件的行为路径规则为应用程序读取自己目录下的文件。

在具体应用场景中，所述具有共性特征的行为可以为具有相同栈特征调用规则的行为，所述从所述行为日志信息中提取所述批量应用程序具有共性特征的行为的步骤可以包括：从所述行为日志信息中提取所述批量应用程序具有相同栈特征调用规则的行为；将所述具有相同栈特征调用规则的行为确定为所述批量应用程序具有共性特征的行为。

由于终端设备系统开发商在开发系统时，通常会设定用户合法使用终端设备的各种行为，当用户在合法使用终端设备时，通常会采用键盘或者鼠标等主动行为方式操作终端设备，主动行为会按照终端设备的系统设定方式或者调用规则进行系统调用，因此，所述相同栈特征调用规则可以为主动行为的栈特征调用规则，即采用键盘或者鼠标的方式操作终端设备的规则，所述主动行为的栈特征调用规则可以为栈特征中存在特定系统功能函数，所述特定系统功能函数可以为主动行为调用的系统功能函数或者对应的接口序列，具体可以为消息派发相关的系统功能函数，或者其他主动行为时调用的相关系统功能函数，所述消息派发相关的系统功能函数可以为包括getmessage函数、translatemessage函数、dispatchmessage函数等。所述其他主动操作时调用的系统功能函数可以包括：shell32！cdeffoldermenu::invokecommand函数、ifileopendialog接口相关的函数、ifilesavedialog接口相关的函数、dragqueryfile接口相关的函数等。通过相同栈特征调用规则可以从所述批量应用程序中提取出对终端设备而言的主动行为，通常主动行为为安全行为，而利用程序调用的被动行为为危险行为。

进一步地，为了更准确的找到具有共性特征的行为，所述栈特征调用规则具体可以为所述栈特征中存在特定系统功能函数，并且所述栈特征中特定系统功能函数所在的栈位置符合预设栈位置。或者所述栈特征调用规则具体可以为所述栈特征中存在特定系统功能函数，并且所述栈特征中特定系统功能函数的调用顺序符合预设调用顺序。其中，所述预设栈位置或者预设调用顺序可以为根据系统默认设置的，例如，若特定系统功能函数为getmessage函数，所述getmessage函数所在的预设栈位置可以为0x10。又例如，特定系统功能函数的预设调用顺序为：getmessage函数-translatemessage函数-dispatchmessage函数。

需要说明的是，对应于根据行为类型对终端设备操作的行为日志信息，所述步骤202具体可以包括：按照所述行为类型对所述行为日志信息进行分析，得到所述批量应用程序在不同行为类型下的行为；对在所述不同行为类型下的行为进行统计，得到所述批量应用程序在不同行为类型下的共性行为；对所述在不同行为类型下的共性行为统计，得到所述批量应用程序的共性行为。

具体地，当所述行为类型为文件行为类型时，按照文件行为类型对所述行为日志信息进行分析，可以得到所述批量应用程序在文件行为类型下的行为可以为：读文件行为、写文件行为、重命名文件行为。对读文件行为、写文件行为、重命名文件行为进行统计，可以得到文件行为类型下的共性行为可以为：读取应用程序自己目录下的文件，将文件写到应用程序自己所在的目录下，对应用程序自己目录下的文件进行重命名处理。当所述行为类型为进程行为类型时，按照进程行为类型对所述行为日志信息进行分析，可以得到所述批量应用程序在进程行为类型下的行为可以为：启动进程，停止进程，关闭进程，调起线程，注入进程。对启动进程，停止进程，关闭进程，调起线程，注入进程进行统计，可以得到进程行为类型下的共性行为可以为：启动其他的进程，停止其他的进程，关闭其他的进程，调起其他进程的线程，注入其他的进程。

同理地，可以得到网络行为类型下的共性行为可以为：访问域名、访问目标、访问协议、建立连接。注册表行为类型的共性行为可以为：读取本地系统注册表结构属于应用程序自己节点空间的内容，将内容写到地系统注册表结构属于应用程序自己节点空间，对地系统注册表结构属于应用程序自己的节点空间进行重命名处理。驱动行为类型的共性行为可以为：将驱动安装到系统文件夹下，卸载系统文件夹下的驱动。

203、将所述共性行为确定为安全行为，并将所述批量应用程序的个性行为确定为危险行为。

需求说明的是，所述个性行为具体可以为不同于共性行为的行为。例如，若共性行为为读取应用程序自己目录下的文件，则将读取应用程序自己目录下的文件的行为确定为安全行为，而将文件写到其他应用程序目录下的行为确定为危险行为。又例如，若共性行为为卸载应用程序自己目录下的驱动，则将卸载应用程序自己目录下的文件的行为确定为安全行为，而将卸载其他应用程序目录下的行为确定为危险行为。同理地，可以预先设定其他的安全行为或者危险行为。

204、根据所述安全行为和所述危险行为，生成最小行为权限集。

具体地，所述最小行为权限集可以包括最小安全行为权限集和最小危险行为权限集，所述最小安全行为权限集可以为所述安全行为的集合，用于检测出安全的应用程序操作行为，所述最小危险行为权限集可以为所述危险行为的集合，用于检测出危险的应用程序操作行为。

205、将所述最小行为权限集发送给所述终端设备。

其中，所述终端设备可以用于利用所述最小行为权限集对应用程序对所述终端设备操作的行为进行安全检测。所述终端设备进行安全检测的过程可以为：将应用程序的操作行为与所述最小行为权限集中的安全行为或者危险行为进行匹配，若所述操作行为与安全行为匹配，则确定所述操作行为为安全行为，则对所述操作行为进行放行处理，若所述操作行为与危险行为匹配，则确定所述操作行为为危险行为，则对所述操作行为进行阻止处理，若所述操作行为与安全行为不匹配，与危险行为也不匹配，则确定所述操作行为为未知行为，则将所述操作行为上传到服务器，由安全运维人员进行进一步的判断。

本发明实施例提供的另一种终端设备系统防护方法，与目前为每个应用程序配置各自对应的行为权限相比，本发明实施例通过获取批量应用程序对终端设备操作的行为日志信息；并对所述行为日志信息进行分析，能够得到所述批量应用程序的共性行为。与此同时，能够根据所述共性行为生成最小行为规则，从而能够实现利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测，无需为每个应用程序配置各自对应的行为权限，进而能够减少工作量，节省终端设备系统防护成本，避免遗漏应用程序的行为权限配置，并且能够对未知应用程序的操作行为进行安全检测，提升终端设备系统的安全性。

进一步地，作为图1的具体实现，本发明实施例提供了一种终端设备系统防护装置，如图3所示，所述装置包括：获取单元31、分析单元32、生成单元33和检测单元34。

所述获取单元31，可以用于获取批量应用程序对终端设备操作的行为日志信息。所述获取单元31是本装置中获取批量应用程序对终端设备操作的行为日志信息的功能模块。

所述分析单元32，用于对所述行为日志信息进行分析，得到所述批量应用程序的共性行为。所述分析单元32是本装置中对所述行为日志信息进行分析，得到所述批量应用程序的共性行为的主要功能模块。

所述生成单元33，用于根据所述共性行为生成最小行为规则。所述生成单元33是本装置中根据所述共性行为生成最小行为规则的主要功能模块。

所述检测单元34，用于利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测。所述检测单元34是本装置中利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测的功能模块，面向终端设备。

在具体应用场景中，所述分析单元32可以包括：提取模块321和确定模块，如图4所示。

所述提取模块321，可以用于从所述行为日志信息中提取所述批量应用程序具有共性特征的行为。

所述确定模块322，可以用于将所述具有共性特征的行为确定为所述批量应用程序的共性行为。

所述确定模块322，具体可以用于从所述行为日志信息中提取所述批量应用程序具有相同行为路径规则的行为；并将所述具有相同行为路径规则的行为确定为所述批量应用程序具有共性特征的行为。

所述确定模块322，具体还可以用于从所述行为日志信息中提取所述批量应用程序具有相同栈特征调用规则的行为；并将所述具有相同栈特征调用规则的行为确定为所述批量应用程序具有共性特征的行为。

所述生成单元33，具体可以用于将所述共性行为确定为安全行为，将所述批量应用程序的个性行为确定为危险行为，并根据所述安全行为和所述危险行为，生成最小行为权限集。

在具体应用场景中，所述装置还包括：发送单元，所述发送单元，可以用于将所述最小行为权限集发送给所述终端设备，以便所述终端设备利用所述最小行为权限集对应用程序对所述终端设备操作的行为进行安全检测。

对于本发明实施例，为了提升所述批量应用程序的共性行为的分析效率，所述获取单元31，具体可以用于获取批量应用程序根据行为类型对终端设备操作的行为日志信息。其中，所述行为类型包括但不限于：文件行为类型、进程行为类型、网络行为类型、驱动行为类型、注册表行为类型。

相应的，所述分析单元32，具体可以用于按照所述行为类型对所述行为日志信息进行分析，得到所述批量应用程序在不同行为类型下的行为；对在所述不同行为类型下的行为进行统计，得到所述批量应用程序在不同行为类型下的共性行为；对所述在不同行为类型下的共性行为统计，得到所述批量应用程序的共性行为。

需要说明的是，本发明实施例提供的一种终端设备系统防护装置所涉及各功能模块的其他相应描述，可以参考图1所示方法的对应描述，在此不再赘述。

基于上述如图1所示方法，相应的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：获取批量应用程序对终端设备操作的行为日志信息；对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。

基于上述如图1所示方法和如图3所示终端设备系统防护装置的实施例，本发明实施例还提供了一种计算机设备的实体结构图，如图5所示，该设备包括：处理器41、存储器42、及存储在存储器42上并可在处理器上运行的计算机程序，其中存储器42和处理器41均设置在总线43上所述处理器41执行所述程序时实现以下步骤：获取批量应用程序对终端设备操作的行为日志信息；对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。该设备还包括：总线43，被配置为耦接处理器41及存储器42。

本发明实施例还提供如下技术方案：

a1、一种终端设备系统防护方法，包括：

获取批量应用程序对终端设备操作的行为日志信息；

对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

根据所述共性行为生成最小行为规则，所述最小行为规则用于对应用程序对所述终端设备操作的行为进行安全检测。

a2、如a1所述的方法，所述对所述行为日志信息进行分析，得到所述批量应用程序的共性行为，包括：

从所述行为日志信息中提取所述批量应用程序具有共性特征的行为；

将所述具有共性特征的行为确定为所述批量应用程序的共性行为。

a3、如a2所述的方法，所述从所述行为日志信息中提取所述批量应用程序具有共性特征的行为，包括：

从所述行为日志信息中提取所述批量应用程序具有相同行为路径规则的行为；

将所述具有相同行为路径规则的行为确定为所述批量应用程序具有共性特征的行为。

a4、如a2所述的方法，所述从所述行为日志信息中提取所述批量应用程序具有共性特征的行为，包括：

从所述行为日志信息中提取所述批量应用程序具有相同栈特征调用规则的行为；

将所述具有相同栈特征调用规则的行为确定为所述批量应用程序具有共性特征的行为。

a5、如a1所述的方法，所述根据所述共性行为生成最小行为规则，包括：

将所述共性行为确定为安全行为，并将所述批量应用程序的个性行为确定为危险行为；

根据所述安全行为和所述危险行为，生成最小行为权限集。

a6、如a5所述的方法，所述根据所述安全行为和所述危险行为，生成最小行为权限集之后，所述方法还包括：

将所述最小行为权限集发送给所述终端设备，以便所述终端设备利用所述最小行为权限集对应用程序对所述终端设备操作的行为进行安全检测。

a7、如a1-a6任一项所述的方法，所述获取批量应用程序对终端设备操作的行为日志信息，包括：

获取批量应用程序根据行为类型对终端设备操作的行为日志信息；

所述对所述行为日志信息进行分析，得到所述批量应用程序的共性行为，包括：

按照所述行为类型对所述行为日志信息进行分析，得到所述批量应用程序在不同行为类型下的行为；

对在所述不同行为类型下的行为进行统计，得到所述批量应用程序在不同行为类型下的共性行为；

对所述在不同行为类型下的共性行为统计，得到所述批量应用程序的共性行为。

a8、如a7所述的方法，所述行为类型包括但不限于：文件行为类型、进程行为类型、网络行为类型、驱动行为类型、注册表行为类型。

b9、一种终端设备系统防护装置，包括：

获取单元，用于获取批量应用程序对终端设备操作的行为日志信息；

分析单元，用于对所述行为日志信息进行分析，得到所述批量应用程序的共性行为；

生成单元，用于根据所述共性行为生成最小行为规则；

检测单元，用于利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测。

b10、如b9所述的装置，所述分析单元包括：

提取模块，用于从所述行为日志信息中提取所述批量应用程序具有共性特征的行为；

确定模块，用于将所述具有共性特征的行为确定为所述批量应用程序的共性行为。

b11、如b10所述的装置，

所述确定模块，具体用于从所述行为日志信息中提取所述批量应用程序具有相同行为路径规则的行为；并将所述具有相同行为路径规则的行为确定为所述批量应用程序具有共性特征的行为。

b12、如b10所述的装置，

所述确定模块，具体用于从所述行为日志信息中提取所述批量应用程序具有相同栈特征调用规则的行为；并将所述具有相同栈特征调用规则的行为确定为所述批量应用程序具有共性特征的行为。

b13、如b9所述的装置，

所述生成单元，具体用于将所述共性行为确定为安全行为，将所述批量应用程序的个性行为确定为危险行为，并根据所述安全行为和所述危险行为，生成最小行为权限集。

b14、如b13所述的装置，所述装置还包括：

发送单元，用于将所述最小行为权限集发送给所述终端设备，所述终端设备用于利用所述最小行为权限集对应用程序对所述终端设备操作的行为进行安全检测。

b15、如b9-b14任一项所述的装置，

所述获取单元，具体用于获取批量应用程序根据行为类型对终端设备操作的行为日志信息；

所述分析单元，具体用于按照所述行为类型对所述行为日志信息进行分析，得到所述批量应用程序在不同行为类型下的行为；对在所述不同行为类型下的行为进行统计，得到所述批量应用程序在不同行为类型下的共性行为；对所述在不同行为类型下的共性行为统计，得到所述批量应用程序的共性行为。

b16、如b15任一项所述的装置，所述行为类型包括但不限于：文件行为类型、进程行为类型、网络行为类型、驱动行为类型、注册表行为类型。

c17、一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求a1至a8中任一项所述的方法的步骤。

d18、一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现权利要求a1至a8中任一项所述方法的步骤。

通过本发明的技术方案，通过获取批量应用程序对终端设备操作的行为日志信息；并对所述行为日志信息进行分析，能够得到所述批量应用程序的共性行为。与此同时，能够根据所述共性行为生成最小行为规则，从而能够实现利用所述最小行为规则对应用程序对所述终端设备操作的行为进行安全检测，无需为每个应用程序配置各自对应的行为权限，进而能够减少工作量，节省终端设备系统防护成本，避免遗漏应用程序的行为权限配置，并且能够对未知应用程序的操作行为进行安全检测，提升终端设备系统的安全性。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的终端设备系统防护装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。