1.本发明涉及信息安全
技术领域:
:,尤其涉及一种恶意软件的检测方法、装置和设备。
背景技术:
::2.目前,大量的恶意软件在未经用户许可的情况下,在用户设备上安装和运行,侵犯用户合法权益,并时刻威胁着终端用户的信息和财产安全,对用户及设备造成安全威胁。3.现有技术中,在不运行软件代码的情况下,利用反编译工具将软件转换成可读的文本文件,进而检测其是否为恶意软件;但是反编译过程中会产生大量且不必要的中间文件,增加大量不必要的磁盘读写操作;在海量软件需要进行检测的背景下,反编译过程会耗费大量的时间,导致恶意软件检测效率低,无法满足大规模软件场景下的恶意软件快速检测的需求。技术实现要素:4.针对现有技术中的问题,本发明实施例提供一种恶意软件的检测方法、装置和设备。5.具体地,本发明实施例提供了以下技术方案:6.第一方面,本发明实施例提供了一种恶意软件的检测方法,包括:7.基于目标软件的安装包,提取所述目标软件的第一特征信息和第二特征信息;所述第一特征信息用于表示软件的静态属性信息;所述第二特征信息用于表示软件的指令信息;8.分别将所述第一特征信息和所述第二特征信息进行向量转换,并将转换后的向量进行拼接得到所述目标软件的特征向量;9.根据所述特征向量利用训练后的检测模型,获取所述目标软件的检测结果,所述检测结果用于表示所述目标软件是否为恶意软件。10.进一步地,分别将所述第一特征信息和所述第二特征信息进行向量转换,并将转换后的向量进行拼接得到所述目标软件的特征向量,包括:11.将所述第一特征信息进行哈希处理,获取数值向量;12.将所述第二特征信息进行向量转换,得到直方图向量;13.将所述数值向量和所述直方图向量进行拼接得到所述特征向量。14.进一步地,所述第一特征信息包括:第一属性信息和url信息;所述第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息。15.进一步地,所述第二特征信息包括:字节码序列,所述将所述第二特征信息进行向量转换,得到直方图向量,包括:16.获取字节码序列中的操作码,建立直方图;直方图中包括至少一类操作码以及各类操作码的出现次数;17.将直方图进行向量表示得到直方图向量。18.进一步地,所述方法包括:19.利用正则表达式提取url信息,将所述url信息确定为所述第一特征信息。20.进一步地,所述基于目标软件的安装包,提取所述目标软件的第一特征信息和第二特征信息,包括:21.从所述安装包的清单文件和可执行文件中提取所述第一特征信息;从所述可执行文件中提取所述第二特征信息。22.进一步地,所述方法还包括:23.建立提升树模型;24.利用训练数据对所述提升树模型进行训练,得到所述检测模型;所述训练数据包括:多个软件的特征向量以及各个所述软件是否为恶意软件的标签。25.进一步地,所述目标软件包括安卓软件。26.第二方面,本发明实施例还提供了一种恶意软件的检测装置,包括:27.提取模块,用于基于目标软件的安装包,提取所述目标软件的第一特征信息和第二特征信息;所述第一特征信息用于表示软件的静态属性信息;所述第二特征信息用于表示软件的指令信息;28.转换模块,用于分别将所述第一特征信息和所述第二特征信息进行向量转换,并将转换后的向量进行拼接得到所述目标软件的特征向量;29.检测模块,根据所述特征向量利用训练后的检测模型,获取所述目标软件的检测结果,所述检测结果用于表示所述目标软件是否为恶意软件。30.第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述恶意软件的检测方法的步骤。31.第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述恶意软件的检测方法的步骤。32.第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述恶意软件的检测方法的步骤。33.本发明实施例提供的恶意软件的检测方法、装置和设备,通过从软件的安装包中提取用于表示软件的静态属性信息的第一特征信息和用于表示软件的指令信息的第二特征信息,避免了传统的反编译方法中需要生成大量的中间文件而导致耗时过长的问题,极大地提升了特征信息的提取速度;然后,分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接后输入检测模型,就可以高效地实现恶意软件的检测。附图说明34.为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。35.图1是本发明实施例提供的恶意软件的检测方法的流程示意图;36.图2是本发明实施例提供的恶意软件的检测方法的另一流程示意图;37.图3是本发明实施例提供的恶意软件的检测装置的结构示意图;38.图4是本发明实施例提供的电子设备的结构示意图。具体实施方式39.为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。40.本发明实施例的方法可以应用于信息安全场景中,高效地实现了恶意软件的检测。41.本发明实施例的方法可以应用于安卓系统,目前安卓占据了全球移动终端73%的市场份额,有着超过30亿安卓活跃设备。移动终端的安卓应用商店提供几百万个软件,而其中约1%左右的软件可能是恶意软件。42.相关技术中,在不运行软件代码的情况下,利用反编译工具将软件转换成可读的文本文件,进而检测其是否为恶意软件;但是反编译过程中会产生大量且不必要的中间文件,增加大量不必要的磁盘读写操作;在海量软件需要进行检测的背景下,反编译过程会耗费大量的时间,导致恶意软件检测效率低,无法满足大规模软件场景下的恶意软件快速检测的需求。43.本发明实施例的恶意软件的检测方法,通过从软件的安装包中提取用于表示软件的静态属性信息的第一特征信息和用于表示软件的指令信息的第二特征信息,避免了传统的反编译方法中需要生成大量的中间文件而导致耗时过长的问题,极大地提升了特征信息的提取速度;然后,分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接后输入检测模型,就可以高效地实现恶意软件的检测。44.下面以安卓恶意软件的检测方法为例,结合图1-图4以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。45.图1是本发明实施例提供的恶意软件的检测方法一实施例的流程示意图。如图1所示,本实施例提供的方法,包括:46.步骤101、基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息;第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;其中,第一特征信息包括:第一属性信息和url信息;第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息。47.具体的,目标软件可以是安卓软件,例如,系统软件,或者应用程序软件等其它软件,本发明实施例不作限定。其中,安卓软件的安装包以安卓软件包(androidpackage,apk)作为扩展名,apk中包含的二进制文件都以特定的格式约束存在,因此可从apk压缩包中解压缩而来的二进制文件直接获取表示该软件的特征信息;传统方式是通过利用反编译工具将可执行文件转换成可读的文本文件获取表示该软件的特征信息,需要生成大量且不必要的中间文件而导致增加了大量不必要的磁盘磁盘读写操作及文本处理,严重拖慢了特征信息提取的速度;相较于传统的反编译方法,通过直接从安装包中提取表示该软件的特征信息更加快速,极大地提升了特征信息的提取速度,解决了反编译过程中需要生成大量的中间文件而导致耗时过长的问题。48.安卓软件的安装包内包含应用清单文件(manifest)、一个或多个包含程序代码的虚拟机可执行文件(dalvikexecutable,dex)以及一些资源文件。通过解析获取软件的第一特征信息和第二特征信息;其中,第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;第一特征信息用于表示软件的静态属性信息;包括使用axmlprinter2工具从manifest文件中提取第一特征信息,使用lief工具从dex文件中提取第一特征信息:第一属性信息和url信息;第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息;其中,提取的组件信息例如包括activity、receiver、service三类组件信息。通过获取包括第一属性信息和url信息的第一特征信息,就获取了软件包括的组件信息、权限信息、组件调用信息和url信息,通过这些信息的获取,为检测软件是否为恶意软件提供了基础数据和判断依据,使得检测的结果更加准确。49.第二特征信息包括字节码序列;其中,字节码序列包括操作码和操作数,操作码表明了指令执行的操作,在一定程度上反映了软件的意图。因此通过提取目标软件的第二特征信息可以丰富特征信息内容,提取速度快,使得检测结果更加全面、准确和快速。50.步骤102、分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;51.具体的,分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;即将软件安装包解析后提取的静态属性信息转化成向量a,将软件安装包解析后提取的指令信息转化成向量b,然后将向量a和向量b进行拼接得到软件的特征向量。52.步骤103、根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件。53.具体的,根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件;即将拼接得到软件的特征向量,输入至已经训练好的检测模型,就可以对特征向量进行预测即实现了检测任务。54.上述实施例的方法,通过从软件的安装包中提取用于表示软件的静态属性信息的第一特征信息和用于表示软件的指令信息的第二特征信息,避免了传统的反编译方法中需要生成大量的中间文件而导致耗时过长的问题,极大地提升了特征信息的提取速度;然后,分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接后输入检测模型,就可以高效地实现恶意软件的检测。55.在一实施例中,分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量,包括:56.将第一特征信息进行哈希处理,获取数值向量;57.将第二特征信息进行向量转换,得到直方图向量;58.将数值向量和直方图向量进行拼接得到特征向量。59.具体的,将第一特征信息进行哈希处理,获取数值向量;其中,第一特征信息用于表示软件的静态属性信息;基于特征哈希的向量化方法,在尽量不损失特征信息的情况下,利用哈希函数将原始特征转换为低维的数值向量,支持在线学习,模型运行成本低,方便模型部署和更新迭代,速度快,且内存消耗极少。将第二特征信息进行向量转换,得到直方图向量;其中,第二特征信息用于表示软件的指令信息,第二特征信息包括字节码序列。通过提取第二特征信息并构建dex操作码直方图向量,可以提升模型分类效果。最后,将数值向量和直方图向量进行拼接即可得到特征向量,作为单个apk的特征表示输入机器学习模型。60.上述实施例的方法,通过将第一特征信息进行哈希处理,获取数值向量的模型运行成本低,方便模型部署和更新迭代,速度快,且内存消耗极少;将第二特征信息进行向量转换,得到直方图向量,可以提升模型分类效果;最后,将数据向量和直方图向量进行拼接得到特征向量,即得到了可以作为检测模型输入的特征向量。61.在一实施例中,第二特征信息包括:字节码序列,将直方图进行向量转换,得到直方图向量,包括:62.获取字节码序列中的操作码,建立直方图;直方图中包括至少一类操作码以及各类操作码的出现次数;将直方图进行向量表示得到直方图向量。63.具体的,安卓软件的安装包内包含应用清单文件manifest文件、一个或多个包含程序代码的dex可执行文件以及一些资源文件。提取第二特征信息:包括使用检测可执行格式的库(librarytoinstrumentexecutableformats,lief)工具,从dex的文件中提取第二特征信息;其中,对多个dex的情况,由于其范围为0x00-0xff,可以进行必要的合并,以保证对于每个apk而言,其特征维度是一致的。提取的第二特征信息包括:字节码序列;字节码序列包括dex指令的操作码和操作数,操作码的范围为0x00-0xff,由于各个dex指令具有特定的长度,因此采用线性扫描算法提取其中的操作码即可以得到操作码直方图向量,其中,davlik指令集包括至少一个操作码(范围为0x00-0xff),因此可以构建一个256维的直方图向量,其中直方图向量中各个位置的值记录该操作码出现的次数。64.上述实施例的方法,通过提取包括字节码序列的第二特征信息,并根据字节码序列中的操作码,生成直方图向量;通过增加操作码的特征信息和其特征向量,提升了模型分类效果,使得检测的结果更准确。65.在一实施例中,恶意软件的检测方法,包括:66.利用正则表达式提取url信息,将所述url信息确定为所述第一特征信息。67.具体的,在软件安装包的文件中url信息是比较特殊的一类,因为url信息表示了软件运行时可能会请求的网络地址,对于检测其是否为恶意软件是比较重要的;因此,利用正则表达式从软件安装包的文件中筛选出url信息,即利用正则表达式匹配表示url的字符串,对于恶意软件的检测提供了基础数据,有助于提高检测的准确性。68.上述实施例的方法,利用正则表达式提取url信息,即利用正则表达式匹配表示url的字符串,可以获取到软件运行时会请求的网络地址,根据其请求的网络地址信息可以进一步分析其是否为恶意软件;因此利用正则表达式提取url信息,就为恶意软件的检测提供了必要的基础数据,有助于提高检测的准确性。69.在一实施例中,基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息,包括:70.从安装包的清单文件和可执行文件中提取第一特征信息;71.从可执行文件中提取第二特征信息。72.具体的,安卓软件的安装包以.apk作为扩展名,本质上是一种zip格式的压缩包,apk中包含的二进制文件都以特定的格式约束存在,因此可对从apk压缩包中解压缩而来的二进制文件直接进行解析获取表示该软件的特征信息。安卓软件的安装包内包含应用清单文件manifest文件、一个或多个包含程序代码的dex可执行文件以及一些资源文件。从安装包的清单文件manifest和可执行文件dex中提取第一特征信息,包括使用axmlprinter2工具从manifest文件中提取第一特征信息,使用lief工具从dex文件中提取第一特征信息;第一特征信息用于表示软件的静态属性信息;第一特征信息包括:第一属性信息和url信息;第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息。从可执行文件dex中提取第二特征信息包括:使用lief工具,从dex的文件中提取第二特征信息;其中,对多个dex的情况,由于其范围为0x00-0xff,可以进行必要的合并,以保证对于每个apk而言,其特征维度是一致的;第二特征信息用于表示软件的指令信息;第二特征信息包括:字节码序列。73.上述实施例的方法,通过从安装包的清单文件和可执行文件中提取第一特征信息;从可执行文件中提取第二特征信息;为检测软件是否为恶意软件提供了丰富的基础数据,使得检测的结果更加准确。74.在一实施例中,检测方法还包括:75.建立提升树模型;76.利用训练数据对提升树模型进行训练,得到检测模型;训练数据包括:多个软件的特征向量以及各个软件是否为恶意软件的标签。77.具体的,利用机器学习算法建立分类模型,例如包括xgboost工具中的提升树模型,利用训练数据对提升树模型进行训练,其中,训练数据包括:多个软件的特征向量以及各个软件是否为恶意软件的标签,从而在有标签的训练集上进行学习;利用训练后的检测模型对待检测的软件进行预测,从而完成安卓恶意软件的智能自动化检测,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件;也就能得到良性/恶意的分类结果,判断样本是否为恶意程序,完成恶意软件的检测。78.需要说明的是,上述的检测模型可以是其他机器学习算法建立的模型,例如卷积神经网络模型、决策树模型等,本发明实施例对此并不限定。79.上述实施例的方法,通过在软件检测之前,建立提升树模型;80.并利用包括多个软件的特征向量以及各个软件是否为恶意软件的标签的训练数据,对提升树模型进行训练,得到检测模型;通过训练后的检测模型,恶意软件的检测使得检测结果更加准确。81.示例性的,恶意软件的检测方法具体流程如图2所示:82.步骤1、提取特征信息;83.具体的,安卓软件的安装包以.apk作为扩展名,本质上是一种zip格式的压缩包,apk中包含的二进制文件都以特定的格式约束存在,因此可对从apk压缩包中解压缩而来的二进制文件直接进行解析获取表示该软件的特征信息;安卓软件的安装包内包含应用清单文件manifest文件、一个或多个包含程序代码的dex可执行文件以及一些资源文件。84.从安装包的清单文件manifest和可执行文件dex中提取第一特征信息,包括使用axmlprinter2工具从manifest文件中提取第一特征信息,使用lief工具从dex文件中提取第一特征信息;第一特征信息用于表示软件的静态属性信息;第一特征信息包括:第一属性信息和url信息;第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息。85.从可执行文件dex中提取第二特征信息包括:使用lief工具,从dex的文件中提取第二特征信息;其中,对多个dex的情况,由于其范围为0x00-0xff,可以进行必要的合并,以保证对于每个apk而言,其特征维度是一致的;第二特征信息用于表示软件的指令信息;第二特征信息包括:字节码序列。字节码序列包括dex指令的操作码和操作数,操作码的范围为0x00-0xff,由于各个dex指令具有特定的长度,因此采用线性扫描算法提取其中的操作码即可以得到操作码直方图向量,其中,davlik指令集包括至少一个操作码(范围为0x00-0xff),因此可以构建一个256维的直方图向量,其中直方图向量中各个位置的值记录该操作码出现的次数。86.步骤2、进行向量转换;87.具体的,将第一特征信息进行哈希处理,获取数值向量;哈希处理处理前,包括利用正则表达式提取url信息;其中,第一特征信息用于表示软件的静态属性信息;基于特征哈希的向量化方法,在尽量不损失特征信息的情况下,利用哈希函数将原始特征转换为低维的数值向量,支持在线学习,模型运行成本低,方便模型部署和更新迭代,速度快,且内存消耗极少。88.将第二特征信息进行向量转换,得到直方图向量;其中,第二特征信息用于表示软件的指令信息,第二特征信息包括字节码序列。通过提取第二特征信息并构建dex操作码直方图向量,可以提升模型分类效果。89.最后,将数值向量和直方图向量进行拼接即可得到特征向量,作为单个apk的特征表示输入机器学习模型。90.步骤3、检测结果获取;91.具体的,利用机器学习算法建立分类模型,例如包括xgboost工具中的提升树模型,利用训练数据对提升树模型进行训练,其中,训练数据包括:多个软件的特征向量以及各个软件是否为恶意软件的标签,从而在有标签的训练集上进行学习;利用训练后的检测模型对待检测的软件进行预测,从而完成安卓恶意软件的智能自动化检测,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件;也就能得到良性/恶意的分类结果,判断样本是否为恶意程序,完成恶意软件的检测。92.下面对本发明提供的恶意软件的检测装置进行描述,下文描述的恶意软件的检测装置与上文描述的恶意软件的检测方法可相互对应参照。93.图3是本发明提供的恶意软件的检测装置的结构示意图。本实施例提供的恶意软件的检测装置,包括:94.提取模块710,用于基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息;第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;95.转换模块720,用于分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;96.检测模块730,用于根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件。97.可选地,所述转换模块720,具体用于:98.将第一特征信息进行哈希处理,获取数值向量;99.将第二特征信息进行向量转换,得到直方图向量;100.将数值向量和直方图向量进行拼接得到特征向量。101.可选地,所述提取模块710,具体用于:102.提取第一特征信息包括:第一属性信息和url信息;第一属性信息包括以下至少一项:组件信息、权限信息和组件调用信息。103.可选地,所述转换模块720,具体用于:104.第二特征信息包括:字节码序列,将第二特征信息进行向量转换,得到直方图向量,包括:105.获取字节码序列中的操作码,建立直方图;直方图中包括至少一类操作码以及各类操作码的出现次数;将直方图进行向量表示得到直方图向量。可选地,所述提取模块710,具体用于:106.利用正则表达式提取url信息。107.可选地,所述提取模块710,具体用于:108.从安装包的清单文件和可执行文件中提取第一特征信息;109.从可执行文件中提取第二特征信息。110.可选地,所述检测模块730,具体用于:111.建立提升树模型;112.利用训练数据对提升树模型进行训练,得到检测模型;训练数据包括:多个软件的特征向量以及各个软件是否为恶意软件的标签。113.需要说明的是,本发明实施例的方法还可以用于其他系统,例如ios等,本发明实施例对此并不限定。114.本发明实施例的装置,其用于执行前述任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。115.图4示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)810、通信接口(communicationsinterface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行恶意软件的检测方法,该方法包括:基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息;第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件。116.此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。117.另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的恶意软件的检测方法,该方法包括:基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息;第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件。118.又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的恶意软件的检测方法,该方法包括:基于目标软件的安装包,提取目标软件的第一特征信息和第二特征信息;第一特征信息用于表示软件的静态属性信息;第二特征信息用于表示软件的指令信息;分别将第一特征信息和第二特征信息进行向量转换,并将转换后的向量进行拼接得到目标软件的特征向量;根据特征向量利用训练后的检测模型,获取目标软件的检测结果,检测结果用于表示目标软件是否为恶意软件。119.以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。120.通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,121.服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。122.最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12当前第1页12