移动设备的异常检测方法、系统、电子设备及存储介质与流程

1.本发明涉及人工智能技术领域，特别是涉及一种移动设备的异常检测方法、系统、电子设备及存储介质。


背景技术：

2.现如今对移动端的异常检测在维护业务安全中起着重要的作用，相关技术中，异常检测时在系统上会包含有一些检测设备异常的风险标签，可检查设备是否越狱、设备越狱检测是否被绕过、设备是否被篡改信息等风险，但是，使用风险标签不仅受限于版本，而且某些标签需要黑名单维护，因此风险标签识别异常风险时，导致效率低下、易漏过风险，无法有效提高异常设备检测的覆盖率。


技术实现要素：

3.以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
4.本发明实施例提供了一种移动设备的异常检测方法、系统、电子设备及存储介质，能够提高对异常设备检测的覆盖率，提高异常检测效率。
5.第一方面，本发明实施例提供了一种移动设备的异常检测方法，包括：获取移动设备请求应用时的动态链接库，并将所述动态链接库拆分得到若干个插件库；获取各个所述插件库的第一标签数据和多个特征信息，将所述特征信息和所述第一标签数据输入至支持向量机模型中，得到所述插件库的风险评分；根据所述风险评分通过牛顿冷却定律得到所述插件库的权重；根据所述插件库的权重和对应的所述风险评分加权得到动态链接库评分；根据所述动态链接库评分判断对应的所述移动设备是否为异常设备。
6.在一些实施例中，所述特征信息包括词评分特征，所述词评分特征根据以下步骤得到：获取所述插件库的插件库名称，并将所述插件库名称拆分成若干个单词；选取所述单词中的目标单词，计算得到每个所述目标单词的同质性特征和差异性特征；根据所述同质性特征和所述差异性特征得到对应所述插件库的词评分特征。
7.在一些实施例中，所述计算得到每个所述目标单词的同质性特征和差异性特征，包括：获取第二标签数据，并根据所述第二标签数据确定多个所述插件库中的异常插件库和正常插件库；获取包含所述目标单词的所述异常插件库的第一请求数、全部所述异常插件库的第二请求数和包含所述目标单词的所述正常插件库的第三请求数；根据所述第一请求数和所述第二请求数的比例关系得到所述同质性特征，并根据包含所述第一请求数和所述第三请求数的比例关系得到所述差异性特征。
8.在一些实施例中，所述根据所述同质性特征和所述差异性特征得到对应所述插件库的词评分特征，包括：在所述插件库的所有单词的所述同质性特征和所述差异性特征中，选取同质性特征最大值和差异性特征最大值；根据所述同质性特征最大值和所述差异性特征最大值的乘积得到所述词评分特征。
9.在一些实施例中，所述特征信息还包括所述插件库名称中的连字符信息、所述插件库名称中的字符信息、所述插件库在包含所述异常插件库的所述动态链接库中的数量、所述插件库在所述动态链接库下的数量和拆分得到的所述单词的数量中的至少一种。
10.在一些实施例中，所述将所述特征信息和所述第一标签数据输入至支持向量机模型中，得到所述插件库的风险评分，包括：计算多个所述特征信息之间的相关系数；获取用于特征筛选的第一预设阈值；当所述特征信息之间的所述相关系数大于所述第一预设阈值，保留其中至少一个所述特征信息；将保留的所述特征信息和所述第一标签数据输入至所述支持向量机模型中，得到所述风险评分。
11.在一些实施例中，所述根据所述动态链接库评分判断对应的所述移动设备是否为异常设备，包括：获取根据异常动态链接库样本得到的第二预设阈值；当所述动态链接库评分大于所述第二预设阈值，确定对应的所述移动设备为异常设备。
12.第二方面，本发明实施例还提供了一种移动设备的异常检测系统，包括：数据获取模块，用于获取移动设备请求应用时的动态链接库，并将所述动态链接库拆分得到若干个插件库；数据处理模块，用于获取各个所述插件库的第一标签数据和多个特征信息，将所述特征信息和所述第一标签数据输入至支持向量机模型中得到所述插件库的风险评分；异常评分模块，用于根据所述风险评分通过牛顿冷却定律得到所述插件库的权重，并根据所述插件库的权重和对应的所述风险评分加权得到动态链接库评分；异常检测模块，用于根据所述动态链接库评分判断对应的所述移动设备是否为异常设备。
13.第三方面，本发明实施例还提供了一种电子设备，其特征在于，包括存储器、处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面所述的移动设备的异常检测方法。
14.第四方面，本发明实施例还提供了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现如第一方面所述的移动设备的异常检测方法。
15.本发明实施例至少包括以下有益效果：
16.本发明公开实施例提出的一种移动设备的异常检测方法、系统、电子设备及存储介质，其中，移动设备的异常检测系统在执行异常检测方法时，先获取移动设备在请求应用时的动态链接库，并拆分得到若干个插件库，基于插件库进行异常检测，系统通过获取插件库的第一标签数据和多个特征信息，输入到支持向量机模型后，可以得到插件库的风险评分，进而计算得到插件库的权重，将插件库的权重和风险评分加权可以得到动态链接库评分，通过对动态链接库评分的判断，可以判断动态链接库评分对应的移动设备是否为异常设备，本发明实施例在检测移动设备的时候不需要依赖黑名单，基于对插件库的识别检测，能够提高对异常设备检测的覆盖率，提高异常检测效率。
17.本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
18.附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。
19.图1是本发明一实施例提供的移动设备的异常检测方法流程示意图；
20.图2是本发明另一实施例提供的移动设备的异常检测方法流程示意图；
21.图3是本发明另一实施例提供的移动设备的异常检测方法流程示意图；
22.图4是本发明另一实施例提供的移动设备的异常检测方法流程示意图；
23.图5是本发明另一实施例提供的移动设备的异常检测方法流程示意图；
24.图6是本发明另一实施例提供的移动设备的异常检测方法流程示意图；
25.图7是本发明一实施例提供的移动设备的异常检测系统示意图；
26.图8是本发明一实施例提供的电子设备示意图。
具体实施方式
27.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
28.应了解，在本发明实施例的描述中，若干个的含义是一个以上，多个(或多项)的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。如果有描述到“第一”、“第二”等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
29.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的，不是旨在限制本发明。
30.本发明实施例提供一种移动设备的异常检测方法、系统、电子设备及存储介质，能够提高对异常设备检测的覆盖率，提高异常检测效率。
31.本发明实施例中公开的移动设备的异常检测方法，具体通过如下实施例进行说明。
32.参照图1所示，图1是本发明公开实施例提供的移动设备的异常检测方法的一个可选的流程图，图1中的方法可以包括但不限于包括步骤s110、步骤s120、步骤s130、步骤s140、步骤s150和步骤s160。
33.步骤s110，获取移动设备请求应用时的动态链接库，并将动态链接库拆分得到若干个插件库。
34.在本发明的一些实施例中，移动设备的异常检测方法应用在移动设备的异常检测系统中，异常检测系统可获取移动设备请求应用时的动态链接库(dynamic-link library，dll)数据，对收集的动态链接库进行整理和存储，动态链接库是一个包含函数和数据的模块，它可以被其他模块(应用或其他dll)使用，由于每个动态链接库均由若干个插件库组成，因此将每个动态链接库拆分成若干个插件库，也即为将每个动态链接库数据拆分成若干个插件库数据。
35.需要说明的是，本发明实施例中的移动设备可以为任意形式的移动终端，例如，移动设备可以是手机、平板电脑或其他形式的移动终端，对此本发明实施例不对其做具体限制。
36.步骤s120，获取各个插件库的第一标签数据和多个特征信息，将特征信息和第一标签数据输入至支持向量机模型中，得到插件库的风险评分。
37.在本发明的一些实施例中，异常检测系统在拆分得到若干个插件库后，可以获取插件库的第一标签数据和多个插件库对应的特征信息，当动态链接库拆分为多个插件库时，异常检测系统可分别获取各个插件库的第一标签数据和各个插件库的多个特征信息，当动态链接库拆分为一个插件库时，则获取该插件库的第一标签数据和多个特征信息，本发明后续实施例中以拆分得到多个插件库为例子，第一标签数据为插件库的标签数据，随后异常检测系统可将得到的多个特征信息和第一标签数据输入至支持向量机(svm)模型中，经过支持向量机模型的处理可以得到插件库对应的风险评分，该风险评分用于表征插件库异常的可能性。
38.步骤s130，根据风险评分通过牛顿冷却定律得到插件库的权重。
39.在本发明的一些实施例中，异常检测系统在得到插件库的风险评分后，通过牛顿冷却定律来计算得到各个插件库的权重，例如，异常检测系统根据插件库的风险评分从高到低排序，当排位第e位的插件库的权重为排名第一的权重的1/e，如排位第30位的插件库的权重为排名第一的权重的1/30，利用牛顿冷却定律，计算得到所有插件库评分的权重，在满足本发明实施例要求的前提下，异常检测系统还可以通过其他方式计算的插件库的权重。
40.步骤s140，根据插件库的权重和对应的风险评分加权得到动态链接库评分。
41.在本发明的一些实施例中，异常检测系统在得到各个插件库的权重后，将步骤s120中得到的风险评分和对应的插件库权重计算得到对应的动态链接库评分，可以理解的是，每个动态链接库有若干个插件库组成，每个插件库有评分和权重，加权求和得到动态链接库的评分得到动态链接库评分。
42.步骤s150，根据动态链接库评分判断对应的移动设备是否为异常设备。
43.在本发明的一些实施例中，异常检测系统在得到动态链接库评分后，基于动态链接库评分的大小来判断对应的移动设备是否为异常设备，本发明实施例在检测移动设备的时候不需要依赖黑名单，基于对插件库的识别检测，能够提高对异常设备检测的覆盖率，提高异常检测效率。
44.需要说明的是，本发明实施例中的移动设备的异常检测方法可以应用在人工智能领域中，提高人工智能对移动设备异常的检测效率，本发明实施例中的移动设备的异常检测方法还可以应用在业务风险决策系统(ares)中，业务风险决策系统在执行本发明实施例中的异常检测方法后，可以对异常移动设备进行识别，无需依赖插件库黑名单，能够提高对异常设备检测的覆盖率，提高异常检测效率，在此不对其应用场景做具体限制。
45.在本发明的一些实施例中，插件库的多个特征信息中包括词评分特征，参照图2所示，本发明实施例中的词评分特征可以根据以下步骤得到，包括但不限于以下步骤s210、步骤s220和步骤s230。
46.步骤s210，获取插件库的插件库名称，并将插件库名称拆分成若干个单词。
47.步骤s220，选取单词中的目标单词，计算得到每个目标单词的同质性特征和差异性特征。
48.步骤s230，根据同质性特征和差异性特征得到对应插件库的词评分特征。
49.在本发明的一些实施例中，插件库通过多个特征信息和第一标签数据一起输入至支持向量机模型来得到风险评分，而多个特征信息中就包含了插件库的词评分特征，插件库的词评分特征根据插件库名称来得到，异常检测系统可获取插件库的插件库名称，并进行拆分得到若干个单词，在进行计算的时候，针对每个单词进行计算，在针对某个单词时，选定其为目标单词，词评分特征根据单词的词特征得到，包括同质性特征和差异性特征，因此计算每个目标单词的同质性特征和差异性特征，从而根据同质性特征和差异性特征得到对应插件库的词评分特征，词评分特征可以表征单词对应的插件库的正异性，因此选定词评分特征作为特征信息中的一种，可以提高所得到的风险评分的准确性。可以理解的是，本发明实施例中的同质性特征和差异性特征可以根据单词在不同类型的插件库中的请求数得到。
50.需要说明的是，异常检测系统可以根据多种算法来对插件库名称进行拆分，本发明实施例中的异常检测系统采用匹配法对插件库名称拆分成单词，每个插件库名称都可以拆分成若干个单词，匹配拆分可以根据实际需要设置，在一实施例中，异常检测系统基于插件库名称基本都是驼峰命名的形式，因此在对插件库名称进行拆分的时候，按照驼峰命名的规则拆分插件库名称得到若干个单词。在另一实施例中，异常检测系统还可以根据中文分词算法来对插件库名称进行拆分，中文分词算法主要使用两种，分别为正向最大匹配法和逆向最大匹配法，异常检测系统可以根据正向最大匹配法和逆向最大匹配法将插件库名称拆分得到若干个单词。
51.参照图3所示，本发明实施例中异常检测方法的步骤s220中，还可以包括但不限于以下步骤s310、步骤s320和步骤s330。
52.步骤s310，获取第二标签数据，并根据第二标签数据确定多个插件库中的异常插件库和正常插件库。
53.步骤s320，获取包含目标单词的异常插件库的第一请求数、全部异常插件库的第二请求数和包含目标单词的正常插件库的第三请求数。
54.步骤s330，根据第一请求数和第二请求数的比例关系得到同质性特征，并根据包含第一请求数和第三请求数的比例关系得到差异性特征。
55.在本发明的一些实施例中，异常检测系统会在拆分动态链接库得到插件库时，按插件库聚合计数，计算每个插件库的请求数，而插件库的词评分特征根据插件库内单词的同质性特征和差异性特征得到，在计算得到同质性特征和差异性特征的过程中，异常检测系统需判断插件库中的异常差价库和正常插件库，异常检测系统先获取第二标签数据，并根据第二标签数据确定多个插件库中的异常插件库和正常插件库，第二标签数据为异常检测系统获取的用于判断插件库正异常情况的标签数据，可以为根据现有的异常插件库和正常插件库的标签数据得到的，并跟异常检测系统在先存储的第一标签数据进行对比，判断已存储的插件库为异常插件库或正常插件库中的一种，由于插件库数量为多个，因此将得到多个异常插件库和多个正常插件库，随后在计算目标单词的同质性特征和差异性特征时，获取包含该目标单词的异常插件库的第一请求数、全部异常插件库的第二请求数和包含目标单词的正常插件库的第三请求数，并根据第一请求数和第二请求数的比例关系得到同质性特征，根据包含第一请求数和第三请求数的比例关系得到差异性特征。
56.具体的，在一实施例中，异常检测系统根据第一请求数除以第二请求数可以得到
目标单词的同质性特征，而根据第一请求数和第三请求数之和可以得到包含目标单词的全部插件库的请求数，并根据第一请求数除以包含目标单词的全部插件库的请求数可以得到差异性特征。
57.参照图4所示，本发明实施例中异常检测方法的步骤s230中，还可以包括但不限于以下步骤s410和步骤s420。
58.步骤s410，在插件库的所有单词的同质性特征和差异性特征中，选取同质性特征最大值和差异性特征最大值。
59.步骤s420，根据同质性特征最大值和差异性特征最大值的乘积得到词评分特征。
60.在本发明的一些实施例中，插件库的词评分特征根据插件库内单词的同质性特征和差异性特征得到，异常检测系统在某个插件库的所有单词的同质性特征和差异性特征中，选择同质性特征最大值和差异性特征最大值，将同质性特征最大值和差异性特征最大值相乘即得到该插件库的词评分特征，可以理解的是，取同质性特征最大值和差异性特征最大值来计算的依据在于，一个插件库的名称可以拆分成多个单词，每个单词又可分别计算出词评分特征，进而计算出每个单词对插件库的评分，取这些评分的最大值，可以作为插件库词评分特征，因此本发明实施例中直接选取同质性特征最大值和差异性特征最大值来计算。
61.在本发明的一些实施例中，插件库的特征信息还包括插件库名词中的连字符信息、插件库名词中的字符信息、插件库在包含异常插件库的动态链接库中的数量、插件库在动态链接库下的数量和拆分得到的单词的数量中的至少一种，通过上述多个特征信息来计算得到插件库的风险评分，可以提高风险评分的准确性，在满足本发明实施例要求的前提下，除了词评分特征外，异常检测系统可以根据判断需要再获取插件库的其他信息并作为特征信息中的一个，来计算插件库的风险评分。
62.可以理解的是，插件库名词中的连字符信息可以包括插件库名称中连字符个数和数字个数等；插件库名词中的字符信息可以包括插件库字符长度等；异常检测系统会在整理动态链接库时，按动态链接库聚合计数，计算每个动态链接库的请求次数，并将包含异常插件库的动态链接库标记为异常，插件库在包含异常插件库的动态链接库中的数量即为插件库在异常动态链接库中出现的数量；异常检测系统可以根据动态链接库拆分得到多个插件库，因此插件库在动态链接库下的数量即为插件库在所有插件库中出现的数量。
63.参照图5所示，本发明实施例中异常检测方法的步骤s120中，还可以包括但不限于以下步骤s510、步骤s520、步骤s530和步骤s540。
64.步骤s510，计算多个特征信息之间的相关系数。
65.步骤s520，获取用于特征筛选的第一预设阈值。
66.步骤s530，当特征信息之间的相关系数大于第一预设阈值，保留其中至少一个特征信息。
67.步骤s540，将保留的特征信息和第一标签数据输入至支持向量机模型中，得到风险评分。
68.在本发明的一些实施例中，异常检测系统在计算得到风险评分的过程中，会对插件库的多个特征信息进行筛选，以减少计算的难度，优化和简化计算，其中，本发明实施例中通过对特征信息进行相关性的判断，计算多个特征信息之间的相关系数，相关系数是用
以反映变量之间相关关系密切程度的统计指标，是一种非确定性的关系，是研究变量之间线性相关程度的系数，相关系数按积差方法计算，以两变量与各自平均值的离差为基础，通过两个离差相乘以反映两变量之间相关程度，相关性是描述随机变量之间线性关系的统计指标，相关系数绝对值越大，表明变量之间的线性关系越强，随后异常检测系统将得到的相关系数与第一预设阈值进行对比判断，第一预设阈值是预先设置好的一个对比阈值，第一预设阈值用于特征筛选，是基于实际计算的效果设定的阈值，当特征信息之间的相关系数大于第一预设阈值，保留其中至少一个特征信息，并将保留的特征信息和第一标签数据输入至支持向量机模型中，得到风险评分。
69.需要说明的是，本发明实施例中通过计算特征信息两两之间的相关系数，当特征信息之间的相关系数大于第一预设阈值，保留其中一个特征信息，可以理解的是，在满足本发明实施例要求的前提下，也可以针对两个以上的特征信息求得相关系数，还可以设定进行相关性判断的几个特征信息，指定的特征信息进行相关性的判断，可以指定两个或两个以上，在此本发明实施例不对其做具体限制，可根据实际应用场景设置。
70.需要说明的是，本发明实施例中的特征信息可以包括词评分特征、插件库名词中的连字符信息、插件库名词中的字符信息、插件库在包含异常插件库的动态链接库中的数量、插件库在动态链接库下的数量和拆分得到的单词的数量等，并对上述特征信息两两之间进行相关性的判断，求得两两特征信息之间的相关系数，当相关系数大于第一预设阈值，保留其中一个特征信息，随后将保留的特征信息输入至支持向量机模型中，得到风险评分，可以理解的是，本发明实施例中的词评分特征，在进行相关系数判断的过程中，始终会保留，并最后最后特征信息中的一个输入至支持向量机模型中，这是由于词评分特征的计算原理所决定的，词评分特征跟其他特征信息之间难以存在强相关性，因此始终得以保留。
71.参照图6所示，本发明实施例中异常检测方法的步骤s150中，还可以包括但不限于以下步骤s610和步骤s620。
72.步骤s610，获取根据异常动态链接库样本得到的第二预设阈值。
73.步骤s610，当动态链接库评分大于第二预设阈值，确定对应的移动设备为异常设备。
74.在本发明的一些实施例中，异常检测系统在得到动态链接库评分后，根据动态链接库的大小来判断对应的移动设备是否为异常设备，并通过设定的第二预设阈值来进行动态链接库评分大小的判断，异常检测系统获取根据异常动态链接库样本得到的第二预设阈值，异常动态链接库样本为已知数据样本，通过已知的异常的动态链接库样本来划定阈值，得到第二预设阈值，当动态链接库评分大于第二预设阈值，确定对应的移动设备为异常设备，说明当动态链接库评分大于第二预设阈值时，与现有已知的异常动态链接库样本类似，均可以归属于异常设备，而当动态链接库评分小于或等于第二预设阈值，确定对应的移动设备为正常设备，说明此时与现有已知的异常动态链接库样本并不相同，因此设备为正常设备，本发明实施例在检测移动设备的时候不需要依赖黑名单，基于对插件库的识别检测，能够提高对异常设备检测的覆盖率，提高异常检测效率。
75.具体的，在一具体实施例中，本发明实施例中的异常检测方法可以有如下具体步骤：
76.步骤1)：收集异常插件库与正常插件库的标签数据和用户移动设备的请求应用时
的设备动态链接库的数据。
77.步骤2)：整理动态链接库的数据，首先，按动态链接库聚合计数，计算每个动态链接库的请求次数，其次，将包含异常插件库的动态链接库标记为异常。
78.步骤3)：整理插件库数据，每个动态链接库数据都由若干个插件库组成，将每个动态链接库数据拆分成插件库数据，按插件库聚合计数，计算每个插件库的请求数。
79.步骤4)：插件库名称分词，采用匹配法对插件库名称拆分成单词，每个插件库名称都可以拆分成若干个词语。
80.步骤5)：计算词特征，计算每个单词的同质性特征，以及差异性特征，其中：
81.同质性特征＝包含某个目标单词的异常插件库的请求数/全部异常插件库的请求数；
82.差异性特征＝包含某个目标单词异常插件库的请求数/(包含某个目标单词的全部插件库的请求数-包含某个目标单词异常插件库的请求数)。
83.步骤6)：计算插件库词评分特征。选取插件库内单词中的同质性特征最大值和差异性特征最大值，对于每一个插件库的词评分特征计算公式如下：
84.插件库的词评分特征＝同质性特征最大值*差异性特征最大值。
85.步骤7)：计算插件库特征信息，插件库特征信息包括：插件库名称中连字符个数、数字个数、插件库字符长度、插件库在异常动态链接库中出现的数量、插件库在所有插件库中出现的数量、拆分出的单词数量、词评分特征等。
86.步骤8)：插件库特征筛选。计算步骤7)中各特征信息的相关性，若相关系数超过第一预设阈值的特征信息，保留其一即可。
87.步骤9)：计算插件库的风险评分，将步骤8)中保留的特征信息以及插件库的标签数据输入支持向量机模型中，得到插件库的风险评分。
88.步骤10)：计算插件库权重，根据风险评分通过牛顿冷却定律，计算各插件库的权重。
89.步骤11)：计算动态链接库评分，使用步骤9)中的插件库的风险评分与步骤10)中的插件库权重，计算动态链接库评分。
90.步骤12)：标记异常设备，当动态链接库评分大于第二预设阈值时，标记该动态链接库对应的移动设备为异常设备。
91.需要说明的是，当本发明实施例中的异常检测方法应用在业务风险决策系统时，可以为业务风险决策系统提高对异常设备识别的覆盖率，同时，在不依赖黑名单的情况下，任然可以识别出异常设备，提升了风险识别效率，保障了业务安全。
92.参照图7所示，本发明实施例还提供了一种移动设备的异常检测系统100，异常检测系统100可执行上述实施例中的异常检测方法，异常检测系统100包括：数据获取模块101、数据处理模块102、异常评分模块103和异常检测模块104，数据获取模块101主要用于获取数据，包括动态链接库的数据等，数据处理模块102可以对来自数据获取模块101的数据进行处理，以得到风险评分，异常评分模块103主要用于根据来自数据处理模块102的数据求得动态链接库评分，用于进行异常评分判断，而异常检测模块104主要用于根据动态链接库评分来判断对应的移动设备是否为异常设备。
93.具体的，数据获取模块101用于获取移动设备请求应用时的动态链接库，并将动态
链接库拆分得到若干个插件库；数据处理模块102用于获取各个插件库的第一标签数据和多个特征信息，将特征信息和第一标签数据输入至支持向量机模型中得到插件库的风险评分；异常评分模块103用于根据风险评分通过牛顿冷却定律得到插件库的权重，并根据插件库的权重和对应的风险评分加权得到动态链接库评分；异常检测模块104用于根据动态链接库评分判断对应的移动设备是否为异常设备。
94.本发明实施例中的异常检测系统100可以为业务风险决策系统，异常检测系统100通过执行上述实施例中的异常检测方法，在检测移动设备的时候不需要依赖黑名单，基于对插件库的识别检测，能够提高对异常设备检测的覆盖率，提高异常检测效率。
95.图8示出了本发明实施例提供的电子设备200。电子设备200包括：存储器201、处理器202及存储在存储器201上并可在处理器202上运行的计算机程序，计算机程序运行时用于执行上述的移动设备的异常检测方法。
96.处理器202和存储器201可以通过总线或者其他方式连接。
97.存储器201作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本发明实施例描述的移动设备的异常检测方法。处理器202通过运行存储在存储器201中的非暂态软件程序以及指令，从而实现上述的移动设备的异常检测方法。
98.存储器201可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述的移动设备的异常检测方法。此外，存储器201可以包括高速随机存取存储器201，还可以包括非暂态存储器201，例如至少一个储存设备存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中，存储器201可选包括相对于处理器202远程设置的存储器201，这些远程存储器201可以通过网络连接至该电子设备200。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
99.实现上述的移动设备的异常检测方法所需的非暂态软件程序以及指令存储在存储器201中，当被一个或者多个处理器202执行时，执行上述的移动设备的异常检测方法，例如，执行图1中的方法步骤s110至步骤s150、图2中的方法步骤s210至步骤s230、图3中的方法步骤s310至步骤s330、图4中的方法步骤s410至步骤s420、图5中的方法步骤s510至步骤s540、图6中的方法步骤s610至步骤s620。
100.本发明实施例还提供了计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述的移动设备的异常检测方法。
101.在一实施例中，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器执行，例如，执行图1中的方法步骤s110至步骤s150、图2中的方法步骤s210至步骤s230、图3中的方法步骤s310至步骤s330、图4中的方法步骤s410至步骤s420、图5中的方法步骤s510至步骤s540、图6中的方法步骤s610至步骤s620。
102.以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
103.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为
由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、储存设备存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
104.还应了解，本发明实施例提供的各种实施方式可以任意进行组合，以实现不同的技术效果。
105.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
106.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
107.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
108.以上是对本发明的较佳实施进行了具体说明，但本发明并不局限于上述实施方式，熟悉本领域的技术人员在不违背本发明精神的共享条件下还可作出种种等同的变形或替换，这些等同的变形或替换均包括在本发明权利要求所限定的范围内。