Html5移动应用程序的异常行为检测方法和行为模型建立方法
【技术领域】
[0001] 本发明涉及网络技术及信息安全技术领域,特别涉及一种HTML5移动应用程序的 异常行为检测方法和行为模型建立方法。
【背景技术】
[0002] Android安卓系统的开放性使其成为目前主流的移动平台,但也令其成为恶意应 用的主要攻击目标。据相关报告显示,Android平台上的恶意应用数量占整体移动恶意应 用数量急剧上升。恶意应用一旦被安装执行,可轻易获取用户的众多隐私数据,如地理位 置信息、通讯录、日程表、短信、邮件等,同时亦可在用户不知情的情况下在后台订阅增值业 务,消耗用户流量和话费。如今,伴随电子交易、互联网金融以及移动支付的快速发展,甚至 出现了盗取用户银行卡信息、盗刷信用卡等金融犯罪行为。这些出现在Android平台的恶 意应用对用户隐私、财产甚至人身安全构成了极大威胁。
[0003] 由于HTML5(HypertextMarkupLanguage5,第五代超文本标记语言)技术的引入, 移动平台面临更加严峻的安全形势。HTML5应用运行在系统所提供的浏览器环境中(如 WebView,网页识图),它包含不同来源的代码,如应用自身或者第三方的Java代码(一种程 序设计语言),HTML5或JavaScript(-种脚本语言)代码。这些代码在Android系统中拥 有与应用本身相同的权限。这种现象,尤其是令第三方引入的代码拥有应用的权限会带来 极大的安全隐患。由于HTML5应用本质上仍是Web应用程序,因此PC(PersonalComputer, 个人计算机)端的传统Web攻击模式,如跨站点脚本攻击(Cross-SiteScripting,XSS)等 同样可以出现在移动端。一旦恶意脚本注入目标应用,该脚本将获得应用的所有权限,对用 户造成的损失难以估量。
[0004] 目前对应用程序的安全性进行检测,通常分为两种方法:一种是静态分析,对应 用程序进行反汇编,获取程序源码或编译中间过程的字节码等,在此基础上对应用程序 安全性进行分析。如:通过分析反编译得到的字节码获取应用程序的API(Application ProgrammingInterface,应用程序编程接口)调用依赖关系以检测恶意行为;但是,由于 编译器的处理方式存在差异,编译过程可能隐藏部分恶意行为,单从代码角度进行静态分 析无法对应用程序安全性进行全面评估。另一种检测方法是动态分析,在程序运行过程中, 动态的获取程序运行日志,分析其安全性。如:记录应用运行过程中的系统调用序列建立应 用行为模式,进行基于模式匹配的恶意行为检测。但是,基于行为模式的检测需要事先获取 恶意行为模式才能够进行后续的匹配检测流程,无法对新出现的恶意行为进行有效检测。
[0005] 因此,有待提出一种全面、有效、准确的应用程序行为检测方法。
【发明内容】
[0006] 本发明旨在至少解决现有技术中存在的技术问题之一。
[0007] 为此,本发明的第一个目的在于提出一种HTML5移动应用程序的异常行为检测方 法,能够为应用程序建立准确、完整的行为模型,有效地提取检测应用程序的异常行为。
[0008] 本发明的第二个目的在于提出一种HTML5移动应用程序的行为模型的建立方法。
[0009] 为达上述目的,根据本发明第一方面实施例提出了一种HTML5移动应用程序的异 常行为检测方法,包括以下步骤:运行应用程序;提取所述应用程序在运行过程中的所处 的至少一个界面的界面信息,并提取所述应用程序在处于每个界面时的行为事件信息;根 据所述至少一个界面的界面信息和每个界面对应的行为事件信息建立所述应用程序的待 测行为模型;将所述应用程序的待测行为模型和预先建立的所述应用程序的原始行为模型 进行比对,并根据比对结果判断所述应用程序是否包含异常行为。
[0010] 本发明实施例的HTML5移动应用程序的异常行为检测方法,通过提取应用程序运 行过程的行为事件及其所处的界面信息,即应用程序的运行环境,以据此生成行为模型,并 通过将该行为模型与原始行为模型进行比对来判断应用程序是否包含异常行为,与相关技 术相比,可有效提取HTML5移动应用程序运行过程中的全部行为事件信息,以及行为事件 发生时所处的程序上下文环境信息(即界面信息),从而能够据此为HTML5移动应用程序建 立准确、完整的行为模型,从而,能够有效地提取检测应用程序的异常行为,尤其针对零日 攻击、变形攻击和代码注入攻击具有良好的检测效果。
[0011] 本发明第二方面实施例提出了一种HTML5移动应用程序的行为模型建立方法,包 括以下步骤:运行应用程序;提取所述应用程序在运行过程中的所处的所有界面的界面信 息,并提取所述应用程序在处于每个界面时的行为事件信息;根据所述所有界面的界面信 息和每个界面对应的行为事件信息建立所述应用程序的行为模型。
[0012] 本发明实施例的HTML5移动应用程序的行为模型建立方法,通过提取应用程序运 行过程的行为事件及其所处的界面信息,即应用程序的运行环境,以据此建立包含以上两 个元素的二维模型。与相关技术相比,可有效提取HTML5移动应用程序运行过程中的全部 行为事件信息,以及行为事件发生时所处的程序上下文环境信息(即界面信息),从而能够 据此为应用程序建立准确、完整的原始行为模型和待测模型,使后续的程序检测更加全面 和有效。
[0013] 本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0014] 本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变 得明显和容易理解,其中:
[0015] 图1为根据本发明一个实施例的应用程序的异常行为检测方法的流程图;
[0016] 图2为根据本发明一个具体实施例的应用程序的异常行为检测方法的流程图;
[0017] 图3为根据本发明一个实施例的应用程序的行为模型建立方法的流程图;
[0018] 图4为根据本发明一个实施例的针对HTML5移动应用程序的异常行为检测系统架 构示意图。
【具体实施方式】
[0019] 下面参考附图描述根据本发明实施例的应用程序的异常行为检测方法、装置、应 用程序的行为模型建立方法及装置,其中自始至终相同或类似的标号表示相同或类似的元 件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解 释本发明,而不能理解为对本发明的限制。
[0020] 目前,针对应用程序行为的检测方法均未对应用程序运行环境进行记录和检测。 应用程序的行为事件发生时所处的程序上下文环境是程序行为事件建模过程中必不可少 的关键信息,并且为判断程序行为是否存在异常提供重要参考。所以,在为应用程序,尤其 是基于HTML5技术的移动应用程序(以下简称HTML5应用)所建立的行为模型中包含行为 发生时所处的程序执行环境信息是很有必要的,该信息可为动态分析和异常行为检测提供 准确、完整的应用程序行为记录。
[0021] 为此,本发明的实施例提出了一种HTML5移动应用程序的异常行为检测方法和行 为模型建立方法。
[0022] 图1为根据本发明一个实施例的HTML5移动应用程序的异常行为检测方法的流程 图。
[0023] 如图1所示,根据本发明实施例的HTML5移动应用程序的异常行为检测方法,包括 以下步骤:S1,运行应用程序;S2,提取应用程序在运行过程中的所处的至少一个界面的界 面信息,并提取应用程序在处于每个界面时的行为事件信息;S3,根据至少一个界面的界面 信息和每个界面对应的行为事件信息建立应用程序的行为模型;S4,将应用程序的行为模 型和预先建立的应用程序的原始行为模型进行比对,并根据比对结果判断应用程序是否包 含异常行为。
[0024] 在本发明的实施例中,应用程序为HTML5移动应用程序。
[0025] 在本发明的一个实施例中,应用程序的原始行为模型是在应用程序首次运行时, 根据在应用程序运行过程中提取的界面信息和对应的行为事件信息建立的。应用程序首次 运行可确保应用程序是未被修改、未遭受攻击的状态,在此前提下得到的行为模型中不包 含异常行为,因此可用于后续异常行为检测。
[0026] 因此,在本发明的一个实施例中,还可包括建立原始行为模型的步骤。
[0027] 具体地,建立应用程序的原始行为模型可包括以下步骤:在应用程序首次运行时, 提取应用程序在首次运行过程中的所处的所有界面的界面信息,并提取应用程序在处于每 个界面时的行为事件信息;根据首次运行过程中所有界面的界面信息和每个界面对应的行 为事件信息建立应用程序的原始行为模型。
[0028] 图2为根据本发明一个