能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以 供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指 令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置 或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传 播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使 用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个 布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读 存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光 盘只读存储器(CDR0M)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其 他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必 要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器 中。
[0115] 应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述 实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件 或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下 列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路 的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场 可编程门阵列(FPGA)等。
[0116] 本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步 骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介 质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0117] 此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以 是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模 块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如 果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机 可读取存储介质中。
[0118] 上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0119] 在本说明书的描述中,参考术语"一个实施例"、"一些实施例"、"示例"、"具体示 例"、或"一些示例"等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特 点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不 一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何 的一个或多个实施例或示例中以合适的方式结合。
[0120] 尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不 脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本 发明的范围由权利要求及其等同限定。
【主权项】
1. 一种HTML5移动应用程序的异常行为检测方法,其特征在于,包括以下步骤: 运行应用程序; 提取所述应用程序在运行过程中的所处的至少一个界面的界面信息,并提取所述应用 程序在处于每个界面时的行为事件信息; 根据所述至少一个界面的界面信息和每个界面对应的行为事件信息建立所述应用程 序的待测行为模型; 将所述应用程序的待测行为模型和预先建立的所述应用程序的原始行为模型进行比 对,并根据比对结果判断所述应用程序是否包含异常行为。2. 如权利要求1所述的HTML5移动应用程序的异常行为检测方法,其特征在于,所述行 为事件信息包括API应用程序编程接口调用信息和HTTP超文本传输协议请求信息,所述提 取所述应用程序在运行过程中的所处的至少一个界面的界面信息并提取所述应用程序在 处于每个界面时的行为事件信息,具体包括: 当所述应用程序在运行过程中建立一个界面时,调用界面信息获取函数提取所述界面 的界面信息; 在建立所述界面后,进一步提取所述应用程序处于所述界面时的API调用信息和/或 HTTP请求信息。3. 如权利要求1所述的HTML5移动应用程序的异常行为检测方法,其特征在于,所述根 据所述至少一个界面的界面信息和每个界面对应的行为事件信息建立所述应用程序的待 测行为模型,具体包括: 根据所述界面信息和行为事件信息的对应关系生成多个待测二元组,并根据所述多个 待测二元组建立所述应用程序的待测行为模型,其中,所述待测二元组的第一个元素为界 面信息,第二个元素为与所述界面信息对应的行为事件信息集合。4. 如权利要求3所述的HTML5移动应用程序的异常行为检测方法,其特征在于,所述应 用程序的原始行为模型中包括多个原始二元组,将所述应用程序的待测行为模型和预先建 立的所述应用程序的原始行为模型进行比对并根据比对结果对所述应用程序进行异常行 为检测,具体包括: 根据所述多个待测二元组中所包含的全部界面信息生成第一界面信息集合,并根据所 述多个原始二元组中所包含的全部界面信息生成第二界面信息集合; 判断所述第一界面信息集合与所述第二界面信息集合是否一致; 如果所述第一界面信息集合与所述第二界面信息集合不一致,则判断所述应用程序存 在异常行为。5. 如权利要求4所述的HTML5移动应用程序的异常行为检测方法,其特征在于,还包 括: 如果所述第一界面信息集合与所述第二界面信息集合一致,则以界面信息为索引,根 据所述多个待测二元组中每个界面信息对应行为事件信息生成第一行为事件信息集合,并 根据所述多个原始二元组中每个界面信息对应的第二行为事件信息集合; 判断所述第一行为事件信息集合与所述第二行为事件信息集合是否一致; 如果不一致,则判断所述应用程序存在异常行为。6. 如权利要求1所述的HTML5移动应用程序的异常行为检测方法,其特征在于,还包 括: 在所述应用程序首次运行时,提取所述应用程序在首次运行过程中的所处的所有界面 的界面信息,并提取所述应用程序在处于每个界面时的行为事件信息; 根据所述首次运行过程中所述所有界面的界面信息和每个界面对应的行为事件信息 建立所述应用程序的原始行为模型。7. -种HTML5移动应用程序的行为模型建立方法,其特征在于,包括以下步骤: 运行应用程序; 提取所述应用程序在运行过程中的所处的所有界面的界面信息,并提取所述应用程序 在处于每个界面时的行为事件信息; 根据所述所有界面的界面信息和每个界面对应的行为事件信息建立所述应用程序的 行为模型。8. 如权利要求7所述的HTML5移动应用程序的行为模型建立方法,其特征在于,所述行 为事件信息包括API应用程序编程接口调用信息和HTTP超文本传输协议请求信息,所述提 取所述应用程序在运行过程中的所处的所有界面的界面信息并提取所述应用程序在处于 每个界面时的行为事件信息,具体包括: 当所述应用程序在运行过程中建立一个界面时,调用界面信息获取函数提取所述界面 的界面信息; 在建立所述界面后,进一步提取所述应用程序处于所述界面时的API调用信息和/或 HTTP请求信息。9. 如权利要求7所述的HTML5移动应用程序的行为模型建立方法,其特征在于,所述根 据所述所有界面的界面信息和每个界面对应的行为事件信息建立所述应用程序的行为模 型,具体包括: 根据所述界面信息和行为事件信息的对应关系生成多个二元组,并根据所述多个二元 组建立所述应用程序的行为模型。10. 如权利要求7所述的HTML5移动应用程序的行为模型建立方法,其特征在于, 如果所述应用程序为首次运行,则将所述应用程序的行为模型作为所述应用程序的原 始行为模型,并存储至原始行为模型库; 如果所述应用程序不为首次运行,则将所述应用程序的行为模型作为所述应用程序的 待测行为模型。
【专利摘要】本发明提出一种HTML5移动应用程序的异常行为检测方法,包括以下步骤:运行应用程序;提取应用程序在运行过程中的所处的至少一个界面的界面信息,并提取应用程序在处于每个界面时的行为事件信息;根据至少一个界面的界面信息和每个界面对应的行为事件信息建立应用程序的行为模型;将应用程序的行为模型和预先建立的应用程序的原始行为模型进行比对,并根据比对结果判断应用程序是否包含异常行为。本发明实施例的异常行为检测方法,能够为应用程序建立准确、完整的行为模型,有效地提取检测应用程序的异常行为。此外,本发明还提出一种HTML5移动应用程序的行为模型建立方法。
【IPC分类】G06F21/56
【公开号】CN104992117
【申请号】CN201510333162
【发明人】毛剑, 王瑞珑, 陈岳, 刘建伟, 马寒军, 伍前红
【申请人】北京航空航天大学
【公开日】2015年10月21日
【申请日】2015年6月16日