移动应用程序异常行为检测方法及装置的制造方法
【技术领域】
[0001] 本发明设及信息安全技术领域,尤其设及一种移动应用程序异常行为检测方法及 装置。
【背景技术】
[0002] Amlroid(安卓)系统由于其免费、开源等特性,开发后迅速占据市场份额,成为增 长速度最快的移动智能操作系统,其开源特性也使得Amlroid平台成为恶意应用的主要攻 击目标。在Amlroid系统中,一个应用程序在安装过程中会向用户提出权限申请,用户可W 选择接受或拒绝。用户如果接受,则该程序完成安装并在其生命周期中始终享有申请的权 限;用户如果拒绝,则安装失败。随着移动设备的高速发展,手机中往往存储、管理着用户更 加私密的数据和重要的个人信息。更为严峻的是,伴随着电子交易、互联网金融W及移动支 付的快速发展,越来越多的安全敏感操作被迁移至移动终端,盗取用户银行卡信息、盗刷信 用卡等金融犯罪行为时有发生。
[0003] HTML5应用程序(W下简称HTML5应用)使用HTML JavaScript(解释性脚本语言)等 网络编程语言编写,各操作系统的内置浏览器环境(如Amlroid的WebView(网络视图),iOS 的UIWebView(浏览器控件)等)为上述代码提供合适的解析引擎。应用通过W化oneGap为代 表的移动应用开发框架,使用运些框架所提供的JavaScript API (App Ii cat ion Programming Inte计ace,应用程序编程接口)接口集,实现对硬件系统资源的访问。HTML5 应用运种跨平台的兼容性和便利的移植性,使得开发者不需要编写任何的原生代码,使用 标准的WeKWebsite,网页)编程技术便可快速地开发跨平台移动应用程序并将其部署到目 前几乎所有的主流移动平台(如An化oid、iOS、Windows Phone等)。
[0004] 但是由于HTML5应用包含不同来源的代码,除了应用自身的HTMLSJavaScript代 码,还包括由不可信的第S方引入的化vaScript代码。运些代码在Amlro id系统中拥有与应 用本身相同的权限,因而带来极大的安全隐患。针对上述问题,现有的检测方法可W分为两 类:(1)基于白名单或同源原则(The Same-origin Policy)对HTML5应用进行细粒度的权限 管理;(2)对移动设备中可能的代码注入入口进行筛查,如扫描二维码、读取Wi-Fi热点的 SSIDs(Service Set Identifiers)等,发现隐藏在数据中的JavaScript代码并将其滤除。 但是,上述两种方法都需要对HTML5应用所使用的开发框架(如化oneGap)进行修改,或者需 要应用开发者的协助(如提供白名单、为相应域名指定权限等),运些都大大限制了检测方 法的适用性。由于HTML5技术在移动端刚刚兴起,针对其安全性的研究成果有限,现有的方 法并未对应用行为的本质进行有效的检测,所W,针对Amlroid平台下HTML5应用程序行为 的检测方法和安全性研究显得尤为重要。
【发明内容】
[0005] 本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
[0006] 为此,本发明的第一个目的在于提出一种移动应用程序异常行为检测方法,该方 法能够对移动应用程序是否包含异常行为进行有效、准确的检测,提高了移动应用程序的 安全性。
[0007] 本发明的第二个目的在于提出一种移动应用程序异常行为检测装置。
[0008] 为达上述目的,本发明第一方面实施例的移动应用程序异常行为检测方法,包括: 运行移动应用程序;提取与所述移动应用程序相关的函数调用找信息和行为事件信息;将 所述函数调用找信息和行为事件信息写入行为日志;根据所述行为日志为所述移动应用程 序创建待测行为模型;根据预存的行为模型库对所述待测行为模型进行异常行为检测,W 判断所述移动应用程序是否存在异常行为。
[0009] 根据本发明实施例的移动应用程序异常行为检测方法,提取运行的移动应用程序 相关的函数调用找信息和行为事件信息写入行为日志,根据行为日志为移动应用程序创建 待测行为模型,最后根据预存的行为模型库对创建的待测行为模型进行异常行为检测,W 判断移动应用程序是否存在异常行为,该方法能够对移动应用程序是否包含异常行为进行 有效、准确的检测,提高了移动应用程序的安全性。
[0010] 在本发明的一个实施例中,所述移动应用程序为HTML5移动应用程序。
[0011] 在本发明的一个实施例中,所述提取与所述移动应用程序相关的函数调用找信息 和行为事件信息,包括:对所述移动应用程序的化vaScript函数进行改写,W获取所述移动 应用程序当前正在执行的函数调用找信息;监测所述移动应用程序的运行环境,W提取所 述移动应用程序的行为事件信息。
[0012] 在本发明的一个实施例中,所述函数调用找信息包括化vaScript函数的函数名、 行列号、与所述化vaScript函数相关的触发条件W及进入、离开函数的信息。
[0013] 在本发明的一个实施例中,所述有限状态自动机为函数级的有限状态自动机,所 述函数级的有限状态自动机表示为:1=(5,5:,5,3〇,。),其中,所述5为一个有限的、非空状 态集合,Vs = UYc/, SSf化)ES, Sid是移动应用程序状态标识符,sattr为移动应用程序状 态的属性;所述X是所述有限状态自动机的输入的集合,取值为字符串,V O € 2 , O表示某 一个导致状态转换的事件,O e S时表示输入的字符串为空;S是一个状态转换函数:S: S X 玄一5,如果33和3把5,〇£5:,36 = 8(33,〇),则表示由状态33转换到状态36的输入为〇;3日£8 表示初始状态;F是M的终止状态集合,F e S。
[0014] 在本发明的一个实施例中,所述的移动应用程序异常行为检测方法,还包括:创建 所述预存的行为模型库,具体包括:判断是否为首次执行所述移动应用程序;如果是,则将 首次执行所述移动应用程序时创建的所述行为模型添加到所述行为模型库中。
[0015] 为达上述目的,本发明第二方面实施例提出一种移动应用程序异常行为检测系 统,包括:提取模块,所述提取模块包括动态改写模块和行为事件提取模块,所述动态改写 模块用于在移动应用程序运行时,提取与所述移动应用程序相关的函数调用找信息,所述 行为事件提取模块用于提取与所述移动应用程序相关的行为事件信息,所述提取模块还用 于将所述函数调用找信息和行为事件信息写入行为日志;行为模型生成模块,用于根据所 述行为日志为所述移动应用程序创建待测行为模型;异常行为检测模块,用于根据预存的 行为模型库对所述待测行为模型进行异常行为检测,W判断所述移动应用程序是否存在异 常行为。
[0016] 根据本发明实施例的移动应用程序异常行为检测系统,提取模块通过提取运行的 移动应用程序相关的函数调用找信息和行为事件信息写入行为日志,行为模型生成模块为 移动应用程序创建待测行为模型,异常行为检测模块最后根据预存的行为模型库对创建的 待测行为模型进行异常行为检测,W判断移动应用程序是否存在异常行为,该系统能够对 移动应用程序是否包含异常行为进行有效、准确的检测,提高了移动应用程序的安全性。
[0017] 在本发明的一个实施例中,所述有限状态自动机为函数级的有限状态自动机,所 述函数级的有限状态自动机表示为:1=(5,5:,5,3〇,。),其中,所述5为一个有限的、非空状 态集合,Vs = kid saf化)GS,sid是移动应用程序状态标识符,sattr为移动应用程序状 态的属性;所述S是所述有限状态自动机的输入的集合,取值为字符串,V O e S,O表示某 一个导致状态转换的事件,O e X时表示输入的字符串为空;S是一个状态转换函数:S: S X 玄一5,如果33和3把5,〇£5:,36 = 8(33,〇),则表示由状态33转换到状态36的输入为〇;3日£8 表示初始状态;F是M的终止状态集合,F e S。
[0018] 在本发明的一个实施例中,所述的移动应用程序异常行为检测系统,还包括:预存 行为模型库模块,用于创建所述预存的行为模型库,具体包括:判断是否为首次执行所述移 动应用程序,如果是,则将首次执行所述移动应用程序时创建的所述行为模型添加到所述 行为模型库中。
[0019] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0020] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得 明显和容易理解,其中,
[0021 ]图1是根据本发明一个实施例的移动应用程序异常行为检测方法的流程图;
[0022] 图2是根据本发明一个具体实施例的移动应用程序异常行为检测方法的流程图;
[0023] 图3是根据本发明另一个实施例的移动应用程序异常行为检测装置的结示意图;
[0024] 图4是根据本发明一个具体实施例的移动应用程序异常行为检测装置的结示意 图。
【具体实施方式】
[0025] 下面详细描述本发明的实施