行为检测,W 判断移动应用程序是否存在异常行为,该方法能够对移动应用程序是否包含异常行为进行 有效、准确的检测,提高了移动应用程序的安全性。
[0055] 在本发明的一个实施例中,创建预存的行为模型库,具体包括:判断是否为首次执 行移动应用程序,如果是,则将首次执行移动应用程序时创建的行为模型添加到行为模型 库中,通过将首次执行移动应用程序时创建的行为模型添加到行为模型库中节省下次移动 应用程序异常行为检测时间,进一步加强了检测的精确度和提高了移动应用程序的安全 性。
[0056] 图2是根据本发明一个具体实施例的移动应用程序异常行为检测方法的流程图。
[0057] 具体地,S21运行HTML应用程序,S22提取函数调用找信息并写入行为日志,S23提 取行为事件信息并写入行为日志,S24根据写入的行为日志生成应用行为模型,S25判断是 否是首次运行应用程序,若是首次运行进入S28把生成的应用行为模型写入原始应用行为 模型库,若不是首次运行进入S26异常行为检测,S27生成应用安全分析报告。
[0058] 根据本发明实施例的移动应用程序异常行为检测方法,提取运行的移动应用程序 相关的函数调用找信息和行为事件信息写入行为日志,根据行为日志为移动应用程序创建 待测行为模型,最后根据预存的行为模型库对创建的待测行为模型进行异常行为检测,W 判断移动应用程序是否存在异常行为,该方法能够对移动应用程序是否包含异常行为进行 有效、准确的检测,提高了移动应用程序的安全性。
[0059] 与上述实施例提供的移动应用程序异常行为检测方法相对应,本发明的一种实施 例还提供一种移动应用程序异常行为检测装置,由于本发明实施例提供的移动应用程序异 常行为检测装置与上述几种实施例提供的移动应用程序异常行为检测方法相对应,因此在 前述移动应用程序异常行为检测方法的实施方式也适用于本实施例提供的移动应用程序 异常行为检测装置,在本实施例中不再详细描述。
[0060] 图3是根据本发明一个实施例的移动应用程序异常行为检测装置的结构示意图。 如图3所示,该移动应用程序异常行为检测装置可W包括:提取模块10、行为模型生成模块 20和异常行为检测模块30、预存行为模型库模块40。
[0061] 具体地,提取模块10包括动态改写模块11和行为事件提取模块12,动态改写模块 11用于在移动应用程序运行时,提取与移动应用程序相关的函数调用找信息,行为事件提 取模块12用于提取与移动应用程序相关的行为事件信息,提取模块10还用于将函数调用找 信息和行为事件信息写入行为日志;行为模型生成模块20用于根据行为日志为移动应用程 序创建待测行为模型;异常行为检测模块30用于根据预存的行为模型库对待测行为模型进 行异常行为检测,W判断移动应用程序是否存在异常行为。其中,有限状态自动机为函数级 的有限状态自动机,函数级的有限状态自动机表示为:M= (S,X,S,SO,F),其中,S为一个有 限的、非空状态集合,Vs=(知过獨^狂)居S,sid是移动应用程序状态标识符,sattr为移动 应用程序状态的属性;X是有限状态自动机的输入的集合,取值为字符串,V O e I:,O表示 某一个导致状态转换的事件,O E 5:时表示输入的字符串为空;S是一个状态转换函数:S: S X 5: 一S,如果Sa和Sb ES, OE X,Sb = S(Sa,〇),则表示由状态Sa转换到状态Sb的输入为O ; SO E S表示初始状态;F是M的终止状态集合,F e S。
[0062] 进一步解释,该模块的输入是原始应用行为模型和待测应用行为模型,输出是待 测应用是否包含异常行为的安全分析报告。定义:M=(S,S,S,so,F)表示为原始应用构建 的有限状态自动机,M' = (S',S ',5',so',F')表示待测应用行为模型中所有应用状态集 合。该模块遍历待测应用行为模型,将其与原始应用行为模型进行对比,若出现如下情况中 的任意一种则认为待测应用存在异常:遍历待测应用行为模型M',V:>'ES':,Wsidl'(i e[0,n],n为原始应用状态集合S中所包含的行为状态总数,其取值为非负整数)为索引,遍 历原始应用行为模型M,若sidi'=Sidi,则比较sidi'在待测模型F'中的状态跳转与原始模 型F中是否相同:38 ' er,3.*.31山'=5'(31(11',〇')〇£[0,11'],11'为待测应用状态 集合S'中所包含的行为状态总数,其取值为非负整数),3 6 GM,S . t. sidj = S(sidi,〇);比 较Si^ '与Si山是否相同W及O'与〇是否相同,即比较状态跳转与跳转的触发条件是否相同。 若sidj'辛Sid域曰'辛曰,即出现异常的状态跳转,表明待测应用遭到攻击或被修改。若r中 每个状态的跳转及相应的触发条件与M中相同,则检测r中每个状态的属性与M中是否相 同。具体的:遍历1'中所有应用状态,¥8'£5',^31山'(1£[0,11])为索弓|,遍历原始应 用行为模型M,若Sidi ' = Sidi,现J比较sattri与sattri '是否相同。若sattri辛sattri ',即出 现异常的状态属性,表明待测应用遭到攻击或被修改。利用上述原则,异常行为检测模块对 待测应用是否包含异常行为进行检测。该模块在输出的应用安全分析报告中记录待测应用 出现的新的应用状态、异常的状态跳转W及异常的状态属性列表。
[0063] 根据本发明实施例的移动应用程序异常行为检测系统,提取模块通过提取运行的 移动应用程序相关的函数调用找信息和行为事件信息写入行为日志,行为模型生成模块根 据行为日志为移动应用程序创建待测行为模型,异常行为检测模块最后根据预存的行为模 型库对创建的待测行为模型进行异常行为检测,W判断移动应用程序是否存在异常行为, 该系统能够对移动应用程序是否包含异常行为进行有效、准确的检测,提高了移动应用程 序的安全性。
[0064] 在本发明的一个实施例中,如图3所示,移动应用程序异常行为检测系统还包括: 预存行为模型库模块40用于创建预存的行为模型库,具体包括:判断是否为首次执行移动 应用程序,如果是,则将首次执行移动应用程序时创建的行为模型添加到行为模型库中,通 过将首次执行移动应用程序时创建的行为模型添加到行为模型库中节省下次移动应用程 序异常行为检测时间,进一步加强了检测的精确度和提高了移动应用程序的安全性。
[0065] 图4是根据本发明一个具体实施例的移动应用程序异常行为检测装置的结示意 图。
[0066] 具体而言,动态改写模块50在HTML5应用运行过程中对应用的化vaScript函数进 行改写,W获取应用当前正在执行的函数的相关信息,并将其写入行为日志,行为事件提取 模块10监控HTML5应用的运行环境(WebView),并实时提取HTML5应用的行为事件(如调用 PhoneGap API或发出HTTP请求等)和经动态改写后所获取的化vaScript函数的相关信息, 将上述两种信息写入行为日志。行为日志采用XML格式:根元素为log元素,log元素的子元 素为若干event元素,event元素的子元素为若干inf O元素。行为事件提取模块向行为模型 生成模块输出上述形式的行为日志,行为模型生成模块20,为HTML5应用构建一个函数级的 有限状态自动机,由一个五元组1=(5,5:,5,3〇,。)表示,其中:5是一个有限的、非空状态集 合,Vs二S3化r) ES, "Sid"是应用状态标识符,其取值为一个字符串,取自某个 化vaScript函数的函数名或某个API调用命令/'satt卢是应用状态的属性,其取值为一个 字符串,取自某个化vaScript函数所在的文件路径和行列号,X是该有限状态机的输入的 集合,取值为字符串,VO G S,.O表示某一个导致状态转换的事件,O e S时则表示输入的 字符串为空,S是一个状态转换函数:S:SX5:一S。对于sa和sbeS,oe5:,sb = S(sa,o),表示 由状态Sa转换到状态Sb的输入为0,SO e S表示初始状态,本方案为每个应用定义一个初始状 态,名为"Initial state",F是M的终止状态集合,Fes。行为模型生成模块20使用行为事件 提取模块所输出的应用行为日志,按照上述有限状态自动机的定义,为HTML5应用建立行为 模型,并向原始应用行为模型库及异常行为检测模块输入所生成的行为模型。预存行为模 型库模块40在确保HTML5应用未被修改、未遭受任何攻击的前提下,遍历应用,通过之前的 行为事件提取模块10及行为模型生成模块20,获取完整的应用行为模型,存入预存行为模 型库模块40,在进行异常行为检测时,预存行为模型库模块40向异常行为检测模块输入其 中的原始应用行为模型,将待测应用行为模型与原始应用行为模型对比,W分析、判定待测 应用是否存在异常行为。异常行为检测模块输入是原始应用行为模型和待测应用行为模 型,输出是待测应用是否包含异常行为的安全分析报告。
[0067] 根据本发明实施例的移动应用程序异常行为检测系统,提取模块通过提取运行的 移动应用程序相关的函数调用找信息和行为事件信息写入行为日志,行为模型生成模块根 据行为日志为移动应用程序创建待测行为模型,异常行为检测模块最后根据预存的