行为模 型库对创建的待测行为模型进行异常行为检测,W判断移动应用程序是否存在异常行为, 该系统能够对移动应用程序是否包含异常行为进行有效、准确的检测,提高了移动应用程 序的安全性。
[0068] 在本发明的描述中,需要理解的是,术语"第一"、"第二"仅用于描述目的,而不能 理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有"第 一"、"第二"的特征可W明示或者隐含地包括至少一个该特征。在本发明的描述中,"多个" 的含义是至少两个,例如两个,=个等,除非另有明确具体的限定。
[0069] 在本说明书的描述中,参考术语"一个实施例"、"一些实施例"、"示例"、"具体示 例"、或"一些示例"等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特 点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不 必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可W在任 一个或多个实施例或示例中W合适的方式结合。此外,在不相互矛盾的情况下,本领域的技 术人员可W将本说明书中描述的不同实施例或示例W及不同实施例或示例的特征进行结 合和组合。
[0070] 流程图中或在此W其他方式描述的任何过程或方法描述可W被理解为,表示包括 一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部 分,并且本发明的优选实施方式的范围包括另外的实现,其中可W不按所示出或讨论的顺 序,包括根据所设及的功能按基本同时的方式或按相反的顺序,来执行功能,运应被本发明 的实施例所属技术领域的技术人员所理解。
[0071] 在流程图中表示或在此W其他方式描述的逻辑和/或步骤,例如,可W被认为是用 于实现逻辑功能的可执行指令的定序列表,可W具体实现在任何计算机可读介质中,W供 指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可W从指令执 行系统、装置或设备取指令并执行指令的系统)使用,或结合运些指令执行系统、装置或设 备而使用。就本说明书而言,"计算机可读介质"可W是任何可W包含、存储、通信、传播或传 输程序W供指令执行系统、装置或设备或结合运些指令执行系统、装置或设备而使用的装 置。计算机可读介质的更具体的示例(非穷尽性列表)包括W下:具有一个或多个布线的电 连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器 (ROM),可擦除可编辑只读存储器巧PROM或闪速存储器),光纤装置,W及便携式光盘只读存 储器(CDROM)。另外,计算机可读介质甚至可W是可在其上打印所述程序的纸或其他合适的 介质,因为可W例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时W其 他合适方式进行处理来W电子方式获得所述程序,然后将其存储在计算机存储器中。
[0072] 应当理解,本发明的各部分可W用硬件、软件、固件或它们的组合来实现。在上述 实施方式中,多个步骤或方法可W用存储在存储器中且由合适的指令执行系统执行的软件 或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下 列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑口电路 的离散逻辑电路,具有合适的组合逻辑口电路的专用集成电路,可编程口阵列(PGA),现场 可编程口阵列(FPGA)等。
[0073] 本技术领域的普通技术人员可W理解实现上述实施例方法携带的全部或部分步 骤是可W通过程序来指令相关的硬件完成,所述的程序可W存储于一种计算机可读存储介 质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0074] 此外,在本发明各个实施例中的各功能单元可W集成在一个处理模块中,也可W 是各个单元单独物理存在,也可W两个或两个W上单元集成在一个模块中。上述集成的模 块既可W采用硬件的形式实现,也可W采用软件功能模块的形式实现。所述集成的模块如 果W软件功能模块的形式实现并作为独立的产品销售或使用时,也可W存储在一个计算机 可读取存储介质中。
[0075] 上述提到的存储介质可W是只读存储器,磁盘或光盘等。尽管上面已经示出和描 述了本发明的实施例,可W理解的是,上述实施例是示例性的,不能理解为对本发明的限 审IJ,本领域的普通技术人员在本发明的范围内可W对上述实施例进行变化、修改、替换和变 型。
【主权项】
1. 一种移动应用程序异常行为检测方法,其特征在于,包括以下步骤: 运行移动应用程序; 提取与所述移动应用程序相关的函数调用栈信息和行为事件信息; 将所述函数调用栈信息和行为事件信息写入行为日志; 根据所述行为日志为所述移动应用程序创建待测行为模型; 根据预存的行为模型库对所述待测行为模型进行异常行为检测,以判断所述移动应用 程序是否存在异常行为。2. 根据权利要求1所述的移动应用程序异常行为检测方法,其特征在于,所述移动应用 程序为HTML5移动应用程序。3. 根据权利要求1所述的移动应用程序异常行为检测方法,其特征在于,所述提取与所 述移动应用程序相关的函数调用栈信息和行为事件信息,包括: 对所述移动应用程序的JavaScript函数进行改写,以获取所述移动应用程序当前正在 执行的函数调用栈信息; 监测所述移动应用程序的运行环境,以提取所述移动应用程序的行为事件信息。4. 根据权利要求3所述的移动应用程序异常行为检测方法,其特征在于,所述函数调用 栈信息包括JavaScript函数的函数名、行列号、与所述JavaScript函数相关的触发条件以 及进入、离开函数的信息。5. 根据权利要求1所述的移动应用程序异常行为检测方法,其特征在于,所述有限状态 自动机为函数级的有限状态自动机,所述函数级的有限状态自动机表示为: M=(S, Σ ,5,s〇,F), 其中,所述S为一个有限的、非空状态集合,Vs = 是移动应用程 序状态标识符,sattr为移动应用程序状态的属性;所述Σ是所述有限状态自动机的输入的 集合,取值为字符串,V σ e Σ,σ表示某一个导致状态转换的事件,φ e Σ时表示输入的字 符串为空J是一个状态转换函数j:SX Σ-S,如果s4PsbeS,〇e Σ,Sb = S(Sa,〇),则表示 由状态sa转换到状态Sb的输入为σ; SQ e S表示初始状态;F是M的终止状态集合,FES。6. 根据权利要求1所述的移动应用程序异常行为检测方法,其特征在于,还包括:创建 所述预存的行为模型库,具体包括: 判断是否为首次执行所述移动应用程序; 如果是,则将首次执行所述移动应用程序时创建的所述行为模型添加到所述行为模型 库中。7. -种移动应用程序异常行为检测系统,其特征在于,包括: 提取模块,所述提取模块包括动态改写模块和行为事件提取模块,所述动态改写模块 用于在移动应用程序运行时,提取与所述移动应用程序相关的函数调用栈信息,所述行为 事件提取模块用于提取与所述移动应用程序相关的行为事件信息,所述提取模块还用于将 所述函数调用栈信息和行为事件信息写入行为日志; 行为模型生成模块,用于根据所述行为日志为所述移动应用程序创建待测行为模型; 异常行为检测模块,用于根据预存的行为模型库对所述待测行为模型进行异常行为检 测,以判断所述移动应用程序是否存在异常行为。8. 根据权利要求7所述的移动应用程序异常行为检测系统,其特征在于,所述有限状态 自动机为函数级的有限状态自动机,所述函数级的有限状态自动机表示为: M=(S, Σ ,5,s〇,F), 其中,所述S为一个有限的、非空状态集合,Vs = saiir) eS,sid是移动应用程 序状态标识符,sattr为移动应用程序状态的属性;所述Σ是所述有限状态自动机的输入的 集合,取值为字符串,V σ Σ,σ表示某一个导致状态转换的事件,φ e Σ时表示输入的字 符串为空J是一个状态转换函数j:SX Σ-S,如果s4PsbeS,〇e Σ,Sb = S(Sa,〇),则表示 由状态sa转换到状态Sb的输入为σ; SQ e S表示初始状态;F是M的终止状态集合,FES。9. 根据权利要求7所述的移动应用程序异常行为检测系统,其特征在于,还包括:预存 行为模型库模块,用于创建所述预存的行为模型库,具体包括:判断是否为首次执行所述移 动应用程序,如果是,则将首次执行所述移动应用程序时创建的所述行为模型添加到所述 行为模型库中。
【专利摘要】本发明公开了一种移动应用程序异常行为检测方法及系统,其中方法包括以下步骤:运行移动应用程序;提取与移动应用程序相关的函数调用栈信息和行为事件信息;将函数调用栈信息和行为事件信息写入行为日志;根据行为日志为移动应用程序创建待测行为模型;根据预存的行为模型库对待测行为模型进行异常行为检测,以判断移动应用程序是否存在异常行为,该方法能够对移动应用程序是否包含异常行为进行有效、准确的检测,提高了移动应用程序的安全性。
【IPC分类】G06F11/36
【公开号】CN105528295
【申请号】CN201610003798
【发明人】毛剑, 崔键, 王瑞珑, 陈岳, 王培人, 刘建伟, 伍前红
【申请人】北京航空航天大学
【公开日】2016年4月27日
【申请日】2016年1月4日