[发明专利]HTML5移动应用程序的异常行为检测方法和行为模型建立方法

说明书

技术领域

本发明涉及网络技术及信息安全技术领域，特别涉及一种HTML5移动应用程序的异常行为检测方法和行为模型建立方法。

背景技术

Android安卓系统的开放性使其成为目前主流的移动平台，但也令其成为恶意应用的主要攻击目标。据相关报告显示，Android平台上的恶意应用数量占整体移动恶意应用数量急剧上升。恶意应用一旦被安装执行，可轻易获取用户的众多隐私数据，如地理位置信息、通讯录、日程表、短信、邮件等，同时亦可在用户不知情的情况下在后台订阅增值业务，消耗用户流量和话费。如今，伴随电子交易、互联网金融以及移动支付的快速发展，甚至出现了盗取用户银行卡信息、盗刷信用卡等金融犯罪行为。这些出现在Android平台的恶意应用对用户隐私、财产甚至人身安全构成了极大威胁。

由于HTML5(Hypertext Markup Language5，第五代超文本标记语言)技术的引入，移动平台面临更加严峻的安全形势。HTML5应用运行在系统所提供的浏览器环境中(如WebView，网页识图)，它包含不同来源的代码，如应用自身或者第三方的Java代码(一种程序设计语言)，HTML5或JavaScript(一种脚本语言)代码。这些代码在Android系统中拥有与应用本身相同的权限。这种现象，尤其是令第三方引入的代码拥有应用的权限会带来极大的安全隐患。由于HTML5应用本质上仍是Web应用程序，因此PC(Personal Computer，个人计算机)端的传统Web攻击模式，如跨站点脚本攻击(Cross-Site Scripting，XSS)等同样可以出现在移动端。一旦恶意脚本注入目标应用，该脚本将获得应用的所有权限，对用户造成的损失难以估量。

目前对应用程序的安全性进行检测，通常分为两种方法：一种是静态分析，对应用程序进行反汇编，获取程序源码或编译中间过程的字节码等，在此基础上对应用程序安全性进行分析。如：通过分析反编译得到的字节码获取应用程序的API(Application Programming Interface，应用程序编程接口)调用依赖关系以检测恶意行为；但是，由于编译器的处理方式存在差异，编译过程可能隐藏部分恶意行为，单从代码角度进行静态分析无法对应用程序安全性进行全面评估。另一种检测方法是动态分析，在程序运行过程中，动态的获取程序运行日志，分析其安全性。如：记录应用运行过程中的系统调用序列建立应用行为模式，进行基于模式匹配的恶意行为检测。但是，基于行为模式的检测需要事先获取恶意行为模式才能够进行后续的匹配检测流程，无法对新出现的恶意行为进行有效检测。

因此，有待提出一种全面、有效、准确的应用程序行为检测方法。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。

为此，本发明的第一个目的在于提出一种HTML5移动应用程序的异常行为检测方法，能够为应用程序建立准确、完整的行为模型，有效地提取检测应用程序的异常行为。

本发明的第二个目的在于提出一种HTML5移动应用程序的行为模型的建立方法。

为达上述目的，根据本发明第一方面实施例提出了一种HTML5移动应用程序的异常行为检测方法，包括以下步骤：运行应用程序；提取所述应用程序在运行过程中的所处的至少一个界面的界面信息，并提取所述应用程序在处于每个界面时的行为事件信息；根据所述至少一个界面的界面信息和每个界面对应的行为事件信息建立所述应用程序的待测行为模型；将所述应用程序的待测行为模型和预先建立的所述应用程序的原始行为模型进行比对，并根据比对结果判断所述应用程序是否包含异常行为。

本发明实施例的HTML5移动应用程序的异常行为检测方法，通过提取应用程序运行过程的行为事件及其所处的界面信息，即应用程序的运行环境，以据此生成行为模型，并通过将该行为模型与原始行为模型进行比对来判断应用程序是否包含异常行为，与相关技术相比，可有效提取HTML5移动应用程序运行过程中的全部行为事件信息，以及行为事件发生时所处的程序上下文环境信息(即界面信息)，从而能够据此为HTML5移动应用程序建立准确、完整的行为模型，从而，能够有效地提取检测应用程序的异常行为，尤其针对零日攻击、变形攻击和代码注入攻击具有良好的检测效果。