[发明专利]小程序恶意行为检测方法和装置

权利要求书

1.小程序恶意行为检测方法，包括：

获取在小程序运行过程中触发产生的至少两条行为记录；其中，在小程序调用一个业务接口时，按照约定的协议向JavaScript Bridge发送调用请求；对JavaScript Bridge进行切面，使得当小程序在向JavaScript Bridge发送调用请求时先将执行逻辑路由到一个安全切面模块上，由该安全切面模块接收调用请求，并转发给JavaScript Bridge，以及，JavaScript Bridge将调用请求响应发送给安全切面模块，由安全切面模块将调用请求响应发送给小程序，使得安全切面模块获取到小程序调用业务接口时的行为记录；

提取每一条行为记录的行为特征；

将连续产生的至少两条行为记录的至少两个行为特征形成至少一个特征组合；每一个特征组合中包括至少两个行为特征，且该至少两个行为特征在该特征组合中的先后顺序与该至少两个行为特征对应的行为记录所产生的时间顺序相同；

判断是否存在一个特征组合包括预设的恶意行为记录的特征组合；

如果是，则确定该小程序存在恶意行为；

其中，所述获取在小程序运行过程中触发产生的至少两条行为记录，包括：

获取在小程序运行过程中由该小程序产生的至少两条行为记录；

针对该至少两条行为记录中相邻的两条行为记录，根据预先存储的小程序的各个功能页面之间的关系判断：从产生时间更早的行为记录所对应的第一功能页面跳转到产生时间更晚的行为记录所对应的第二功能页面时，除了包括从第一功能页面直接跳转到第二功能页面的路径之外，是否还包括从第一功能页面经由至少一个第三功能页面跳转到第二功能页面的路径，如果是，针对第三功能页面生成对应的行为记录；其中，第三功能页面对应的行为记录不是小程序产生的行为记录，而是根据小程序产生的相邻的两条行为记录生成的行为记录；

将由该小程序产生的至少两条行为记录以及第三功能页面对应的行为记录，作为所述在小程序运行过程中触发产生的至少两条行为记录。

2.根据权利要求1所述的方法，其中，所述行为记录包括如下中的至少一项：所述小程序所调用的业务接口的名称、所述小程序调用业务接口时的时间信息、所述小程序发送的调用请求中的参数信息、所述小程序所接收到的调用请求响应中的参数信息和所述小程序调用业务接口之后对应的功能页面的信息。

3.根据权利要求1所述的方法，其中，

所述获取在小程序运行过程中触发产生的至少两条行为记录，包括：获取在小程序运行过程中由该小程序产生的至少两条行为记录；

所述将连续产生的至少两条行为记录的至少两个行为特征形成至少一个特征组合，包括：利用该小程序产生的至少两条行为记录的行为特征，形成一个特征组合。

4.根据权利要求1所述的方法，其中，所述将连续产生的至少两条行为记录的至少两个行为特征形成至少一个特征组合，包括：

利用由该小程序产生的至少两条行为记录的行为特征形成第一特征组合；

利用由该小程序产生的至少两条行为记录的行为特征以及对应第三功能页面的行为记录的行为特征，形成至少一个第二特征组合。

5.根据权利要求1或3所述的方法，其中，所述获取在小程序运行过程中由该小程序产生的至少两条行为记录，包括：

获取在小程序运行过程中该小程序在调用至少两个业务接口时所产生的至少两条行为记录。

6.根据权利要求1所述的方法，其中，所述提取每一条行为记录的行为特征，包括：

根据该条行为记录中包括的所述小程序所调用的业务接口的名称，确定该业务接口的分类；根据预先对各分类定义的分类值，确定该业务接口的分类对应的分类值；将确定的该分类值确定为该条行为记录的行为特征；

和/或，

根据该条行为记录中包括的所述小程序发送的调用请求中的参数信息和所述小程序所接收到的调用请求响应中的参数信息，检测参数信息中包括的隐私数据；根据预设的数据类型与敏感权重值的对应关系，确定该隐私数据所对应的敏感权重值；将该隐私数据所对应的敏感权重值，确定为该条行为记录的行为特征。