[发明专利]Web应用程序行为提取方法和恶意行为检测方法

摘要

本发明公开一种Web应用程序行为提取方法和恶意行为检测方法，所述Web应用程序行为提取方法包括以下步骤：Web应用程序行为记录模块拦截JavaScript函数，并提取待测Web应用程序的行为记录，其中，行为记录包括待测Web应用程序调用的JavaScript函数的名称、接收参数和函数调用栈信息；将待测Web应用程序的行为记录发送到恶意行为检测模块，并将待测Web应用程序的行为记录写入行为日志文件。根据本发明实施例的方法，实现简单、适用性好，并能够实现对Web应用程序行为的全面监控，有助于实现对恶意行为的检测。 1

主权项

1.一种Web应用程序行为提取方法，其特征在于，包括以下步骤：

Web应用程序行为记录模块拦截JavaScript函数，并提取待测Web应用程序的行为记录，其中，所述行为记录包括所述待测Web应用程序调用的所述JavaScript函数的名称、接收参数和函数调用栈信息；

将所述待测Web应用程序的行为记录发送到恶意行为检测模块，并将所述待测Web应用程序的行为记录写入行为日志文件，

所述的Web应用程序行为提取方法还包括：

行为绘制模块根据所述待测Web应用程序的行为记录统计所述函数的调用次数和HTML元素访问次数，并根据所述函数的调用次数和HTML元素访问次数绘制待测Web应用程序实时行为图表，以实时显示所述待测Web应用程序的行为记录。

2.根据权利要求1所述的Web应用程序行为提取方法，其特征在于，在Web浏览器的popup页面中绘制所述待测Web应用程序实时行为图表。

3.根据权利要求1所述的Web应用程序行为提取方法，其特征在于，所述提取所述待测Web应用程序的行为记录包括：

将待拦截的所述JavaScript函数重命名；

定义新函数，所述新函数与重命名前的所述JavaScript函数同名；

在所述新函数中加入代码以获取所述JavaScript函数的名称和所述函数的接收参数；

利用所述JavaScript函数的错误处理机制获取所述函数调用栈信息。

4.根据权利要求1或3所述的Web应用程序行为提取方法，其特征在于，所述JavaScript函数位于Web浏览器中。

5.一种通过权利要求1所述的Web应用程序行为进行恶意行为检测方法，其特征在于，包括以下步骤：

获取所述待测Web应用程序的行为记录；

获取预先确定的恶意行为模式库，恶意行为检测模块将所述待测Web应用程序的行为记录与所述恶意行为模式库中的每个恶意行为模式进行匹配，并将匹配成功的所述待测Web应用程序的行为记录确定为异常行为；

获取预先确定的正常行为模式库，恶意行为确认模块将所述异常行为与所述正常行为模式库中的每个正常行为模式进行匹配，并将匹配失败的所述异常行为确定为疑似恶意行为；

如果所述疑似恶意行为的数量超过预设阈值，则发出恶意行为告警，

其中，所述恶意行为模式为在恶意行为发生时，被调用的当前JavaScript函数的名称和所述当前JavaScript函数的父函数的名称组成的字符串对，其中，所述父函数为直接或间接调用所述当前JavaScript函数的函数；

所述正常行为模式为在正常行为发生时，被调用的当前JavaScript函数的名称和所述当前JavaScript函数的各级父函数的名称组成的字符串组，其中，在所述字符串组中，后一个字符串代表的函数为前一个字符串代表的函数的父函数。

6.根据权利要求5所述的通过所述Web应用程序行为进行恶意行为检测方法，其特征在于，还包括：

判断所述待测Web应用程序的疑似恶意行为是否为恶意行为，如果所述待测Web应用程序的疑似恶意行为不是恶意行为，则将所述疑似恶意行为加入所述正常行为模式库。

7.根据权利要求5所述的通过所述Web应用程序行为进行恶意行为检测方法，其特征在于，

如果所述待测Web应用程序的行为记录中的JavaScript函数的名称和所述恶意行为模式中的所述当前JavaScript函数的名称相同，并且根据所述行为记录中的函数调用栈信息确定的所述JavaScript函数的父函数与所述恶意行为模式中所述当前JavaScript函数的父函数的名称相同时，则所述待测Web应用程序的行为记录匹配成功，否则所述待测Web应用程序的行为记录匹配失败；

如果所述异常行为在所述待测Web应用程序的行为记录中的JavaScript函数的名称和所述正常行为模式中的所述当前JavaScript函数的名称相同，并且根据所述行为记录中的函数调用栈信息确定的所述JavaScript函数的各级父函数与所述正常行为模式中所述当前JavaScript函数的各级父函数的名称相同时，则所述异常行为匹配成功，否则，所述异常行为匹配失败。