能的可執(zhí)行指令的定序列表，可以具體實(shí)現(xiàn)在任何計(jì)算機(jī)可讀介質(zhì)中，以 供指令執(zhí)行系統(tǒng)、裝置或設(shè)備（如基于計(jì)算機(jī)的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指 令執(zhí)行系統(tǒng)、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng)）使用，或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置 或設(shè)備而使用。就本說(shuō)明書而言，"計(jì)算機(jī)可讀介質(zhì)"可以是任何可以包含、存儲(chǔ)、通信、傳 播或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使 用的裝置。計(jì)算機(jī)可讀介質(zhì)的更具體的示例（非窮盡性列表）包括以下：具有一個(gè)或多個(gè) 布線的電連接部（電子裝置），便攜式計(jì)算機(jī)盤盒（磁裝置），隨機(jī)存取存儲(chǔ)器（RAM)，只讀 存儲(chǔ)器（ROM)，可擦除可編輯只讀存儲(chǔ)器（EPROM或閃速存儲(chǔ)器），光纖裝置，以及便攜式光 盤只讀存儲(chǔ)器（CDR0M)。另外，計(jì)算機(jī)可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其 他合適的介質(zhì)，因?yàn)榭梢岳缤ㄟ^(guò)對(duì)紙或其他介質(zhì)進(jìn)行光學(xué)掃描，接著進(jìn)行編輯、解譯或必 要時(shí)以其他合適方式進(jìn)行處理來(lái)以電子方式獲得所述程序，然后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器 中。
[0115] 應(yīng)當(dāng)理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來(lái)實(shí)現(xiàn)。在上述 實(shí)施方式中，多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件 或固件來(lái)實(shí)現(xiàn)。例如，如果用硬件來(lái)實(shí)現(xiàn)，和在另一實(shí)施方式中一樣，可用本領(lǐng)域公知的下 列技術(shù)中的任一項(xiàng)或他們的組合來(lái)實(shí)現(xiàn)：具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路 的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列（PGA)，現(xiàn)場(chǎng) 可編程門陣列（FPGA)等。
[0116] 本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步 驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介 質(zhì)中，該程序在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。
[0117] 此外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中，也可以 是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)模塊中。上述集成的模 塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如 果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī) 可讀取存儲(chǔ)介質(zhì)中。
[0118] 上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。
[0119] 在本說(shuō)明書的描述中，參考術(shù)語(yǔ)"一個(gè)實(shí)施例"、"一些實(shí)施例"、"示例"、"具體示 例"、或"一些示例"等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特 點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說(shuō)明書中，對(duì)上述術(shù)語(yǔ)的示意性表述不 一定指的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何 的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。
[0120] 盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例，本領(lǐng)域的普通技術(shù)人員可以理解：在不 脫離本發(fā)明的原理和宗旨的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化、修改、替換和變型，本 發(fā)明的范圍由權(quán)利要求及其等同限定。
【主權(quán)項(xiàng)】
1. 一種HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，包括以下步驟： 運(yùn)行應(yīng)用程序； 提取所述應(yīng)用程序在運(yùn)行過(guò)程中的所處的至少一個(gè)界面的界面信息，并提取所述應(yīng)用 程序在處于每個(gè)界面時(shí)的行為事件信息； 根據(jù)所述至少一個(gè)界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息建立所述應(yīng)用程 序的待測(cè)行為模型； 將所述應(yīng)用程序的待測(cè)行為模型和預(yù)先建立的所述應(yīng)用程序的原始行為模型進(jìn)行比 對(duì)，并根據(jù)比對(duì)結(jié)果判斷所述應(yīng)用程序是否包含異常行為。2. 如權(quán)利要求1所述的HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，所述行 為事件信息包括API應(yīng)用程序編程接口調(diào)用信息和HTTP超文本傳輸協(xié)議請(qǐng)求信息，所述提 取所述應(yīng)用程序在運(yùn)行過(guò)程中的所處的至少一個(gè)界面的界面信息并提取所述應(yīng)用程序在 處于每個(gè)界面時(shí)的行為事件信息，具體包括： 當(dāng)所述應(yīng)用程序在運(yùn)行過(guò)程中建立一個(gè)界面時(shí)，調(diào)用界面信息獲取函數(shù)提取所述界面 的界面信息； 在建立所述界面后，進(jìn)一步提取所述應(yīng)用程序處于所述界面時(shí)的API調(diào)用信息和/或 HTTP請(qǐng)求信息。3. 如權(quán)利要求1所述的HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，所述根 據(jù)所述至少一個(gè)界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息建立所述應(yīng)用程序的待 測(cè)行為模型，具體包括： 根據(jù)所述界面信息和行為事件信息的對(duì)應(yīng)關(guān)系生成多個(gè)待測(cè)二元組，并根據(jù)所述多個(gè) 待測(cè)二元組建立所述應(yīng)用程序的待測(cè)行為模型，其中，所述待測(cè)二元組的第一個(gè)元素為界 面信息，第二個(gè)元素為與所述界面信息對(duì)應(yīng)的行為事件信息集合。4. 如權(quán)利要求3所述的HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，所述應(yīng) 用程序的原始行為模型中包括多個(gè)原始二元組，將所述應(yīng)用程序的待測(cè)行為模型和預(yù)先建 立的所述應(yīng)用程序的原始行為模型進(jìn)行比對(duì)并根據(jù)比對(duì)結(jié)果對(duì)所述應(yīng)用程序進(jìn)行異常行 為檢測(cè)，具體包括： 根據(jù)所述多個(gè)待測(cè)二元組中所包含的全部界面信息生成第一界面信息集合，并根據(jù)所 述多個(gè)原始二元組中所包含的全部界面信息生成第二界面信息集合； 判斷所述第一界面信息集合與所述第二界面信息集合是否一致； 如果所述第一界面信息集合與所述第二界面信息集合不一致，則判斷所述應(yīng)用程序存 在異常行為。5. 如權(quán)利要求4所述的HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，還包 括： 如果所述第一界面信息集合與所述第二界面信息集合一致，則以界面信息為索引，根 據(jù)所述多個(gè)待測(cè)二元組中每個(gè)界面信息對(duì)應(yīng)行為事件信息生成第一行為事件信息集合，并 根據(jù)所述多個(gè)原始二元組中每個(gè)界面信息對(duì)應(yīng)的第二行為事件信息集合； 判斷所述第一行為事件信息集合與所述第二行為事件信息集合是否一致； 如果不一致，則判斷所述應(yīng)用程序存在異常行為。6. 如權(quán)利要求1所述的HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，其特征在于，還包 括： 在所述應(yīng)用程序首次運(yùn)行時(shí)，提取所述應(yīng)用程序在首次運(yùn)行過(guò)程中的所處的所有界面 的界面信息，并提取所述應(yīng)用程序在處于每個(gè)界面時(shí)的行為事件信息； 根據(jù)所述首次運(yùn)行過(guò)程中所述所有界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息 建立所述應(yīng)用程序的原始行為模型。7. -種HTML5移動(dòng)應(yīng)用程序的行為模型建立方法，其特征在于，包括以下步驟： 運(yùn)行應(yīng)用程序； 提取所述應(yīng)用程序在運(yùn)行過(guò)程中的所處的所有界面的界面信息，并提取所述應(yīng)用程序 在處于每個(gè)界面時(shí)的行為事件信息； 根據(jù)所述所有界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息建立所述應(yīng)用程序的 行為模型。8. 如權(quán)利要求7所述的HTML5移動(dòng)應(yīng)用程序的行為模型建立方法，其特征在于，所述行 為事件信息包括API應(yīng)用程序編程接口調(diào)用信息和HTTP超文本傳輸協(xié)議請(qǐng)求信息，所述提 取所述應(yīng)用程序在運(yùn)行過(guò)程中的所處的所有界面的界面信息并提取所述應(yīng)用程序在處于 每個(gè)界面時(shí)的行為事件信息，具體包括： 當(dāng)所述應(yīng)用程序在運(yùn)行過(guò)程中建立一個(gè)界面時(shí)，調(diào)用界面信息獲取函數(shù)提取所述界面 的界面信息； 在建立所述界面后，進(jìn)一步提取所述應(yīng)用程序處于所述界面時(shí)的API調(diào)用信息和/或 HTTP請(qǐng)求信息。9. 如權(quán)利要求7所述的HTML5移動(dòng)應(yīng)用程序的行為模型建立方法，其特征在于，所述根 據(jù)所述所有界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息建立所述應(yīng)用程序的行為模 型，具體包括： 根據(jù)所述界面信息和行為事件信息的對(duì)應(yīng)關(guān)系生成多個(gè)二元組，并根據(jù)所述多個(gè)二元 組建立所述應(yīng)用程序的行為模型。10. 如權(quán)利要求7所述的HTML5移動(dòng)應(yīng)用程序的行為模型建立方法，其特征在于， 如果所述應(yīng)用程序?yàn)槭状芜\(yùn)行，則將所述應(yīng)用程序的行為模型作為所述應(yīng)用程序的原 始行為模型，并存儲(chǔ)至原始行為模型庫(kù)； 如果所述應(yīng)用程序不為首次運(yùn)行，則將所述應(yīng)用程序的行為模型作為所述應(yīng)用程序的 待測(cè)行為模型。
【專利摘要】本發(fā)明提出一種HTML5移動(dòng)應(yīng)用程序的異常行為檢測(cè)方法，包括以下步驟：運(yùn)行應(yīng)用程序；提取應(yīng)用程序在運(yùn)行過(guò)程中的所處的至少一個(gè)界面的界面信息，并提取應(yīng)用程序在處于每個(gè)界面時(shí)的行為事件信息；根據(jù)至少一個(gè)界面的界面信息和每個(gè)界面對(duì)應(yīng)的行為事件信息建立應(yīng)用程序的行為模型；將應(yīng)用程序的行為模型和預(yù)先建立的應(yīng)用程序的原始行為模型進(jìn)行比對(duì)，并根據(jù)比對(duì)結(jié)果判斷應(yīng)用程序是否包含異常行為。本發(fā)明實(shí)施例的異常行為檢測(cè)方法，能夠?yàn)閼?yīng)用程序建立準(zhǔn)確、完整的行為模型，有效地提取檢測(cè)應(yīng)用程序的異常行為。此外，本發(fā)明還提出一種HTML5移動(dòng)應(yīng)用程序的行為模型建立方法。
【IPC分類】G06F21/56
【公開號(hào)】CN104992117
【申請(qǐng)?zhí)枴緾N201510333162
【發(fā)明人】毛劍, 王瑞瓏, 陳岳, 劉建偉, 馬寒軍, 伍前紅
【申請(qǐng)人】北京航空航天大學(xué)
【公開日】2015年10月21日
【申請(qǐng)日】2015年6月16日