[發明專利]移動應用程序異常行為檢測方法及裝置有效

申請號：	201610003798.4	申請日：	2016-01-04
公開（公告）號：	CN105528295B	公開（公告）日：	2018-12-14
發明（設計）人：	毛劍;崔鍵;王瑞瓏;陳岳;王培人;劉建偉;伍前紅	申請（專利權）人：	北京航空航天大學
主分類號：	G06F11/36	分類號：	G06F11/36
代理公司：	北京清亦華知識產權代理事務所(普通合伙) 11201	代理人：	張大威
地址：	100191***	國省代碼：	北京;11
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	移動應用程序異常行為檢測方法裝置
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種移動應用程序異常行為檢測方法，其特征在于，包括以下步驟：

運行移動應用程序；

提取與所述移動應用程序相關的函數調用棧信息和行為事件信息，其中，對所述移動應用程序的JavaScript函數進行改寫，以獲取所述移動應用程序當前正在執行的函數調用棧信息，所述函數調用棧信息包括JavaScript函數的函數名、行列號、與所述JavaScript函數相關的觸發條件以及進入、離開函數的信息；

監測所述移動應用程序的運行環境，以提取所述移動應用程序的行為事件信息；

將所述函數調用棧信息和行為事件信息寫入行為日志；

根據所述行為日志為所述移動應用程序創建待測行為模型；

根據預存的行為模型庫對所述待測行為模型進行異常行為檢測，以判斷所述移動應用程序是否存在異常行為。

2.根據權利要求1所述的移動應用程序異常行為檢測方法，其特征在于，所述移動應用程序為HTML5移動應用程序。

3.根據權利要求1所述的移動應用程序異常行為檢測方法，其特征在于，有限狀態自動機為函數級的有限狀態自動機，所述函數級的有限狀態自動機表示為：

M＝(S,Σ,δ,s₀,F)，

其中，所述S為一個有限的、非空狀態集合，sid是移動應用程序狀態標識符，sattr為移動應用程序狀態的屬性；所述Σ是所述有限狀態自動機的輸入的集合，取值為字符串，σ表示某一個導致狀態轉換的事件，Φ∈Σ時表示輸入的字符串為空；δ是一個狀態轉換函數：δ：S×Σ→S，如果s_a和s_b∈S，σ∈Σ，s_b＝δ(s_a，σ)，則表示由狀態s_a轉換到狀態s_b的輸入為σ；s₀∈S表示初始狀態；F是M的終止狀態集合，F∈S。

4.根據權利要求1所述的移動應用程序異常行為檢測方法，其特征在于，還包括：創建所述預存的行為模型庫，具體包括：

判斷是否為首次執行所述移動應用程序；

如果是，則將首次執行所述移動應用程序時創建的所述行為模型添加到所述行為模型庫中。

5.一種移動應用程序異常行為檢測系統，其特征在于，包括：

提取模塊，所述提取模塊包括動態改寫模塊和行為事件提取模塊，所述動態改寫模塊用于在移動應用程序運行時，提取與所述移動應用程序相關的函數調用棧信息，所述行為事件提取模塊用于提取與所述移動應用程序相關的行為事件信息，所述提取模塊還用于將所述函數調用棧信息和行為事件信息寫入行為日志，其中，所述提取模塊對所述移動應用程序的JavaScript函數進行改寫，以獲取所述移動應用程序當前正在執行的函數調用棧信息，所述函數調用棧信息包括JavaScript函數的函數名、行列號、與所述JavaScript函數相關的觸發條件以及進入、離開函數的信息；

行為模型生成模塊，用于根據所述行為日志為所述移動應用程序創建待測行為模型；

異常行為檢測模塊，用于根據預存的行為模型庫對所述待測行為模型進行異常行為檢測，以判斷所述移動應用程序是否存在異常行為。

6.根據權利要求5所述的移動應用程序異常行為檢測系統，其特征在于，有限狀態自動機為函數級的有限狀態自動機，所述函數級的有限狀態自動機表示為：

M＝(S,Σ,δ,s₀,F)，

7.根據權利要求5所述的移動應用程序異常行為檢測系統，其特征在于，還包括：預存行為模型庫模塊，用于創建所述預存的行為模型庫，具體包括：判斷是否為首次執行所述移動應用程序，如果是，則將首次執行所述移動應用程序時創建的所述行為模型添加到所述行為模型庫中。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于北京航空航天大學，未經北京航空航天大學許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201610003798.4/1.html，轉載請聲明來源鉆瓜專利網。