本發明公開了一種移動應用程序異常行為檢測方法及系統，其中方法包括以下步驟：運行移動應用程序；提取與移動應用程序相關的函數調用棧信息和行為事件信息；將函數調用棧信息和行為事件信息寫入行為日志；根據行為日志為移動應用程序創建待測行為模型；根據預存的行為模型庫對待測行為模型進行異常行為檢測，以判斷移動應用程序是否存在異常行為，該方法能夠對移動應用程序是否包含異常行為進行有效、準確的檢測，提高了移動應用程序的安全性。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種移動應用程序異常行為檢測方法及裝置。

背景技術

Android(安卓)系統由于其免費、開源等特性，開發后迅速占據市場份額，成為增長速度最快的移動智能操作系統，其開源特性也使得Android平臺成為惡意應用的主要攻擊目標。在Android系統中，一個應用程序在安裝過程中會向用戶提出權限申請，用戶可以選擇接受或拒絕。用戶如果接受，則該程序完成安裝并在其生命周期中始終享有申請的權限；用戶如果拒絕，則安裝失敗。隨著移動設備的高速發展，手機中往往存儲、管理著用戶更加私密的數據和重要的個人信息。更為嚴峻的是，伴隨著電子交易、互聯網金融以及移動支付的快速發展，越來越多的安全敏感操作被遷移至移動終端，盜取用戶銀行卡信息、盜刷信用卡等金融犯罪行為時有發生。

HTML5應用程序(以下簡稱HTML5應用)使用HTML、JavaScript(解釋性腳本語言)等網絡編程語言編寫，各操作系統的內置瀏覽器環境(如Android的WebView(網絡視圖)，iOS的UIWebView(瀏覽器控件)等)為上述代碼提供合適的解析引擎。應用通過以PhoneGap為代表的移動應用開發框架，使用這些框架所提供的JavaScriptAPI(ApplicationProgramming Interface,應用程序編程接口)接口集，實現對硬件系統資源的訪問。HTML5應用這種跨平臺的兼容性和便利的移植性，使得開發者不需要編寫任何的原生代碼，使用標準的Web(Website,網頁)編程技術便可快速地開發跨平臺移動應用程序并將其部署到目前幾乎所有的主流移動平臺(如Android、iOS、Windows Phone等)。

但是由于HTML5應用包含不同來源的代碼，除了應用自身的HTML5、JavaScript代碼，還包括由不可信的第三方引入的JavaScript代碼。這些代碼在Android系統中擁有與應用本身相同的權限，因而帶來極大的安全隱患。針對上述問題，現有的檢測方法可以分為兩類：(1)基于白名單或同源原則(The Same-origin Policy)對HTML5應用進行細粒度的權限管理；(2)對移動設備中可能的代碼注入入口進行篩查，如掃描二維碼、讀取Wi-Fi熱點的SSIDs(Service Set Identifiers)等，發現隱藏在數據中的JavaScript代碼并將其濾除。但是，上述兩種方法都需要對HTML5應用所使用的開發框架(如PhoneGap)進行修改，或者需要應用開發者的協助(如提供白名單、為相應域名指定權限等)，這些都大大限制了檢測方法的適用性。由于HTML5技術在移動端剛剛興起，針對其安全性的研究成果有限，現有的方法并未對應用行為的本質進行有效的檢測，所以，針對Android平臺下HTML5應用程序行為的檢測方法和安全性研究顯得尤為重要。

發明內容

本發明的目的旨在至少在一定程度上解決上述的技術問題之一。

為此，本發明的第一個目的在于提出一種移動應用程序異常行為檢測方法，該方法能夠對移動應用程序是否包含異常行為進行有效、準確的檢測，提高了移動應用程序的安全性。

本發明的第二個目的在于提出一種移動應用程序異常行為檢測裝置。