(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210970496.X (22)申请日 2022.08.12 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 周慧英　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 王辉 (51)Int.Cl. G06F 21/56(2013.01) H04L 9/40(2022.01) (54)发明名称 应用程序的入侵检测方法及装置、 存储介质 和电子设备 (57)摘要 本公开涉及计算机技术领域， 涉及应用程序 的入侵检测方法及装置、 计算机可读存储介质和 电子设备， 包括： 提取样本程序的行为特征， 将所 述行为特征划分至所属行为层对应的行为特征 集， 所述行为特征包括静态行为特征和动态行为 特征； 根据所述行为特征集与所属行为层对应的 入侵行为特征集的匹配结果， 分别更新各所述行 为层的入侵行为特征集， 所述入侵行为特征集为 根据所述行为特征中的入侵行为特征得到； 基于 更新后的入侵行为特征集， 对应用程序的各所述 行为层进行入侵检测。 本公开能提高应用程序的 入侵检测的全面 性， 保障应用程序的安全运行。 权利要求书2页 说明书11页 附图4页 CN 115329331 A 2022.11.11 CN 115329331 A 1.一种应用程序的入侵检测方法， 其特 征在于， 包括： 提取样本程序的行为特征， 将所述行为特征划分至所属行为层对应的行为特征集， 所 述行为特 征包括静态行为特 征和动态行为特 征； 根据所述行为特征集与所属行为层对应的入侵行为特征集的匹配结果， 分别更新各所 述行为层的入侵行为特征集， 所述入侵行为特征集为根据存在 入侵威胁的样本程序的入侵 行为特征得到； 基于更新后的入侵行为特 征集， 对应用程序的各 所述行为层进行入侵检测。 2.根据权利要求1所述的方法， 其特征在于， 所述提取样本程序的行为特征， 将所述行 为特征划分至所属行为层对应的行为特 征集， 包括： 通过静态分析 方式对所述样本程序进行 行为特征提取， 得到所述静态行为特 征； 采用动态分析 方式对所述样本程序进行 行为特征提取， 得到所述动态行为特 征； 根据所属行为层的类型， 将所述静态行为特征和所述动态行为特征划分至不同类型的 行为层所对应的行为特 征集。 3.根据权利要求1所述的方法， 其特征在于， 在所述根据 所述行为特征集与 所属行为层 对应的入侵行为特征集的匹配结果， 分别更新各所述行为层的入侵行为特征集之前， 所述 方法还包括： 获取 所述入侵行为特 征集； 所述获取 所述入侵行为特 征集， 包括： 提取所述存在入侵威胁的样本程序的入侵行为特 征； 将所述入侵行为特征划分至所属行为层对应的行为特征集， 得到对应于不同类型的行 为层的入侵行为特 征集。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述行为特征集与所属行为层对 应的入侵行为特 征集的匹配结果， 分别更新各 所述行为层的入侵行为特 征集， 包括： 对于任一类型的行为层， 将所述行为特 征集与所述入侵行为特 征集进行 特征匹配； 若所述行为特征集中存在与 所述入侵行为特征集不匹配的目标行为特征， 根据 所述目 标行为特征更新所述入侵行为特 征集。 5.根据权利要求 4所述的方法， 其特 征在于， 所述 提取样本程序的行为特 征， 还包括： 对所述行为特 征进行动静态分析， 确定所述行为特 征的入侵检测结果； 所述若所述行为特征集中存在与 所述入侵行为特征集不匹配的目标行为特征， 根据 所 述目标行为特征更新所述入侵行为特 征集， 包括： 若所述目标行为特征的入侵检测类型为威胁行为， 将所述目标行为特征添加至所述入 侵行为特 征集。 6.根据权利要求1所述的方法， 其特征在于， 所述基于更新后的入侵行为特征集， 对所 述应用程序的各 所述行为层进行入侵检测， 包括： 根据所述更新后的入侵行为特 征集， 确定各类型的行为层对应的防护触发条件； 所述应用程序的运行过程中， 针对各类型的行为层， 利用各自对应的防护触发条件进 行入侵检测。 7.根据权利要求6所述的方法， 其特征在于， 所述基于更新后的入侵行为特征集， 对所 述应用程序的各 所述行为层进行入侵检测， 还 包括： 根据所述更新后的入侵行为特 征集， 确定各类型的行为层所对应的防护策略；权　利　要　求　书 1/2 页 2 CN 115329331 A 2如存在目标行为层的入侵行为特征符合所对应的防护触发条件， 则 触发对应的目标防 护策略。 8.根据权利要求7 所述的方法， 其特 征在于， 所述方法还 包括： 提取所述应用程序的在所述目标 行为层的候选行为特 征； 若所述候选行为特征的入侵检测类型为威胁行为， 利用所述候选行为特征更新所述入 侵行为特 征集。 9.一种应用程序的入侵检测装置， 其特 征在于， 包括： 特征提取模块， 用于提取样本程序的行为特征， 将所述行为特征划分至所属行为层对 应的行为特 征集， 所述行为特 征数据包括静态行为特 征和动态行为特 征； 特征集更新模块， 用于根据 各所述行为层的行为特征集与对应的入侵行为特征集的匹 配结果， 对所述入侵行为特征集进行更新， 所述入侵行为特征集为根据存在入侵威胁的样 本程序的入侵行为特 征得到； 检测模块， 用于基于更新后的入侵行为特征集， 对各所述行为层进行应用程序的入侵 检测。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1 ‑8中任意一项所述的应用程序的入侵检测方法。权　利　要　求　书 2/2 页 3 CN 115329331 A 3