一种基于社团结构分析的Android恶意代码检测方法技术

本发明专利技术提出了一种基于社团结构分析的Android恶意代码检测方法，在对目标程序的逆向分析过程中，首先，自动获取权限、函数、类、系统API等重要静态特征信息；然后，利用函数及函数间的调用关系构建函数调用图，并对函数调用图进行预处理；对赋权后的函数调用图进行循环分裂与分析，得到社团结构的正确划分；最后，对从社团结构中提取出的特征进行机器学习，得到最终的恶意性判定结果。本发明专利技术方法在面对由“重打包”技术产生的大量Android应用程序样本时，能够快速地进行程序内部结构分析和恶意代码检测。

【技术实现步骤摘要】

本专利技术涉及Android移动端应用的恶意代码检测领域，特别涉及快速检测由“重打包”技术产生的大量Android应用程序样本的恶意代码。
技术介绍
近年来，随着“重打包”和“代码混淆”技术被广泛的应用于恶意的移动端应用程序，大量针对恶意代码的研究工作围绕着分析应用程序的内部结构展开。很多基于程序内部结构特征的检测方法能够通过分析目标程序的反编译代码，提取或构建出不同的图调用结构，之后再通过比较目标样本和恶意样本图结构的差异程度来判定程序的恶意性。研究成果表明，这类检测方法在对抗“重打包”和部分“代码混淆”技术方面有较好的效果。与传统的基于签名的恶意代码检测方式相比，该类方法主要解决了以下两个主要问题。第一，基于签名的检测方法时效性差，很难发现未知病毒。基于签名的检测方法大多需要借助人工分析，提取出包含病毒信息的字节序列或者特定字符串作为特征，存入特征数据库，再通过与待检测程序代码进行特征匹配来判定程序的恶意性。而基于结构化特征的方法大多能够实现对样本的自动分析与检测，其方法普遍具有一定的启发性，能够更好的识别未知病毒。第二，基于签名的检测方法在对抗由“重打包”产生的大量变种样本时本文档来自技高网...

【技术保护点】
一种基于社团结构分析的Android恶意代码检测方法，其特征在于，包括以下步骤：步骤1：对待检测的移动应用程序进行反编译，得到反编译代码，从中提取出移动应用程序的静态信息；步骤2：通过分析移动应用程序的静态信息，得到静态特征出现在良性样本或恶意样本的频率，并根据它们在不同样本中出现的频率差分别为其分配恶意值；步骤3：构建函数调用图；步骤4：对函数调用图进行预处理，包括删除孤立节点、为函数调用图的节点分配权值；步骤5：定义边介数为关键节点到其余节点间的最短路径，关键节点定义为：C=Ci*w(i)=(Di/(n-1))*((Σm=1kw(qm))-k+1)]]>其中，n代表整个图中的节...

【技术特征摘要】
1.一种基于社团结构分析的Android恶意代码检测方法，其特征在于，包括以下步骤：步骤1：对待检测的移动应用程序进行反编译，得到反编译代码，从中提取出移动应用程序的静态信息；步骤2：通过分析移动应用程序的静态信息，得到静态特征出现在良性样本或恶意样本的频率，并根据它们在不同样本中出现的频率差分别为其分配恶意值；步骤3：构建函数调用图；步骤4：对函数调用图进行预处理，包括删除孤立节点、为函数调用图的节点分配权值；步骤5：定义边介数为关键节点到其余节点间的最短路径，关键节点定义为：C=Ci*w(i)=(Di/(n-1))*((Σm=1kw(qm))-k+1)]]>其中，n代表整个图中的节点数，Di是节点i的度，K是与节点i直接相连的节点数，W(qm)是节点集k中节点m的权重；定义图为G＝(V,E)，其中V是节点集，E是边集，则边介数的计算公式为：Bb=(Σvi∈V,vj∈V,e∈Vφvivj(e))/ge]]>其中，是节点i与节点j之间包含边e的最短路径，ge是边e的权重；步骤6：定义模块度参数Q为：Q＝Σj...

【专利技术属性】
技术研发人员：王俊峰，杜垚，高展，徐宝新，
申请(专利权)人：四川大学，
类型：发明
国别省市：四川;51