本发明专利技术公开了一种安卓嫌疑软件的同源识别方法及装置,该方法包括:对APK进行静态分析,从而定位APK的敏感行为,提取敏感行为的嫌疑路径,获取嫌疑路径的触发方式;对APK与其同源软件进行敏感行为比对;对APK与其同源软件进行敏感行为的嫌疑路径比对;对APK与其同源软件进行嫌疑路径的触发方式比对。实施本发明专利技术的有益效果是,该同源识别方法及装置快速简单,大大降低了自动化分析的计算量,并为进一步的人工分析提供技术支持,从而降低了人工分析的工作量,而且对计算节点的要求低。
【技术实现步骤摘要】
一种安卓嫌疑软件的同源识别方法及装置
本专利技术涉及移动互联网安全
,尤其涉及一种安卓嫌疑软件的同源识别方法及装置。
技术介绍
移动互联网的快速发展极大地丰富了人们的生活,移动终端用户可以使用安卓市场提供的多种多样的应用进行办公和娱乐,而恶意软件的不断增多也给终端用户带来了极大的困扰。由于目前很多开源的反编译工具可以对安卓应用进行破解,所以,部分恶意开发者便通过破解应用市场中的应用,通过复制代码、增添或删减部分代码、使用代码中的算法等方式对安卓软件进行克隆。由此可见,除了潜在的恶意问题,安卓市场的应用克隆也给移动终端用户带来了新的威胁。所以,亟待需要发现这些同源的安卓软件来减轻这些安全威胁。目前识别安卓同源应用的方法主要是基于函数控制流图的几何特征,如“AchievingAccuracyandScalabilitySimultaneouslyinDetectingApplicationClonesonAndroidMarkets”中通过测量两个APP的methods的相似度,根据相似度得出是否为APP克隆的结论;“FindingUnknownMalicein10Seconds:MassVettingforNewThreatsattheGoogle-PlayScale”在软件同源性的基础上对android软件进行“同源”和“非同源”分类,并进行函数级别和视图级别的相关性分析,从而根据同源软件的代码特征定位恶意代码。这种基于函数控制流的几何特征识别方法虽然具有较高的精确度,但是对计算节点的配置具有较高的要求,需要支持程序高并发执行才能快速获取结果,同时这种方法对于混淆后的APK无法进行准确判断。
技术实现思路
本专利技术的目的在于提供一种安卓嫌疑软件的同源识别方法及装置,解决现有技术中对计算节点配置高,需支持程序高并发执行,且无法对混淆后的APK进行准确判断的问题。本专利技术的技术方案实现如下:本专利技术的一个目的在于提供一种安卓嫌疑软件的同源识别方法,包括:对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式;对所述APK与其同源软件进行敏感行为比对;对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对;对所述APK与其同源软件进行所述嫌疑路径的触发方式比对。在本专利技术所述的同源识别方法中,所述对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式的步骤包括:对所述APK进行反编译,通过静态分析方法对所述APK的代码进行扫描,定位得到所述APK的敏感行为;通过控制流分析提取所述敏感行为的嫌疑路径;根据所述嫌疑路径的头节点获取所述触发方式。在本专利技术所述的同源识别方法中,所述对所述APK与其同源软件进行敏感行为比对的步骤包括:将所述敏感行为转化为二进制字符串;将所述APK的敏感行为的二进制字符串与同源软件的敏感行为列表进行比对,若存在相同的字符串,则对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对,若不存在相同的字符串,则认为所述APK为非嫌疑软件。在本专利技术所述的同源识别方法中,所述对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对的步骤包括:获取所述敏感行为的嫌疑路径的数量;对所述APK与其同源软件进行所述嫌疑路径的数量比对,若所述APK的嫌疑路径的数量与其同源软件的嫌疑路径的数量的差值处于预设范围之内,则对所述APK与其同源软件进行所述嫌疑路径的触发方式比对,若所述差值处于所述预设范围之外,则认为所述APK为非嫌疑软件。在本专利技术所述的同源识别方法中,所述对所述APK与其同源软件进行所述嫌疑路径的触发方式比对的步骤包括:依据所述嫌疑路径的头节点确定所述触发方式为系统触发或UI触发或其它触发;对所述APK与其同源软件的每一嫌疑路径进行触发方式比对,若相同的触发方式的数量处于预设范围之内,则确认所述APK与其同源软件属于同一软件组,并将所述APK进入所述同源软件族中,若否,则认为所述APK为非嫌疑软件。另一方面,提供一种安卓嫌疑软件的同源识别装置,包括:静态分析模块,用于对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式;敏感行为比对模块,用于对所述APK与其同源软件进行敏感行为比对;嫌疑路径比对模块,用于对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对;触发方式比对模块,用于对所述APK与其同源软件进行所述嫌疑路径的触发方式比对。在本专利技术所述的同源识别装置中,所述静态分析模块包括:敏感行为定位子模块,用于对所述APK进行反编译,通过静态分析方法对所述APK的代码进行扫描,定位得到所述APK的敏感行为;嫌疑路径提取子模块,用于通过控制流分析提取所述敏感行为的嫌疑路径;触发方式获取子模块,用于根据所述嫌疑路径的头节点获取所述触发方式。在本专利技术所述的同源识别装置中,所述敏感行为比对模块包括:字符串转化子模块,用于将所述敏感行为转化为二进制字符串;敏感行为比对子模块,用于将所述APK的敏感行为的二进制字符串与同源软件的敏感行为列表进行比对,若存在相同的字符串,则对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对,若不存在相同的字符串,则认为所述APK为非嫌疑软件。在本专利技术所述的同源识别装置中,所述嫌疑路径比对模块包括:数量获取子模块,用于获取所述敏感行为的嫌疑路径的数量;嫌疑路径比对子模块,用于对所述APK与其同源软件进行所述嫌疑路径的数量比对,若所述APK的嫌疑路径的数量与其同源软件的嫌疑路径的数量的差值处于预设范围之内,则对所述APK与其同源软件进行所述嫌疑路径的触发方式比对,若所述差值处于所述预设范围之外,则认为所述APK为非嫌疑软件。在本专利技术所述的同源识别装置中,所述触发方式比对模块包括:触发方式确定子模块,用于依据所述嫌疑路径的头节点确定所述触发方式为系统触发或UI触发或其它触发;触发方式比对子模块,用于对所述APK与其同源软件的每一嫌疑路径进行触发方式比对,若相同的触发方式的数量处于预设范围之内,则确认所述APK与其同源软件属于同一软件组,并将所述APK进入所述同源软件族中,若否,则认为所述APK为非嫌疑软件。因此,本专利技术的有益效果是,该同源识别方法及装置快速简单,大大降低了自动化分析的计算量,并为进一步的人工分析提供技术支持,从而降低了人工分析的工作量,而且对计算节点的要求低。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1为本专利技术提供的一种安卓嫌疑软件的同源识别方法流程图;图2为本专利技术提供的一种安卓嫌疑软件的同源识别方法示意图;图3为本专利技术第一实施例提供的同源软件族示意图;图4为本专利技术第二实施例提供的同源软件族示意图;图5为本专利技术提供的一种安卓嫌疑软件的同源识别装置框图。具体实施方式为了对本专利技术的技术特征、目的和效果有更加清楚的理解,以下将对照附图详细说明本专利技术的具体实施方式。应当理解,以下说明仅为本专利技术实施例的具体阐述,不应以此限制本专利技术的保护范围。本专利技术提供一种安卓嫌疑软件的同源识别方法及装置,其目的在于,采用了轻量级方法,关注静态分析程序提取的软件敏感行为、敏感行为的函数调用路径以及敏感行为的触发方本文档来自技高网...
【技术保护点】
一种安卓嫌疑软件的同源识别方法,其特征在于,包括:对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式;对所述APK与其同源软件进行敏感行为比对;对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对;对所述APK与其同源软件进行所述嫌疑路径的触发方式比对。
【技术特征摘要】
1.一种安卓嫌疑软件的同源识别方法,其特征在于,包括:对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式;对所述APK与其同源软件进行敏感行为比对;对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对;对所述APK与其同源软件进行所述嫌疑路径的触发方式比对。2.根据权利要求1所述的同源识别方法,其特征在于,所述对APK进行静态分析,从而定位所述APK的敏感行为,提取所述敏感行为的嫌疑路径,获取所述嫌疑路径的触发方式的步骤包括:对所述APK进行反编译,通过静态分析方法对所述APK的代码进行扫描,定位得到所述APK的敏感行为;通过控制流分析提取所述敏感行为的嫌疑路径;根据所述嫌疑路径的头节点获取所述触发方式。3.根据权利要求1所述的同源识别方法,其特征在于,所述对所述APK与其同源软件进行敏感行为比对的步骤包括:将所述敏感行为转化为二进制字符串;将所述APK的敏感行为的二进制字符串与同源软件的敏感行为列表进行比对,若存在相同的字符串,则对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对,若不存在相同的字符串,则认为所述APK为非嫌疑软件。4.根据权利要求3所述的同源识别方法,其特征在于,所述对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对的步骤包括:获取所述敏感行为的嫌疑路径的数量;对所述APK与其同源软件进行所述嫌疑路径的数量比对,若所述APK的嫌疑路径的数量与其同源软件的嫌疑路径的数量的差值处于预设范围之内,则对所述APK与其同源软件进行所述嫌疑路径的触发方式比对,若所述差值处于所述预设范围之外,则认为所述APK为非嫌疑软件。5.根据权利要求4所述的同源识别方法,其特征在于,所述对所述APK与其同源软件进行所述嫌疑路径的触发方式比对的步骤包括:依据所述嫌疑路径的头节点确定所述触发方式为系统触发或UI触发或其它触发;对所述APK与其同源软件的每一嫌疑路径进行触发方式比对,若相同的触发方式的数量处于预设范围之内,则确认所述APK与其同源软件属于同一软件组,并将所述APK进入所述同源软件族中,若否,则认为所述APK为非嫌疑软件。6.一种安卓嫌疑软件的同源识别装置,其...
【专利技术属性】
技术研发人员:杨颖,刘洪刚,
申请(专利权)人:卓望数码技术深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。