Android重打包恶意应用检测装置制造方法及图纸

一种Android重打包恶意应用检测装置，所述装置包括：模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。上述的方案，可以对Android重打包恶意应用进行检测，提高网络安全。

Android repackage malicious application detection device

An Android repackaged malicious application detection device includes a model building unit adapted to construct network traffic behavior models of mobile applications to be detected and a comparison group adapted to construct network traffic behavior models respectively; the comparison group includes a plurality of mobile applications similar to the mobile application to be detected; and the comparison determination unit adapted to be detected. The network traffic behavior model of the mobile application is compared with the network traffic behavior model of the contrast group to determine whether the mobile application to be detected is a malicious application repackaged for Android. The above scheme can detect malicious applications of Android repackage and improve network security.

【技术实现步骤摘要】
Android重打包恶意应用检测装置
本专利技术涉及网络安全
，具体地涉及一种Android重打包恶意应用检测装置。
技术介绍
随着移动互联网的迅速发展，安卓(Android)智能终端，如智能手机、平板电脑(Pad)、智能手表等，已经成为日常社会活动的重要辅助工具。但安卓智能终端的广泛使用，也吸引了众多攻击者的目光，各类恶意移动应用(Mobilemalware)攻击事件层出不穷。通过对安卓恶意移动应用的实现方法进行统计分析，发现超过80％的安卓恶意移动应用是通过重打包(repackaging)方式完成。分析其原因，一是由于安卓移动应用易于修改，黑客可利用开源工具，如APKTOOL、JADX等，对任意安卓移动应用进行修改，增加恶意代码并重新打包发布；二是通过对流行的安卓移动应用进行重打包，便于恶意代码的快速传播。因此，Android重打包恶意应用对网络运行安全存在着威胁，对其进行检测具有重要的意义。
技术实现思路
本专利技术解决的技术问题是如何检测Android重打包恶意应用，提高网络安全。为解决上述技术问题，本专利技术实施例提供了一种Android重打包恶意应用检测装置，所述装置包括：模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。可选地，所述模型构建单元，适于获取所述待检测移动应用的网络流量；所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流；计算所述待检测移动应用的网络流量对应的多个网络流量特征；将所述多个网络特征按照顺序进行排列，得到所述待检测移动应用的网络流量行为模型。可选地，所述模型构建单元，还适于分别获取所述对比组中各个移动应用的网络流量；所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值；将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列，得到对比组的网络流量行为模型。可选地，所述网络流量特征包括以下至少一种：出流的数量；入流的数量；所有出流中报文的数量总和；所有入流中报文的数量总和；所有出流中报文长度的总和；所有入流中报文长度的总和；所有出流中平均报文长度值；所有出流中报文长度值的方差；所有入流中平均报文长度值；所有入流中报文长度值的方差；所有出流中平均报文时间间隔；所有出流中报文时间间隔的方差；所有入流中平均报文时间间隔；所有入流中报文时间间隔的方差。可选地，所述比较确定单元，适于分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理；计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离；当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离大于预设的距离阈值时，确定所述待检测移动应用为Android重打包恶意应用；当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离小于或等于所述距离阈值时，确定所述待检测移动应用为正常应用。可选地，所述比较确定单元，适于采用如下的公式分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理：且其中，表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征，表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征，Fj(A)表示所述待检测移动应用的网络流量行为模型中的第j个网络特征，Fj(C)表示所述对比组的网络流量行为模型中的第j个网络特征，A表示所述待检测移动应用的网络流量行为模型，C表示所述对比组的网络流量行为模型。可选地，所述比较确定单元，适于采用如下的公式计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离：其中，d表示所述归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离。与现有技术相比，本专利技术实施例的技术方案具有以下有益效果：上述的方案，通过模型构建单元分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用，并采用比较确定单元将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用，可以准确地检测出待检测移动应用是否为Android重打包恶意应用，提高网络安全。附图说明图1是本专利技术实施例中的一种Android重打包恶意应用检测方法的流程图；图2是本专利技术实施例中的另一种Android重打包恶意应用检测方法的流程图；图3是如何选取与待检测应用“MoroX3MBikeRaceGame-repackaged”相类似的游戏应用的示意图；图4是本专利技术实施例中的一种Android重打包恶意应用检测装置的结构示意图。具体实施方式本专利技术实施例中的技术方案通过分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用，并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用，可以准确地检测出待检测移动应用是否为Android重打包恶意应用，提高网络安全。为使本专利技术的上述目的、特征和有益效果能够更为明显易懂，下面结合附图对本专利技术的具体实施例做详细的说明。图1是本专利技术实施例的一种Android重打包恶意应用检测方法的流程图。参见图1，一种Android重打包恶意应用检测方法，可以包括如下的步骤：步骤S101：分别构建待检测移动应用和对比组的网络流量行为模型。在具体实施中，所述对比组中包括多个与所述待检测移动应用相类似的移动应用。步骤S102：将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。在具体实施中，通过将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对的比对结果，可以确定所述待检测移动应用是否为Android重打包恶意应用。上述的方案，通过分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用，并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用，可以准确地检测出待检测移动应用是否为Android重打包恶意应用，提高网络安全。下面将结合图2对本专利技术实施例中的技术方案进行进一步详细的说明。图2示出了本专利技术实施例中的另一种Android重打包恶意应用检测方本文档来自技高网...

【技术保护点】
1.一种Android重打包恶意应用检测装置，其特征在于，包括：模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。

【技术特征摘要】
1.一种Android重打包恶意应用检测装置，其特征在于，包括：模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。2.根据权利要求1所述的Android重打包恶意应用检测装置，其特征在于，所述模型构建单元，适于获取所述待检测移动应用的网络流量；所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流；计算所述待检测移动应用的网络流量对应的多个网络流量特征；将所述多个网络特征按照顺序进行排列，得到所述待检测移动应用的网络流量行为模型。3.根据权利要求1所述的Android重打包恶意应用检测装置，其特征在于，所述模型构建单元，还适于分别获取所述对比组中各个移动应用的网络流量；所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值；将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列，得到对比组的网络流量行为模型。4.根据权利要求2或3所述的Android重打包恶意应用检测装置，其特征在于，所述网络流量特征包括以下至少一种：出流的数量；入流的数量；所有出流中报文的数量总和；所有入流中报文的数量总和；所有出流中报文长度的总和；所有入流中报文长度的总和；所有出流中平均报文长度值；所有出流中报文长度值的方差；所有入流中平均报文长度值；所有入流中报文长度值...

【专利技术属性】
技术研发人员：何高峰，孙雁飞，王堃，亓晋，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏,32