【技术实现步骤摘要】
一种基于图编辑距离的恶意软件检测方法
本专利技术属于恶意软件攻击
,具体涉及一种基于图编辑距离的恶意软件检测方法。
技术介绍
将函数调用图作为软件特征进行恶意软件的检测是近年来较为流行的方式,相比于其他方式更能准确代表软件的行为和意图。目前将函数调用图作为软件特征并进行检测主要分为如下几种:(1)函数调用图的整体信息。这是对函数调用图信息的简单提取,包括图的节点和边的数量等,作为应用软件的特征向量。LeeYR等使用二进制可执行文件中的函数调用图的结构信息,即将函数调用图看作是控制流图(CFG),采用CFG的四元组信息,即CFG的块总数,CFG中的边缘总数,引用其他函数的边的总数,以及函数的大小(函数中的指令数),作为函数调用图的结构信息进行调用图的函数匹配,并用软件家族内部和家族间的相似性对比实验验证了该特征的有效性。(2)函数调用图之间的图编辑距离。该方法将两个应用软件的函数调用图的编辑距离作为相似度。这种特征计算方法的优点是准确率比较高,缺点是直接计算图编辑距离是一个NP难题,因为要计算出所有图编辑...
【技术保护点】
1.一种基于图编辑距离的恶意软件检测方法,其特征在于,包括:/n从恶意软件的apk文件中提取静态的函数调用图;/n根据所述静态的函数调用图中的敏感API函数提取得到敏感子图;/n采用禁忌搜索算法计算所述敏感子图的图编辑距离;/n根据所述图编辑距离对软件进行检测。/n
【技术特征摘要】
1.一种基于图编辑距离的恶意软件检测方法,其特征在于,包括:
从恶意软件的apk文件中提取静态的函数调用图;
根据所述静态的函数调用图中的敏感API函数提取得到敏感子图;
采用禁忌搜索算法计算所述敏感子图的图编辑距离;
根据所述图编辑距离对软件进行检测。
2.如权利要求1所述一种基于图编辑距离的恶意软件检测方法,其特征在于,所述从恶意软件的apk文件中提取静态的函数调用图,具体包括:
2.1、使用android.jar解压apk文件,通过反编译得到Manifest.xml和.dex文件;
2.2、对所述Manifest.xml和.dex文件的生命周期进行模拟和建模,分析所有可能的函数调用路径,构造虚拟主函数dummymain函数;
2.3、建立所述dummymain函数调用的控制流图,并将所述控制流图转化成静态函数调用图。
3.如权利要求2所述一种基于图编辑距离的恶意软件检测方法,其特征在于,使用FlowDroid工具建立所述dummymain函数调用的控制流图。
4.如权利要求2或3所述一种基于图编辑距离的恶意软件检测方法,其特征在于,所述根据所述静态的函数调用图中的敏感API函数提取得到敏感子图,具体包括:
4.1查找所述函数调用图中的dummymain;
4.2从所述dummymain开始,循环迭代寻找所述dummymain下的子树,并记录节点和调用边信息;
4.3将包含敏感API函数的子树加入函数调用图中,得到敏感子图。
5.如权利要求1或2或3所述一...
【专利技术属性】
技术研发人员:张继,王勇,胡吉双,刘振岩,彭图,林灵,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。