Android恶意应用家族分类方法、服务器、终端技术

本发明专利技术应用于移动互联领域，提供了一种Android恶意应用家族分类方法、一种Android应用特征提取方法、服务器、终端、计算设备以及计算机可读存储介质。Android恶意应用家族分类方法，包括：接收多个终端上送的待测Android应用的应用标识；确定未曾被检测过的Android应用；接收该应用对应的终端上送的API调用树，利用预设的恶意应用特征库，进行分析，得到恶意分类结果。通过采用动态分析的方法，利用代表匹配规则的匹配参数对API调用树进行分析，不仅避免了恶意应用加壳和混淆对分析准确率带来的影响，也能通过调用的API，更为准确地定义恶意应用的行为，提高准确率，从而提高用户使用的安全性。用的安全性。用的安全性。

【技术实现步骤摘要】
Android恶意应用家族分类方法、服务器、终端


[0001]本专利技术涉及移动互联
，尤其涉及一种Android恶意应用家族分类方法、一种Android应用特征提取方法、服务器、终端、计算设备以及计算机可读存储介质。

技术介绍

[0002]近年来，随着移动互联网的快速普及，各种手机端应用的出现带给人们生活中极大的便利，甚至已成为生活中不可或缺的一部分。与传统的PC端相比，移动端应用具有更强大的隐私性和操作性，也逐渐成为了不法分子的目标。由于Android系统的开放特性，针对Android系统的恶意应用呈爆发式增长，成为了重灾区。虽然Android系统不断的升级完善，许多应用非法获取用户隐私数据的行为却不曾减少，为了尽可能的减少恶意应用的传播范围和传播速度，大部分移动应用市场对应用进行了安全审查，鉴定是否为恶意应用，但依然存在大量的恶意应用被下载、安装、传播的情况。通过研究不同恶意应用的特征，但不同的恶意应用有其所属的恶意家族，具有不同的恶意行为特征。
[0003]现有Android恶意应用家族分类的方法一般过程如下:
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Android恶意应用家族分类方法，其特征在于，所述方法应用于一服务器，包括：接收多个终端上送的待测Android应用的应用标识；根据所述应用标识，确定未曾被检测过的Android应用；接收未曾被检测过的Android应用对应的终端上送的应用程序编程接口API调用树，利用预设的恶意应用特征库，对所述API调用树进行分析，得到未曾被检测过的Android应用的恶意分类结果；其中，所述恶意应用特征库中存储有恶意应用类别、匹配参数和应用标识的对应关系。2.根据权利要求1所述的Android恶意应用家族分类方法，其特征在于，利用预设的恶意应用特征库，对所述API调用树进行分析，得到未曾被检测过的Android应用的恶意分类结果，包括：根据一API调用树的深度，对该API调用树进行遍历，划分得到不同的多个子树；根据恶意应用特征库中不同恶意应用类别对应的匹配参数，对每个子树进行匹配，确定与每个子树相匹配的恶意应用类别；根据每个子树相匹配的恶意应用类别，确定该API调用树对应的未曾被检测过的Android应用的恶意分类结果。3.根据权利要求2所述的Android恶意应用家族分类方法，其特征在于，所述子树的划分方式是：将API调用树的根结点至一个叶子结点，划分为一个子树。4.根据权利要求1所述的Android恶意应用家族分类方法，其特征在于，还包括：恶意应用特征库的预先构建，包括：确定多个Android恶意应用样本的应用标识和恶意应用类别；对多个Android恶意应用样本进行动态分析，提取每个Android恶意应用样本调用的关键API和顺序，形成每个Android恶意应用样本的API特征序列，作为每个Android恶意应用样本对应的匹配参数；以恶意应用类别为索引，将每个Android恶意应用样本的应用标识和匹配参数按照对应关系，存储在数据库中，形成恶意应用特征库。5.根据权利要求4所述的Android恶意应用家族分类方法，其特征在于，还包括：在恶意应用特征库中设置已测应用列表，所述已测应用列表用于存储曾被检测的Android应用的应用标识。6.根据权利要求5所述的Android恶意应用家族分类方法，其特征在于，根据所述应用标识，确定未曾被检测过的Android应用，包括：在恶意应用特征库的已测应用列表中，对每个终端上送的待测Android应用的应用标识进行查询；若未查询到，则确定为未曾被检测过的Android应用，向对应的终端发送特征提取指令。7.根据权利要求5所述的Android恶意应用家族分类方法，其特征在于，还包括：得到未曾被检测过的Android应用的恶意分类结果后，更新所述已测应用列表。8.一种Android应用特征提取方法，其特征在于，所述方法应用于一终端，包括：生成待测Android应用的应用标识，将待测Android应用的应用标识发送给服务器；接收到服务器发送的特征提取指令时，对未曾被检测过的Android应用在终端上的动
态行为进行提取，生成未曾被检测过的Android应用的API调用树，将API调用树发送给服务器。9.根据权利要求8所述的Android应用特征提取方法，其特征在于，对未曾被检测过的Android应用在终端上的动态行为进行提取，生成未曾被检测过的Android应用的API调用树，包括：当未曾被检测过的Android应用调用终端的系统API时，记录被调用的API名称、参数和返回值数据；所述终端的系统API为Hook系统API；根据被调用的API名称、参数和返回值数据，形成API的调用依赖序列；根据API的调用依赖序列，生成未曾被检测过的Android应用的API调用树...

【专利技术属性】
技术研发人员：罗明宇，刘庆文，韩瑜，杨有为，梁琦，
申请(专利权)人：建信金融科技有限责任公司，
类型：发明
国别省市：