本发明专利技术提出一种Android恶意软件检测方法。采用构建Andorid应用Apk软件的异构方法调用图,标定敏感函数,利用图的连通性对恶意代码进行定位和家族分类。具体流程包括:对异构方法调用图进行图的连通性扫描,得到各个子图,对各个子图进行敏感函数打分,超过阈值的子图即为恶意代码模块,不同的Android软件中相似的恶意代码子图结构即为恶意代码家族。本发明专利技术可以启发式地发现未知恶意软件,并对其进行家族标定,为广大Android第三方市场和个人用户提供安全扫描和保护。
【技术实现步骤摘要】
【专利摘要】本专利技术提出一种Android恶意软件检测方法。采用构建Andorid应用Apk软件的异构方法调用图,标定敏感函数,利用图的连通性对恶意代码进行定位和家族分类。具体流程包括:对异构方法调用图进行图的连通性扫描,得到各个子图,对各个子图进行敏感函数打分,超过阈值的子图即为恶意代码模块,不同的Android软件中相似的恶意代码子图结构即为恶意代码家族。本专利技术可以启发式地发现未知恶意软件,并对其进行家族标定,为广大Android第三方市场和个人用户提供安全扫描和保护。【专利说明】—种基于方法调用图的Android恶意软件检测方法
本专利技术涉及移动互联网
,主要涉及一种检测Android系统上的恶意代码的方法。
技术介绍
随着智能手机的高速发展,Android平台逐渐成为了世界上第一大的移动终端平台,产品覆盖了机顶盒,手机,平板,以及各种智能终端,从各个角度影响着人们的生活。而且这些智能终端的功能越发的强大,包括了语音通话,数据业务,NFC近场通讯等。Android智能终端已经深入的进入到了我们每个人的生活中,支付类服务,生活类服务,地图类服务,娱乐类服务,个人信息类服务。在这样的情况下,Android平台上的安全问题逐渐成为了 一个不得不被关注的问题。据安全公司TrustGo最新数据表明,Android上恶意应用数量自2011年9月到2012年9月增长了 580%。全球Android恶意软件数量已从2年前的百余款到了今天的过百万,从简单的窃取用户通信记录发展到了全面监控用户手机,窃取包括个人记录,银行记录,第三方软件保存信息,后台发送吸费短信,后台静默点击广告等多个方面。现有Android平台恶意代码检测技术大多采用特征库方式,对新的未知恶意软件几乎没有查杀能力。
技术实现思路
针对现有技术的不足,本专利技术的目的在于提供一种Android恶意代码检测方法,通过启发式静态分析,提高对恶意代码的识别和查杀能力。本专利技术的目的是通过以下技术方案来实现的:一种Android恶意代码检测方法,包括以下步骤:第一步,采集Android软件的恶意样本,进行手动分析,提取其中的敏感函数;第二步,提取所述恶意样本中经常使用的敏感接收器;第三步,对第一步和第二步提取的敏感函数和接收器进行打分,打分原则为高危操作或者敏感信息窃取方向的分值最高,危害程度越低,分值越低;第四步,对待测的apk文件,通过反编译apk源文件,得到内部方法调用序列,然后再提取apk文件对外部的敏感函数和敏感接收器进行的调用,把这两部分调用添加到内部方法调用序列中,形成全局的异构方法调用序列;第五步,根据第四步生成的异构方法调用序列,生成异构方法调用图,图中包含外部调用敏感函数、敏感接收器、Main函数和具体权限。第六步,对第五步生成的图进行连通性扫描,利用图的深度遍历算法,划分出独立子图;第七步,对上一步处理过的子图,利用第三步中的分值结构进行敏感性打分,并计算每个独立子图的评分;第八步,上一步中评分超过第一阈值的即为恶意代码子图模块,进行标定与记录;第九步,每检测出一个恶意代码子图后,计算该恶意代码子图的调用路径长度序列。第十步,将该恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列进行对比,并计算编辑距离,所述编辑距离是指两个调用路径长度序列之间,由一个转成另一个所需的最少编辑操作次数。第H^一步,记录每一个敏感函数的恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列的编辑距离,并将该编辑距离与已知恶意代码家族调用路径长度序列中对应的敏感函数调用路径长度总和进行比值,若比值均小于第二阈值,则判定该恶意代码与所述已知恶意代码家族属于同一个家族。本专利技术的有益效果为:启发式地发现未知恶意软件,可以对其进行家族标定,提高识别和查杀能力,为广大Android第三方市场和个人用户提供安全扫描和保护。【专利附图】【附图说明】图1是本专利技术提出的Android恶意代码检测方法的流程示意图;图2是计算恶意代码子图的调用路径长度序列的算法示意图。【具体实施方式】以下结合附图对本专利技术的技术方案进行详细说明。如图1所示,本专利技术 采用构建Apk软件异构方法调用图,标定敏感函数,继而实现以图的相关性方式对Android恶意代码进行定位和家族分类。在一个特定实施例中,检测方法具体包括以下步骤:第一步,采集Android软件的恶意样本,进行手动分析,提取其中的敏感函数。所述敏感函数包括网络类,短信类,电话类,文件操作类,设备操作类,代码执行类,地理位置类等七大类。在一个实施例中,敏感函数共计31个敏感api函数接口,如表1所示。表1敏感函数和敏感接收器示例【权利要求】1.一种Android恶意代码检测方法,包括以下步骤: 第一步,采集Android软件的恶意样本,进行手动分析,提取其中的敏感函数; 第二步,提取所述恶意样本中经常使用的敏感接收器; 第三步,对第一步和第二步提取的敏感函数和接收器进行打分,打分原则为高危操作或者敏感信息窃取方向的分值最高,危害程度越低,分值越低; 第四步,对待测的apk文件,通过反编译apk源文件,得到内部方法调用序列,然后再提取apk文件对外部的敏感函数和敏感接收器进行的调用,把这两部分调用添加到内部方法调用序列中,形成全局的异构方法调用序列; 第五步,根据第四步生成的异构方法调用序列,生成异构方法调用图,图中包含外部调用敏感函数、敏感接收器、Main函数和具体权限。 第六步,对第五步生成的图进行连通性扫描,利用图的深度遍历算法,划分出独立子图; 第七步,对上一步处理过的子图,利用第三步中的分值结构进行敏感性打分,并计算每个独立子图的评分; 第八步,上一步中评分超过第一阈值的即为恶意代码子图模块,进行标定与记录; 第九步,每检测出一个恶意代码子图后,计算该恶意代码子图的调用路径长度序列; 第十步,将该恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列进行对比,并计算编辑距离,所述编辑距离是指两个调用路径长度序列之间,由一个转成另一个所需的最少编辑操作次数; 第十一步,记录每一个敏感函数的恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列的编辑距离,并将该编辑距离与已知恶意代码家族调用路径长度序列中对应的敏感函数调用路径长度总和进行比值,若比值均小于第二阈值,则判定该恶意代码与所述已知恶意代码家族属于同一个家族。2.如权利要求1所述的Android恶意代码检测步骤,其特征在于,第一步中提取的敏感函数包括网络类、短信类、电话类、文件操作类、设备操作类、代码执行类和地理位置类七大类。3.如权利要求1所述的Android恶意代码检测步骤,其特征在于,第二步中,所述经常使用的敏感接收器包括接受短信接收器、接通电话接收器、挂断电话接收器、接受来电接收器和开机启动接收器。4.如权利要求1所述的Android恶意代码检测方法,其特征在于,第三步中的打分采用以下分值结构:分值分为六档,以5分为最低档,30分为最高档,步长为5。5.如权利要求4所述的Android恶意代码检测方法,其特征在于,优选的,所述第一阈值为0.8。6.如权利要求1所述的Android恶本文档来自技高网...
【技术保护点】
一种Android恶意代码检测方法,包括以下步骤:第一步,采集Android软件的恶意样本,进行手动分析,提取其中的敏感函数;第二步,提取所述恶意样本中经常使用的敏感接收器;第三步,对第一步和第二步提取的敏感函数和接收器进行打分,打分原则为高危操作或者敏感信息窃取方向的分值最高,危害程度越低,分值越低;第四步,对待测的apk文件,通过反编译apk源文件,得到内部方法调用序列,然后再提取apk文件对外部的敏感函数和敏感接收器进行的调用,把这两部分调用添加到内部方法调用序列中,形成全局的异构方法调用序列;第五步,根据第四步生成的异构方法调用序列,生成异构方法调用图,图中包含外部调用敏感函数、敏感接收器、Main函数和具体权限。第六步,对第五步生成的图进行连通性扫描,利用图的深度遍历算法,划分出独立子图;第七步,对上一步处理过的子图,利用第三步中的分值结构进行敏感性打分,并计算每个独立子图的评分;第八步,上一步中评分超过第一阈值的即为恶意代码子图模块,进行标定与记录;第九步,每检测出一个恶意代码子图后,计算该恶意代码子图的调用路径长度序列;第十步,将该恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列进行对比,并计算编辑距离,所述编辑距离是指两个调用路径长度序列之间,由一个转成另一个所需的最少编辑操作次数;第十一步,记录每一个敏感函数的恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列的编辑距离,并将该编辑距离与已知恶意代码家族调用路径长度序列中对应的敏感函数调用路径长度总和进行比值,若比值均小于第二阈值,则判定该恶意代码与所述已知恶意代码家族属于同一个家族。...
【技术特征摘要】
【专利技术属性】
技术研发人员:陶敬,周文瑜,胡文君,赵双,马小博,
申请(专利权)人:西安交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。