[发明专利]一种安卓嫌疑软件的同源识别方法及装置

说明书

技术领域

本发明涉及移动互联网安全技术领域，尤其涉及一种安卓嫌疑软件的同源识别方法及装置。

背景技术

移动互联网的快速发展极大地丰富了人们的生活，移动终端用户可以使用安卓市场提供的多种多样的应用进行办公和娱乐，而恶意软件的不断增多也给终端用户带来了极大的困扰。由于目前很多开源的反编译工具可以对安卓应用进行破解，所以，部分恶意开发者便通过破解应用市场中的应用，通过复制代码、增添或删减部分代码、使用代码中的算法等方式对安卓软件进行克隆。由此可见，除了潜在的恶意问题，安卓市场的应用克隆也给移动终端用户带来了新的威胁。所以，亟待需要发现这些同源的安卓软件来减轻这些安全威胁。

目前识别安卓同源应用的方法主要是基于函数控制流图的几何特征，如“Achieving Accuracy and Scalability Simultaneously in Detecting Application Clones on Android Markets”中通过测量两个APP的methods的相似度，根据相似度得出是否为APP克隆的结论；“Finding Unknown Malice in 10 Seconds：Mass Vetting for New Threats atthe Google-Play Scale”在软件同源性的基础上对android软件进行“同源”和“非同源”分类，并进行函数级别和视图级别的相关性分析，从而根据同源软件的代码特征定位恶意代码。

这种基于函数控制流的几何特征识别方法虽然具有较高的精确度，但是对计算节点的配置具有较高的要求，需要支持程序高并发执行才能快速获取结果，同时这种方法对于混淆后的APK无法进行准确判断。

发明内容

本发明的目的在于提供一种安卓嫌疑软件的同源识别方法及装置，解决现有技术中对计算节点配置高，需支持程序高并发执行，且无法对混淆后的APK进行准确判断的问题。

本发明的技术方案实现如下：

本发明的一个目的在于提供一种安卓嫌疑软件的同源识别方法，包括：

对APK进行静态分析，从而定位所述APK的敏感行为，提取所述敏感行为的嫌疑路径，获取所述嫌疑路径的触发方式；

对所述APK与其同源软件进行敏感行为比对；

对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对；

对所述APK与其同源软件进行所述嫌疑路径的触发方式比对。

在本发明所述的同源识别方法中，所述对APK进行静态分析，从而定位所述APK的敏感行为，提取所述敏感行为的嫌疑路径，获取所述嫌疑路径的触发方式的步骤包括：

对所述APK进行反编译，通过静态分析方法对所述APK的代码进行扫描，定位得到所述APK的敏感行为；

通过控制流分析提取所述敏感行为的嫌疑路径；

根据所述嫌疑路径的头节点获取所述触发方式。

在本发明所述的同源识别方法中，所述对所述APK与其同源软件进行敏感行为比对的步骤包括：

将所述敏感行为转化为二进制字符串；

将所述APK的敏感行为的二进制字符串与同源软件的敏感行为列表进行比对，若存在相同的字符串，则对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对，若不存在相同的字符串，则认为所述APK为非嫌疑软件。

在本发明所述的同源识别方法中，所述对所述APK与其同源软件进行所述敏感行为的嫌疑路径比对的步骤包括：

获取所述敏感行为的嫌疑路径的数量；

对所述APK与其同源软件进行所述嫌疑路径的数量比对，若所述APK的嫌疑路径的数量与其同源软件的嫌疑路径的数量的差值处于预设范围之内，则对所述APK与其同源软件进行所述嫌疑路径的触发方式比对，若所述差值处于所述预设范围之外，则认为所述APK为非嫌疑软件。

在本发明所述的同源识别方法中，所述对所述APK与其同源软件进行所述嫌疑路径的触发方式比对的步骤包括：

依据所述嫌疑路径的头节点确定所述触发方式为系统触发或UI触发或其它触发；

对所述APK与其同源软件的每一嫌疑路径进行触发方式比对，若相同的触发方式的数量处于预设范围之内，则确认所述APK与其同源软件属于同一软件组，并将所述APK进入所述同源软件族中，若否，则认为所述APK为非嫌疑软件。

另一方面，提供一种安卓嫌疑软件的同源识别装置，包括：