[发明专利]大规模快速移动应用APP检测和分析方法

权利要求书

1.一种大规模快速移动应用APP检测和分析方法，其特征在于，包括以下步骤：

1)从手机移动应用市场获取移动应用APP；

2)通过使用面向逆向解析码的自然语言处理技术，得到该APP的自然语言特征；

3)通过使用面向DEX的特征图像处理技术，得到该APP的DEX图像特征；

4)通过使用基于模糊Hash的重打包验证技术，判断该APP是否是重打包应用并赋予一个判断结果RC；

5)通过使用机器学习模块，分别得到该APP的自然语言特征和DEX图像特征在使用机器学习后的结果，分别赋予一个判断值N,G；

6)计算该APP的综合判断结果S＝S_N(N)+S_G(G)+S_RC(RC)；

7)判断该APP的值S是否超过预设阈值；

8)如果S预设阈值，则判断该APP是恶意应用，并将该APP的自然语言特征和DEX图像特征打上MALWARE标签，放入到机器学习模块里的验证模型中；

9)如果S＝预设阈值，则判断该APP是正常应用，并将该APP的自然语言特征和DEX图像特征打上NORMAL标签，放入到机器学习里的验证模型中。

2.根据权利要求1所述的方法，其特征在于，步骤2)具体包括：

将与APP对应的APK文件进行逆向解析，得到对应的smali文件；

合并所有smali文件，将smali文件的内容按顺序组合为一个新文件，称为AllSmali；

按照顺序提取AllSmali文件中所有的操作码；

使用基于功能的Smali代码简化方式简化所有提取到的操作码，得到简化操作码；

令N＝4,使用自然语言处理的方式，操作简化操作码；

计算得到4-gram序列中每个序列重复出现的次数；

把计算得到的重复出现次数超过预设次数的4-gram序列保留，写入一个文件中作为APK文件的自然语言特征序列，得到一个关于APK文件的自然语言特征文件。

3.根据权利要求1所述的方法，其特征在于，步骤3)具体包括：

解析与APP对应的APK文件，得到DEX文件；

使用python，将DEX文件转换为一个灰度图像；

使用分割算法将灰度图像按照图像中边界进行分割，得到原图像的子图像集合；

计算对每个子图像的GLCM特征值；

将得到的GLCM特征值，按照顺序保存下来形成一个文件，作为该APP的DEX图像特征文件。

4.根据权利要求3所述的方法，其特征在于，分割灰度图像的分割算法具体为：

1)每次读取两个像素的值X，Y；

2)计算Z＝(X-Y)/(X,Y)_min；

3)计算Z是否超过阈值，如果超过阈值，则切割，如果没有则不切割。

5.根据权利要求3所述的方法，其特征在于，分割灰度图像的分割算法具体为：

任然计算两个像素的值X,Y；

计算Z＝(X-Y)/(X,Y)_min；

计算Z是否超过阈值，如果超过阈值，则切割，如果不超过，则计算X,Y的均值，然后和下一个像素值进行计算。

6.根据权利要求1所述的方法，其特征在于，基于模糊Hash的重打包验证技术具体为：

提取于APP对应的DEX文件的指纹信息；

使用模糊hash算法提取DEX文件的指纹信息，得到模糊哈希值；

将得到的模糊hash值存储，并与已经存在的模糊hash值进行比较，经过比较后如果相似度超过阈值，则判断新存入的模糊hash值所代表的移动应用是一个重打包应用，并将该模糊hash值从系统中剔除。