[发明专利]一种移动应用的恶意代码入侵检测与防范方法

权利要求书

1.一种移动应用的恶意代码入侵检测与防范方法，其特征在于，所述方法包括以下步骤：

S1、采集移动应用恶意代码样本，通过动态污点传播分析恶意代码样本的执行流程，识别并记录流程中的调用信息以及与污点数据相关的指令信息；

S2、根据调用信息以及指令信息，构建恶意代码行为依赖图；

S3、对恶意代码样本的行为进行分析以对行为依赖图进行抗混淆处理，识别并处理语义调用，得到恶意代码行为特征图；

S4、根据行为特征图对恶意代码进行检测，根据行为敏感度对图中节点和边赋予权值，设定加权特征值计算式以及检测阈值；

S5、对待测移动应用代码进行污点传播分析，根据其调用信息与特征库中特征的匹配情况计算特征值，比对特征值与检测阈值对目标检测代码进行判定。

2.根据权利要求1所述的一种移动应用的恶意代码入侵检测与防范方法，其特征在于，所述调用信息包括系统调用以及系统调用之间的数据依赖关系和控制依赖关系。

3.根据权利要求1所述的一种移动应用的恶意代码入侵检测与防范方法，其特征在于，所述语义调用包括语义无关调用插入以及语义等价调用变换。

4.根据权利要求3所述一种移动应用的恶意代码入侵检测与防范方法，其特征在于，S3中，对于语义无关调用插入，通过分析动态污点传播过程中是否影响系统状态对其进行识别并剔除；对于语义等价调用变换，采用等价调用序列处理以及循环处理。

5.根据权利要求1所述的一种移动应用的恶意代码入侵检测与防范方法，其特征在于，S5中，对待测移动应用代码进行动态污点分析以提取其关键系统调用及参数、数据依赖关系和控制依赖关系。

6.根据权利要求1或5所述的一种移动应用的恶意代码入侵检测与防范方法，其特征在于，所述动态污点分析包括污点标记、污点传播以及污点漂白。

7.根据权利要求1所述一种移动应用的恶意代码入侵检测与防范方法，其特征在于，S5中，当特征值大于检测阈值时，判定待测移动应用代码为恶意代码；否则判定目标检测代码为非恶意代码。

8.根据权利要求1所述一种移动应用的恶意代码入侵检测与防范方法，其特征在于，S5中，对调用信息和特征库中的特征进行匹配，包括系统调用节点匹配、集合节点匹配、边的匹配和匹配计数。

9.根据权利要求1所述一种移动应用的恶意代码入侵检测与防范方法，其特征在于，所述加权特征值计算式用于表示待测移动应用代码与恶意代码样本特征的匹配程度，具体如公式(1)所示。

其中，E表示特征值，p_x表示权值，n_x为节点或边的数量，Z表示一般节点，Z'表示集合节点，X表示控制依赖边，Y表示数据依赖边。