[发明专利]安卓应用加固识别方法、控制器及介质

说明书

本发明涉及一种安卓应用加固识别方法、控制器及介质，所述方法包括：获取待检测APK的四大组件比例和/或可疑文件比例，将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

技术领域

本发明涉及计算机技术领域，尤其涉及一种安卓应用加固识别方法、控制器及介质。

背景技术

随着安卓(Android)操作系统的快速发展，Android恶意应用(应用程序，可简称为“应用”)也随之发展。为了达到快速传播的目的，恶意软件创建者通常不会从头开始编写新的恶意软件，而是使用自动化工具(如重新打包，挂钩和注入器)从当前热门的合法应用程序快速开发恶意软件，并将其分发到不同的安卓设备中。

为阻止安卓恶意应用泛滥，可采用静态分析或动态分析来检测恶意Android安装包(AndroidPackage简称APK)。静态分析无需运行应用程序，仅需从应用的程序代码中提取特征以此判断程序行为，较为简单高效。动态分析是指运行应用程序并尽可能地触发应用的全部行为，从而判断应用程序是否执行了恶意性行为，但动态分析效率存在较大的短板。因此，静态分析是当前主要的分析手段。然而，随着安卓加固行业的发展，恶意应用也逐渐采用加固技术来逃避检测，静态分析方法存在新挑战。因此，在进行恶意应用分析之前，识别应用程序是否加固成为必要的步骤，但是，现有的安卓应用程序加固识别方法运行效率低且准确性差。

发明内容

本发明目的在于，提供一种安卓应用加固识别方法、控制器及介质，无需运行应用，仅通过分析四大组件比例和可疑文件比例等特征，无需运行应用程序即可识别安卓应用是否加固，提高了加固识别的运行效率和准确度。

为了解决上述技术问题，根据本发明第一实施例，提供了一种安卓应用加固识别方法，包括以下步骤:

获取待检测APK的四大组件比例和/或可疑文件比例，其中，所述四大组件比例为Androidmanifest.xml注册的组件在classes.dex文件中进行声明的比例，所述可疑文件比例为可疑文件大小与classes.dex文件大小比例；

将所述四大组件比例与预设的第一阈值相比较，若所述四大组件比例小于所述第一阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固；

将所述可疑文件比例与预设的第二阈值相比较，若所述可疑文件比例大于等于所述第二阈值，则判断所述待检测APK加固，否则，判断所述待检测APK未加固。

进一步的，所述方法还包括：获取所述第一阈值和/或所述第二阈值，具体包括以下步骤：

选取一定数量的带加固标签的APK样本和带非加固标签的APK样本组成样本数据集；

统计所述样本数据集中的所有APK样本的四大组件比例和/或可疑文件比例；

基于所述样本数据集中的所有APK样本的四大组件比例获取所述第一阈值；

基于所述样本数据集中的所有APK样本的可疑文件比例获取所述第二阈值。

进一步的，所述第一阈值为0.5，所述第二阈值为0.21。

进一步的，所述获取待检测APK的四大组件比例和/或可疑文件比例之前，所述方法还包括：

根据所述待检测APK的so文件特征判断所述待检测APK是否加固，具体包括以下步骤：