[发明专利]移动恶意程序相似模块提取方法

权利要求书

1.一种移动恶意程序相似模块提取方法，其特征在于，所述方法包括：

获取第一应用程序和第二应用程序；

将所述第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将所述第二应用程序去除非关键函数，以得到第二关键函数调用图；

计算所述第一关键函数调用图和所述第二关键函数调用图的相似度；

若所述相似度大于设定阈值，则确定所述第一应用程序和所述第二应用程序为同类型恶意应用程序。

2.根据权利要求1所述的方法，其特征在于，

所述将所述第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将所述第二应用程序去除非关键函数，以得到第二关键函数调用图之前，还包括：

将所述第一应用程序进行反编译，以得到反编译后的第一代码，以及将所述第二应用程序进行反编译，以得到反编译后的第二代码；

获取所述第一代码中的所有应用程序接口，以得到第一函数调用图，以及获取所述第二代码中的所有应用程序接口，以得到第二函数调用图。

3.根据权利要求2所述的方法，其特征在于，

所述获取所述第一代码中的所有应用程序接口，以得到第一函数调用图，以及获取所述第二代码中的所有应用程序接口，以得到第二函数调用图之前，包括：

对所述第一代码进行符号执行，移除所述第一代码中的第一无效代码；

对所述第二代码进行符号执行，移除所述第二代码中的第二无效代码。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

对所述第一函数调用图中的函数设置标志值；

对所述第二函数调用图中的函数设置标志值。

5.根据权利要求3所述的方法，其特征在于，

所述将所述第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将所述第二应用程序去除非关键函数，以得到第二关键函数调用图，包括：

根据所述第一函数调用图中的函数标志值，判断所述第一函数调用图中的函数是否为关键函数，以及根据所述第二函数调用图中的函数标志值，判断所述第二函数调用图中的函数是否为关键函数；

若是，则去除所述第一函数调用图中的所有非关键函数，以得到第一关键函数，以及去除所述第二函数调用图中的所有非关键函数，以得到第二关键函数；

将所述第一关键函数和第二关键函数进行哈希处理，以分别得到所述第一关键函数调用图和所述第二关键函数调用图。

6.根据权利要求1所述的方法，其特征在于，

所述计算所述第一关键函数调用图和所述第二关键函数调用图的相似度，包括：

将所述第一关键函数调用图转变为第一矩阵，将所述第二关键函数调用图转变为第二矩阵；

计算所述第一矩阵与所述第二矩阵的相似度。

7.根据权利要求6所述的方法，其特征在于，

所述计算所述第一矩阵与所述第二矩阵的相似度之前，还包括：

基于所述第一矩阵和所述第二矩阵建立共有矩阵；

判断所述共有矩阵是否为空；

若否，则计算所述第一矩阵与所述第二矩阵的相似度。

8.根据权利要求1所述的方法，其特征在于，

所述第一应用程序为待测应用程序，所述第二应用程序为已知的恶意应用程序；

所述若所述相似度大于设定阈值，则确定所述第一应用程序和所述第二应用程序为同类型恶意应用程序，包括：

若所述相似度大于设定阈值，则确定所述待测应用程序为与所述已知的恶意应用程序类型相同的恶意应用程序。