[发明专利]移动恶意程序相似模块提取方法

说明书

本申请公开了一种移动恶意程序相似模块提取方法，该方法包括：获取第一应用程序和第二应用程序；将第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将第二应用程序去除非关键函数，以得到第二关键函数调用图；计算第一关键函数调用图和第二关键函数调用图的相似度；若相似度大于设定阈值，则确定第一应用程序和第二应用程序为同类型恶意应用程序。通过上述方式，增加恶意应用程序同源性判断的准确性，以此来提高计算和分类的速度，极大地减少分类时间。

技术领域

本申请涉及软件工程技术领域，特别是涉及一种移动恶意程序相似模块提取方法。

背景技术

不同的终端设备均具有操作系统，每个操作系统里均有不同类型的应用程序。随着移动互联网的发展，恶意应用程序数目与日俱增。以安卓系统为例，攻击者通过工具可方便的对非恶意应用程序解压缩，修改应用程序内容，如注入恶意代码，将应用程序图标修改为具有诱惑性的图片，修改完成后，重新打包并伪装成正常应用程序上传到各大应用市场。并且攻击者为了扩大攻击面，会批量向多种应用程序进行相似的恶意操作，导致多种应用程序之间具有许多相似的代码段。一旦用户运行恶意程序，根据攻击者意图，恶意代码可能会悄悄收集用户信息到服务器，直接锁定手机屏幕进行钱财勒索，恶意消耗手机资源进行挖矿等行为或者发送恶意短信进行扣费。安卓恶意软件不仅造成用户个人隐私信息的泄露，也给用户带来经济上的巨大损失，减缓安卓恶意软件对用户的攻击迫在眉睫。

发明内容

为了解决上述问题，本申请提供一种移动恶意程序相似模块提取方法，增加恶意应用程序同源性判断的准确性，以此来提高计算和分类的速度，极大地减少分类时间。

本申请采用的一种技术方案是提供一种移动恶意程序相似模块提取方法，该方法包括：获取第一应用程序和第二应用程序；将第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将第二应用程序去除非关键函数，以得到第二关键函数调用图；计算第一关键函数调用图和第二关键函数调用图的相似度；若相似度大于设定阈值，则确定第一应用程序和第二应用程序为同类型恶意应用程序。

其中，将第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将第二应用程序去除非关键函数，以得到第二关键函数调用图之前，还包括：将第一应用程序进行反编译，以得到反编译后的第一代码，以及将第二应用程序进行反编译，以得到反编译后的第二代码；获取第一代码中的所有应用程序接口，以得到第一函数调用图，以及获取第二代码中的所有应用程序接口，以得到第二函数调用图。

其中，获取第一代码中的所有应用程序接口，以得到第一函数调用图，以及获取第二代码中的所有应用程序接口，以得到第二函数调用图之前，包括：对第一代码进行符号执行，移除第一代码中的第一无效代码；对第二代码进行符号执行，移除第二代码中的第二无效代码。

其中，该方法还包括：对第一函数调用图中的函数设置标志值；对第二函数调用图中的函数设置标志值。

其中，将第一应用程序去除非关键函数，以得到第一关键函数调用图，以及将第二应用程序去除非关键函数，以得到第二关键函数调用图，包括：根据第一函数调用图中的函数标志值，判断第一函数调用图中的函数是否为关键函数，以及根据第二函数调用图中的函数标志值，判断第二函数调用图中的函数是否为关键函数；若是，则去除第一函数调用图中的所有非关键函数，以得到第一关键函数，以及去除第二函数调用图中的所有非关键函数，以得到第二关键函数；将第一关键函数和第二关键函数进行哈希处理，以分别得到第一关键函数调用图和第二关键函数调用图。

其中，计算第一关键函数调用图和第二关键函数调用图的相似度，包括：

将第一关键函数调用图转变为第一矩阵，将第二关键函数调用图转变为第二矩阵；计算第一矩阵与第二矩阵的相似度。

其中，计算第一矩阵与第二矩阵的相似度之前，还包括：基于第一矩阵和第二矩阵建立共有矩阵；判断共有矩阵是否为空；若否，则计算第一矩阵与第二矩阵的相似度。