[发明专利]一种基于动态获取用户界面的Android重打包应用检测方法

说明书

本发明公开一种基于动态获取用户界面的Android重打包应用检测方法，首先使用ADB和uiautomator2对待检测应用的所有可视化界面进行自动深度遍历，得到每个界面对应的布局文件；然后将布局文件抽象成树形结构表示的布局树，同时过滤掉无任何信息增益的控件属性，只保留表征其状态和功能的关键属性，因此每个安卓应用可表示为一个布局树集合。然后利用基于多维序列的树结构相似度比较算法DTW‑ACS计算两个布局树之间的相似度，并进一步使用匈牙利算法计算出布局树集合之间的相似度，即两个Android应用间的相似度。最后通过阈值比较判定是否为重打包应用对。本发明在Android重打包应用的检测方面具有良好的准确性、抗噪声性、抗代码混淆和抗代码加密性。

技术领域

本发明属于可信软件及恶意软件检测领域，具体涉及一种基于动态获取用户界面的Android重打包应用检测方法。

背景技术

Android作为一种操作系统平台，攻击者为获取非法利益，将Android应用重新打包后发布到市场，这给Android系统和用户带来了巨大威胁。过去，大多数研究都集中在代码相似性检测上，这种检测涉及数十亿个操作码，因而会消耗大量时间，此外，重打包应用程序还可以通过对代码进行混淆或加密，以避免被检测到。

基于用户界面(User Interface，UI)特征的重打包检测方法具有抗代码混淆和抗代码加密性能。但是基于静态方法获取布局特征的检测算法虽然检测速度快，但是无法获取足够的有效信息，同时易受噪声文件的影响，检测准确率低。

一些基于动态获取UI特征的方法具有抗噪声性，然而如何获取更多的用户界面同时更加有效的将布局特征进行抽象成为目前着重需要解决的困难。

除了上述重打包检测方法，有学者还提出了基于信息不对称的安卓重打包主动防御技术，该方法会使重打包的应用程序运行异常，导致重打包的失败。但是该方法需要修改底层安卓系统，同时需要用户安装插件，技术难度大同时用户体验较差。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于动态获取用户界面的Android重打包应用检测方法。Android应用中的界面包含布局结构和填充布局结构的来自服务端推送的内容，界面中变化的是服务端推送的内容，布局结构不会改变，因此本发明通过动态的方式提取Android应用运行过程中所有可视化界面的布局作为Android应用的特征。一般来说，一个Android应用包含多个可视化界面，每一个界面都会对应一个xml布局文件，其中包含了多个控件；为便于布局文件之间的比较，本发明将界面的布局文件抽象成一棵布局树。通过上述方式，可以得到由多个布局树组成的布局树集合来唯一标识一个Android应用，这样Android应用之间的相似度也就转化为布局树集合之间的相似度计算问题，对于两个布局树集合的相似度计算，对于布局树集合的每一棵布局树间的相似度采用DTW-ACS进行计算，进一步对于布局树集合的相似度采用匈牙利算法进行求解。

技术方案：本发明的一种基于动态获取用户界面的Android重打包应用检测方法，包括如下步骤：

(1)获取每个应用的所有可视化界面对应的布局文件

使用ADB和uiautomator2对待检测应用的界面进行自动深度遍历，得到对应可视化界面的布局文件，同时过滤重复界面和噪声界面；

(2)将每个布局文件抽象成一棵布局树

将布局文件抽象成树形结构，因为这样能够最大程度上代表它的布局层次结构，同时过滤掉无任何信息增益的控件属性，只保留表征其状态和功能的关键属性，得到由布局树组成的特征集合；

(3)计算Android应用之间的相似度