[发明专利]基于敏感子图的安卓恶意软件检测方法及系统

说明书

本发明公开了一种基于敏感子图的安卓恶意软件检测方法及系统，检测方法包括：生成安卓应用的敏感函数调用图；挖掘敏感函数调用图中的敏感子图；提取敏感子图特征，训练分类器；识别恶意安卓应用。本发明能从安卓应用的代码调用流程中准确分离出与恶意行为相关的函数调用子图，利用机器学习算法检测恶意安卓应用；这种方法能同时结合安卓应用程序的语义信息和结构信息进行分析，有效提升了恶意安卓应用检测的准确率。

技术领域

本发明属于安卓恶意检测技术，特别是一种基于敏感子图的安卓恶意软件检测方法及系统。

背景技术

近年来，全球进入了移动互联网时代，智能手机得到迅速普及。移动应用在衣食住行、购物、金融等多方面都给生活带来了诸多方便。安卓应用软件正在呈现飞速增长的趋势。但是由于安卓系统的流行性以及其本身的开放性，使得一些不法分子将黑手伸向了安卓系统应用软件，他们将APP(Application手机应用软件)盗版后向其中加入恶意代码，从而涌现出大批的恶意软件。Symantec公司最新的互联网安全报告显示，在如今的安卓平台的应用中，恶意软件占比17％。其恶意行为也多种多样，包括恶意扣费、诱骗欺诈、隐私获取等。所以如何高效检测恶意应用，保护用户隐私成为了安卓研究的重点。

许多方法用于从良性应用中区分出恶意应用，或者更细粒度的运用一些方法去区分安卓恶意家族软件。一些调查人员推荐静态分析方法，例如Arzt S提出通过分析安卓应用的字节码，提取静态特征例如API信息，权限信息，系统调用流程(Arzt S,Rasthofer S,Fritz C,et al.Flowdroid:Precise context,flow,field,object-sensitive andlifecycle-aware taint analysis for android apps[J].Acm Sigplan Notices,2014,49(6):259-269.)来识别恶意安卓应用。最近Yang C等人提出使用机器学习的方法来检测恶意安卓软件(Yang C,Xu Z,Gu G,et al.Droidminer:Automated mining andcharacterization of fine-grained malicious behaviors in android applications[C]//European symposium on research in computer security.Springer,Cham,2014:163-182.)。通过运用不同的模式挖掘算法，构建安卓应用的行为模式，他们的不同之处就在于构建的特征。然而，因为这些方法提取的特征会出现在良性安卓应用中，这些方法的准确性很低，不能更准确的去理解安卓应用的恶意行为相关的结构信息。

而一些基于图的恶意检测方法，例如(Moonsamy V,Rong J,Liu S.Miningpermission patterns for contrasting clean and malicious android applications[J].Future Generation Computer Systems,2014,36:122-132.)是从一个大的连通图或者非连通图中挖掘行为模式，而这个行为模式能刻画一个安卓应用程序的行为特征，从函数依赖图中挖掘出一个代码片段，这个代码片段完成对用户的隐私信息采集任务。Guan Q提出建立一个基于ACTIVITY的简化过程间控制流图(Guan Q,Huang H,Luo W,etal.Semantics-based repackaging detection for mobile apps[C]//InternationalSymposium on Engineering Secure Software and Systems.Springer,Cham,2016:89-105.)，然后通过挖掘图中带有敏感行为的活动节点，找到节点中的上下文信息，建立安卓恶意检测模型。然而这些基于图的恶意检测方法有如下一些缺点：(1)分析效率很低，这些方法对整个安卓应用的调用图进行分析，而分析时间随安卓应用的大小增长呈指数级别增长。(2)分析效果差，通常而言，恶意行为相关的代码在FCG中通常只占很小一部分；而大部分的良性代码会对分析结果产生负面影响。

发明内容