[发明专利]一种基于方法调用图的Android恶意软件检测方法

摘要

本发明提出一种Android恶意软件检测方法。采用构建Andorid应用Apk软件的异构方法调用图，标定敏感函数，利用图的连通性对恶意代码进行定位和家族分类。具体流程包括：对异构方法调用图进行图的连通性扫描，得到各个子图，对各个子图进行敏感函数打分，超过阈值的子图即为恶意代码模块，不同的Android软件中相似的恶意代码子图结构即为恶意代码家族。本发明可以启发式地发现未知恶意软件，并对其进行家族标定，为广大Android第三方市场和个人用户提供安全扫描和保护。

主权项

一种Android恶意代码检测方法，包括以下步骤：第一步，采集Android软件的恶意样本，进行手动分析，提取其中的敏感函数；第二步，提取所述恶意样本中经常使用的敏感接收器；第三步，对第一步和第二步提取的敏感函数和接收器进行打分，打分原则为高危操作或者敏感信息窃取方向的分值最高，危害程度越低，分值越低；第四步，对待测的apk文件，通过反编译apk源文件，得到内部方法调用序列，然后再提取apk文件对外部的敏感函数和敏感接收器进行的调用，把这两部分调用添加到内部方法调用序列中，形成全局的异构方法调用序列；第五步，根据第四步生成的异构方法调用序列，生成异构方法调用图，图中包含外部调用敏感函数、敏感接收器、Main函数和具体权限。第六步，对第五步生成的图进行连通性扫描，利用图的深度遍历算法，划分出独立子图；第七步，对上一步处理过的子图，利用第三步中的分值结构进行敏感性打分，并计算每个独立子图的评分；第八步，上一步中评分超过第一阈值的即为恶意代码子图模块，进行标定与记录；第九步，每检测出一个恶意代码子图后，计算该恶意代码子图的调用路径长度序列；第十步，将该恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列进行对比，并计算编辑距离，所述编辑距离是指两个调用路径长度序列之间，由一个转成另一个所需的最少编辑操作次数；第十一步，记录每一个敏感函数的恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列的编辑距离，并将该编辑距离与已知恶意代码家族调用路径长度序列中对应的敏感函数调用路径长度总和进行比值，若比值均小于第二阈值，则判定该恶意代码与所述已知恶意代码家族属于同一个家族。