[发明专利]基于API依赖关系图的安卓恶意代码检测方法

摘要

本发明公开了一种基于API依赖关系图的安卓恶意代码检测方法，用于审核软件开发者提交的安卓应用软件，检测软件是否带有恶意行为。该方法包括下述步骤：S1、根据对应用软件的语义分析，生成API依赖关系图API‑DRG；S2、利用基于聚合的索引方法在API‑DRG数据库中去匹配最相似的依赖关系图；S3、通过对正常代码数据库NormalDB和恶意代码数据库MalwareDB的查询分别完成异常检测和签名检测。本发明通过以上创新方法完成安卓恶意代码分析与检测的自动化操作，并有效提高恶意代码检测和分类的准确率。

主权项

1.一种基于API依赖关系图的安卓恶意代码检测方法，用于审核软件开发者提交的安卓应用软件，检测软件是否带有恶意行为，其特征在于，该方法包括下述步骤：S1、对应用软件的语义进行分析，生成API依赖关系图；S2、在数据库中使用基于聚合的索引方法对给定的API依赖关系图进行相似度查询，存在正常代码和恶意代码的API依赖关系图API‑DRG数据库，在API‑DRG数据库中查询与给定的图最相似的依赖关系图，使用基于聚合的索引方法去提高查询效率和可扩展性，每个聚合由与API‑DRG数据库中API相关联的位矢量组成，位矢量表示该API所在的软件包是否出现在该依赖关系图中，将给定软件的位矢量和聚合里的矢量相比较，找到相应的索引，从而查询到与给定软件相匹配的依赖关系图；步骤S2中，还包括将两个依赖关系图的相似度进行量化，计算图形相似度，图形相似度是这个图形转变另外一个图形的成本，即为了变成另外一个图形，删除旧的点和新建点的成本，而这个成本被称为带权重图形的编辑距离，以下有两个公式得出两张图之间转变成：公式一：公式一中，wgdist(G,G',α)为图形G转变至图形G’的最小成本，α是统一计算权重的函数，V和V’分别是两个图形的顶点，V_I和V_D分别是在图形G新增的边和在图形G删除的边；公式二：公式二中，wgmaxdw(G,G',α)为图形G和G’之间转变的最大编辑成本，φ为空图；S3、通过数据库NormalDB和MalwareDB分别完成异常检测和签名检测，然后完成恶意代码检测与分类，利用异常检测去探测该软件是否是恶意软件；如果该软件是恶意软件，使用签名检测去确定该恶意软件的病毒类型。