[发明专利]一种基于函数调用的Android恶意代码检测方法

权利要求书

1.一种基于函数调用的Android恶意代码检测方法，包括以下步骤：

第一步，采集Android恶意代码样本，进行手动分析，提取其中执行恶意行为的关键权限和API函数；

第二步，对采集的Android恶意代码的权限使用进行统计分析，提取使用率最高的前M个权限作为敏感高危权限；

第三步，Android系统中访问特定资源需要申请相应的权限，资源的访问体现在API中，根据Android Permission Map，提取第二步得到的M个权限相对应的API函数；

第四步，对待测的Android程序，提取其中的classes.dex文件，使用baksmali进行反编译生成smali文件；提取AndroidManifest.xml文件，使用AXMLPrinter2进行解码；

第五步，根据第四步得到解码后的AndroidManifest.xml提取该Android程序申请的权限信息，并根据第二步得到的M个权限进行过滤；

第六步，根据第五步得到的权限信息，以及第三步得到的权限与API的对应关系，得到该Android程序使用的敏感API；

第七步，根据第四步得到的smali文件和第六步得到的敏感API，以敏感API为入口，遍历该smali文件，根据smali文件的结构特征建立调用此API的函数调用树；

第八步，对上一步生成的API函数调用树，采用树的遍历算法，构建API函数调用链；

第九步，根据该待测Android程序使用的权限，基于第一步得到的已知恶意代码样本权限信息进行初步过滤，优选为，若该待测Android程序使用的权限包含已知恶意代码样本使用的权限，则将该恶意代码样本加入待匹配队列；

第十步，根据第九步得到的待匹配队列，采用NCD算法将该待测Android程序与待匹配队列中的恶意代码样本进行逐一的相似性匹配，若二者相似度超过一定阈值，则将该待测Android程序判定为恶意代码，进行标定和记录。

2.根据权利要求1所述的基于函数调用的Android恶意代码检测步骤，第二步中，所述M取值为20，提取的敏感高危权限如下：

1.INTERNET

2.READ_PHONE_STATE

3.SEND_SMS

4.WRITE_EXTERNAL_STORAGE

5.READ_SMS

6.ACCESS_NETWORK_STATE

7.READ_CONTACTS

8.CALL_PHONE

9.RECEIVE_SMS

10.WRITE_SMS

11.READ_HISTORY_BOOKMARKS

12.WRITE_HISTORY_BOOKMARKS

13.INSTALL_PACKAGES

14.ACCESS_FINE_LOCATION

15.ACCESS_COARSE_LOCATION

16.VIBRATE

17.MOUNT_UNMONT_FILESYSTEM

18.INSTALL_SHORTCUT

19.WRITE_CONTACTS

20.WRITE_APN_SETTINGS。

3.根据权利要求1所述的基于函数调用的Android恶意代码检测步骤，第十步中，所述阈值为0.8。