[发明专利]基于敏感子图的安卓恶意重打包软件检测方法

摘要

本发明公开了一种基于敏感子图分析的安卓恶意重打包程序检测方法，包括敏感API权重计算，以及基于安卓程序静态函数调用网络的敏感子图构建，然后利用敏感子图在良性程序和恶意重打包程序中的敏感API调用结构的差异，构建了五种不同的结构特征，最后对于样本集构建特征空间并利用机器学习方法进行分析与检测，从而实现对恶意重打包程序的检测。本发明基于文本词汇权重检测TF‑IDF提出了一种敏感系数计算方法TF‑IDF‑like，该方法使对敏感函数系数的计算不再仅仅局限于函数本身在恶意数据集中的使用分布，而是结合了该敏感函数在良性数据集中的使用分布，从而降低了部分敏感函数由于在恶意数据集和良性数据集中同时被大量调用而造成的敏感系数偏高引起的检测误报。

主权项

1.一种基于敏感子图的安卓恶意重打包程序检测方法，其特征在于，包括如下步骤：步骤S1)：基于开源工具Pscout构建敏感函数集合SA＝{si|1≤i≤680}，其中si表示一个敏感函数，然后获取待检测安卓程序的所属类别c，基于TF‑IDF‑like计算敏感函数si相对于类别为c的良性数据集Bc以及恶意数据集M的敏感系数scs(si，c)；步骤S2)：利用反编译技术对待检测安卓程序的安装文件进行反编译生成相应的Smali代码，进一步对Smali代码进行分析并抽取函数调用关系，从而构建成函数调用图SFCG(V，E)，其中V表示程序中所有的函数节点集合，而表示程序中所有的函数调用的集合；步骤S3)：基于步骤S2)构建的SFCG(V，E)，根据程序调用的敏感函数集合SS＝{sk|1≤k≤n|n＝|V|}中每一个节点元素sk在SFCG中的拓扑结构位置，将SFCG划分成为若干个包含敏感函数节点的子图，该子图集合表示为SGS＝{SGj|1≤j≤m}，其中m为子图个数；然后基于步骤S1)中计算所得的敏感系数计算每一个子图的敏感系数scg(SGj，c),选择敏感系数最大的子图作为待检测安卓程序的敏感子图SSG；步骤S4)：基于步骤S3)得到的敏感子图SSG，抽取其三种结构特征：敏感系数特征scg(SSG，c)、敏感距离特征tsd(SSG，c)以及三种敏感Motif数量特征tnsm1(SSG，c)，tnsm2(SSG，c)，tnsm3(SSG，c)；步骤S5)：基于步骤S4)针对每一个样本构建一个五维特征向量，利用随机森林算法对训练样本的特征空间进行评估并构建分类器，从而对待检测的重打包恶意软件进行快速、有效的检测。