[发明专利]一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法

摘要

本发明涉一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，属于信息安全技术领域，步骤为：反编译Android APK，生成APK的函数调用关系图；根据节点中的代码对节点进行分类、添加标签值；拆分多属性节点；在图中添加隐式调用边；删除无害节点，得到裁剪后的函数调用图；对经过裁剪后的函数调用图进行可视化设置；利用可视化软件与函数调用图帮助安全人员分析程序。本发明在可视化界面中帮助安全人员快速识别已知的、未知的恶意代码，精准发现代码中包含的恶意行为。

主权项

一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，其特征在于包括如下步骤：(1)生成函数调用关系图：反编译Android APK，用节点表示基本代码块，节点间的有向调用边表示控制流路径，生成APK的函数调用关系图，即Call Graph(CG)；对函数调用关系图中的节点，根据节点中的类名、方法名、代码以及分类规则为节点分类并添加标签值，得到一张新图称之为添加标签值的函数调用关系图；该图中节点共有9种分类，第1类为普通，第2类为活动Activity，第3类为服务Service，第4类为广播接收器Broadcast Receiver，第5类为用户行为user‑behavior，第6类为事件event，第7类为额外的被调用者callee‑extra，第8类为调用者caller，第9类为危险接口riskyapi，其中第2、3、4、7类统称为被调用者callee；每个节点可能属于其中一种或者多种分类，只属于2至9类中一类的节点为单属性节点，属于2至9类中两种及以上分类的节点为多属性节点；(2)拆分多属性节点：将步骤(1)所得的添加标签值的函数调用关系图中多属性节点拆分为多个节点，使得每个节点只包含原多属性节点的一个标签值；将所有多属性节点拆分后，得到一张新图称之为经过拆分的函数调用关系图；(3)添加隐式调用边：在步骤(2)所得的经过拆分的函数调用关系图中，为存在隐式调用关系的节点之间添加调用边；得到一张新图称之为添加隐式调用边的函数调用关系图；这种根据隐式调用关系添加的调用边称之为隐式调用边；(4)裁剪：对步骤(3)所得的添加隐式调用边的函数调用关系图进行裁剪，删除不直接或者间接调用riskyapi类节点的非riskyapi类节点，得到一张新图称之为经过裁剪的函数调用关系图；(5)添加颜色和尺寸：为步骤(4)所得的经过裁剪的函数调用关系图中的节点根据节点类型设置尺寸和颜色，得到经过裁剪及自定义设置的函数调用关系图，即PMCG；(6)采用现有或自开发的可视化界面，利用可视化软件打开PMCG中的文件，可视化展示PMCG，协助用户分析判断是否存在恶意行为。