[发明专利]一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法

权利要求书

1.一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法，其特征在于，包括如下步骤：

(1)获取API对象调用关系数据；

(1.1)获取程序运行时的API调用原始数据；

(1.2)将API调用数据进行分析，生成API对象调用关系数据文件；

(2)使用得到的API对象调用关系数据进行图模型的建立，采用改进的图匹配算法进行匹配：

(2.1)增加匹配节点比重参数α，控制匹配过程中图节点的匹配精确度；

(2.2)增加映射子图边属性对比相似度参数β，用于控制匹配过程中图的边属性的匹配精确度；

所述步骤(2.1)包括：将匹配后的子图中的顶点数记作m，将源图中的顶点数记作n，α＝m/n；经过算法的匹配计算后，若参数α达到了规定的阈值，那么就可以判定匹配成功；其中，α的阈值范围在(0,1]之间；

所述步骤(2.2)增加映射子图边属性对比相似度参数β包括：定义图中边属性值的赋值规则，若该条边代表的调用关系的调用次数大于等于k次，则将该边属性置为1，否则置为0；参数β即为两个待匹配的图中对应边的属性值相同的数目比上边的总数。

2.根据权利要求1所述的一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法，其特征在于：所述步骤(1.1)获取程序运行时的API调用原始数据是按照反编译程序、植入API调用监测代码段、重新打包程序以及动态运行生成API调用信息文件的顺序进行的。

3.根据权利要求1所述的一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法，其特征在于，所述步骤(1.2)将API调用数据进行分析，使用工具APIjhat实现分析的过程如下：

(1.2.1)创建：通过APIModel模块初始化创建一个数据结构对象APIObej，用于存储API调用数据等相关信息；

(1.2.2)读取：通过TraceReader模块中的TReader方法读取trace文件，获取其中必要的API调用数据；

(1.2.3)API调用数据模型建立：通过上一步获取的数据，将其中的API对象提取出来填充到APIObej中，然后将对象之间的调用信息添加到APIObej类中的各API对象类的关系参数中，构建一个保存了各个API调用对象及其调用关系和次数的数据结构模型；

(1.2.4)生成目标文件：根据构建好的API调用数据模型，按照规定的格式进行转存，写入可读的文本文件中；其中，转存的规则需按照以下两点进行，第一点，用class关键字标识API对象名称，读取数据结构中的第一个API对象名，将其添加到文本文件中，并在对象名前添加class关键字进行标识；第二点，读取该API对象类的API调用关系数据，若该API对象是调用类，则将此调用关系和调用次数添加到文本文件的对应API对象类名称之后，并且用关键字call表示调用关系，用关键字count表示调用次数；若该API对象是被调用类，则需要使用called关键字标识被调用关系；经过转换过程之后，生成API对象调用关系文件。