[发明专利]一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法

说明书

本发明涉一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，属于信息安全技术领域，步骤为：反编译Android APK，生成APK的函数调用关系图；根据节点中的代码对节点进行分类、添加标签值；拆分多属性节点；在图中添加隐式调用边；删除无害节点，得到裁剪后的函数调用图；对经过裁剪后的函数调用图进行可视化设置；利用可视化软件与函数调用图帮助安全人员分析程序。本发明在可视化界面中帮助安全人员快速识别已知的、未知的恶意代码，精准发现代码中包含的恶意行为。

技术领域

本发明涉及一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，属于信息安全技术领域。

背景技术

根据德国网络安全公司G DATA最新公布的一份调查报告显示，2015年Android恶意软件样本数量达到了2333777个。形象点来描述就是差不多每隔11秒就会出现一个新的Android恶意样本。Android恶意软件增长速度极快，该数值同比2014年增长了50％。而在2015年第四季度，新出现的Android恶意软件数量达到了758133个，同比2014年第四季度增长了32％。目前Android系统与我们的工作生活息息相关，如何快速识别新型的Android恶意软件对于信息安全人员是一个严峻的挑战。

近年来，研究人员已经采用了多种自动化Android恶意软件分析技术来帮助识别恶意软件。虽然在Android恶意软件分析领域已经有了不少有效的方法，但是在恶意软件可视化方面仍有很多需要研究的地方。

现有的恶意软件分析方法可以大致分为静态分析、动态分析和机器学习。但是这些方法和流行的反病毒引擎都存在不小的漏报率和误报率，人工分析的准确率依然优于机器分析。

对于已有的、新出现的恶意软件，安全分析人员和研究人员都会想深入了解它们包含的具体的恶意行为以帮助日后的研究工作，可是这些信息很难从网络上获取。

现有的Androguard技术可以在java代码层生成Android软件的基本的调用图和控制流图。但是它的调用图规模庞大且调用链通常是不完整的，也不能给出不同的类之间调用的相关性。

发明内容

针对现有技术的缺陷，本发明的目的是实现一种先自动化分析Android软件再将其可视化的辅助人工恶意软件分析的方法。本方法在极大程度的缩小函数调用图的规模的同时保存恶意软件中包含的核心恶意行为，另外还可以完整的显示恶意行为触发过程的调用链。本方法还可以帮助人工分析提高恶意软件分析的效率及准确率。

为了实现上述目的，本发明采用了如下技术方案：一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，包括如下步骤。

一种基于恶意行为函数调用图的安卓应用程序安全可视化分析方法，其特征在于包括如下步骤。

(1)生成函数调用图：反编译Android APK，用节点表示基本代码块，节点间的有向调用边表示控制流路径，生成APK的函数调用图，即Call Graph(CG)；对函数调用图中的节点，根据节点中的类名、方法名、代码以及分类规则为节点分类并添加标签值，得到一张新图称之为添加标签值的函数调用图。该图中节点共有9种分类，第1类为普通，第2类为活动Activity，第3类为服务Service，第4类为广播接收器Broadcast Receiver，第5类为用户行为user-behavior，第6类为事件event，第7类为额外的被调用者callee-extra，第8类为调用者caller，第9类为危险接口riskyapi，其中第2、3、4、7类统称为被调用者callee；每个节点可能属于其中一种或者多种分类，只属于2至9类中一类的节点为单属性节点，属于2至9类中两种及以上分类的节点为多属性节点；

(2)拆分多属性节点：将步骤(1)所得的添加标签值的函数调用图中多属性节点拆分为多个节点，使得每个节点只包含原多属性节点的一个标签值；将所有多属性节点拆分后，得到一张新图称之为经过拆分的函数调用图；