[发明专利]基于应用行为的Android应用恶意性检测方法

权利要求书

1.一种基于应用行为的Android应用恶意性检测方法，其特征在于包括以下步骤：

1）对待检测的Android应用进行反编译，获取该应用的字节码文件，并对字节码文件进行分析，构建方法内控制流图CFG与组件内调用图CG；

2）分析Manifest配置文件，获取该文件内定义的组件信息，分析Android应用代码，寻找与组件间函数调用相关的代码片段，生成组件间调用关系；

3）分析Android应用代码，针对异步事件处理机制相关函数调用进行分析，生成异步事件调用关系；

4）将组件间调用关系与异步事件处理调用关系添加到CG中，并将添加了这两种调用关系的CG定义为Android应用扩展调用图AECG；

5）使用安全敏感函数调用，利用逆向技术从AECG中寻找所有可以执行到该函数调用的执行路径，得到Android应用的安全敏感行为路径集合，对路径集合中的每条路径进行切片分析，获取安全敏感行为路径的指令序列；

6）对安全敏感行为路径的指令序列进行解析，抽取指令操作码以及与方法参数、返回值类型相关的关键操作数，然后将其转换为文本序列；

7）将已知的Android应用善恶意性质作为标签，利用文本序列及标签对设计好的自定义的卷积神经网络进行训练，以构建基于行为的Android应用恶意性检测深度神经网络分类模型；

8）将未知善恶意的Android应用进行步骤1）至步骤6）的操作后得到的文本序列输入到步骤7）构建好的神经网络分类模型中进行检测，得到检测结果。

2.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：所述步骤1）中，使用Android应用程序逆向分析技术将待检测的应用程序进行逆向处理，将Android应用程序代码逻辑还原为Jimple形式的字节码文件。

3.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：所述步骤1）中，利用Soot开源工具中提供的控制流图生成方法构建控制流图，分析字节码文件，查找获取文件中所含有的直接调用关系，并加入Android系统提供的组件生命周期相关的函数调用关系，两者的调用关系集合构成组件内调用图。

4.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：步骤2）中所述的生成组件间调用关系的方法为：通过在字节码文件中寻找组件间通信相关的函数调用来确定待分析代码片段，再获取该代码片段中所包含的组件信息，将其与在Mainfest文件中提取到的组件信息相匹配，生成组件间函数调用到组件信息的组件间调用关系。

5.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：步骤3）中所述异步事件处理机制相关函数调用均为间接函数调用，其包含线程启动函数调用、异步任务函数调用和handle消息传递函数调用；通过在字节码文件中寻找异步事件处理机制相关函数调用，生成该函数调用与之对应的实际执行函数调用的调用关系，将这类关系定义为异步事件调用关系。

6.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：步骤5）中所述的安全敏感函数调用是以下四类函数调用的集合：受权限保护的Android系统函数调用、Java反射函数调用、Native函数调用以及文件操作函数调用。

7.根据权利要求1所述的Android应用恶意性检测方法，其特征在于：步骤6）中所述的安全敏感行为路径的指令序列的获取方法为：通过对路径中每个函数调用的CFG进行切片分析，获取每个函数调用内从开始执行到路径中下一条函数调用之间的代码执行片段，并将这些代码执行片段按路径中的函数调用顺序进行组合。