[发明专利]基于应用行为的Android应用恶意性检测方法

说明书

本发明公开了一种基于应用行为的Android应用恶意性检测方法。针对Android系统的特性，考虑Android中组件生命周期、异步调用函数、组件间调用关系等方面因素，并对其进行了相应的处理，确保了分析的完整性，从而能获取到Android应用完整的控制流图和函数调用图。然后通过定义安全敏感函数，结合逆向分析与程序切片分析技术，得到可靠的安全敏感行为路径信息。最后，通过使用深度学习模型之一的卷积神经网络，对提取到的行为路径进行训练分类，训练后的模型可以对未知的Android应用进行恶意性检测。本发明能有效的提取Android应用中可能与恶意行为有关的所有行为路径，并将行为路径中的关键信息保存下来用于后续分析，由于行为路径能够精确刻画应用的特定具体行为，因而基于行为路径的分析模型具有更好的检测精度。

技术领域

本发明属于Android应用检测方法，尤其是一种基于静态分析的Android 应用恶意性检测方法，结合行为路径信息描述的精确性与卷积神经网络的自动特征提取两方面优势保证了Android应用恶意性检测的准确性。

背景技术

Android系统是Google公司推出的针对移动端的操作系统，其固有的开源性和可定制性使得Android系统的使用率与市场占有率迅速上升。根据国外的市场数据调研公司Kantar Wroldpanel数据显示，2017年一季度Android手机在中国国内的市场占有率上涨到了86.4％，是移动终端操作系统占有率第一的系统。

由于Android系统的手机用户众多，恶意应用的开发可以给开发者带来巨大的利益。同时由于Android系统的开源性也给Android应用带来了安全隐患，使得攻击者开发Android恶意应用更为方便。利益诱惑与开发的便利性，使得 Android平台上的恶意应用层出不穷，形式也各有不同。VirusShare网站上仅 2012年至2014年期间就收集到了恶意应用27000多个，并且每年出现的恶意应用仍在不断增多。

对Android恶意应用检测方法主要有静态分析与动态分析两大手段。动态检测能够获取到实际执行的行为，但是由于动态测试的随机性，检测的代码覆盖率比较低，检测精度不高。静态检测通过对字节码文件分析，代码覆盖率高，但分析耗时大，大量的代码与分支跳转，容易造成分析路径爆炸的情况。部分研究结合机器学习方法，通过人为选取一些可能与恶意行为相关的特征，通过训练后的模型进行恶意应用的区分。这类方法往往过于依赖人们的主观意识，而且选取的特征多数情况下为粗粒度的特征，很难具体刻画具体的行为。

由于对Android应用的所有执行路径进行静态分析存在着路径爆炸和路径完整性问题，因而，目前针对Android应用中行为分析的方法通常仅关注行为中的某一具体特征，而未对应用的执行路径和运行时行为进行分析，这类方法虽然能在一定程度上检测出某些Android恶意应用，但无法准确刻画出具体的恶意行为，很难适应对未知应用的分析。另外，如果仅对应用行为进行代码层面的细粒度刻画分析，虽然行为描述变得精确，但无法使用简单的机器学习模型进行训练分类，这是因为浅层的机器学习模型表达能力有限，无法学习这类复杂信息的表示。

发明内容

本发明的目的在于提供采用深度神经网络学习的、基于应用行为的Android 应用恶意性检测方法。

实现本发明目的的技术解决方案为：一种基于应用行为的Android应用恶意性检测方法，包括以下步骤：

1)对待检测的Android应用进行反编译，获取该应用的字节码文件，并对字节码文件进行分析，构建方法内控制流图CFG与组件内调用图CG；

2)分析Manifest配置文件，获取该文件内定义的组件信息，分析Android 应用代码，寻找与组件间函数调用相关的代码片段，生成组件间调用关系；

3)分析Android应用代码，针对异步事件处理机制相关函数调用进行分析，生成异步事件调用关系；