[发明专利]Android重打包恶意应用检测装置

说明书

一种Android重打包恶意应用检测装置，所述装置包括：模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。上述的方案，可以对Android重打包恶意应用进行检测，提高网络安全。

技术领域

本发明涉及网络安全技术领域，具体地涉及一种Android重打包恶意应用检测装置。

背景技术

随着移动互联网的迅速发展，安卓(Android)智能终端，如智能手机、平板电脑(Pad)、智能手表等，已经成为日常社会活动的重要辅助工具。

但安卓智能终端的广泛使用，也吸引了众多攻击者的目光，各类恶意移动应用(Mobile malware)攻击事件层出不穷。通过对安卓恶意移动应用的实现方法进行统计分析，发现超过80％的安卓恶意移动应用是通过重打包(repackaging)方式完成。分析其原因，一是由于安卓移动应用易于修改，黑客可利用开源工具，如APKTOOL、JADX等，对任意安卓移动应用进行修改，增加恶意代码并重新打包发布；二是通过对流行的安卓移动应用进行重打包，便于恶意代码的快速传播。

因此，Android重打包恶意应用对网络运行安全存在着威胁，对其进行检测具有重要的意义。

发明内容

本发明解决的技术问题是如何检测Android重打包恶意应用，提高网络安全。

为解决上述技术问题，本发明实施例提供了一种Android重打包恶意应用检测装置，所述装置包括：

模型构建单元，适于分别构建待检测移动应用和对比组的网络流量行为模型；所述对比组中包括多个与所述待检测移动应用相类似的移动应用；

比较确定单元，适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对，以确定所述待检测移动应用是否为Android重打包恶意应用。

可选地，所述模型构建单元，适于获取所述待检测移动应用的网络流量；所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流；计算所述待检测移动应用的网络流量对应的多个网络流量特征；将所述多个网络特征按照顺序进行排列，得到所述待检测移动应用的网络流量行为模型。

可选地，所述模型构建单元，还适于分别获取所述对比组中各个移动应用的网络流量；所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征；分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值；将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列，得到对比组的网络流量行为模型。

可选地，所述网络流量特征包括以下至少一种：

出流的数量；

入流的数量；

所有出流中报文的数量总和；

所有入流中报文的数量总和；

所有出流中报文长度的总和；

所有入流中报文长度的总和；

所有出流中平均报文长度值；

所有出流中报文长度值的方差；

所有入流中平均报文长度值；

所有入流中报文长度值的方差；

所有出流中平均报文时间间隔；