[发明专利]一种基于函数层编码的App克隆检测方法及系统

说明书

本发明公开了一种基于函数层编码的App克隆检测方法及系统，属于网络空间安全领域。本发明采用基于图嵌入编码算法进行CFG函数结构编码，函数特征编码过程是一个解耦和的过程，不仅考虑了代码块的静态特征，同时也考虑了CFG中代码块之间的跳转结构，每个App中函数能够独立编码，并不依赖于之前的函数特征数据库。避免了传统控制流图比对过程中复杂的图匹配算法，以及配置文件检测不准确的问题。通过两次聚类删除App中第三方库函数，能利用现有的App样本进行第三方库函数过滤，留下核心的函数特征进行克隆检测的比较，相比较之前，能及时增加第三方库函数的名单，更准确地提取了App中核心函数，有效提高App检测的准确率。

技术领域

本发明属于网络空间安全领域，更具体地，涉及一种基于函数层编码的App克隆检测方法及系统。

背景技术

为了更高效地和准确地进行App克隆检测，需要对非结构化App二进制代码进行数据精细度特征提取和高维大量数据处理。如今图编码方法用于高维图空间的特征提取，并且在当前App的特征提取方案研究中也非常热门，例如，App代码的二进制语义分析，App的字符串统计分析，以及token分析，hash研究等静态的特征方法。

然而，现有App克隆检测方案存在四个问题：第一，对未知App中恶意代码缺乏有效的感知机制，App克隆方法隐蔽性变深，以及在App里面插入各种恶意的广告代码等；第二，对大规模App所有的特征提炼缺乏高效方法，当前App第三方下载市场已经达到百万级别，有厂商每天都产生都达到百万级的App，从数量上讲已经非常庞大，而App从功能上讲，又是有限的；第三，对App中第三方库函数的过滤方法存在缺陷，提取App中的关键函数特征是一件非常重要的事情，当前App中对第三方库的使用会严重影响关键信息函数特征的提取，进而影响App克隆检测的准确性等问题；第四，对App克隆检测精细度特征数据库的更新方法缺乏高效快速的方法，当前的App克隆检测特征数据库的更新方法过于冗杂，需要对原始的数据重新进行学习训练来更新App特征数据，重新计算浪费了大量的时间和精力，已经无法适应于大量快速增长的App。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种基于函数层编码的App克隆检测方法及系统，其目的在于解决现有技术中存在的缺陷，使得检测者能够根据准确的App精细度特征快速检测出相似的App，从而找出恶意剽窃或者非法抄袭的恶意App，同时在时间复杂度和空间复杂度上也优于现有技术。

为实现上述目的，按照本发明的第一方面，提供了一种基于函数层编码的App克隆检测方法，该方法包括以下步骤：

S1.提取待检App和样本库App字节码反编译的smali文件中的函数控制流图；

S2.提取待检App和样本库App的每个函数控制流图的每个代码块的属性特征，根据代码块的属性特征和函数控制流图的拓扑结构，构成函数控制流图的空间特征；

S3.基于图嵌入编码算法，将提取到的函数控制流图的空间特征单调映射为函数的编码特征向量；

S4.根据提取到的样本库App的各函数的编码特征向量，将App中的重复函数以及第三方库函数过滤删除，得到待检App和样本库App的核心函数编码特征向量；

S5.将待检App的核心函数编码特征向量与样本库App的核心函数编码特征向量进行搜索比对，得到App克隆检测结果。

具体地，所述函数控制流图中，每个节点代表函数中的一个代码块，每条边表示代码块之间的调用关系，有向边表示的是控制流图的跳转结构。

具体地，步骤S2中提取到的代码块属性特征其中，s_i、p_i、a_i、o_i、l_i分别表示第i个代码块在控制流图中的序列编号、第i个代码块的操作码数目、第i个代码块调用API接口的数目、第i个代码块在控制流图中的出度、第i个代码块在控制流图的循环结构的数目。