[发明专利]基于应用行为的Android应用恶意性检测方法

摘要

本发明公开了一种基于应用行为的Android应用恶意性检测方法。针对Android系统的特性，考虑Android中组件生命周期、异步调用函数、组件间调用关系等方面因素，并对其进行了相应的处理，确保了分析的完整性，从而能获取到Android应用完整的控制流图和函数调用图。然后通过定义安全敏感函数，结合逆向分析与程序切片分析技术，得到可靠的安全敏感行为路径信息。最后，通过使用深度学习模型之一的卷积神经网络，对提取到的行为路径进行训练分类，训练后的模型可以对未知的Android应用进行恶意性检测。本发明能有效的提取Android应用中可能与恶意行为有关的所有行为路径，并将行为路径中的关键信息保存下来用于后续分析，由于行为路径能够精确刻画应用的特定具体行为，因而基于行为路径的分析模型具有更好的检测精度。

主权项

1.一种基于应用行为的Android应用恶意性检测方法，其特征在于包括以下步骤：1）对待检测的Android应用进行反编译，获取该应用的字节码文件，并对字节码文件进行分析，构建方法内控制流图CFG与组件内调用图CG；2）分析Manifest配置文件，获取该文件内定义的组件信息，分析Android应用代码，寻找与组件间函数调用相关的代码片段，生成组件间调用关系；3）分析Android应用代码，针对异步事件处理机制相关函数调用进行分析，生成异步事件调用关系；4）将组件间调用关系与异步事件处理调用关系添加到CG中，并将添加了这两种调用关系的CG定义为Android应用扩展调用图AECG；5）使用安全敏感函数调用，利用逆向技术从AECG中寻找所有可以执行到该函数调用的执行路径，得到Android应用的安全敏感行为路径集合，对路径集合中的每条路径进行切片分析，获取安全敏感行为路径的指令序列；6）对安全敏感行为路径的指令序列进行解析，抽取指令操作码以及与方法参数、返回值类型相关的关键操作数，然后将其转换为文本序列；7）将已知的Android应用善恶意性质作为标签，利用文本序列及标签对设计好的自定义的卷积神经网络进行训练，以构建基于行为的Android应用恶意性检测深度神经网络分类模型；8）将未知善恶意的Android应用进行步骤1）至步骤6）的操作后得到的文本序列输入到步骤7）构建好的神经网络分类模型中进行检测，得到检测结果。