(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN105653956A(43)申请公布日2016.06.08(21)申请号201610119003.6(22)申请日2016.03.02(71)申请人中国科学院信息工程研究所地址100093北京市海淀区闵庄路甲89号(72)发明人王蕊林子敏代朋纹张道娟武传坤操晓春(74)专利代理机构北京君尚知识产权代理事务所(普通合伙)11200代理人邱晓锋(51)Int.Cl.G06F21/56(2013.01)G06F21/53(2013.01)权利要求书2页说明书5页附图2页(54)发明名称基于动态行为依赖图的Android恶意软件分类方法(57)摘要本发明涉及一种基于动态行为依赖图的Android恶意软件分类方法。其步骤包括：通过自定义的Dalvik虚拟机运行APP,提取框架层接口调用行为和行为间的依赖关系等动态行为信息；根据动态行为信息构建相应的动态行为依赖图；优化动态行为依赖图，并将行为依赖图划分成子图；从由不同族的Android恶意软件组成的集合中提取相似的子图结构，将其作为基本特征；根据基本特征，对由已知的恶意软件和正常软件组成的训练集进行模型训练，得到分类器；通过分类器，对未知的APP进行归类判断；对该方法进行验证和评估。本发明通过图的编辑距离来衡量行为子图的相似性，以此来寻找基本特征，具有良好的灵活性和可扩展性。CN105653956ACN105653956A权利要求书1/2页1.一种基于动态行为依赖图的Android恶意软件分类方法，其步骤包括：1)在沙盒中执行Android应用并提取其动态行为信息，包括框架层接口调用行为和行为间的依赖关系；2)根据提取的动态行为信息，将Android应用模型化为行为依赖图；3)将构建的行为依赖图进行优化，然后将行为依赖图划分为更小尺寸的行为子图，每个Android应用被表示为一个行为子图集合；4)从已知的Android恶意软件族中分别挑选多个样本进行第1)-3)步操作，并从得到的所有行为子图中通过图匹配技术挑选部分行为子图作为特征；5)对已知的Android恶意应用族样本和正常Android应用样本分别进行第1)-3)步操作，得到一系列的行为子图集，然后通过比较第4)步选择的基本特征，将每一个Android应用表示为一个特征向量，进行模型训练；6)将未知的Android应用利用步骤5)训练所得的分类器，实现对未知Android应用的分类。2.如权利要求1所述的方法，其特征在于，步骤1)在自定义的Dalvik虚拟机中运行Android应用，得到其相应的动态行为信息，包括框架层接口调用行为和行为间的依赖关系，具体方法为：1-1)在Dalvik虚拟机运行过程中，Java指令解释过程被掌管，当函数调用指令被解释执行时，判断是否为一个框架层接口调用行为，如果是，则函数内的指令行为进一步被分析，用于记录行为之间的依赖关系；1-2)搜集所有的系统框架层DEX函数库的文件指纹，以便区分普通函数调用和框架层接口调用行为；1-3)在框架层接口函数执行过程中，执行沙盒进一步记录其中指令操作的数据依赖关系。3.如权利要求1所述的方法，其特征在于，步骤2)所述行为依赖图是有向图，图中的节点是指APP整个生命周期间调用的接口函数，边是指函数节点之间的数据依赖关系。4.如权利要求1所述的方法，其特征在于，步骤3)对构建的行为依赖图进行优化和划分，具体过程如下：3-1)选择关键函数，合并重复节点，删除冗余边，以优化复杂的行为依赖图；3-2)将行为依赖图划分成子图，以使得关键的恶意行为不会被正常行为所掩盖。5.如权利要求4所述的方法，其特征在于，所述选择关键函数的方法为：预先在恶意软件和正常软件中计算函数的调用频率，如果一个函数在恶意软件中调用的频率高于在正常软件中调用的频率，则将其作为关键函数；所述合并重复节点的方法为：将相互依赖的节点、依赖于同一节点的两个点合并成一个节点；所述删除冗余边的方法为：对于依赖关系:A依赖于B，B依赖于C，则存在很大的概率推导出A依赖于C，如果存在A依赖于C，可以将该冗余边删除；所述的划分子图的步骤为：首先在行为依赖图找到所有的叶子节点；然后递归针对每一个叶子节点寻找其所有的祖先节点；最后，每个叶子节点和它的祖先节点构成一个行为子图。6.如权利要求1所述的方法，其特征在于，步骤4)中，当同一个行为子图至少同时出现在同一族的两个恶意Android应用样本中时，该行为子图被挑选作为一个子图特征；所述图2CN105653956A权利要求书2/2页匹配技术通过图的编辑距离来衡量两个子图的匹配程度，即当两个子图相似度达到一定程度时，即认为两个行为子图是同一子图。7.如权利要求1所述的方法，其特征在于，步骤5)对已知的And