(19)中华人民共和国国家知识产权局*CN103473507A*(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103473507103473507A(43)申请公布日2013.12.25(21)申请号201310443173.6(22)申请日2013.09.25(71)申请人西安交通大学地址710049陕西省西安市咸宁西路28号(72)发明人陶敬周文瑜胡文君赵双马小博(74)专利代理机构北京科亿知识产权代理事务所(普通合伙)11350代理人汤东凤(51)Int.Cl.G06F21/56(2013.01)权权利要求书1页利要求书1页说明书6页说明书6页附图2页附图2页(54)发明名称一种基于方法调用图的Android恶意软件检测方法(57)摘要本发明提出一种Android恶意软件检测方法。采用构建Andorid应用Apk软件的异构方法调用图，标定敏感函数，利用图的连通性对恶意代码进行定位和家族分类。具体流程包括：对异构方法调用图进行图的连通性扫描，得到各个子图，对各个子图进行敏感函数打分，超过阈值的子图即为恶意代码模块，不同的Android软件中相似的恶意代码子图结构即为恶意代码家族。本发明可以启发式地发现未知恶意软件，并对其进行家族标定，为广大Android第三方市场和个人用户提供安全扫描和保护。CN103473507ACN103475ACN103473507A权利要求书1/1页1.一种Android恶意代码检测方法，包括以下步骤：第一步，采集Android软件的恶意样本，进行手动分析，提取其中的敏感函数；第二步，提取所述恶意样本中经常使用的敏感接收器；第三步，对第一步和第二步提取的敏感函数和接收器进行打分，打分原则为高危操作或者敏感信息窃取方向的分值最高，危害程度越低，分值越低；第四步，对待测的apk文件，通过反编译apk源文件，得到内部方法调用序列，然后再提取apk文件对外部的敏感函数和敏感接收器进行的调用，把这两部分调用添加到内部方法调用序列中，形成全局的异构方法调用序列；第五步，根据第四步生成的异构方法调用序列，生成异构方法调用图，图中包含外部调用敏感函数、敏感接收器、Main函数和具体权限。第六步，对第五步生成的图进行连通性扫描，利用图的深度遍历算法，划分出独立子图；第七步，对上一步处理过的子图，利用第三步中的分值结构进行敏感性打分，并计算每个独立子图的评分；第八步，上一步中评分超过第一阈值的即为恶意代码子图模块，进行标定与记录；第九步，每检测出一个恶意代码子图后，计算该恶意代码子图的调用路径长度序列；第十步，将该恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列进行对比，并计算编辑距离，所述编辑距离是指两个调用路径长度序列之间，由一个转成另一个所需的最少编辑操作次数；第十一步，记录每一个敏感函数的恶意代码子图的调用路径长度序列与已知恶意代码家族调用路径长度序列的编辑距离，并将该编辑距离与已知恶意代码家族调用路径长度序列中对应的敏感函数调用路径长度总和进行比值，若比值均小于第二阈值，则判定该恶意代码与所述已知恶意代码家族属于同一个家族。2.如权利要求1所述的Android恶意代码检测步骤，其特征在于，第一步中提取的敏感函数包括网络类、短信类、电话类、文件操作类、设备操作类、代码执行类和地理位置类七大类。3.如权利要求1所述的Android恶意代码检测步骤，其特征在于，第二步中，所述经常使用的敏感接收器包括接受短信接收器、接通电话接收器、挂断电话接收器、接受来电接收器和开机启动接收器。4.如权利要求1所述的Android恶意代码检测方法，其特征在于，第三步中的打分采用以下分值结构：分值分为六档，以5分为最低档，30分为最高档，步长为5。5.如权利要求4所述的Android恶意代码检测方法，其特征在于，优选的，所述第一阈值为0.8。6.如权利要求1所述的Android恶意代码检测方法，其特征在于，第九步中，所述调用路径长度是指：对于每一个外部敏感函数方法，在子图中存在多个调用序列，每一个调用序列中的节点集合即为函数调用路径，而节点集合的节点数目之和即为函数调用路径长度。7.如权利要求1所述的Android恶意代码检测方法，其特征在于，第十步中，所述编辑操作包括将一个元素替换成另一个元素、插入一个元素和删除一个元素。8.如权利要求1所述的Android恶意代码检测方法，其特征在于，第十一步中，所述第二阈值为10％。2CN103473507A说明书1/6页一种基于方法调用图的Android恶意软件检测方法技术领域[0001]本发明涉及移动互联网技术领域，主要涉及一种检测Android系统上的恶意代码的方法。背景技术[0002]随着智能手机的高速发展，Android平台逐渐成为了世界上第一大的移