基于函数调用图的Android重打包应用检测方法研究 标题：基于函数调用图的Android重打包应用检测方法研究 摘要： 随着Android应用的快速发展，互联网的普及和移动设备的普及，安卓应用市场上的恶意重打包现象也越来越严重。恶意重打包应用会对用户设备造成安全风险，甚至影响用户隐私。因此，为了保护用户隐私和维护移动应用市场的安全，需要研究一种基于函数调用图的Android重打包应用检测方法。 关键词：Android应用，恶意重打包，函数调用图，检测方法 1.引言 随着全球移动设备的普及，Android系统成为当前最流行的移动操作系统之一。然而，随之而来的是恶意重打包应用的增多，其对用户设备和隐私的威胁也越来越大。重打包应用指的是攻击者将合法应用的二进制代码进行更改，将恶意功能插入其中，然后以新的形式重新发布到应用市场或第三方网站上。 2.重打包应用检测方法 2.1静态分析法 静态分析是一种在不运行程序时检查其源代码或二进制代码的方法。在Android应用中，可以通过对应用的APK文件进行解析来进行静态分析。静态分析法主要通过检查应用的权限、敏感API的使用以及代码结构来判断应用是否存在重打包的恶意行为。然而，由于恶意应用的不断演变和变异，静态分析法的准确率和覆盖率都有限。 2.2动态分析法 动态分析是一种在运行过程中检查应用行为的方法。在Android平台上，可以通过模拟器或真实设备对应用进行动态分析。动态分析法主要通过监控应用的行为，如网络请求、文件读写、敏感信息传输等来判断是否存在重打包行为。该方法相对于静态分析法具有更高的准确率和覆盖率，但在实际应用中会面临可伸缩性、成本和隐私等问题。 3.基于函数调用图的Android重打包应用检测方法 函数调用图是一种用来表示应用程序的静态结构和动态行为的图形表示方法。在Android应用中，可以通过提取应用的函数调用关系来构建函数调用图。基于函数调用图的检测方法主要通过分析应用的函数调用图来判断应用是否存在重打包行为。 3.1函数调用图的构建 首先，需要对Android应用进行程序逆向工程，提取出应用的代码。然后，通过静态分析的方法，解析代码中的函数和调用关系，构建函数调用图。最终的函数调用图是一个有向图，节点表示函数，边表示函数之间的调用关系。 3.2函数调用图的特征提取 通过对函数调用图的分析，可以提取出一些特征来判断应用是否存在重打包行为。例如，重打包应用通常会调用系统敏感API，并且这些API的调用路径可能与原始应用不同。通过比较函数调用图中的敏感API的调用路径，可以发现潜在的恶意行为。 3.3函数调用图的相似度计算 根据两个函数调用图的相似度来判断应用是否存在重打包行为。可以使用图结构相似性算法来计算函数调用图之间的相似度。常用的相似性算法有基于节点匹配的算法和基于图路径的算法。通过计算函数调用图的相似度，可以从整体上判断应用的重打包程度。 4.实验评估 为了验证基于函数调用图的Android重打包应用检测方法的有效性和准确性，我们进行了一系列的实验评估。实验结果表明，基于函数调用图的方法相对于传统的静态分析法和动态分析法在恶意重打包应用的检测上具有更高的准确率和覆盖率。 5.结论 本文研究了一种基于函数调用图的Android重打包应用检测方法。通过构建应用的函数调用图，提取特征并计算相似度，可以更准确地判断应用是否存在重打包行为。实验结果验证了该方法的有效性和准确性，为Android应用的安全检测提供了新的思路和方法。 参考文献： [1]ZhuH,ZhangR,LiuH,etal.AndroTrace:UnveilingMaliciousAndroidApplicationsbyRetargeting,InstrumentationandSupervisedLearning[J].IEEETransactionsonInformationForensics&Security,2017,12(8):1925-1938. [2]ChenQ,WeiJ,ShenZ,etal.ANovelSystematicFrameworkofDetectionandClassificationforAndroidMalware[J].IEEETransactionsonInformationForensics&Security,2014,9(1):55-66. [3]AsnaouiKE,BakhouyaM,GaberJ,etal.SecurityinMobileAdHocNetworks:ChallengesandSolutionsandFutureDirections[J].IEEECommunicationsSurveys&Tutorials,2014,16(1):485-504.