技術領域

本發明涉及移動互聯網安全技術領域，尤其涉及一種安卓嫌疑軟件的同源識別方法及裝置。

背景技術

移動互聯網的快速發展極大地豐富了人們的生活，移動終端用戶可以使用安卓市場提供的多種多樣的應用進行辦公和娛樂，而惡意軟件的不斷增多也給終端用戶帶來了極大的困擾。由于目前很多開源的反編譯工具可以對安卓應用進行破解，所以，部分惡意開發者便通過破解應用市場中的應用，通過復制代碼、增添或刪減部分代碼、使用代碼中的算法等方式對安卓軟件進行克隆。由此可見，除了潛在的惡意問題，安卓市場的應用克隆也給移動終端用戶帶來了新的威脅。所以，亟待需要發現這些同源的安卓軟件來減輕這些安全威脅。

目前識別安卓同源應用的方法主要是基于函數控制流圖的幾何特征，如“Achieving Accuracy and Scalability Simultaneously in Detecting Application Clones on Android Markets”中通過測量兩個APP的methods的相似度，根據相似度得出是否為APP克隆的結論；“Finding Unknown Malice in 10 Seconds：Mass Vetting for New Threats atthe Google-Play Scale”在軟件同源性的基礎上對android軟件進行“同源”和“非同源”分類，并進行函數級別和視圖級別的相關性分析，從而根據同源軟件的代碼特征定位惡意代碼。

這種基于函數控制流的幾何特征識別方法雖然具有較高的精確度，但是對計算節點的配置具有較高的要求，需要支持程序高并發執行才能快速獲取結果，同時這種方法對于混淆后的APK無法進行準確判斷。

發明內容

本發明的目的在于提供一種安卓嫌疑軟件的同源識別方法及裝置，解決現有技術中對計算節點配置高，需支持程序高并發執行，且無法對混淆后的APK進行準確判斷的問題。

本發明的技術方案實現如下：

本發明的一個目的在于提供一種安卓嫌疑軟件的同源識別方法，包括：

對APK進行靜態分析，從而定位所述APK的敏感行為，提取所述敏感行為的嫌疑路徑，獲取所述嫌疑路徑的觸發方式；

對所述APK與其同源軟件進行敏感行為比對；

對所述APK與其同源軟件進行所述敏感行為的嫌疑路徑比對；

對所述APK與其同源軟件進行所述嫌疑路徑的觸發方式比對。

在本發明所述的同源識別方法中，所述對APK進行靜態分析，從而定位所述APK的敏感行為，提取所述敏感行為的嫌疑路徑，獲取所述嫌疑路徑的觸發方式的步驟包括：

對所述APK進行反編譯，通過靜態分析方法對所述APK的代碼進行掃描，定位得到所述APK的敏感行為；

通過控制流分析提取所述敏感行為的嫌疑路徑；

根據所述嫌疑路徑的頭節點獲取所述觸發方式。

在本發明所述的同源識別方法中，所述對所述APK與其同源軟件進行敏感行為比對的步驟包括：

將所述敏感行為轉化為二進制字符串；

將所述APK的敏感行為的二進制字符串與同源軟件的敏感行為列表進行比對，若存在相同的字符串，則對所述APK與其同源軟件進行所述敏感行為的嫌疑路徑比對，若不存在相同的字符串，則認為所述APK為非嫌疑軟件。

在本發明所述的同源識別方法中，所述對所述APK與其同源軟件進行所述敏感行為的嫌疑路徑比對的步驟包括：

獲取所述敏感行為的嫌疑路徑的數量；

對所述APK與其同源軟件進行所述嫌疑路徑的數量比對，若所述APK的嫌疑路徑的數量與其同源軟件的嫌疑路徑的數量的差值處于預設范圍之內，則對所述APK與其同源軟件進行所述嫌疑路徑的觸發方式比對，若所述差值處于所述預設范圍之外，則認為所述APK為非嫌疑軟件。

在本發明所述的同源識別方法中，所述對所述APK與其同源軟件進行所述嫌疑路徑的觸發方式比對的步驟包括：

依據所述嫌疑路徑的頭節點確定所述觸發方式為系統觸發或UI觸發或其它觸發；

對所述APK與其同源軟件的每一嫌疑路徑進行觸發方式比對，若相同的觸發方式的數量處于預設范圍之內，則確認所述APK與其同源軟件屬于同一軟件組，并將所述APK進入所述同源軟件族中，若否，則認為所述APK為非嫌疑軟件。

另一方面，提供一種安卓嫌疑軟件的同源識別裝置，包括：