[發明專利]基于動態行為依賴圖的Android惡意軟件分類方法有效
| 申請號: | 201610119003.6 | 申請日: | 2016-03-02 |
| 公開(公告)號: | CN105653956B | 公開(公告)日: | 2019-01-25 |
| 發明(設計)人: | 王蕊;林子敏;代朋紋;張道娟;武傳坤;操曉春 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/53 |
| 代理公司: | 北京君尚知識產權代理事務所(普通合伙) 11200 | 代理人: | 邱曉鋒 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 動態 行為 依賴 android 惡意 軟件 分類 方法 | ||
本發明涉及一種基于動態行為依賴圖的Android惡意軟件分類方法。其步驟包括:通過自定義的Dalvik虛擬機運行APP,提取框架層接口調用行為和行為間的依賴關系等動態行為信息;根據動態行為信息構建相應的動態行為依賴圖;優化動態行為依賴圖,并將行為依賴圖劃分成子圖;從由不同族的Android惡意軟件組成的集合中提取相似的子圖結構,將其作為基本特征;根據基本特征,對由已知的惡意軟件和正常軟件組成的訓練集進行模型訓練,得到分類器;通過分類器,對未知的APP進行歸類判斷;對該方法進行驗證和評估。本發明通過圖的編輯距離來衡量行為子圖的相似性,以此來尋找基本特征,具有良好的靈活性和可擴展性。
技術領域
本發明屬于網絡安全技術領域,具體涉及一種基于動態行為依賴圖的Android惡意軟件分類方法。
背景技術
隨著Android系統的流行,越來越多的應用軟件被用戶下載安裝。根據Google官方數據,每個月有超過15億的APP從Google Play應用市場中被下載。在這巨大的利益的驅動下,攻擊者開發出大量的Android惡意軟件并上傳到網上或者第三方的應用市場進行破壞或牟利。如McAfee實驗室的報告所描述,他們2015年第一季度便檢測出了110萬移動惡意軟件。這些惡意軟件嚴重威脅Android系統平臺的安全。
為了保護Android系統的安全和抵御惡意軟件的攻擊,研究者已經提出一系列的靜態分析方法和動態分析方法。靜態分析法通常是在不執行應用軟件的情況下對其進行反編譯,采用控制流分析、數據流分析和語義分析等技術從APK文件、配置文件以及解析生成的文件中提取特征。進一步地,根據這些特征對Android惡意軟件進行檢測或分類。雖然靜態分析法能夠快速高效的進行檢測,但是易受到代碼混淆和多態變化技術的影響。比如對APK進行加密后,靜態分析法將無法反編譯程序,進而無法從源碼或解析生成的文件中提取有效信息。再如采用java反射機制的APK,將在運行時動態獲取類的信息以及動態調用對象的方法,這給靜態構造控制流等信息帶來了很大的困難。這些因素限制的靜態分析法在一些場景下的使用。
而動態分析法在一定程度上可以彌補靜態分析法的不足,它一般通過運行代碼來監測系統調用、網絡特征、文件或內存修改以及信息處理等行為等對Android惡意軟件的檢測或分類。針對Android惡意軟件,當前的動態技術主要針對敏感數據的傳播進行管控,防止隱私泄露。或者直接根據關鍵的接口調用行為進行簡單的惡意評估,如區分惡意或者正常的軟件,不能有效的確定具體的惡意軟件類型。此外,也有利用動態分析法提取惡意軟件線程級的API行為序列進行分析,但是該方法會受到劃分線程行為或記錄獨立API等技術的攻擊。針對這些不足,研究能夠基于動態行為、抵抗多種攻擊、高準確率的惡意Android軟件分類方法能夠有效幫助安全廠商和工作者對惡意軟件進行分析。
發明內容
本發明的目的在于提供一種能夠同時基于Android惡意軟件動態行為與行為語義關聯的惡意軟件分類方法,抵御多種存在的代碼攻擊方法,如代碼加密攻擊,線程劃分攻擊,垃圾代碼注入攻擊。
本方法的主要內容是:Android軟件首先在一個特殊的執行沙盒中被執行,用于提取它們的動態執行行為信息?;谶@些信息,每一個Android軟件被模型化為一個動態行為依賴圖(Dynamic Behavior Dependency Graph,DBDG)。在圖中,不僅包含Android應用軟件的行為,也包括行為之間的依賴。這些圖信息將進一步被劃分和優化。最終,同一族惡意軟件的行為圖被搜集,用于機器學習模型的訓練和分類未知的Android惡意軟件。
本發明的基于動態行為依賴圖的Android惡意軟件分類方法,其具體步驟如下:
1)動態行為信息提取:在沙盒中執行Android應用并提取其動態行為信息,包括框架層接口調用行為和行為間的依賴關系;
2)構建行為依賴圖:根據提取的動態行為信息,將Android應用模型化為行為依賴圖;
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610119003.6/2.html,轉載請聲明來源鉆瓜專利網。





