本發明涉及一種基于動態行為依賴圖的Android惡意軟件分類方法。其步驟包括：通過自定義的Dalvik虛擬機運行APP,提取框架層接口調用行為和行為間的依賴關系等動態行為信息；根據動態行為信息構建相應的動態行為依賴圖；優化動態行為依賴圖，并將行為依賴圖劃分成子圖；從由不同族的Android惡意軟件組成的集合中提取相似的子圖結構，將其作為基本特征；根據基本特征，對由已知的惡意軟件和正常軟件組成的訓練集進行模型訓練，得到分類器；通過分類器，對未知的APP進行歸類判斷；對該方法進行驗證和評估。本發明通過圖的編輯距離來衡量行為子圖的相似性，以此來尋找基本特征，具有良好的靈活性和可擴展性。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于動態行為依賴圖的Android惡意軟件分類方法。

背景技術

隨著Android系統的流行，越來越多的應用軟件被用戶下載安裝。根據Google官方數據，每個月有超過15億的APP從Google Play應用市場中被下載。在這巨大的利益的驅動下，攻擊者開發出大量的Android惡意軟件并上傳到網上或者第三方的應用市場進行破壞或牟利。如McAfee實驗室的報告所描述，他們2015年第一季度便檢測出了110萬移動惡意軟件。這些惡意軟件嚴重威脅Android系統平臺的安全。

為了保護Android系統的安全和抵御惡意軟件的攻擊，研究者已經提出一系列的靜態分析方法和動態分析方法。靜態分析法通常是在不執行應用軟件的情況下對其進行反編譯，采用控制流分析、數據流分析和語義分析等技術從APK文件、配置文件以及解析生成的文件中提取特征。進一步地，根據這些特征對Android惡意軟件進行檢測或分類。雖然靜態分析法能夠快速高效的進行檢測，但是易受到代碼混淆和多態變化技術的影響。比如對APK進行加密后，靜態分析法將無法反編譯程序，進而無法從源碼或解析生成的文件中提取有效信息。再如采用java反射機制的APK，將在運行時動態獲取類的信息以及動態調用對象的方法，這給靜態構造控制流等信息帶來了很大的困難。這些因素限制的靜態分析法在一些場景下的使用。

而動態分析法在一定程度上可以彌補靜態分析法的不足，它一般通過運行代碼來監測系統調用、網絡特征、文件或內存修改以及信息處理等行為等對Android惡意軟件的檢測或分類。針對Android惡意軟件，當前的動態技術主要針對敏感數據的傳播進行管控，防止隱私泄露。或者直接根據關鍵的接口調用行為進行簡單的惡意評估，如區分惡意或者正常的軟件，不能有效的確定具體的惡意軟件類型。此外，也有利用動態分析法提取惡意軟件線程級的API行為序列進行分析，但是該方法會受到劃分線程行為或記錄獨立API等技術的攻擊。針對這些不足，研究能夠基于動態行為、抵抗多種攻擊、高準確率的惡意Android軟件分類方法能夠有效幫助安全廠商和工作者對惡意軟件進行分析。

發明內容

本發明的目的在于提供一種能夠同時基于Android惡意軟件動態行為與行為語義關聯的惡意軟件分類方法，抵御多種存在的代碼攻擊方法，如代碼加密攻擊，線程劃分攻擊，垃圾代碼注入攻擊。

本方法的主要內容是：Android軟件首先在一個特殊的執行沙盒中被執行，用于提取它們的動態執行行為信息?；谶@些信息，每一個Android軟件被模型化為一個動態行為依賴圖(Dynamic Behavior Dependency Graph,DBDG)。在圖中，不僅包含Android應用軟件的行為，也包括行為之間的依賴。這些圖信息將進一步被劃分和優化。最終，同一族惡意軟件的行為圖被搜集，用于機器學習模型的訓練和分類未知的Android惡意軟件。

本發明的基于動態行為依賴圖的Android惡意軟件分類方法，其具體步驟如下：

1)動態行為信息提取：在沙盒中執行Android應用并提取其動態行為信息，包括框架層接口調用行為和行為間的依賴關系；

2)構建行為依賴圖：根據提取的動態行為信息，將Android應用模型化為行為依賴圖；