技術領域

本發明涉及Android平臺上惡意代碼檢測研究領域，具體涉及一種基于APK字符串特征的變種惡意軟件檢測方法。

背景技術

惡意代碼已經成為當今計算機體系中最嚴重的安全威脅之一。在Android移動平臺中，惡意軟件的數目與日劇增。

據2016年第二季度MaAfee Labs統計數據表明，新增移動端惡意軟件數量近200萬，相比于第一季度增長了14％，而總數量則高達1100萬[Internet security threat report[EB/OL]http://www.mcafee.com/uk/resources/reports/rp-quarterly-threats-sep-2016.pdf]。

面對著如此龐大的數字，需要有一個高效快速的方法，實現自動化對大量的應用軟件進行掃描并檢測。對于傳統的商業安全軟件，為了能夠具備更高的實時檢測速度，大都是通過提取字符串作為特征碼。在檢測過程中，安全軟件只需直接判斷其是否擁有與已知特征碼相同的字符串[Ye Y,Li T,Jiang Q,et al.CIMDS:Adapting Postprocessing Techniques of Associative Classification for Malware Detection[J].IEEE Transactions on Systems Man&Cybernetics Part C Applications&Reviews,2010,40(3):298-307.]。

然而，這種基于字符串的特征碼提取方法有很大的缺陷，就是難以檢測到多態變形的惡意軟件[Hosmer and Polymorphic

Malware[EB/OL]https://www.blackhat.com/presentations/bh-usa-08/Hosmer/BH_US_08_Hosmer_Polymorphic_Malware.pdf]。

因此，需要能夠擁有一種即快速又準確的方法來對惡意代碼進行檢測。

當前，大部分的檢測方法都是通過判斷待檢測樣本數據與已知樣本之間特征碼是否具有高度的相似性來識別，這種方法并無法有效地對未知的惡意代碼進行預測。部分學者提出了對應用軟件進行語義分析，以圖表的形式來表示整個應用軟件中代碼間的調用情況。文獻[M.Fredrikson,S.Jha,M.Christodorescu,R.Sailer,and X.Yan.Synthesizing Near-Optimal Malware Specifications from Suspicious Behaviors.In Proceedings of the2010IEEE Symposium on Security and Privacy(Oakland’10),May2010.；C.Kolbitsch,P.M.Comparetti,C.Kruegel,E.Kirda,X.Zhou,and X.Wang.Effective and Efficient Malware Detection at the End Host.In Proceedings of the 18th Conference on USENIX Security Symposium,August 2009.；K.Z.Chen,N.Johnson,V.D’Silva,S.Dai,K.MacNamara,T.Magrino,E.X.Wu,M.Rinard,and D.Song.Contextual Policy Enforcementin Android Applications with Permission Event Graphs.In Proceedings of the 20th Annual Network and Distributed System Security Symposium(NDSS’13),February2013.]，是直接將已知待檢測應用軟件調用圖與惡意代碼庫中調用圖進行匹配，當一致時則表明為惡意軟件。