本發(fā)明公開了一種抗加固的Android平臺克隆應用程序快速檢測方法，包括預處理階段和精確檢測兩個階段。在預處理階段，通過使用自然語言處理技術(shù)從應用程序的功能描述中提取關(guān)鍵字構(gòu)造向量，利用改進的基于平衡二叉樹的搜索方法快速查找功能相似的可疑克隆應用程序?qū)ΑＴ谡綑z測階段，本發(fā)明提出了一種基于界面布局特征且完全獨立于源代碼的應用程序胎記，能夠有效抵抗加固技術(shù)的影響，最后使用基于樹的編輯距離的相似度計算方法，能夠精確計算出可疑克隆程序?qū)χg的相似性。本發(fā)明能夠有效抵抗加固技術(shù)的干擾，同時實現(xiàn)克隆應用的快速檢測，具有很強的實用性。

技術(shù)領域

本發(fā)明涉及移動安全、克隆軟件檢測領域，特別是一種抗加固的Android平臺克隆應用程序快速檢測方法。

背景技術(shù)

Android逐漸占據(jù)了移動市場的主導地位，但同時也吸引了大量的惡意攻擊。其中大部分的惡意程序通過克隆已有應用的方式進行快速傳播，不僅對用戶安全造成了威脅，同時也影響了合法開發(fā)者的收入。目前，針對Android平臺克隆應用的檢測方法可以分為兩類：一類是基于代碼重用的檢測方法：通過對程序代碼進行靜態(tài)分析，構(gòu)造特定的程序胎記如程序依賴圖、程序流程圖等，完成相似度的計算；另一類則是基于界面相似的檢測方法：通過比較用戶界面的相似性，如資源文件、布局特征等，進行克隆檢測。

上述克隆檢測方法存在一些缺陷使得它們不能得到廣泛的應用。其中，基于代碼重用的檢測方法依賴于對代碼特征的分析，而目前越來越多的克隆攻擊者使用加固技術(shù)來隱藏克隆程序中的DEX代碼文件，使得基于代碼重用的檢測方法失效；而基于界面特征的方法在界面特征提取以及執(zhí)行相似度計算時的時間開銷大，具有很大的局限性。

發(fā)明內(nèi)容

本發(fā)明旨在提供一種抗加固的Android平臺克隆應用程序快速檢測方法，有效規(guī)避代碼加固技術(shù)的影響，使得克隆檢測方法更具有實用性。

為解決上述技術(shù)問題，本發(fā)明所采用的技術(shù)方案是：一種抗加固的Android平臺克隆應用程序快速檢測方法，包括以下步驟：

1)構(gòu)造基于關(guān)鍵字向量的平衡二叉樹索引；

2)輸入目標應用的功能描述，利用Stanford Parser提取動態(tài)維度的關(guān)鍵字向量；

3)在平衡二叉樹索引中利用關(guān)鍵字向量快速搜索功能描述相似的應用程序，加入備選集合；

4)對所述備選集合中的應用程序分別進行解壓縮以及轉(zhuǎn)換操作，得到/res/layout目錄下的所有的XML格式布局文件；

5)對所述布局文件進行過濾，篩除第三方庫引入的外部布局文件；

6)將過濾后的布局文件轉(zhuǎn)化為對應結(jié)構(gòu)的布局樹，加載到內(nèi)存中；

7)對加載的布局樹依次執(zhí)行歸并操作，從根節(jié)點開始，按層次將不同布局樹中的相同元素進行合并，生成最終的程序胎記；

8)使用基于樹的編輯距離的計算方法對最終生成的程序胎記的相似性進行計算，相似度超過閾值的程序?qū)Υ嬖诳寺栴}。

步驟1)中，平衡二叉樹索引的構(gòu)造方法包括以下步驟：

1)輸入n個應用程序?qū)年P(guān)鍵字向量集合V；

2)針對關(guān)鍵字向量集合V中的任意向量V_i，構(gòu)造葉子節(jié)點u_i，其中u_i.V＝V_i；

3)將節(jié)點u_i插入到節(jié)點集合CurrentNodeSet中；

4)若節(jié)點集合CurrentNodeSet中存在未處理節(jié)點時，循環(huán)執(zhí)行步驟5)～步驟7)；