本發明公開了一種自動高效的高風險移動應用程序檢測方法，包括S1、獲取待測App的SDK列表和權限列表，轉化為向量形式，得到列表向量；計算待測App與已知的高風險App之間的相似度，判定為潛在風險App；S2、動態分析進一步判定是否為高風險App，若判定為“是”，將其標記為高風險App；S3、人工審核判定是否是高風險App，若“是”，添加至高風險App庫，標記為高風險App。本發明采用以靜態分析、動態分析為主，輔助以人工審核的方式，避免了人工審核存在的效率低、成本高、準確率低等問題，實現了高風險App得自動高效識別。

技術領域

本發明涉及信息安全領域，尤其涉及一種自動高效的高風險移動應用程序檢測方法。

背景技術

根據工信部發布的統計數據，截止到2020年6月末，我國國內市場上監測到的移動應用程序(以下稱“App”)數量為359萬款，通過手機獲取信息是大多數人的選擇。但在眾多App中還存在著很多潛在的風險，比如App應用開發沒有統一的標準，后臺數據交互方式不一致，且開發人員水平不一，質量參差不齊，這些情況都容易出現安全隱患。在某些App中包含惡意代碼，在用戶無法察覺的情況下，執行特定的惡意行為。因此，對于高風險的App的檢測和發現具有重要的意義。

目前對于高風險的App的檢測主要采用人工審核的方式，一方面在使用過程中發現該App是否存在高風險業務的情況，另一方面通過分析該App運行過程中請求的網址域名是否為已知的惡意網址域名來進行判斷。人工審核的方式比較耗費時間，難以及時審核海量新出現的App，包括已有的App更新的新版本，而且很多App中惡意程序的隱蔽性很高；通過域名判斷，依賴于對該App的使用是否完全以獲取完備的請求域名，以及惡意網址域名庫是否完備、更新是否及時等，容易漏檢。兩種審核方式存在耗時及準確率低的問題。

發明內容

針對現有技術中存在的問題，本發明提供了一種自動高效的高風險移動應用程序檢測方法。

本發明解決現有技術問題的技術方案如下：

一種自動高效的高風險移動應用程序檢測方法，包括以下步驟：

S1、潛在高風險App獲取：獲取待測App的SDK列表和權限列表，轉化為向量形式，得到列表向量；計算待測App的列表向量與已知的高風險App的列表向量之間的相似度，若大于設定的風險閾值，則判定為潛在風險App，否則執行步驟S3；

S2、動態分析進一步判定是否為高風險App，若判定為“是”，將其標記為高風險App，添加至高風險App庫中，否則執行步驟S3；

S3、人工審核判定是否是高風險App，若“是”，添加至高風險App庫，標記為高風險App。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步地，所述步驟S1中獲取待測App的SDK列表包括兩種方式：基于包結構逆推和基于機器學習；

所述基于包結構逆推SDK列表，對SDK及其對應的包結構進行整理后，是利用第三方SDK的包結構之間的差異性，對APK文件的反編譯結果進行比對，根據APK中Java代碼的包結構逆推出其使用的SDK列表；對SDK及其對應的包結構進行整理包括刪除無用的或者APK本身的包名；

所述基于機器學習的SDK列表獲取方法，是指反編譯獲取其Smali中間代碼，獲取Smali中間代碼中的目錄特征后進行one-hot特征表示，并進行聚類，獲取SDK列表；

所述目錄特征包括從靜態反編譯的源碼中獲取的權限關鍵詞、受權限保護的系統API代碼以及受權限保護的ContentProvider URL字符串。