本發明公開了一種基于數據流和控制流的Android軟件動態逃逸行為識別方法，解決了現有Android動態逃逸軟件檢測方法，無法高準確率捕捉Android動態逃逸軟件，效率低下的問題。本發明對測試Android APK文件進行反編譯，為環境檢測API生成函數調用鏈，同時去掉最上層不是Android APK入口的調用鏈；接著為剩下的調用鏈生成環境檢測API控制流子圖，并通過數據流分析將此控制流圖在分支處分為若干個行為控制流子圖，最終通過分析各行為控制流子圖的行為，從而判斷Android APK是否具有動態逃逸技術。本發明用于檢測Android動態逃逸軟件并刻畫其行為。

技術領域

本發明涉及計算機技術領域，特別涉及軟件分析Android逃逸軟件識別方法。具體一種基于數據流和控制流的Android軟件動態逃逸行為識別方法，通過靜態分析AndroidAPK中和環境檢測有關的API的控制流和數據流，生成多個控制流子圖，通過分析控制流子圖之間的行為差異來確定Android APK是否具有動態逃逸行為。

背景技術

Android操作系統在全球已得到廣泛普及，目前被25億臺移動設備廣泛使用，到2021年第二季度，Android的全球市場份額已經達到了83.8％。隨著Android在全球范圍的市場急速擴張，它也成為不法分子植入惡意軟件的主要目標。CIC通過捕獲Android惡意軟件，估算出每天有近12000個新的Android惡意軟件實例。由于現有的惡意軟件動態分析方法主要基于沙箱，現有動態沙箱分析通過檢測Android APK動態運行過程中是否有惡意行為或是否調用敏感API函數來判斷，然而沙箱逃逸技術可以通過檢測是否自身處于沙箱環境或設置觸發器僅在特定情況下執行惡意行為，使得這類方法難以檢測。惡意軟件開發者非常關注惡意軟件動態逃逸技術，使惡意樣本逃逸沙箱檢測長期留存用戶終端，通過持續性作惡獲取收益。一旦這樣，將極大的威脅系統安全、個人隱私，因此針對Android動態逃逸軟件的研究十分必要。

現有對動態逃逸軟件的檢測與防御方法主要從兩個角度出發：一是構建更加完備，可觀察特征更加真實的沙箱；二是使用更加高代碼覆蓋率高的動態觸發方式。構建更加完備、可觀察特征更加真實的沙箱，旨在讓惡意軟件無法通過環境特征準確判斷自身是處在沙箱環境或是真實設備中，從而激發惡意行為，被沙箱動態捕捉。使用更高代碼覆蓋率的觸發方法，旨在通過更改觸發方式盡可能在動態分析中覆蓋所有可執行路徑從而最大可能激發惡意行為，檢測Android動態逃逸軟件，因此這些方法存在已下問題：

1.現有沙箱設備很難做到完全和真實設備具有一致信息，攻擊者始終可以找到途徑檢測自身環境。

2.對于基于手機使用的聯系人變化、相片、音樂數量等會隨著人為使用增加的磨損特征，以及電量變化、傳感器值的變化，沙箱很難進行模擬。

3.由于路徑爆炸問題，現有觸發方式很難觸發到一些高觸發的惡意行為，均無法保證對惡意行為的完全覆蓋。

4.追求更高覆蓋率的動態分析代價必然帶來效率的下降，并且也無法保證準確檢測Android動態逃逸軟件。

發明內容

本發明的目的在于提供一種基于數據流和控制流的Android軟件動態逃逸行為識別方法，解決現有構建完備沙箱、使用更加高覆蓋率觸發方式的技術，無法高準確率捕捉Android動態逃逸軟件，效率低下的問題。

為了實現上述目的，本發明采用的技術方案為：

一種基于數據流和控制流的Android軟件動態逃逸行為識別方法，包括如下步驟：

步驟1：將測試Android APK文件反編譯，提取測試Android APK中所調用的API，并與可環境監測API列表相匹配，為匹配成功的API生成函數調用鏈，并判斷函數調用鏈最上層是否為Android APK運行入口；