一種基于代碼行為相似度匹配的Android惡意應用程序防范方法
【專利摘要】本發(fā)明公開了一種基于代碼行為相似度匹配的Android惡意應用程序防范方法��,該方法包括:構(gòu)建應用信息知識庫�����;差異驗證模塊通過與應用信息知識庫中同名程序的特征進行比較檢測出重新打包惡意程序�����;靜態(tài)分析模塊對應用代碼進行高度覆蓋分析�����,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息��;動態(tài)分析模塊在沙盒中模擬程序運行�����,檢測系統(tǒng)調(diào)用以及調(diào)用中涉及的LKM參數(shù)���,追蹤記錄應用具體行為����;聚類判定模塊利用日志信息構(gòu)建多維特征向量�����,與惡意應用的各族特征向量進行相似性匹配�,判斷應用的屬性。本發(fā)明采用輕客戶端�、重服務(wù)器體系設(shè)計,客戶端負責輕量級的信息提取���,服務(wù)器端負責繁重的數(shù)據(jù)分析���,很好地適應了智能終端的電量�、運算和存儲等資源緊張的現(xiàn)實���。
【專利說明】
一種基于代碼行為相似度匹配的Andro id惡意應用程序防范方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計算機惡意軟件檢測或處理領(lǐng)域�,具體涉及一種基于代碼行為相似度匹配的Android惡意應用程序防范方法����。
【背景技術(shù)】
[0002]Android是由Google公司研發(fā)的一種基于Linux的開源操作系統(tǒng),主要使用于移動設(shè)備��。Android應用程序作為為了完成某項或多項特定工作而被開發(fā)運行于Android系統(tǒng)之上的用計算機語言編寫的命令序列的集合���,是智能終端實現(xiàn)與用戶交互和完成用戶需求的工具�����。Android應用程序?qū)儆贏ndroid系統(tǒng)總體架構(gòu)的應用層����,除了系統(tǒng)內(nèi)置的基本應用��,包括桌面、郵件���、電話、短信等���,更為用戶常用和交互的是由Java語言和本地代碼編寫的第三方應用程序����,對設(shè)備的功能進行新增��、擴展和優(yōu)化���。Android移動操作系統(tǒng)由于其功能強大�����、開放方便�,短短幾年就已經(jīng)成為全球第一份額的智能手機操作系統(tǒng)����。
[0003]隨著移動互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,智能終端存儲著大量重要的用戶信息����,占據(jù)絕大多數(shù)市場份額的Android系統(tǒng)也就成為了惡意攻擊的首選目標����。絕大多數(shù)的惡意攻擊是通過Android惡意應用程序?qū)嵤┑?��,主要存在兩種情況:一種情況是Android應用程序本身就是由惡意開發(fā)者開發(fā)用以實施惡意行為的程序����,即病毒程序�。另一種情況是Android應用程序在設(shè)計上存在缺陷,可以被攻擊者利用�����,從而對Android終端實施惡意行為����。
[0004]對于Android終端信息安全的威脅是現(xiàn)實而急迫的。據(jù)德國網(wǎng)絡(luò)安全公司歌德塔(G DATA)最新公布的一份調(diào)查報告顯示���,2015年Android惡意軟件樣本數(shù)量達到了2���,333�����,777個����,差不多每隔11秒就會出現(xiàn)一個新的Android惡意軟件樣本��,該數(shù)值同比2014年增長了50%�����。而在2015年第四季度�,新出現(xiàn)的Android惡意軟件數(shù)量達到758����,133個,同比14年第四季度增長了 32%��。這些惡意軟件能夠竊取用戶信息�,自動執(zhí)行短信和電話行為,破壞系統(tǒng)安全,給用戶造成經(jīng)濟財產(chǎn)損失�。Android生態(tài)圈的眾多第三方應用商店,用戶不需要官方統(tǒng)一的應用來源�,但與此同時也加劇了惡意軟件的傳播速度。
[0005]傳統(tǒng)的Android惡意應用程序防范策略主要是利用靜態(tài)分析技術(shù)或者動態(tài)分析技術(shù)進行惡意應用的檢測�。靜態(tài)分析技術(shù)一般采取逆向技術(shù)對應用程序進行反編譯,獲取java源代碼或者字節(jié)碼中間形式����,對代碼的邏輯進行分析,尋找其中涉及隱私信息和惡意操作的權(quán)限���、API調(diào)用等情況���,進一步判斷應用程序的屬性。靜態(tài)分析可以掌握代碼的方法調(diào)用所有路徑���,但是容易產(chǎn)生大量的假陽性誤報��,同時逆向技術(shù)面對混淆后的程序難以得到需要的分析結(jié)果����。動態(tài)分析技術(shù)一般不檢查源代碼�,而是在受控模擬器環(huán)境(沙箱)中執(zhí)行應用程序。通過監(jiān)測和記錄執(zhí)行的每一個相關(guān)的操作(如發(fā)送短信,從存儲中讀取數(shù)據(jù)�����,連接到遠程服務(wù)器等)�����,自動產(chǎn)生分析報告�。動態(tài)分析技術(shù)可以繞過了靜態(tài)方法遇到的代碼混淆和加密等方面的問題,但是其分析代碼覆蓋率低��,一些事件的觸發(fā)常常是隨機的���,并且有些惡意程序可以防止自身在模擬器下運行。
[0006]通過以上分析可以看出����,片面依賴于靜態(tài)方法或者動態(tài)方法均存在著明顯的局限。國內(nèi)授權(quán)專利CN103136471B也涉及一種惡意Android應用程序的檢測����,其原理是將應用程序中的行為劃分為幾個類別,如上網(wǎng)����、短信��、訪問多媒體等���,然后通過硬件模擬器隨機的觸發(fā)程序中活動組件上存在的按鈕,識別出目前操作對應的按鈕��,建立各按鈕與程序行為之間的關(guān)聯(lián)���,得到按鈕觸發(fā)后程序即將進行的操作行為。其次采集硬件模擬器底層的API序列��,將其與程序即將進行的操作對比����,判斷程序?qū)傩浴T摲椒ê唵胃咝?��,但有很大的局限性���。Android應用程序中存在大量的服務(wù)組件并不具有交互界面,更不會有按鈕存在��,但是一樣可以執(zhí)行各種惡意操作,這個方案會造成大量漏檢��。即便是檢測有按鈕交互的程序��,使用模擬器隨機的觸發(fā)行為序列本身就有不確定性���,其檢測精度和適用范圍會大受限制����。
[0007]申請?zhí)枮镃N201510328402.9���、名稱為《Android應用軟件API誤用類漏洞自動化檢測方法》的專利由福州大學于2015年申請�����。該方案中提出了一種Android應用軟件API誤用類漏洞自動化檢測方法,對存在的API誤用類漏洞進行檢測���,實質(zhì)是對存在API誤用的惡意程序進行識別���。該方法采用動態(tài)靜態(tài)結(jié)合的方式對存在的API誤用類漏洞進行檢測����,靜態(tài)分析根據(jù)Android應用軟件特點進行建模構(gòu)造全程序控制流程圖���,結(jié)合程序結(jié)構(gòu)遍歷進行API誤用可達性分析和常量傳播分析篩選出候選可疑漏洞;動態(tài)分析則針對不同類型的漏洞設(shè)計不同的模塊對所述靜態(tài)分析得到的候選可疑漏洞進行漏洞觸發(fā)�����,記錄所述候選可疑漏洞的行為�����,最終給出該應用的漏洞安全評估�����。然而�,方法中的靜態(tài)分析中僅僅分析API調(diào)用�����,并不能完全判斷其API調(diào)用的目的��,容易產(chǎn)生大量的假陽性誤報�����,同時對現(xiàn)實中大量代碼混淆的程序不具可行性���。方法中的動態(tài)分析技術(shù)只為了驗證靜態(tài)分析的可疑點,分析代碼覆蓋率低����,一些事件的觸發(fā)常常是隨機的����,檢測精度和實用性會降低。
[0008]本說明書中使用的相關(guān)縮略詞的含義如下:
[0009]AP1-Applicat1n Programming Interface���,應用程序編程接口�����。一些預先定義的函數(shù),目的是提供應用程序與開發(fā)人員基于某軟件或硬件得以訪問一組例程的能力�,而又無需訪問源碼,或理解內(nèi)部工作機制的細節(jié)���。
[0010]IPC: Inter-Process Communicat1n�����,進程間通信�。具有通信依賴關(guān)系的兩個進程間傳遞信息。
[0011 ] LKM:LoadabIe Kernel Module,可加載內(nèi)核模塊��。Linux內(nèi)核為了擴展其功能所使用的可在運行時動態(tài)加載內(nèi)核模塊����。
[0012]URL:Uniform Resource Locator,統(tǒng)一資源定位符�。對可以從互聯(lián)網(wǎng)上得到的資源的位置和訪問方法的一種簡潔的表示,是互聯(lián)網(wǎng)上標準資源的地址�����。
[0013]ARM:Advanced RISC Machines���,處理器���。ARM處理器是Acorn有限公司面向低預算市場設(shè)計的第一款RISC微處理器。
[0014]ISA: Instruct1n Set Architecture�,微處理器的指令集架構(gòu)���。處理器能執(zhí)行的所有指令集合。
[0015]LR = Link Register����,鏈接寄存器。ARM處理器中的一個有特殊用途的寄存器���。
【發(fā)明內(nèi)容】
[0016]鑒于以上Android系統(tǒng)安全防范和惡意應用程序檢測面臨的問題,本發(fā)明提供一種基于代碼行為相似度匹配的Android惡意應用程序防范方法�,采用對于代碼高度覆蓋的靜態(tài)分析技術(shù)和對于應用行為精準檢測的動態(tài)分析技術(shù),形成一種Android惡意應用程序防范方法�。
[0017]一種基于代碼行為相似度匹配的Android惡意應用程序防范方法,包括以下步驟:
[0018]I)基于分析工具服務(wù)器收集到的眾多用戶的智能終端提交的數(shù)據(jù)�����,構(gòu)建出應用信息知識庫��;
[0019]2)收到用戶要求檢測其智能終端應用程序請求時��,差異驗證模塊通過與應用信息知識庫中同名程序的特征進行比較�����,快速檢測出重新打包惡意程序�����;
[0020]3)靜態(tài)分析模塊利用靜態(tài)分析技術(shù)對應用代碼進行高度覆蓋分析�,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息;
[0021]4)動態(tài)分析模塊利用動態(tài)分析技術(shù)在沙盒中模擬程序運行�����,檢測系統(tǒng)調(diào)用以及調(diào)用中涉及的LKM參數(shù)��,追蹤記錄應用具體行為��;
[0022]5)聚類判定模塊利用所述動態(tài)與靜態(tài)分析生成的日志信息構(gòu)建多維特征向量�,與惡意應用的各族特征向量進行相似性匹配,判斷應用的屬性���。
[0023]差異驗證模塊驗證應用程序安裝文件信息時����,若用戶上傳的是應用程序安裝文件URL地址���,則啟動網(wǎng)絡(luò)爬蟲工具下載apk類型文件��,若用戶上傳的是apk類型文件���,則差異驗證模塊利用應用程序獨特的包名����、簽名�����、權(quán)限和版本號進行判斷�����。
[0024]在所述靜態(tài)分析模塊中進行程序反編譯��,如果反編譯成功則得到源代碼或字節(jié)碼中間形式���,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息����,進行數(shù)據(jù)流分析��,得到分析日志;若反編譯失敗,則直接進入動態(tài)分析模塊����。
[0025]在所述動態(tài)分析模塊進行應用程序行為分析,生成分析日志��,在Android模擬器上進行程序的模擬運行���,追蹤程序的系統(tǒng)調(diào)用信息,記錄生成日志信息�。
[0026]在所述聚類判定模塊匯總所述靜態(tài)與動態(tài)分析過程的日志信息,生成多屬性的特征向量�,利用聚類分析方法對特征向量進行相似性匹配檢驗,獲得分析結(jié)果����,進行惡意軟件判定,參照惡意應用特征向量知識庫�����,如果出現(xiàn)特征向量與其惡意軟件族的基準向量相似性在閾值之內(nèi)��,則判斷為該族惡意軟件����,需要利用特征向量加權(quán)反饋修正基準向量�����。
[0027]上述日志信息包括API調(diào)用信息���,系統(tǒng)調(diào)用日志,LKM參數(shù)��。
[0028]作為優(yōu)選����,上述聚類分析方法為κ-means。
[0029]有益效果:
[0030]1�����、本發(fā)明提供了一種基于代碼行為相似度匹配的Android惡意應用程序防范方法��,兼具傳統(tǒng)靜態(tài)分析和動態(tài)分析技術(shù)的優(yōu)勢��,互補各自的不足���。既保證了代碼分析的高度覆蓋����,也實現(xiàn)了對于應用行為的精準檢測,能夠提升檢測效果�����。
[0031]2���、本發(fā)明的Android惡意應用程序防范方法采用輕客戶端、重服務(wù)器體系設(shè)計�。客戶端負責輕量級的信息提取��,服務(wù)器端負責繁重的數(shù)據(jù)分析�。適合智能終端的電量、運算和存儲等資源緊張的現(xiàn)實�。
[0032]3、在具體分析前�,對重新打包方法生成的惡意程序進行優(yōu)先處置,過濾掉大量卻容易檢測的樣本�����,減輕應用分析需求的壓力��,能夠集中優(yōu)化分析資源的配置。
[0033]4���、利用聚類分析方法�����,生成特征向量進行相似性匹配檢驗�,其結(jié)果會向惡意程序知識庫反饋����,不斷修正惡意應用樣本族的信息,具有實時性�����。
【附圖說明】
[0034]圖1為本發(fā)明的原理架構(gòu)示意圖
[0035]圖2為本發(fā)明的系統(tǒng)模塊示意圖�。
[0036]圖3為本發(fā)明的流程圖。
【具體實施方式】
[0037]以下參照附圖對本發(fā)明的具體實施進行詳細說明�����。應當說明����,此處所描述的具體實施例僅用以解釋本發(fā)明��,并不用于限定本發(fā)明���。
[0038]本發(fā)明的架構(gòu)圖如圖1所示,本發(fā)明架構(gòu)主要分為2個部分:智能終端搭載的分析工具客戶端和分析工具服務(wù)器���。這里采用輕客戶端���、重服務(wù)器體系設(shè)計?�?蛻舳藢嵸|(zhì)是一款Android應用程序���,負責輕量級的信息提取,服務(wù)器端負責繁重的數(shù)據(jù)分析���。服務(wù)器端由知識數(shù)據(jù)庫���、Android虛擬機和分析軟件組成。這種架構(gòu)適合智能終端的電量�����、運算和存儲等資源緊張的現(xiàn)實。
[0039]本發(fā)明的策略模塊設(shè)計圖如圖2所示�,分為4個模塊:差異驗證模塊,靜態(tài)分析模塊�����。動態(tài)分析模塊和聚類判定模塊��。首先����,通過收集眾多用戶的智能終端提交的數(shù)據(jù),構(gòu)建出應用信息知識庫��。當用戶要求檢測其手機的應用程序時��,對比知識庫中同名程序的特征��,快速檢測重新打包惡意程序��,減少應用分析需求的壓力���。對正常程序添加惡意代碼后重新打包���,一直是大量惡意應用的常用欺騙手段���。利用靜態(tài)分析技術(shù)對于應用代碼進行高度覆蓋分析,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息��。利用動態(tài)分析技術(shù)在沙盒中模擬程序運行,檢測系統(tǒng)調(diào)用以及調(diào)用中涉及的LKM參數(shù),追蹤記錄應用具體行為��。然后利用動靜態(tài)分析生成的日志信息構(gòu)建多維特征向量,與惡意應用的各族特征向量進行相似性匹配,判斷應用的屬性。
[0040]本發(fā)明的流程圖見圖3����,包括以下步驟:
[0041]I)基于分析工具服務(wù)器收集到的眾多用戶的智能終端提交的數(shù)據(jù)����,構(gòu)建出應用信息知識庫。
[0042]2)收到用戶要求檢測其智能終端應用程序請求時����,差異驗證模塊通過與應用信息知識庫中同名程序的特征進行比較�����,快速檢測出重新打包惡意程序���。差異驗證模塊驗證應用程序安裝文件信息時��,若用戶上傳的是應用程序安裝文件URL地址����,則啟動網(wǎng)絡(luò)爬蟲工具下載apk類型文件,若用戶上傳的是apk類型文件�,則差異驗證模塊利用應用程序獨特的包名、簽名���、權(quán)限和版本號進行判斷��。
[0043]3)靜態(tài)分析模塊利用靜態(tài)分析技術(shù)對應用代碼進行高度覆蓋分析�����,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息����。靜態(tài)分析模塊中進行程序反編譯�����,如果反編譯成功則得到源代碼或字節(jié)碼中間形式,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息��,進行數(shù)據(jù)流分析����,得到分析日志;若反編譯失敗,則直接進入動態(tài)分析模塊���。
[0044]4)動態(tài)分析模塊利用動態(tài)分析技術(shù)在沙盒中模擬程序運行�,檢測系統(tǒng)調(diào)用以及調(diào)用中涉及的LKM參數(shù)�,追蹤記錄應用具體行為。動態(tài)分析模塊進行應用程序行為分析���,生成分析日志��,在Android模擬器上進行程序的模擬運行���,追蹤程序的系統(tǒng)調(diào)用信息,記錄生成日志信息���。
[0045]5)聚類判定模塊利用所述動態(tài)與靜態(tài)分析生成的日志信息構(gòu)建多維特征向量,與惡意應用的各族特征向量進行相似性匹配���,判斷應用的屬性���。聚類判定模塊匯總所述靜態(tài)與動態(tài)分析過程的日志信息(包括API調(diào)用信息����,系統(tǒng)調(diào)用日志��,LKM參數(shù))��,生成多屬性的特征向量�,利用聚類分析方法,如K-means方法�����,對特征向量進行相似性匹配檢驗�����,獲得分析結(jié)果��,進行惡意軟件判定��,參照惡意應用特征向量知識庫��,如果出現(xiàn)特征向量與其惡意軟件族的基準向量相似性在閾值之內(nèi),則判斷為該族惡意軟件�����,需要利用特征向量加權(quán)反饋修正基準向量��。
[0046]當用戶要求檢測其手機的應用程序時��,若用戶上傳的是應用程序安裝文件URL地址�,則啟動網(wǎng)絡(luò)爬蟲工具下載apk類型文件。差異驗證模塊解析apk類型文件�����,獲取獨特的包名���、簽名����、權(quán)限和版本號��,生成特征向量唯一標識該程序���。接下來與應用信息知識庫對比���,查看同樣包名的應用程序是否存在相似的簽名、權(quán)限申明和版本號信息��,如果發(fā)現(xiàn)和基準向量差距過大�,則判定為重新打包方法生成的惡意程序,直接反饋結(jié)果給客戶端����,不再執(zhí)行接下來的所有分析。若特征向量和基準向量差距不大�,則利用特征向量加權(quán)反饋修正基準向量,同時進入靜態(tài)分析模塊��。
[0047]靜態(tài)分析模塊首先要進行程序反編譯��,得到源代碼或字節(jié)碼中間形式����。若反編譯失敗,程序則直接進入動態(tài)分析模塊��。利用現(xiàn)有的一些技術(shù)�����,采用批處理技術(shù)連接APKTool工具、Dex2 jar工具和JAD工具等�,制作出Android應用程序反編譯工具進行Android應用程序的反編譯過程,可以從輸入Android應用程序安裝文件(apk類型文件)進行一鍵反編譯處理��,在指定目錄生成Android應用程序反編譯源代碼(包含Manifest.xml清單文件)�����。經(jīng)過反編譯技術(shù)得到應用程序源碼后��,靜態(tài)分析采用數(shù)據(jù)流分析技術(shù)收集代碼中的變量信息����,從而分析變量在程序中的賦值、引用以及傳遞等情況的能力�。還需要提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息,由此生成控制流圖來表示Android源碼����。作為函數(shù)依賴分析、控制流分析和數(shù)據(jù)流分析的基礎(chǔ)��,可以很好的反映語句以及模塊之間的調(diào)用和執(zhí)行流程�����。進行數(shù)據(jù)流分析,得到靜態(tài)分析日志��。
[0048]動態(tài)分析模塊將應用程序安裝文件安裝至Android模擬器上進行程序的模擬運行����,采用Linux Strace工具追蹤程序運行的行為���。為了避免傳統(tǒng)的Android應用動態(tài)分析技術(shù)采用類java程序分析技術(shù)所帶來的只分析API調(diào)用��,不理解基礎(chǔ)行為導致誤報率增大的缺點����,此處分析重點檢測應用程序的系統(tǒng)調(diào)用情況���。ARM ISA提供swi指令用于系統(tǒng)調(diào)用���,系統(tǒng)調(diào)用指令swi的返回地址被保存在LR寄存器中。當swi指令被終端攔截時�����,可以檢查是否有系統(tǒng)調(diào)用信息��。
[0049]聚類判定模塊匯總之前分析過程的日志信息,包括API調(diào)用信息�����,系統(tǒng)調(diào)用日志��,LKM參數(shù)等等�����,生成多屬性的特征向量��,利用K-means聚類分析方法對特征向量進行相似性匹配檢驗����,獲得分析結(jié)果,進行惡意軟件判定���。參與對照的惡意應用特征向量知識庫���,如果出現(xiàn)特征向量與惡意軟件族的基準向量相似性在閾值之內(nèi),判斷為該族惡意軟件����,需要利用特征向量加權(quán)反饋修正基準向量���。
[0050]本發(fā)明方案所公開的技術(shù)手段不僅限于上述實施方式所公開的技術(shù)手段,還包括由以上技術(shù)特征任意組合所組成的技術(shù)方案�����。
【主權(quán)項】
1.一種基于代碼行為相似度匹配的Android惡意應用程序防范方法�,其特征在于,包括以下步驟: 1)基于分析工具服務(wù)器收集到的眾多用戶的智能終端提交的數(shù)據(jù)�,構(gòu)建出應用信息知識庫�; 2)收到用戶要求檢測其智能終端應用程序請求時,差異驗證模塊通過與應用信息知識庫中同名程序的特征進行比較�����,快速檢測出重新打包惡意程序����; 3)靜態(tài)分析模塊利用靜態(tài)分析技術(shù)對應用代碼進行高度覆蓋分析,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息�; 4)動態(tài)分析模塊利用動態(tài)分析技術(shù)在沙盒中模擬程序運行,檢測系統(tǒng)調(diào)用以及調(diào)用中涉及的LKM參數(shù)��,追蹤記錄應用具體行為����; 5)聚類判定模塊利用所述動態(tài)與靜態(tài)分析生成的日志信息構(gòu)建多維特征向量�����,與惡意應用的各族特征向量進行相似性匹配�����,判斷應用的屬性�����。2.根據(jù)權(quán)利要求1所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法���,其特征在于所述差異驗證模塊驗證應用程序安裝文件信息時,若用戶上傳的是應用程序安裝文件URL地址��,則啟動網(wǎng)絡(luò)爬蟲工具下載apk類型文件���,若用戶上傳的是apk類型文件����,則差異驗證模塊利用應用程序獨特的包名、簽名��、權(quán)限和版本號進行判斷����。3.根據(jù)權(quán)利要求1所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法,其特征在于所述靜態(tài)分析模塊中進行程序反編譯�����,如果反編譯成功則得到源代碼或字節(jié)碼中間形式����,提取隱私信息相關(guān)的權(quán)限和API調(diào)用信息,進行數(shù)據(jù)流分析���,得到分析日志;若反編譯失敗,則直接進入動態(tài)分析模塊�。4.根據(jù)權(quán)利要求1所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法,其特征在于所述動態(tài)分析模塊進行應用程序行為分析�,生成分析日志,在Android模擬器上進行程序的模擬運行���,追蹤程序的系統(tǒng)調(diào)用信息�,記錄生成日志信息。5.根據(jù)權(quán)利要求1所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法���,其特征在于所述聚類判定模塊匯總所述靜態(tài)與動態(tài)分析過程的日志信息�,生成多屬性的特征向量�����,利用聚類分析方法對特征向量進行相似性匹配檢驗�����,獲得分析結(jié)果��,進行惡意軟件判定�,參照惡意應用特征向量知識庫,如果出現(xiàn)特征向量與其惡意軟件族的基準向量相似性在閾值之內(nèi)����,則判斷為該族惡意軟件,需要利用特征向量加權(quán)反饋修正基準向量����。6.根據(jù)權(quán)利要求5所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法,其特征在于所述日志信息包括API調(diào)用信息��,系統(tǒng)調(diào)用日志,LKM參數(shù)��。7.根據(jù)權(quán)利要求5所述的基于代碼行為相似度匹配的Android惡意應用程序防范方法����,其特征在于所述聚類分析方法為K-means。
【文檔編號】G06F21/56GK105893848SQ201610273206
【公開日】2016年8月24日
【申請日】2016年4月27日
【發(fā)明人】孫知信, 邰淳亮, 洪漢舒, 宮婧, 陳梓洋
【申請人】南京郵電大學