Android應用程式的靜態分析方法及裝置製造方法
2023-05-22 15:10:16
Android應用程式的靜態分析方法及裝置製造方法
【專利摘要】本發明提供一種Android應用程式靜態分析方法及裝置,涉及安全檢測【技術領域】。該方法包含:S1、解壓待測應用程式,得到Smali文件;S2、遍歷所述Smali文件,獲取源碼信息,並構建所述源碼信息的控制流圖和數據流圖;S3、根據所述惡意行為判斷引擎遍歷所述控制流圖及所述數據流圖,將應用程式的API與預定義惡意行為庫中的API分別進行匹配,將匹配成功的應用程式的API標記為惡意行為API;S4、求取所述待測應用程式的惡意度量值;S5、將所述惡意程序度量值與預設的惡意程度指標進行匹配,得到所述待測應用程式的風險等級。本發明通過對行為進行分析及組合規則綜合判斷,能夠減少對Android應用程式的進行病毒檢測的誤判率。
【專利說明】Android應用程式的靜態分析方法及裝置
【技術領域】
[0001]本發明涉及安全檢測【技術領域】,具體涉及一種Android應用程式的靜態分析方法
及裝置。
【背景技術】
[0002]目前Android應用程式檢測方法的研究很多,常見的檢測工具包括:DroidRange,TaintDroid, AppInspector等,所採用的技術通常為基於特徵碼靜態檢測技術和動態檢測技術。基於病毒特徵碼靜態檢測技術是在病毒運行之前執行的,對病毒程序文件進行檢測,若發現病毒特徵則判定其為病毒;此外,還有將病毒掃描的特徵碼技術與啟發式技術相結合,根據病毒防範經驗定義預掃描操作,把病毒特徵庫劃分為一些特定分類,然後將病毒先進行分類再進行特徵碼掃描,從而提升病毒掃描效率,或在特徵碼掃描法基礎上引入了 BP神經網絡技術,先將病毒切割成字節碎片再進行模式學習。動態檢測技術是通過動態實時監控應用程式的執行及其與外部環境的交互進行檢測。是在病毒運行過程中執行的,對病毒在運行過程中的各種行為進行監測,若發現與病毒特徵相符則判定其為病毒。
[0003]然而,基於病毒特徵碼靜態檢測技術需要依賴於持續更新的病毒特徵庫,根據已知的特徵碼對病毒進行檢測,基於病毒特徵碼靜態檢測技術的這個特點決定了該技術的滯後性,無法對未知病毒進行檢測,對於當前手機病毒的快速增長無法進行有效遏制。另一方面,病毒為了應對特徵碼掃描,已經出現了加殼技術和多態變形技術等手段。這使得對於特徵碼的掃描難度越來越高。當前主流的手機病毒是一個包含客戶端和服務端的病毒,只有在服務端下發命令時它才呈現出病毒特徵,與傳統病毒固定、靜態的特徵不同,手機病毒是動態可變的,因此基於動態檢測技術的檢測方法也無法有效發現與確認手機病毒的攻擊行為。
[0004]因此,尋找一種更及時、有效的針對Android應用程式的病毒檢測方法是當前急需要解決的問題。
【發明內容】
[0005](一)解決的技術問題
[0006]針對現有技術的不足,本發明提供一種Android應用程式的靜態分析方法,能夠減少對Android應用程式的進行病毒檢測的誤判率。
[0007](二)技術方案
[0008]為實現以上目的,本發明通過以下技術方案予以實現:
[0009]本發明提供了一種Android應用程式的靜態分析方法,包含以下步驟:
[0010]S1、解壓待測應用程式,提取Classes, dex文件,並對Classes, dex文件進行反編譯,得到Smali文件;
[0011]S2、遍歷所述Smali文件,獲取源碼信息,並構建所述源碼信息的控制流圖和數據流圖;[0012]S3、解析所述源碼信息,構建惡意行為判斷引擎;根據所述惡意行為判斷引擎遍歷所述控制流圖及所述數據流圖,將應用程式的API與預定義惡意行為庫中的API分別進行匹配,將匹配成功的應用程式的API標記為惡意行為API ;
[0013]S4、依據所述預定義惡意行為庫分別得到所述惡意行為API所佔權重;依據所述惡意行為API所佔權重,求取所述待測應用程式的惡意度量值;
[0014]S5、將所述惡意程序度量值與預設的惡意程度指標進行匹配,得到所述待測應用程式的風險等級。
[0015]優選的,步驟S2中構建所述源碼信息的控制流圖和數據流圖的方法為:
[0016]S21、對所述Smali文件進行詞法和語法解析,輸出樹結構組織的抽象語法樹;
[0017]S22、以所述抽象語法樹為基礎,構造自定義的「中間結構」,將生成的所述抽象語法樹中字符串表示的信息映射成「中間結構」中的程序元素;
[0018]S23、以「中間結構」中的程序元素為分析對象,分別進行程序關鍵數據和程序關係識別分析,建立控制流圖和數據流圖。
[0019]優選的,步驟S3中進一步包括步驟:構建用戶行為判斷引擎,根據所述用戶行為判斷引擎遍歷所述控制流圖及所述數據流圖,找出與用戶行為觸發相關聯的惡意行為API,並將該惡意行為API附帶用戶行為標記。
[0020]優選的,步驟S4中計算所述待測應用程式的惡意度量值的表達式為:Β = Σ aW η表示檢測出的惡意 行為API的數量;
1.[0021]式中,B表示所述待測應用程式的惡意度量值&表示檢測出的第i個惡意行為API在所述預定義惡意行為庫中所佔的權重;當檢測出的第i個惡意行為API所述惡意行為API附帶用戶行為標記時,^取值0.25,否則取值為I。
[0022]本發明還提供了一種Android應用程式的靜態分析裝置,包含以下部分:
[0023]反編譯模塊,用於解壓待測應用程式,提取Classes, dex文件,並對Classes, dex文件進行反編譯,得到Smali文件;
[0024]原始碼語法解析模塊,用於遍歷所述Smali文件,獲取源碼信息,並構建所述源碼信息的控制流圖和數據流圖;
[0025]惡意行為API分析模塊,用於解析所述源碼信息,構建惡意行為判斷引擎;根據所述惡意行為判斷引擎遍歷所述控制流圖及所述數據流圖,將應用程式的API與預定義惡意行為庫中的API分別進行匹配,將匹配成功的應用程式的API標記為惡意行為API ;
[0026]綜合判斷模塊,依據所述預定義惡意行為庫分別得到所述惡意行為API所佔權重;依據所述惡意行為API所佔權重,求取所述待測應用程式的惡意度量值;
[0027]風險等級評估模塊,用於將所述惡意程序度量值與預設的惡意程度指標進行匹配,得到所述待測應用程式的風險等級。
[0028]優選的,所述惡意行為API分析模塊進一步包括用戶行為API分析模塊,用於構建用戶行為判斷引擎,根據所述用戶行為判斷引擎遍歷所述控制流圖及所述數據流圖,找出與用戶行為觸發相關聯的惡意行為API,並將該惡意行為API附帶用戶行為標記。
[0029]優選的,所述綜合判斷模塊中計算所述待測應用程式的惡意度量值的表達式為:
【權利要求】
1.一種Android應用程式的靜態分析方法,其特徵在於,包含以下步驟: 51、解壓待測應用程式,提取Classes,dex文件,並對Classes, dex文件進行反編譯,得到Smali文件; 52、遍歷所述Smali文件,獲取源碼信息,並構建所述源碼信息的控制流圖和數據流圖; 53、解析所述源碼信息,構建惡意行為判斷引擎;根據所述惡意行為判斷引擎遍歷所述控制流圖及所述數據流圖,將應用程式的API與預定義惡意行為庫中的API分別進行匹配,將匹配成功的應用程式的API標記為惡意行為API ; 54、依據所述預定義惡意行為庫分別得到所述惡意行為API所佔權重;依據所述惡意行為API所佔權重,求取所述待測應用程式的惡意度量值; 55、將所述惡意程序度量值與預設的惡意程度指標進行匹配,得到所述待測應用程式的風險等級。
2.如權利要求1所述的靜態分析方法,其特徵在於,步驟S2中構建所述源碼信息的控制流圖和數據流圖的方法為: 521、對所述Smali文件進行詞法和語法解析,輸出樹結構組織的抽象語法樹; 522、以所述抽象語法樹為基礎,構造自定義的「中間結構」,將生成的所述抽象語法樹中字符串表示的信息映射成「中間結構」中的程序元素; 523、以「中間結構」中的程序元素為分析對象,分別進行程序關鍵數據和程序關係識別分析,建立控制流圖和數據流圖。
3.如權利要求1所述的靜態分析方法,其特徵在於,步驟S3中進一步包括步驟:構建用戶行為判斷引擎,根據所述用戶行為判斷引擎遍歷所述控制流圖及所述數據流圖,找出與用戶行為觸發相關聯的惡意行為API,並將該惡意行為API附帶用戶行為標記。
4.如權利要求3所述的靜態分析方法,其特徵在於,步驟S4中計算所述待測應用程式
的惡意度量值的表達式為
5.一種Android應用程式的靜態分析裝置,其特徵在於,包含以下部分: 反編譯模塊,用於解壓待測應用程式,提取Classes, dex文件,並對Classes, dex文件進行反編譯,得到Smali文件; 原始碼語法解析模塊,用於遍歷所述Smali文件,獲取源碼信息,並構建所述源碼信息的控制流圖和數據流圖; 惡意行為API分析模塊,用於解析所述源碼信息,構建惡意行為判斷引擎;根據所述惡意行為判斷引擎遍歷所述控制流圖及所述數據流圖,將應用程式的API與預定義惡意行為庫中的API分別進行匹配,將匹配成功的應用程式的API標記為惡意行為API ; 綜合判斷模塊,依據所述預定義惡意行為庫分別得到所述惡意行為API所佔權重;依據所述惡意行為API所佔權重,求取所述待測應用程式的惡意度量值; 風險等級評估模塊,用於將所述惡意程序度量值與預設的惡意程度指標進行匹配,得到所述待測應用程式的風險等級。
6.如權利要求5所述的靜態分析裝置,其特徵在於,所述惡意行為API分析模塊進一步包括用戶行為API分析模塊,用於構建用戶行為判斷引擎,根據所述用戶行為判斷引擎遍歷所述控制流圖及所述數據流圖,找出與用戶行為觸發相關聯的惡意行為API,並將該惡意行為API附帶用戶行為標記。
7.如權利要求5所述的靜態分析裝置,其特徵在於,所述綜合判斷模塊中計算所述待tl測應用程式的惡意度量值的表達式為= Σ A~:,η表示檢測出的惡意行為API的數A量; 式中,B表示所述待測應用程式的惡意度量值;ai表示檢測出的第i個惡意行為API在所述預定義惡意行為庫中所佔的權重;當檢測出的第i個惡意行為API所述惡意行為API附帶用戶行為標 記時,r,取值0.25,否則取值為I。
【文檔編號】G06F21/56GK103793650SQ201310634856
【公開日】2014年5月14日 申請日期:2013年12月2日 優先權日:2013年12月2日
【發明者】郭燕慧, 李靜, 董航, 李承澤, 張程鵬, 費會, 董楓, 胡陽雨, 楊昕雨, 胡鴿 申請人:北京郵電大學, 國家計算機網絡應急技術處理協調中心