CN103984883B - 基于类依赖图的Android应用相似性检测方法 - Google Patents

Abstract

本发明属于移动互联网技术领域，具体涉及一种基于类依赖图的Android应用相似性检测方法。该方法的具体步骤如下：S1.反编译Android应用，获取其Dalvik字节码；S2.依据Android应用反编译后的文件目录和Dalvik字节码文件名，获取Android应用中的包名和类名；S3.依据包名，类名以及Dalvik字节码文件构建类之间的依赖关系图；S4.重复步骤S1‑S3，直至获取所有的需要比较的Android应用的类依赖图；和S5.依据Android应用的类依赖图，采用图的相似性比较方法比较Android应用的相似性。本发明提出的方法可以有效提取Android应用中的结构化信息，能够对抗Android应用混淆和变形技术对相似应用检出率的影响。

Description

基于类依赖图的Android应用相似性检测方法

技术领域

本发明属于移动互联网技术领域，具体涉及一种基于类依赖图的Android应用相似性检测方法。

背景技术

随着移动互联网的发展，智能手机已经成为人们生活中不可或缺的部分。依据谷歌的报告，截止到2013年12月份，搭载Android操作系统的智能手机和平板电脑激活量已经高达10亿台。为了让智能手机用户能够方便地浏览和安装智能手机应用，平台供应商提供了集中式的应用市场，包括苹果公司的App Store和谷歌公司的Google Play。应用开发者向应用市场提交自己的应用，使其开发的应用提供给成千上万的智能手机用户。平台所有者也能够更有效地控制应用的质量、阻挡恶意应用，从而保护用户的正当权益。与此同时，人们也创造了各种不同用途（比如为了满足区域或本地化需求）的第三方应用市场。例如Cydia和Amazon AppStore分别容纳了成千上万的iPhone和Android应用。在中国，还有着众多的第三方应用市场。例如安智市场、机锋市场、木蚂蚁应用市场、安极市场等等。

然而，在这些应用市场上的移动应用程序中，存在数量众多的对合法应用程序肆意进行修改，并用新的签名密钥进行重新打包并发布的应用。作为一种技术性方法，应用重新打包技术可以是出于良好的意图。然而，更常见的情况是，应用重新打包技术被用于恶意目的，由此给应用开发者、手机用户、市场运营商乃至整个Android生态系统都造成不容忽视的风险。例如，恶意软件作者可能会将具有破坏性的载体程序附加到合法的应用程序里面，然后在多个应用市场中通过广告推送的形式来感染不知情的用户，或是，将广告代码植入热门应用程序中，通过应用原作者获取广告收入。

针对上述问题，本发明提供一种基于类依赖图的Android应用相似性检测方法，可以快速有效的从海量应用中检测出重新打包的应用，保护应用开发者，防止他们的知识产权受到侵犯。此外，市场运营商能够利用该技术确保他们的应用市场不会充斥着经过重新打包的和包含木马的应用程序。

发明内容

本发明提出一种基于类依赖图的Android应用相似性检测方法，该方法从Dalvik字节码级别对Android应用程序的反编译代码进行静态分析，找出其中类之间互相依赖关系，构造Android类依赖图，通过类依赖图中顶点之间的相互依赖信息反映出程序的功能性的本质特征，同时，这些信息与Android字节码中类与变量的符号表示，类内部的变量与方法的排列顺序无关。本发明的方法将Andriod应用间的相似性比较转化为其类依赖图之间的相似性比较，并给出依赖图的快速比较方法。

本发明提供一种基于类依赖图的Android应用相似性检测方法，所述方法包括以下步骤：

S1.反编译Android应用，获取其Dalvik字节码；

S2.依据Android应用反编译后的文件目录和Dalvik字节码文件名，获取Android应用中的包名和类名；

S3.依据包名，类名以及Dalvik字节码文件构建类之间的依赖关系图；

S4.重复步骤S1-S3，直至获取所有需要比较的Android应用的类依赖图；和

S5.依据Android应用的类依赖图，采用图的相似性比较方法来比较Android应用的相似性；

其中，所述的类依赖图其特征在于：

Android的每个类对应该图中的一个顶点；

类依赖图是有向图；

一个类调用其他类的成员变量与成员函数对应该图中该顶点的出度；

一个类的成员变量与成员函数被其他类调用对应该图中该顶点的入度；

类依赖图中边的权重由相邻顶点的出度和入度决定，反映的是类之间的转移概率。

本发明提出的方法可以有效提取Android应用中的结构化信息，能够对抗Android应用混淆和变形技术对相似应用检出率的影响。

优选的，所述步骤S2中，依据反编译后Dalvik字节码各级子目录名称和Dalvik字节码文件名获取Dalvik字节码格式下Android应用的所有的包含包名的类名。

优选的，所述步骤S3中，每一个Dalvik字节码文件对应Android应用的一个类，其Dalvik字节码文件名，不包括后缀，对应Android应用的类名，而该Dalvik字节码文件的各级子目录名称对应该类的包名。

优选的，所述步骤S3中，将Android应用的类映射为图的顶点，遍历其Dalvik字节码文件目录下所有的Dalvik字节码文件，和/或，获取图中各个顶点的出度与入度。

优选的，所述步骤S3中，将获取Dalvik字节码格式下Android应用中包含包名的类名作为字符串与其他Dalvik字节码文件进行匹配，如果成功匹配一次或者多次，则说明该类的变量或是方法被其他Dalvik字节码文件对应的类引用了一次或是多次。

优选的，所述步骤S3中，Android应用某一个类的变量或方法被另一个类引用了一次或多次，将该类对应的图顶点的出度加一，另一个类对应的图顶点的入度加一。

在本发明的一个优选实施方案中，优选的方式是采用Baksmali作为反编译工具。该工具将Android代码反编译为以Smali格式的Dalvik字节码文件。

优选的是，其中反编译后的Smali文件夹中包含所有Android应用classes.dex中的Dalvik字节码文件；和/或，Android应用的类名反编译为后缀为Smali的同名文件，类的包名的每个字段对应为Smali文件夹下各级子目录名。

如图1a-1b所示，反编译后的Smali文件夹中包含所有Android应用classes.dex中的Dalvik字节码文件。Android应用的类名反编译为后缀为Smali的同名文件，类的包名的每个字段对应为Smali文件夹下各级子目录名。例如，在图1b中有一个名为MultiTouchHelper.smali的文件对应了一个名为MultiTouchHelper的类，依据Smail文件夹下包含该文件的各级子目录，可以获取其Smali格式的包含包名的完整类名为Lcom/mapbar/android/maps/MultiTouchHelper。

优选的是，将步骤2中获取的Smali格式的包含包名的完整类名作为字符串在其他后缀为Smali的文件（如图2所示）中进行匹配，如果成功匹配一次或者多次，说明该类的变量或是方法被其他Dalvik字节码文件对应的类引用了一次或是多次。例如，Lcom/mapbar/android/maps/MultiTouchHelper可以在如图2所示的后缀为Smali的文件中，匹配命中一次或多次。

在步骤S3中，Android应用中某一个类的变量或方法被另一个类引用了一次或多次，将该类对应的图顶点的出度加一，另一个类对应的图顶点的入度加一。

优选的是，在步骤S3中，将Android应用的类映射为图的顶点，类之间变量与方法的调用关系转化为图中各个顶点的出度与入度，由类依赖图中顶点的出度和入度得到类依赖图中边的权重(如图3所示)。类依赖图中边的权重由相邻顶点的出度和入度决定，反映的是类之间的转移概率。在本实施方案中，优选的是，以下公式计算类依赖图中边的权重。

$\mathrm{TP}(u,v)=\frac{u.\mathrm{out}}{u.\mathrm{out}+u.\mathrm{in}}\×\frac{v.\mathrm{in}}{v.\mathrm{out}+v.\mathrm{in}}$

其中TP(u，v)表示从顶点u到顶点v的边的权重。out表示顶点的出度，in表示顶点的入度。

优选的是，在步骤5中，可以采用下列但不限于最大公共子图、图编辑距离、图同构、基于最大匹配点和匹配边等的图相似性计算方法比较Android类依赖图的相似性。

优选的是，在步骤5中，采用类依赖图的拉普拉斯矩阵构建图特征向量进行图相似性比较。如果类依赖图G具有n个顶点，那么G的拉普拉斯矩阵是一个n×n矩阵，具体定义如下：

其中表示G中对应顶点u，v的拉普拉斯矩阵元素，d_u是u的出度和入度之和，d_v是v的出度和入度之和。

优选的是，在步骤5中，采用依赖图的拉普拉斯矩阵按行依次取出其中的非零值，构成该依赖图的特征向量，根据类依赖关系图的特征向量即可进行Android应用程序间相似性的计算。给定两个Android应用程序的图特征向量X和Y，分别具有|X|和|Y|个特征值，那么Android应用程序之间的特征向量相似度sim(x，y)计算公式为：

$\mathrm{sim}(X,Y)=\frac{\left|\mathrm{LCS}(X,Y)\right|}{\max \left(\right|X|,|Y\left|\right)}$

其中最长公共子序列的计算公式为：

本发明的技术效果或优点：

相比现有的技术方案，本发明提出的Android应用程序相似性检测方法是通过的对Android应用的反编译代码进行静态分析，由类之间的成员变量和成员函数的之间的调用关系构造Android类依赖图。类之间的依赖信息反映出程序结构信息，这种结构信息能够反映出程序功能性的本质特征，在重新打包后这些信息保持不变。类依赖信息与Android字节码中类与变量的符号表示，类内部的变量与方法的排列顺序无关，可以有效对抗重新打包程序的混淆和变形技术对Android应用相似性检出率的影响。

附图说明

图1a和1b是Smail格式文件目录与Dalvik字节码文件。

图2是一段Android应用反编译后Smail格式的Dalvik字节码。

图3是Android应用类依赖关系图。

图4是基于类依赖图的Android应用相似性检测方法流程图。

在图4中，

401:S1.检测反编译Android应用，获取其Dalvik字节码

402:S2.依据Android应用反编译后的文件目录和Dalvik字节码文件名，获取Android应用中的包名和类名

403:S3.依据包名，类名以及Dalvik字节码文件构建类之间的依赖关系图

404:S4.获取所有的需要比较的Android应用的类依赖图

405:S5.依据Android应用的类依赖图，采用图的相似性比较方法比较Android应用的相似性

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式做进一步描述。如图4所示本实施例所提供的Android应用相似性检测方法包括以下主要步骤：

S1.反编译Android应用，获取其Dalvik字节码；

S2.依据Android应用反编译后的文件目录和Dalvik字节码文件名，获取Android应用中的包名和类名；

S3.依据包名，类名以及Dalvik字节码文件构建类之间的依赖关系图；

所述的类依赖图其特征在于：

Android的每个类对应图中的一个顶点；

类依赖图是有向图；

一个类调用其他类的成员变量与成员函数对应图中该顶点的出度；

一个类的成员变量与成员函数被其他类调用对应图中该顶点的入度；

类依赖图中边的权重由相邻顶点的出度和入度决定，反映的是类之间的转移概率。

S4.重复步骤S1-S3，直至获取所有的需要比较的Android应用的类依赖图；

S5.依据Android应用的类依赖图，采用图的相似性比较方法比较Android应用的相似性。

在本实施例中，一种优选的方式是采用Baksmali作为反编译工具。该工具将Android代码反编译为以Smali格式的Dalvik字节码文件。

如图1a-1b所示，反编译后的Smali文件夹中包含所有Android应用classes.dex中的Dalvik字节码文件。Android应用的类名反编译为后缀为Smali的同名文件，类的包名的每个字段对应为Smali文件夹下各级子目录名。例如，在图1b中有一个名为MultiTouchHelper.smali的文件对应了一个名为MultiTouchHelper的类，依据Smail文件夹下包含该文件的各级子目录，可以获取其Smali格式的包含包名的完整类名为Lcom/mapbar/android/maps/MultiTouchHelper。

将步骤2中获取的Smali格式的包含包名的完整类名作为字符串在其他后缀为Smali的文件（如图2所示）中进行匹配，如果成功匹配一次或者多次，说明该类的变量或是方法被其他Dalvik字节码文件对应的类引用了一次或是多次。例如，Lcom/mapbar/android/maps/MultiTouchHelper可以在如图2所示的后缀为Smali的文件中，匹配命中一次或多次。

在步骤S3中，Android应用中某一个类的变量或方法被另一个类引用了一次或多次，将该类对应的图顶点的出度加一，另一个类对应的图顶点的入度加一。

如图3所示，在步骤S3中，将Android应用的类映射为图的顶点，类之间变量与方法的调用关系转化为图中各个顶点的出度与入度，由类依赖图中顶点的出度和入度得到类依赖图中边的权重。类依赖图中边的权重由相邻顶点的出度和入度决定，反映的是类之间的转移概率。在本实施例中，优选的是，以下公式计算类依赖图中边的权重。

$\mathrm{TP}(u,v)=\frac{u.\mathrm{out}}{u.\mathrm{out}+u.\mathrm{in}}\×\frac{v.\mathrm{in}}{v.\mathrm{out}+v.\mathrm{in}}$

其中TP(u，v)表示从顶点u到顶点v的边的权重。out表示顶点的出度，in表示顶点的入度。

在步骤5中，可以采用下列但不限于最大公共子图、图编辑距离、图同构、基于最大匹配点和匹配边等的图相似性计算方法比较Android类依赖图的相似性。

在步骤5中，本实施例中优选的是，采用类依赖图的拉普拉斯矩阵构建图特征向量进行图相似性比较。如果类依赖图G具有n个顶点，那么G的拉普拉斯矩阵是一个n×n矩阵，具体定义如下：

其中表示G中对应顶点u，v的拉普拉斯矩阵元素，d_u是u的出度和入度之和，d_v是v的出度和入度之和。

在步骤5中，本实施例中优选的是，采用依赖图的拉普拉斯矩阵按行依次取出其中的非零值，构成该依赖图的特征向量，根据类依赖关系图的特征向量即可进行Android应用程序间相似性的计算。给定两个Android应用程序的图特征向量量X和Y，分别具有|X|和|Y|个特征值，那么Android应用程序之间的特征向量相似度sim(x，y)计算公式为：

$\mathrm{sim}(X,Y)=\frac{\left|\mathrm{LCS}(X,Y)\right|}{\max \left(\right|X|,|Y\left|\right)}$

其中最长公共子序列的计算公式为：

上面是本发明提供的一种基于类依赖图的Android应用相似性检测方法优选实施方式，并不构成对本发明的保护权限，任何在本发明上的改进，只要原理相同，都包含在本发明的权利要求保护范围之内。

Claims (12)

1.基于类依赖图的Android应用相似性检测方法，所述方法包括以下步骤：

S1)、反编译Android应用，获取其Dalvik字节码；

S2)、依据Android应用反编译后的文件目录和Dalvik字节码文件名，获取Android应用中的包名和类名；

S3)、依据包名、类名以及Dalvik字节码文件来构建类之间的依赖关系图；

S4)、重复步骤S1-S3，直至获取所有需要比较的Android应用的类依赖图；和

S5)、依据Android应用的类依赖图，采用图的相似性比较方法来比较Android应用的相似性；

其中所述的类依赖图具有以下特征：

Android的每个类对应该图中的一个顶点；

类依赖图是有向图；

一个类调用其他类的成员变量与成员函数对应该图中该顶点的出度；

一个类的成员变量与成员函数被其他类调用对应该图中该顶点的入度；

类依赖图中边的权重由相邻顶点的出度和入度决定，它反映的是类之间的转移概率。

2.根据权利要求1所述的方法，其中在所述步骤S2中，依据反编译后Dalvik字节码各级子目录名称和Dalvik字节码文件名获取Dalvik字节码格式下Android应用的所有的包含包名的类名。

3.根据权利要求1或2所述的方法，其中在所述步骤S3中，每一个Dalvik字节码文件对应Android应用的一个类，其Dalvik字节码文件名，不包括后缀，对应Android应用的类名，而该Dalvik字节码文件的各级子目录名称对应该类的包名。

4.根据权利要求1或2所述的方法，其中在所述步骤S3中，将Android应用的类映射为图的顶点，遍历其Dalvik字节码文件目录下所有的Dalvik字节码文件；和/或，获取图中各个顶点的出度与入度。

5.根据权利要求1或2所述的方法，其中在所述步骤S3中，将获取Dalvik字节码格式下Android应用中包含包名的类名作为字符串与其他Dalvik字节码文件进行匹配，如果成功匹配一次或者多次，则说明该类的变量或是方法被其他Dalvik字节码文件对应的类引用了一次或是多次。

6.根据权利要求1或2所述的方法，其中在所述步骤S3中，Android应用某一个类的变量或方法被另一个类引用了一次或多次，将该类对应的图顶点的出度加一，以及另一个类对应的图顶点的入度加一。

7.根据权利要求1或2所述的方法，其中采用Baksmali作为反编译工具，该工具将Android代码反编译为以Smali格式的Dalvik字节码文件。

8.根据权利要求7所述的方法，其中反编译后的Smali文件夹中包含所有Android应用classes.dex中的Dalvik字节码文件；和/或，Android应用的类名反编译为后缀为Smali的同名文件，类的包名的每个字段对应为Smali文件夹下各级子目录名。

9.根据权利要求8所述的方法，其中将在步骤S2中所获取的Smali格式的包含包名的完整类名作为字符串在其他后缀为Smali的文件中进行匹配，如果成功匹配一次或者多次，说明该类的变量或是方法被其他Dalvik字节码文件对应的类引用了一次或是多次；

和/或

其中在步骤S3中，将Android应用的类映射为图的顶点，类之间变量与方法的调用关系转化为图中各个顶点的出度与入度，由类依赖图中顶点的出度和入度得到类依赖图中边的权重。

10.根据权利要求1或2所述的方法，其中在步骤S5中，采用选自于最大公共子图、图编辑距离、图同构、基于最大匹配点和匹配边的图相似性计算方法来比较Android类依赖图的相似性。

11.根据权利要求10所述的方法，其中，采用类依赖图的拉普拉斯矩阵构建图特征向量进行图相似性比较。

12.根据权利要求10所述的方法，其中，采用依赖图的拉普拉斯矩阵按行依次取出其中的非零值，构成该依赖图的特征向量，根据类依赖关系图的特征向量即可进行Android应用程序间相似性的计算。