CN104933360B

CN104933360B - 基于程序依赖图的Android平台仿冒应用检测方法

Info

Publication number: CN104933360B
Application number: CN201510262774.6A
Authority: CN
Inventors: 陈恺; 马彬
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2015-05-21
Filing date: 2015-05-21
Publication date: 2018-05-18
Anticipated expiration: 2035-05-21
Also published as: CN104933360A

Abstract

本发明涉及一种基于程序依赖图的Android平台仿冒应用检测方法。该方法首先搜集当前多个Android市场上的应用软件，并提取其安装包中的方法，对于每一个方法得到其程序依赖图，利用本发明的算法进行特征抽取和编码，并用一个特殊的向量来表示；对于得到的多个用来表示方法特征的向量，利用本发明提到的方法计算向量之间的差异度，将差异度低于一定阈值的向量进行分组，进而到很多相似方法的分组；利用本发明提出的算法，由相似方法分组向上归纳，得到相似应用分组，排除特殊情况后即可得到仿冒应用分组。本发明能够实现Android平台上仿冒应用检测的高精准性和可扩展性。

Description

基于程序依赖图的Android平台仿冒应用检测方法

技术领域

本发明涉及移动终端应用安全技术领域，更具体地涉及一种用于Android平台上仿冒应用的检测方法。

背景技术

目前，随着移动终端和移动操作系统的日益普及，移动终端应用数量呈爆发式增长，然而移动应用的安全问题也随之愈发严重，Android应用程序的仿冒和剽窃尤为突出。由于Android应用程序容易逆向，导致攻击者可以通过反编译合法的应用程序，植入自己的恶意代码或广告信息，之后重新打包在相同或其他Android市场中进行发布，从而获取利益。

这些仿冒软件扰乱了Android市场的秩序，给用户和开发者带来很大的威胁。对于用户来说，攻击者植入大量的广告影响了用户的正常使用，有些仿冒软件甚至植入了一些隐藏的恶意代码，对用户的隐私和安全造成了威胁。对于开发者来说，仿冒软件剽窃了原创作者的劳动成果，侵犯了合法应用作者的知识产权，使作者损失了合法的广告收益和用户口碑。

由于当前Android市场的多样化，以及应用程序的爆发式增长，现有的基于字符串匹配或者哈希的方法等很难满足对多市场化多样本的数据进行检测，另外其准确性和可扩展性上也随着数据量的增加而大打折扣。因此需要一种跨市场的、精准的检测技术来检测和对抗仿冒软件。

发明内容

针对上述问题，本发明提供一种基于程序依赖图的Android平台仿冒应用检测方法，能够实现Android平台上仿冒应用检测的高精准性和可扩展性。

根据以上目的，实现本发明的技术方案是：

一种基于程序依赖图的Android平台仿冒应用检测方法，其步骤包括：

1)搜集Android应用软件并提取其安装包中的方法，对于每一个方法得到其程序依赖图，对于程序依赖图进行特征抽取，得到特征向量；

2)计算各应用程序的所有方法的特征向量之间的差异度，将差异度低于一定阈值的特征向量进行分组，进而得到方法相似的不同分组；

3)计算方法相似的分组中各应用程序的相似度，当不同应用程序的相似度达到一定阈值时，将其归为一个仿冒分组，进而从仿冒分组中区分出仿冒应用程序。

进一步地，步骤1)进行所述特征抽取时，对程序依赖图的数据流和控制流赋予不同的权重，将其投射到三维空间，得到其变形图。所述程序依赖图中的每一个节点用一个矢量<x,y,z>来表示，x是程序依赖图中节点的序号，保证每一个节点只计算一次，y是节点的带权重的出度，z是节点所在循环的深度。

进一步地，用特征向量描述程序依赖图的变形图的特征，其中：

c_x的计算方式为：将图中所有的点两两组合，其x坐标经过权重运算后的值两两求和，最后求其平均值；

c_y的计算方式为：将图中所有的点y坐标两两组合，结合其数据流的出度和控制流的出度以及对应的权重进行求和，最后求其平均值；

c_z的计算方式为：将图中所有的点z坐标两两组合，结合其所在数据流和控制流循环深度以及对应的权重进行求和，最后求其平均值；

ω为程序依赖图中所有语句块的总和。

进一步地，步骤2)计算特征向量的欧氏距离作为所述差异度。

进一步地，步骤3)得到所述仿冒分组后，排除应用相似的特殊情况，进而从仿冒分组中区分出仿冒应用程序；所述应用相似的特殊情况包括：

(a)纯粹的应用软件仿冒；

(b)完全相同的两个应用程序，但是来自不同的Android市场；

(c)同一个应用软件有多个不同的版本；

(d)应用软件的开发使用了相同的框架或使用了通用的第三方库。

本发明提出了一种自底向上的检测技术，通过结合Android应用程序的控制流程图和数据流程图的特点，并创造性的结合了其几何特征，设计了一套检测体系来判断两个应用的相似性，从而实现Android平台上仿冒应用检测的高精准性和可扩展性。

附图说明

图1为Android软件仿冒检测的整体流程图；

图2为一个程序依赖图实例。

具体实施方式

下面通过具体实施例和附图，对本发明做进一步详细说明。

图1为本发明的Android软件仿冒检测的整体流程图，具体包括如下步骤：

一、首先是搜集市场上的应用程序以及提取安装包中的所有方法，生成对应的程序依赖图，对于每一个图形，采用本发明提出的方法计算其特征向量。

对于Android市场上应用的搜集以及方法的提取和程序依赖图的生成，均可使用现有的工具和技术完成，这里不再赘述，本发明主要提出一种将程序依赖图的几何特性抽象为一种可表示的向量的方法。

程序依赖图(Program Dependence Graph，PDG)表现了程序中各语句之间的不同依赖关系，这种依赖关系主要体现在数据依赖性和控制依赖性上，因此本发明主要从数据依赖和控制依赖两方面来抽取程序依赖图的特征。

程序的数据依赖性可用数据流程图的形式表示出来，构造数据流程图时，程序的每一个语句块在流程图中都有唯一的一个结点对应，假设n1和n2是数据流程图中的两个节点，如果存在n1到n2的数据流，则称结点n2数据依赖于n1，即存在n1到n2的有向弧。如图2所示，图2中A～F表示各个节点，虚线部分表示了一个程序的数据流部分。

程序的控制依赖关系可用控制流程图来表示，控制流程图中每一个节点对应程序中的一个语句块，当节点n1到n2有一条执行路径时，即存在一条从结点n1到n2的有向弧。如图2所示，图2中实线部分表示了一个程序的控制依赖关系。

程序依赖图综合了程序的数据依赖关系和控制依赖关系，把程序的数据流程和控制流程结合起来便可得到其程序依赖图，如图2所示。为形象和全面的描述一个程序依赖图，本发明采用一种维度变换的方法来抽取程序依赖图的特征，对程序依赖图的数据流和控制流赋予不同的权重，将其投射到三维空间，得到其变形图：

对于程序依赖图(以下简称PDG)中的每一个节点，本发明定义一个矢量<x,y,z>来表示。其中x是PDG中的节点的序号，序号可以保证每一个节点只计算一次，y是节点的带权重的出度(出边的个数)，z是节点所在循环的深度。其中：

1)x的编码按照如下规则：第一个节点的起始值为1。为保证节点编号的唯一性，如果一个节点有多个分支，优先给子节点更多的分支节点编号；如果两个分支有相同数量的子节点，优先给含有更多语句的分支节点编号；依次标注序号后直到PDG的最后一个节点。最后，我们手动添加一个终止节点到PDG的末尾。

2)y的编码规则如下：考虑到节点的出度(出边个数)包括数据流和控制流，因此给数据流和控制流设置不同的权重。假设某一节点数据流出度为Out-d，控制流出度为Out-c,则定义该节点坐标y＝Out-d*W_d+Out-c*W_c，W_c和W_d分别为控制流和数据流赋予的权重。

3)z的编码规则如下：假设某一节点所处在的数据流循环深度为L_d，所处在的控制流循环深度为L_c，则z＝L_d*W_d+L_c*W_c，W_c和W_d为控制流和数据流赋予的权重，与上述计算y时的数值相同。

通过以上的定义方法，可以把一个PDG中所有节点一对一的映射到其变形图中，即程序依赖图的变形图。

下面以图2为例对该方法进行说明。这里假设控制流权重W_c和数据流权重W_d相同且都为1，则将图中所有节点经过编码后的节点坐标为：

节点A：<1，2，0>(起始节点，1个数据流和1个控制流，无循环)

节点B:<2，4，3>(出度为4，处在2层控制流循环和1层数据流循环中)

节点C：<3，3，3>，节点D：<4，2，2>，节点E：<5，1，0>(略)

节点F：<6，0，0>(终止节点，无出度，无循环)

PDG的变形图中的每个点都是PDG中每个节点的一对一映射，且由上述定义可知其映射方法唯一，故变形图能反映出PDG的特征，即不同的PDG对应不同的变形图。由于变形图的表示形式比较复杂，故本发明又提出了一种用向量来表示PDG变形图特征的方法：

本发明用一个向量来描述程序依赖图变形图的特征，其中：

1)c_x的计算方式为：将图中所有的点两两组合，其x坐标经过权重运算后的值两两求和，最后求其平均值，计算公式如下：

其中ω为程序依赖图中语句块数量的总和(下同)，p和q为图中任意两个节点，x_p和x_q分别为对应节点的x值，weight_p和weight_q为对应节点设置的权重，e(p,q)为p到q的边，sD-CFG表示该程序依赖图。

用伪代码形式表示如下：

2)c_y的计算方式为：将图中所有的点y坐标两两组合，结合其数据流的出度和控制流的出度以及对应的权重进行求和，最后求其平均值，计算公式如下：

其中node_y＝node.Out_d*node.w_d+node.Out_c*node.w_c，node表示图中的任意节点，Out_d和w_d为节点的数据流的出度和对应赋予的权重，Out_c和w_c为对应控制流的出度和权重。

用伪代码形式表示如下：

3)c_z的计算方式为：将图中所有的点z坐标两两组合，结合其所在数据流和控制流循环深度以及对应的权重进行求和，最后求其平均值，计算公式如下：

其中node_z＝node.Loop_d*node.w_d+node.Loop_c*node.w_c，Loop_d和w_d为节点的数据留循环深度和对应赋予的权重，Loop_c和w_c为对应控制流循环深度的出度和权重。

用伪代码形式表示如下：

在上述运算过程中，weight为一个节点中语句数量，变形图中的所有节点都参与了运算，且不同的节点都赋予了不同的权重，故向量可用来描述一个PDG变形图的特征。

对于所有方法的程序依赖图，采用上述方法将其进行特征抽取和变形，再计算变形图的特征向量。又因程序依赖图代表一个方法的依赖关系，故每一个特征向量可以代表一个特定的方法的特征。

二、采用上述方法计算出所有应用程序的所有方法的特征向量，计算不同向量之间的差异度，对差异度低于一定阈值的向量对分组，进而得到方法相似的不同分组。

本发明利用向量来描述一个方法(即一段程序)的特征，这些向量有以下特征：

(a)两个相同的方法具有相同的特征向量；

(b)两个不相关的方法，其PDG和PDG的变形图具有较明显的差异，其特征向量具有较大的差别；

(c)两个相似的方法通过维度变换以及PDG的每个节点都参与运算后，当一个方法改变很少时，其特征向量也不会变化太大。

为区分两个方法的相似度，本发明定义对于两个方法产生的程序依赖图的特征向量和其差异程度(Diff)定义为：

其中

Diff是用两个向量之间的欧式距离来表示其差异，Diff值越大，表示两个特征向量的差异越大，即它们所代表的方法差异度越大。Diff值为0是表示两个方法完全相同。

通过设定一个Diff阈值，定义低于这一阈值的两个方法为相似方法，进而可由上述算法把一堆不相关的方法归纳得到了若干个相似方法分组。

三、由相似方法分组进一步向上归纳分析，利用下文提到的方法计算应用程序相似度，得到相似应用分组，排除应用相似的特殊情况，从而得到一个仿冒应用的分组。

方法级别的相似性可以被用来判断应用软件是否相似，但是，相似的应用软件并不总是仿冒行为导致。对相似的应用软件，通常具有如下3种情况：

(a)纯粹的应用软件仿冒；

(b)完全相同的两个应用程序，但是来自不同的Android市场

(c)同一个应用软件有多个不同的版本；

(d)应用软件的开发使用了相同的框架或使用了通用的第三方库(如广告库)；

我们需要将(b)和(c)两种情况排除。针对以上情况，本发明采用如下方法：

1)对于(a),本发明定义应用程序的相似度来判断是否为仿冒行为：

对于两个应用程序α₁和α₂。应用程序α₂与α₁的相似程度为|α₁|是α₁中方法的个数。|a₁|∩|a₂|是α₁和α₂的所有方法中同在一个相似方法分组的集合。

对于任意两个应用软件α₁和α₂，如果MAX(Sim(α₁，α₂)，Sim(α₂，α₁))≥△(△是设定的一个相似度的阈值)，则α₁和α₂在相同的仿冒组中，即α₁和α₂之间存在仿冒嫌疑。

2)对于(b)，在提取方法前进行一次哈希计算，对于具有相同的哈希值应用，只保留一个应用参与后续的计算，这样可以避免(b)中情况出现。

3)对于(c),由1)得到若干仿冒应用分组后，通过对比分组中应用作者的签名进行分类，将签名相同的应用软件从相似应用分组中剔除。

4)对于(d),通过搜集现有的Android开发框架以及第三方库，建立白名单，在最开始提取应用程序的方法时，将包含白名单中的内容剔除后再进行后续的操作即可避免这种情况，同时也节省了很多时间。

通过以上方法，可得到多个仿冒分组(克隆分组)，即相似应用分组，对于这些相似的应用，可通过白名单机制对一个分组所有的应用进行对比，从而排除原创应用，得到所有的仿冒应用(即从克隆分组中区分克隆应用程序)。

以上对本发明所提供的Android市场仿冒软件检测方法进行了详细介绍，应用具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于程序依赖图的Android平台仿冒应用检测方法，其步骤包括：

1)搜集Android应用软件并提取其安装包中的方法，对于每一个方法得到其程序依赖图，对于程序依赖图进行特征抽取，得到特征向量；进行所述特征抽取时，对程序依赖图的数据流和控制流赋予不同的权重，将其投射到三维空间，得到其变形图；

所述程序依赖图中的每一个节点用一个矢量<x,y,z>来表示，x是程序依赖图中节点的序号，保证每一个节点只计算一次，y是节点的带权重的出度，z是节点所在循环的深度；

x的编码规则是：第一个节点的起始值为1；为保证节点编号的唯一性，如果一个节点有多个分支，优先给子节点更多的分支节点编号；如果两个分支有相同数量的子节点，优先给含有更多语句的分支节点编号；依次标注序号后直到程序依赖图的最后一个节点；最后，添加一个终止节点到程序依赖图的末尾；

y的编码规则是：给数据流和控制流设置不同的权重，假设某一节点数据流出度为Out-d，控制流出度为Out-c，则定义该节点坐标y＝Out-d*W_d+Out-c*W_c，W_c和W_d分别为控制流和数据流赋予的权重；

z的编码规则是：假设某一节点所处在的数据流循环深度为L_d，所处在的控制流循环深度为L_c，则z＝L_d*W_d+L_c*W_c，W_c和W_d为控制流和数据流赋予的权重，与上述计算y时的数值相同；

该步骤用特征向量描述程序依赖图的变形图的特征，其中：

ω为程序依赖图中所有语句块的总和；

定义对于两个方法产生的程序依赖图的特征向量和其差异度定义为：

其中：

Diff是用两个向量之间的欧式距离来表示其差异，Diff值越大，表示两个特征向量的差异越大，即它们所代表的方法差异度越大；Diff值为0是表示两个方法完全相同；

通过设定一个Diff阈值，定义低于这一阈值的两个方法为相似方法，进而得到若干个相似方法分组；

2.如权利要求1所述的方法，其特征在于，所述特征向量具有如下特征：

a)两个相同的方法具有相同的特征向量；

b)两个不相关的方法，其程序依赖图具有较明显的差异，其特征向量具有较大的差别；

c)两个相似的方法通过维度变换以及程序依赖图的每个节点都参与运算后，当一个方法改变很少时，其特征向量也不会变化太大。

3.如权利要求1或2所述的方法，其特征在于，步骤3)得到所述仿冒分组后，排除应用相似的特殊情况，进而从仿冒分组中区分出仿冒应用程序；所述应用相似的特殊情况包括：

(a)纯粹的应用软件仿冒；

(b)完全相同的两个应用程序，但是来自不同的Android市场；

(c)同一个应用软件有多个不同的版本；

4.如权利要求3所述的方法，其特征在于，排除所述应用相似的特殊情况的方法是：

1)对于(a)，定义应用程序的相似度来判断是否为仿冒行为：

对于两个应用程序a₁和a₂，应用程序a₂与a₁的相似程度为其中|a₁|是a₁中方法的个数，|a₁|∩|a₂|是a₁和a₂的所有方法中同在一个相似方法分组的集合；

对于任意两个应用软件a₁和a₂，如果MAX(Sim(a₁，a₂)，Sim(a₂，a₁))≥△，△是设定的一个相似度的阈值，则a₁和a₂在相同的仿冒组中，即a₁和a₂之间存在仿冒嫌疑；

2)对于(b)，在提取方法前进行一次哈希计算，对于具有相同的哈希值的应用，只保留一个应用参与后续的计算；

3)对于(c),由1)得到若干仿冒应用分组后，通过对比分组中应用作者的签名进行分类，将签名相同的应用软件从相似应用分组中剔除；

4)对于(d),通过搜集现有的Android开发框架以及第三方库，建立白名单，在最开始提取应用程序的方法时，将包含白名单中的内容剔除后再进行后续的操作。