CN106203122A - 基于敏感子图的安卓恶意重打包软件检测方法 - Google Patents

基于敏感子图的安卓恶意重打包软件检测方法 Download PDF

Info

Publication number
CN106203122A
CN106203122A CN201610590632.7A CN201610590632A CN106203122A CN 106203122 A CN106203122 A CN 106203122A CN 201610590632 A CN201610590632 A CN 201610590632A CN 106203122 A CN106203122 A CN 106203122A
Authority
CN
China
Prior art keywords
subgraph
sensitive
sensitivity
ssg
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610590632.7A
Other languages
English (en)
Other versions
CN106203122B (zh
Inventor
刘均
刘烃
范铭
郑庆华
陈天
陈天一
刘恒
农春崯
田振洲
庄尔悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201610590632.7A priority Critical patent/CN106203122B/zh
Publication of CN106203122A publication Critical patent/CN106203122A/zh
Application granted granted Critical
Publication of CN106203122B publication Critical patent/CN106203122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明公开了一种基于敏感子图分析的安卓恶意重打包程序检测方法,包括敏感API权重计算,以及基于安卓程序静态函数调用网络的敏感子图构建,然后利用敏感子图在良性程序和恶意重打包程序中的敏感API调用结构的差异,构建了五种不同的结构特征,最后对于样本集构建特征空间并利用机器学习方法进行分析与检测,从而实现对恶意重打包程序的检测。本发明基于文本词汇权重检测TF‑IDF提出了一种敏感系数计算方法TF‑IDF‑like,该方法使对敏感函数系数的计算不再仅仅局限于函数本身在恶意数据集中的使用分布,而是结合了该敏感函数在良性数据集中的使用分布,从而降低了部分敏感函数由于在恶意数据集和良性数据集中同时被大量调用而造成的敏感系数偏高引起的检测误报。

Description

基于敏感子图的安卓恶意重打包软件检测方法
技术领域
本发明涉及安卓平台软件安全技术领域,特别涉及一种基于敏感子图的安卓恶意重打包软件检测方法。
背景技术
安卓手机近些年得到了越来越多的关注,许多手机用户们选择安卓系统的手机并从手机APP下载市场(如Google Play)获取优秀的应用软件,然而这也导致安卓平台成为恶意软件的一大目标。互联网安全技术全球领导厂商360,在最新公布的《互联网安全播报》中指出2015年第二季度,360互联网安全中心共截获安卓移动平台新增恶意程序样本550万个,平均每天截获新增手机恶意程序样本近6.04万个。累计监测到移动端恶意程序感染用户达6573万人次,平均每天恶意程序感染量达到了72.2万人次。在新增的恶意程序样本中,恶意重打包程序占据了80%以上,恶意开发者们利用成熟的反编译技术得到程序源码,然后通过植入恶意代码的方式快速生成恶意软件并上传到安卓平台上引诱手机用户进行下载,从而非法获取利益。恶意重打包软件的快速增长直接危害到手机用户们的信息以及财产安全。
为了解决这一难题,全球相关领域的研究者们提出了不同的软件恶意性检测方法。目前已知的恶意软件检测方法大致分为动态与静态检测两种。现有的大部分静态分析方法需要依靠系统建立的模式库,例如权限申请情况或者API的调用情况。但是由于恶意重打包软件其载体多为良性,这种检测方式经常会出现误报、漏报。动态分析方法通过插桩技术对程序的运行时状态进行监控以获取相关信息,进而提取特征来描述其恶意行为。然而该检测方式耗时量大,对资源的占用率高,并且无法保证对目标软件所有执行路径的覆盖。
针对以上问题,我们亟需找到一种快速、有效的安卓恶意重打包软件检测方法,以达到保护用户信息以及财产安全的目的。
发明内容
为了克服上述现有技术的缺陷,本发明的目的在于提供一种基于敏感子图的安卓恶意重打包软件检测方法,可以弥补上述静态检测方法的误报漏报缺点并保持了其高效率、资源占用率低的优点,实现了对安卓平台恶意软件的高准确度检测,有效的保护了手机用户的信息财产安全。
为了实现上述目的,本发明采用的技术方案是:
一种基于敏感子图的安卓恶意重打包程序检测方法,包括如下步骤:
步骤S1):基于开源工具Pscout构建敏感函数集合SA={si|1≤i≤680},其中si表示一个敏感函数,然后获取待检测安卓程序的所属类别c,基于TF-IDF-like计算敏感函数si相对于类别为c的良性数据集Bc以及恶意数据集M的敏感系数scs(si,c);
步骤S2):利用反编译技术对待检测安卓程序的安装文件进行反编译生成相应的Smali代码,进一步对Smali代码进行分析并抽取函数调用关系,从而构建成函数调用图SFCG(V,E),其中V表示程序中所有的函数节点集合,而表示程序中所有的函数调用的集合;
步骤S3):基于步骤S2)构建的SFCG(V,E),根据程序调用的敏感函数集合SS={sk|1≤k≤n|n=|V|}中每一个节点元素sk在SFCG中的拓扑结构位置,将SFCG划分成为若干个包含敏感函数节点的子图,该子图集合表示为SGS={SGj|1≤j≤m},其中m为子图个数;然后基于步骤S1)中计算所得的敏感系数计算每一个子图的敏感系数scg(SGj,c),选择敏感系数最大的子图作为该目标程序的敏感子图SSG;
步骤S4):基于步骤S3)得到的敏感子图SSG,抽取其三种结构特征:敏感系数特征scg(SSG,c)、敏感距离特征tsd(SSG,c)以及三种敏感Motif数量特征tnsm1(SSG,c),tnsm2(SSG,c)tnsm3(SSG,c);
步骤S5):基于步骤S4)针对每一个样本构建一个五维特征向量,利用随机森林算法对训练样本的特征空间进行评估并构建分类器,从而对待检测的重打包恶意软件进行快速、有效的检测。
进一步的,所述步骤S1)中敏感系数计算方法为TF-IDF-like:针对敏感函数si,统计其在恶意数据集M中出现的次数m(si)以及在良性数据集Bc中出现的次数b(si,c),其中c表示待检测样本的类别标签;敏感函数si的敏感系数计算公式为其中p表示恶意数据集M的样本总数,q(c)表示良性数据集Bc的样本总数。
进一步的,所述步骤S3)中将SFCG划分成为若干个子图方法为:对于程序调用的函数节点集合V={vi|1≤i≤n},依次判断其每一个节点元素vi是否存在于敏感API集合SA中,若存在,将其添加至该程序的敏感函数节点集合SS中;对于SS中每一个敏感函数节点vk,构建子图SGk={vk},并将该节点附近步长为α的节点也添加至子图中;对于子图集合SGS={SGj|1≤j≤m},对其中任意两个子图SGi,SGj作合并操作,合并条件为其中SNG(SGi)表示子图SGi中的敏感函数集合。
进一步的,所述步骤S3)中敏感子图选择方法为:对于子图SGj,首先计算其子图敏感系数其中SNG(SGi)表示子图SGi中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数;在敏感子图集合SGS={SGj|1≤j≤m}中,选择子图敏感系数最大的子图作为其目标程序的敏感子图SSG,其计算公式为
进一步的,所述步骤S4)中基于敏感子图SSG,抽取三种结构特征方法为:敏感系数特征scg(SSG,c)计算公式为其中SNG(SGi)表示敏感子图SSG中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数;
敏感距离特征tsd(SSG,c)计算公式为:其中dis(si,sj)表示在SSG敏感子图中节点si到节点sj的最短距离;
三种不同敏感Motif数量计算方法为:首先使用开源工具gtrieScanner分解敏感子图SSG,得到三种正常Motif的数量,然后统计带有敏感函数节点的Motif数量,即为敏感Motif数量,分别记为tnsm1(SSG,c),tnsm2(SSG,c)和tnsm3(SSG,c)。
进一步的,步骤S2)中抽取调用函数关系的方法具体包括以下步骤:
步骤S201:抽取待分析的Smali文件中的下一条语句;
步骤S202:判断该语句是否是一条函数调用语句,如果是则跳至步骤S203,否则转入步骤S201;
步骤S203:抽取该函数调用语句的函数节点以及调用关系,并存储;
步骤S204:判断Smali文件是否还存在待分析的语句,如果有,转入步骤S201,否则转入步骤S205;
步骤S205:输出函数调用关系集合。
进一步的,步骤S3中子图集合SGS通过以下步骤获取:
步骤S301:取出集合SS中的节点元素s;
步骤S302:新建一个子图SG,添加节点元素s以及其附近距离为2的节点至SG;
步骤S303:添加相应的边至子图SG;
步骤S304:添加子图SG至子图集合SGS中;
步骤S305:判断集合SS是否遍历完,如果否,则转至步骤S301;否则,则转入步骤S306;
步骤S306:判断SGS中是否存在可以合并的子图对(SGi,SGj),合并条件为其中SNG(SGi)表示子图SGi中的敏感函数集合,如果存在则转至步骤S307,否则转至步骤S308;
步骤S307:对子图对进行合并并更新SGS,转至步骤S306;
步骤S308:输出子图集合SGS。
与现有技术相比,本发明的有益效果是:
本方法基于文本词汇权重检测TF-IDF提出了一种敏感系数计算方法TF-IDF-like,该方法使对敏感函数系数的计算不再仅仅局限于函数本身在恶意数据集中的使用分布,而是结合了该敏感函数在良性数据集中的使用分布,从而降低了部分敏感函数由于在恶意数据集和良性数据集中同时被大量调用而造成的敏感系数偏高引起的检测误报。
进一步的,本发明提取了敏感子图作为程序特征,降低程序分析的复杂度,并且能够找到恶意软件的相似性,避免了恶意程序载体对检测的干扰,可以在静态分析快速全面的基础上,提高了检测成功率。
进一步的,本发明通过对敏感子图抽取三种不同形式的结构特征作为特征向量,有效地降低了因为代码混淆等策略带来了漏报。
附图说明
图1为本发明基于敏感子图分析的安卓恶意重打包程序检测方法整体流程图。
图2为本发明Smali文件静态函数调用关系抽取流程图。
图3为本发明基于静态函数调用关系图构建敏感子图的算法流程图。
具体实施方式
下面结合附图和实施例详细说明本发明的实施方式。
请参阅图1所示,本发明一种基于敏感子图分析的安卓恶意重打包程序检测方法,包括以下步骤:
步骤S1:基于开源工具Pscout构建敏感函数集合SA={si|1≤i≤680},其中si表示一个敏感函数,然后获取待检测安卓程序的所属类别c,例如天气类。针对敏感函数si,统计其在恶意数据集M中出现的次数m(si)以及在良性数据集Bc中出现的次数b(si,c)。基于TF-IDF-like计算敏感函数si相对于类别为c的良性数据集Bc以及恶意数据集M的敏感系数scs(si,c),计算公式为其中p表示恶意数据集M的样本总数,q(c)表示良性数据集Bc的样本总数。
步骤S2:利用反编译技术对待检测安卓程序的安装文件(APK)进行反编译生成相应的Smali代码,进一步对Smali代码进行分析并抽取函数调用关系,从而构建成函数调用图SFCG(V,E),其中V={vi|1≤i≤n}表示程序中所有的函数节点集合,其中n表示所有的函数节点数量,而表示程序中所有的函数调用的集合。结合图2,其中调用函数关系抽取方法具体包括以下步骤:
步骤S201:抽取待分析的Smali文件中的下一条语句;
步骤S202:判断该语句是否是一条函数调用语句,如果是则跳至步骤S203,否则转入步骤S201;
步骤S203:抽取该函数调用语句的函数节点以及调用关系,并存储;
步骤S204:判断Smali文件是否还存在待分析的语句,如果有,转入步骤S201,否则转入步骤S205;
步骤S205:输出函数调用关系集合。
步骤S3:基于步骤S2)构建的SPCG(V,E),根据程序调用的敏感函数集合SS={sk|1≤k≤n|n=|V|}每一个节点元素s在SFCG中的拓扑结构位置,将SFCG划分成为若干个包含敏感函数节点的子图,该子图集合表示为SGS={SGj|1≤j≤m},其中m为子图个数。然后基于步骤S1)中计算所得的敏感系数计算每一个子图的敏感系数scg(SGj,c),选择敏感系数最大的子图作为该目标程序的敏感子图SSG。结合图3,其具体步骤如下:
步骤S301:取出集合SS中的节点元素s;
步骤S302:新建一个子图SG,添加节点元素s以及其附近距离为2的节点至SG;
步骤S303:添加相应的边至子图SG;
步骤S304:添加子图SG至子图集合SGS中;
步骤S305:判断集合SS是否遍历完,如果否,则转至步骤S301;否则,则转入步骤S306;
步骤S306:判断SGS中是否存在可以合并的子图对(SGi,SGj),合并条件为其中SNG(SGi)表示子图SGi中的敏感函数集合,如果存在则转至步骤S307,否则转至步骤S308;
步骤S307:对子图对进行合并并更新SGS,转至步骤S306;
步骤S308:输出子图集合SGS。
基于输出的子图集合SGS中的子图SGj,首先计算其子图敏感系数其中SNG(SGi)表示子图SGi中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数。在敏感子图集合SGS={SGj|1≤j≤M}中,选择子图敏感系数最大的子图作为其目标程序的敏感子图SSG,其计算公式为
步骤S4:基于步骤3)得到的敏感子图SSG,抽取其三种结构特征:敏感系数特征(scg(SSG,c))、敏感距离特征(tsd(SSG,c))以及三种敏感Motif数量特征(tnsm1(SSG,c),tnsm2(SSG,c),tnsm3(SSG,c))。其中敏感系数特征scg(SSG,c)计算公式为其中SNG(SGi)表示敏感子图SSG中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数。
敏感距离特征tsd(SSG,c)计算公式为:其中dis(si,sj)表示在SSG敏感子图中节点si到节点sj的最短距离。
三种不同敏感Motif数量计算方法为:首先使用开源工具gtrieScanner分解敏感子图SSG,得到三种正常Motif的数量,然后统计带有敏感函数节点的Motif结构数量,即为敏感Motif数量,分别记为tnsm1(SSG,c),tnsm2(SSG,c)和tnsm3(SSG,c)。其中普通Motif结构与相应的敏感Motif结构如表1所示,图中黑色节点为敏感API节点。
表1
步骤S5:基于步骤S4)针对每一个样本构建一个五维特征向量,利用随机森林算法对训练样本的特征空间进行评估并构建分类器,从而对待检测的重打包恶意软件进行快速、有效的检测。

Claims (7)

1.一种基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,包括如下步骤:
步骤S1):基于开源工具Pscout构建敏感函数集合SA={si|1≤i≤680},其中si表示一个敏感函数,然后获取待检测安卓程序的所属类别c,基于TF-IDF-like计算敏感函数si相对于类别为c的良性数据集Bc以及恶意数据集M的敏感系数scs(si,c);
步骤S2):利用反编译技术对待检测安卓程序的安装文件进行反编译生成相应的Smali代码,进一步对Smali代码进行分析并抽取函数调用关系,从而构建成函数调用图SFCG(V,E),其中V表示程序中所有的函数节点集合,而表示程序中所有的函数调用的集合;
步骤S3):基于步骤S2)构建的SFCG(V,E),根据程序调用的敏感函数集合SS={sk|1≤k≤n|n=|V|}中每一个节点元素sk在SFCG中的拓扑结构位置,将SFCG划分成为若干个包含敏感函数节点的子图,该子图集合表示为SGS={SGj|1≤j≤m},其中m为子图个数;然后基于步骤S1)中计算所得的敏感系数计算每一个子图的敏感系数scg(SGj,c),选择敏感系数最大的子图作为该目标程序的敏感子图SSG;
步骤S4):基于步骤S3)得到的敏感子图SSG,抽取其三种结构特征:敏感系数特征scg(SSG,c)、敏感距离特征tsd(SSG,c)以及三种敏感Motif数量特征tnsm1(SSG,c),tnsm2(SSG,c),tnsm3(SSG,c);
步骤S5):基于步骤S4)针对每一个样本构建一个五维特征向量,利用随机森林算法对训练样本的特征空间进行评估并构建分类器,从而对待检测的重打包恶意软件进行快速、有效的检测。
2.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,所述步骤S1)中敏感系数计算方法为TF-IDF-like:针对敏感函数si,统计其在恶意数据集M中出现的次数m(si)以及在良性数据集Bc中出现的次数b(si,c),其中c表示待检测样本的类别标签;敏感函数si的敏感系数计算公式为其中p表示恶意数据集M的样本总数,q(c)表示良性数据集Bc的样本总数。
3.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,所述步骤S3)中将SFCG划分成为若干个子图方法为:对于程序调用的函数节点集合V={vi|1≤i≤n},依次判断其每一个节点元素vi是否存在于敏感API集合SA中,若存在,将其添加至该程序的敏感函数节点集合SS中;对于SS中每一个敏感函数节点vk,构建子图SGk={vk},并将该节点附近步长为α的节点也添加至子图中;对于子图集合SGS={SGj|1≤j≤m},对其中任意两个子图SGi,SGj作合并操作,合并条件为其中SNG(SGi)表示子图SGi中的敏感函数集合。
4.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,所述步骤S3)中敏感子图选择方法为:对于子图SGj,首先计算其子图敏感系数其中SNG(SGi)表示子图SGi中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数;在敏感子图集合SGS={SGj|1≤j≤m}中,选择子图敏感系数最大的子图作为其目标程序的敏感子图SSG,其计算公式为
5.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,所述步骤S4)中基于敏感子图SSG,抽取三种结构特征方法为:敏感系数特征scg(SSG,c)计算公式为其中SNG(SGi)表示敏感子图SSG中的敏感函数集合,scs(si,c)表示敏感函数si相对于类别c的敏感系数;
敏感距离特征tsd(SSG,c)计算公式为:其中dis(si,sj)表示在SSG敏感子图中节点si到节点sj的最短距离;
三种不同敏感Motif数量计算方法为:首先使用开源工具gtrieScanner分解敏感子图SSG,得到三种正常Motif的数量,然后统计带有敏感函数节点的Motif数量,即为敏感Motif数量,分别记为tnsm1(SSG,c),tnsm2(SSG,c)和tnsm3(SSG,c)。
6.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,步骤S2)中抽取调用函数关系的方法具体包括以下步骤:
步骤S201:抽取待分析的Smali文件中的下一条语句;
步骤S202:判断该语句是否是一条函数调用语句,如果是则跳至步骤S203,否则转入步骤S201;
步骤S203:抽取该函数调用语句的函数节点以及调用关系,并存储;
步骤S204:判断Smali文件是否还存在待分析的语句,如果有,转入步骤S201,否则转入步骤S205;
步骤S205:输出函数调用关系集合。
7.根据权利要求1所述的基于敏感子图的安卓恶意重打包程序检测方法,其特征在于,步骤S3中子图集合SGS通过以下步骤获取:
步骤S301:取出集合SS中的节点元素s;
步骤S302:新建一个子图SG,添加节点元素s以及其附近距离为2的节点至SG;
步骤S303:添加相应的边至子图SG;
步骤S304:添加子图SG至子图集合SGS中;
步骤S305:判断集合SS是否遍历完,如果否,则转至步骤S301;否则,则转入步骤S306;
步骤S306:判断SGS中是否存在可以合并的子图对(SGi,SGj),合并条件为其中SNG(SGi)表示子图SGi中的敏感函数集合,如果存在则转至步骤S307,否则转至步骤S308;
步骤S307:对子图对进行合并并更新SGS,转至步骤S306;
步骤S308:输出子图集合SGS。
CN201610590632.7A 2016-07-25 2016-07-25 基于敏感子图的安卓恶意重打包软件检测方法 Active CN106203122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610590632.7A CN106203122B (zh) 2016-07-25 2016-07-25 基于敏感子图的安卓恶意重打包软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610590632.7A CN106203122B (zh) 2016-07-25 2016-07-25 基于敏感子图的安卓恶意重打包软件检测方法

Publications (2)

Publication Number Publication Date
CN106203122A true CN106203122A (zh) 2016-12-07
CN106203122B CN106203122B (zh) 2019-02-05

Family

ID=57494834

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610590632.7A Active CN106203122B (zh) 2016-07-25 2016-07-25 基于敏感子图的安卓恶意重打包软件检测方法

Country Status (1)

Country Link
CN (1) CN106203122B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107273747A (zh) * 2017-05-22 2017-10-20 中国人民公安大学 勒索软件检测的方法
CN109241739A (zh) * 2018-07-19 2019-01-18 中国科学院信息工程研究所 基于api的安卓恶意程序检测方法、装置及存储介质
CN109344574A (zh) * 2018-09-19 2019-02-15 四川长虹电器股份有限公司 一种基于说明书的自适应安卓加固方法
CN109492398A (zh) * 2018-11-23 2019-03-19 北京梆梆安全科技有限公司 一种Android应用程序敏感行为的风险检测方法及装置
CN109858249A (zh) * 2019-02-18 2019-06-07 暨南大学 移动恶意软件大数据的快速智能比对和安全检测方法
CN110414236A (zh) * 2019-07-26 2019-11-05 北京神州绿盟信息安全科技股份有限公司 一种恶意进程的检测方法及装置
CN110555305A (zh) * 2018-05-31 2019-12-10 武汉安天信息技术有限责任公司 基于深度学习的恶意应用溯源方法及相关装置
CN112100621A (zh) * 2020-09-11 2020-12-18 哈尔滨工程大学 一种基于敏感权限和api的安卓恶意应用检测方法
CN113626810A (zh) * 2021-07-11 2021-11-09 南京理工大学 基于敏感子图的安卓恶意软件检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030079142A1 (en) * 2001-10-22 2003-04-24 Aladdin Knowledge Systems Ltd. Classifying digital object security category
US20050240781A1 (en) * 2004-04-22 2005-10-27 Gassoway Paul A Prioritizing intrusion detection logs
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN103473507A (zh) * 2013-09-25 2013-12-25 西安交通大学 一种基于方法调用图的Android恶意软件检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030079142A1 (en) * 2001-10-22 2003-04-24 Aladdin Knowledge Systems Ltd. Classifying digital object security category
US20050240781A1 (en) * 2004-04-22 2005-10-27 Gassoway Paul A Prioritizing intrusion detection logs
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN103473507A (zh) * 2013-09-25 2013-12-25 西安交通大学 一种基于方法调用图的Android恶意软件检测方法

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107273747A (zh) * 2017-05-22 2017-10-20 中国人民公安大学 勒索软件检测的方法
CN110555305A (zh) * 2018-05-31 2019-12-10 武汉安天信息技术有限责任公司 基于深度学习的恶意应用溯源方法及相关装置
CN109241739A (zh) * 2018-07-19 2019-01-18 中国科学院信息工程研究所 基于api的安卓恶意程序检测方法、装置及存储介质
CN109241739B (zh) * 2018-07-19 2021-01-05 中国科学院信息工程研究所 基于api的安卓恶意程序检测方法、装置及存储介质
CN109344574A (zh) * 2018-09-19 2019-02-15 四川长虹电器股份有限公司 一种基于说明书的自适应安卓加固方法
CN109344574B (zh) * 2018-09-19 2020-09-22 四川长虹电器股份有限公司 一种基于说明书的自适应安卓加固方法
CN109492398A (zh) * 2018-11-23 2019-03-19 北京梆梆安全科技有限公司 一种Android应用程序敏感行为的风险检测方法及装置
CN109858249B (zh) * 2019-02-18 2020-08-07 暨南大学 移动恶意软件大数据的快速智能比对和安全检测方法
CN109858249A (zh) * 2019-02-18 2019-06-07 暨南大学 移动恶意软件大数据的快速智能比对和安全检测方法
CN110414236A (zh) * 2019-07-26 2019-11-05 北京神州绿盟信息安全科技股份有限公司 一种恶意进程的检测方法及装置
CN112100621A (zh) * 2020-09-11 2020-12-18 哈尔滨工程大学 一种基于敏感权限和api的安卓恶意应用检测方法
CN112100621B (zh) * 2020-09-11 2022-05-20 哈尔滨工程大学 一种基于敏感权限和api的安卓恶意应用检测方法
CN113626810A (zh) * 2021-07-11 2021-11-09 南京理工大学 基于敏感子图的安卓恶意软件检测方法及系统

Also Published As

Publication number Publication date
CN106203122B (zh) 2019-02-05

Similar Documents

Publication Publication Date Title
CN106203122B (zh) 基于敏感子图的安卓恶意重打包软件检测方法
CN110399730B (zh) 智能合约漏洞的检查方法、系统及介质
Li et al. Libd: Scalable and precise third-party library detection in android markets
CN106709345B (zh) 基于深度学习方法推断恶意代码规则的方法、系统及设备
CN109753800A (zh) 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN105138916B (zh) 基于数据挖掘的多轨迹恶意程序特征检测方法
CN104091121B (zh) 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法
CN107392016A (zh) 一种基于代理的Web数据库攻击行为检测系统
CN108985061B (zh) 一种基于模型融合的webshell检测方法
CN101924761A (zh) 一种依据白名单进行恶意程序检测的方法
CN108268777A (zh) 一种利用补丁信息进行未知漏洞发现的相似性检测方法
CN104615542B (zh) 一种基于函数调用的脆弱性关联分析辅助漏洞挖掘的方法
CN104166680B (zh) 一种基于开源库与文本挖掘的并行漏洞挖掘方法
CN105468977A (zh) 一种基于朴素贝叶斯的Android恶意软件分类方法和装置
CN111552969A (zh) 基于神经网络的嵌入式终端软件代码漏洞检测方法及装置
CN108123939A (zh) 恶意行为实时检测方法及装置
CN107122659A (zh) 一种快速定位Android应用软件中恶意代码或漏洞的方法
CN106599688A (zh) 一种基于应用类别的安卓恶意软件检测方法
CN109104421A (zh) 一种网站内容篡改检测方法、装置、设备及可读存储介质
CN104933364A (zh) 一种基于调用行为的恶意代码自动化同源判定方法及系统
CN109284613A (zh) 标识检测及仿冒站点检测方法、装置、设备及存储介质
CN110362995A (zh) 一种基于逆向与机器学习的恶意软件检测及分析系统
CN106874762B (zh) 基于api依赖关系图的安卓恶意代码检测方法
CN104572931B (zh) 一种确定pc网页与移动网页自适应关系的系统及方法
CN106713293A (zh) 一种云平台恶意行为检测系统及其方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant