本發(fā)明涉及信息安全領(lǐng)域，具體為一種惡意android應(yīng)用識別方法及系統(tǒng)。

背景技術(shù)：

1、手機(jī)等移動設(shè)備的普及，給人們的生活帶來了很大便利，通過手機(jī)可以實(shí)現(xiàn)網(wǎng)上購物、網(wǎng)上政務(wù)服務(wù)、線上學(xué)習(xí)、線上觀看視頻等。手機(jī)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢苫蛉钡脑O(shè)備，特別是android系統(tǒng)由于其開放性和靈活性，在全球范圍內(nèi)擁有廣泛的市場份額。然而，這種開放性也使得android平臺面臨著嚴(yán)重的安全威脅，特別是惡意應(yīng)用的威脅。惡意應(yīng)用是指意圖在用戶不知情或未經(jīng)同意的情況下，執(zhí)行惡意行為的軟件。這些行為可能包括竊取用戶隱私數(shù)據(jù)、監(jiān)視用戶活動、發(fā)送惡意信息、竊取銀行賬戶信息，甚至控制用戶設(shè)備進(jìn)行非法操作等。由于android平臺允許用戶自由下載安裝第三方應(yīng)用，攻擊者可以利用合法應(yīng)用商店、第三方商店甚至直接通過惡意網(wǎng)站進(jìn)行惡意軟件的分發(fā)。近年來，惡意android應(yīng)用的數(shù)量呈現(xiàn)出爆炸性增長，使得傳統(tǒng)的惡意軟件檢測和防護(hù)技術(shù)面臨巨大的挑戰(zhàn)。傳統(tǒng)方法往往依賴于簽名檢測或基于規(guī)則的策略，這些方法雖然能夠識別已知的惡意軟件，但對于變種惡意軟件或者利用未知攻擊手段的新型惡意應(yīng)用，效果有限。

技術(shù)實(shí)現(xiàn)思路

1、為了能夠識別惡意的android應(yīng)用，本發(fā)明提供了一種惡意android應(yīng)用識別方法，所述方法包括以下步驟：

2、s1，提取待分析android應(yīng)用的至少一個函數(shù)有向調(diào)用圖，每個函數(shù)有向調(diào)用圖有一個功能標(biāo)簽，根據(jù)調(diào)用圖請求權(quán)限的最大級別確定區(qū)間數(shù)；

3、s2，對于每個所述函數(shù)有向調(diào)用圖，計算具有相同功能標(biāo)簽的待分析android應(yīng)用中所述調(diào)用圖的圖嵌入和惡意函數(shù)有向調(diào)用圖以及正常函數(shù)有向調(diào)用圖的圖嵌入的相似度，若滿足預(yù)設(shè)條件，則將惡意函數(shù)有向調(diào)用圖加入到集合中；

4、s3，基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和所述集合中所有調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，若節(jié)點(diǎn)嵌入的相似度大于預(yù)設(shè)值，則將待分析android應(yīng)用判定為惡意android應(yīng)用。

5、優(yōu)選地，所述提取待分析android應(yīng)用的至少一個函數(shù)有向調(diào)用圖，具體為：

6、獲取待分析android應(yīng)用的用戶所有可操作功能，根據(jù)操作功能從用戶點(diǎn)擊后結(jié)束調(diào)用的函數(shù)得到所述操作功能對應(yīng)的函數(shù)有向調(diào)用圖；所述功能標(biāo)簽來自可操作功能用戶看到的文字；

7、所述調(diào)用圖的節(jié)點(diǎn)為函數(shù)，對函數(shù)類型、函數(shù)代碼以及函數(shù)請求的權(quán)限進(jìn)行編碼得到節(jié)點(diǎn)的特征向量。

8、優(yōu)選地，所述對函數(shù)類型、函數(shù)代碼以及函數(shù)請求的權(quán)限進(jìn)行編碼得到節(jié)點(diǎn)的特征向量，具體為：

9、獲取節(jié)點(diǎn)函數(shù)的代碼，將代碼輸入到預(yù)設(shè)模型中得到代碼的特征向量；將代碼的特征向量作為多層感知器的輸入得到代碼的功能；

10、根據(jù)函數(shù)的功能確定函數(shù)的類型，對函數(shù)類型進(jìn)行編碼，并對函數(shù)代碼分析得到函數(shù)請求的權(quán)限，對函數(shù)請求權(quán)限進(jìn)行編碼；

11、將代碼、函數(shù)類型和請求權(quán)限的編碼結(jié)果進(jìn)行融合得到節(jié)點(diǎn)的特征向量。

12、優(yōu)選地，所述基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和所述集合中調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，具體為：

13、對于所述集合中的任一個調(diào)用圖，計算待分析android應(yīng)用的調(diào)用圖的節(jié)點(diǎn)嵌入中每行向量和所述集合中調(diào)用圖的節(jié)點(diǎn)嵌入中每行的相似度，將0-1劃分為所述區(qū)間數(shù)的區(qū)間，計算每個區(qū)間內(nèi)相似度的個數(shù)，得到直方圖；

14、累計集合中所有調(diào)用圖的所述直方圖，對所述直方圖歸一化，根據(jù)直方圖確定待分析android應(yīng)用的調(diào)用圖和集合中所有調(diào)用圖的節(jié)點(diǎn)嵌入的相似度。

15、優(yōu)選地，所述s3還包括：

16、若節(jié)點(diǎn)嵌入的相似度不大于預(yù)設(shè)值，則基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和具有相同標(biāo)簽的正常函數(shù)有向調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，如果相似度不大于預(yù)設(shè)值，則將待分析android應(yīng)用判定為疑似惡意應(yīng)用。

17、另外一方面，本發(fā)明提供了一種惡意android應(yīng)用識別系統(tǒng)，所述系統(tǒng)包括以下模塊：

18、調(diào)用圖提取模塊，提取待分析android應(yīng)用的至少一個函數(shù)有向調(diào)用圖，每個函數(shù)有向調(diào)用圖有一個功能標(biāo)簽，根據(jù)調(diào)用圖請求權(quán)限的最大級別確定區(qū)間數(shù)；

19、初步識別模塊，用于對于每個所述函數(shù)有向調(diào)用圖，計算具有相同功能標(biāo)簽的待分析android應(yīng)用中所述調(diào)用圖的圖嵌入和惡意函數(shù)有向調(diào)用圖以及正常函數(shù)有向調(diào)用圖的圖嵌入的相似度，若滿足預(yù)設(shè)條件，則將惡意函數(shù)有向調(diào)用圖加入到集合中；

20、應(yīng)用識別模塊，用于基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和所述集合中所有調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，若節(jié)點(diǎn)嵌入的相似度大于預(yù)設(shè)值，則將待分析android應(yīng)用判定為惡意android應(yīng)用。

21、優(yōu)選地，所述提取待分析android應(yīng)用的至少一個函數(shù)有向調(diào)用圖，具體為：

22、獲取待分析android應(yīng)用的用戶所有可操作功能，根據(jù)操作功能從用戶點(diǎn)擊后結(jié)束調(diào)用的函數(shù)得到所述操作功能對應(yīng)的函數(shù)有向調(diào)用圖；所述功能標(biāo)簽來自可操作功能用戶看到的文字；

23、所述調(diào)用圖的節(jié)點(diǎn)為函數(shù)，對函數(shù)類型、函數(shù)代碼以及函數(shù)請求的權(quán)限進(jìn)行編碼得到節(jié)點(diǎn)的特征向量。

24、優(yōu)選地，所述對函數(shù)類型、函數(shù)代碼以及函數(shù)請求的權(quán)限進(jìn)行編碼得到節(jié)點(diǎn)的特征向量，具體為：

25、獲取節(jié)點(diǎn)函數(shù)的代碼，將代碼輸入到預(yù)設(shè)模型中得到代碼的特征向量；將代碼的特征向量作為多層感知器的輸入得到代碼的功能；

26、根據(jù)函數(shù)的功能確定函數(shù)的類型，對函數(shù)類型進(jìn)行編碼，并對函數(shù)代碼分析得到函數(shù)請求的權(quán)限，對函數(shù)請求權(quán)限進(jìn)行編碼；

27、將代碼、函數(shù)類型和請求權(quán)限的編碼結(jié)果進(jìn)行融合得到節(jié)點(diǎn)的特征向量。

28、優(yōu)選地，所述基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和所述集合中調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，具體為：

29、對于所述集合中的任一個調(diào)用圖，計算待分析android應(yīng)用的調(diào)用圖的節(jié)點(diǎn)嵌入中每行向量和所述集合中調(diào)用圖的節(jié)點(diǎn)嵌入中每行的相似度，將0-1劃分為所述區(qū)間數(shù)的區(qū)間，計算每個區(qū)間內(nèi)相似度的個數(shù)，得到直方圖；

30、累計集合中所有調(diào)用圖的所述直方圖，對所述直方圖歸一化，根據(jù)直方圖確定待分析android應(yīng)用的調(diào)用圖和集合中所有調(diào)用圖的節(jié)點(diǎn)嵌入的相似度。

31、優(yōu)選地，所述應(yīng)用識別模塊還用于：

32、若節(jié)點(diǎn)嵌入的相似度不大于預(yù)設(shè)值，則基于所述區(qū)間數(shù)計算待分析android應(yīng)用的調(diào)用圖和具有相同標(biāo)簽的正常函數(shù)有向調(diào)用圖的節(jié)點(diǎn)嵌入的相似度，如果相似度不大于預(yù)設(shè)值，則將待分析android應(yīng)用判定為疑似惡意應(yīng)用。

33、最后，本發(fā)明提供了一種計算機(jī)設(shè)備，所述設(shè)備至少包括計算機(jī)可讀存儲介質(zhì)和處理器，其特征在于，所述可讀存儲介質(zhì)上存儲有計算機(jī)程序，所述計算機(jī)程序在被處理器執(zhí)行時實(shí)現(xiàn)如上所述的方法。

34、針對惡意android應(yīng)用難以被識別的問題，本發(fā)明按照函數(shù)的調(diào)用關(guān)系構(gòu)建函數(shù)有向調(diào)用圖，并為每個調(diào)用圖設(shè)置一個功能標(biāo)簽，比較具有相同功能標(biāo)簽的待分析android應(yīng)用的調(diào)用圖和惡意函數(shù)有向調(diào)用圖、正常函數(shù)調(diào)用圖的圖嵌入相似度，如果滿足預(yù)設(shè)條件，則進(jìn)一步采用節(jié)點(diǎn)嵌入判斷是否為惡意應(yīng)用。本發(fā)明是從用戶可操作功能構(gòu)建調(diào)用圖，降低了調(diào)用圖構(gòu)建的復(fù)雜性，而且在圖嵌入和節(jié)點(diǎn)嵌入相似度計算中是具有相同功能標(biāo)簽的調(diào)用圖進(jìn)行計算，提高識別的準(zhǔn)確性。