一種安卓重打包應(yīng)用的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及安卓系統(tǒng)技術(shù)領(lǐng)域��,尤其涉及一種安卓重打包應(yīng)用的檢測方法及裝 置���。
【背景技術(shù)】
[0002] 當(dāng)前��,隨著安卓(Android)移動智能終端的迅速普及��,安卓應(yīng)用(APP)的種類��、數(shù) 量也越來越多���。然而����,安卓移動智能終端的安全問題也隨之愈發(fā)嚴(yán)重����。因?yàn)楫?dāng)前在移動互聯(lián) 網(wǎng)中存在大量被重打包的惡意應(yīng)用。安卓重打包應(yīng)用的主要傳播途徑是第三方應(yīng)用市場����, 主要傳播技術(shù)是重打包嵌入惡意代碼。惡意代碼開發(fā)者對正版安卓應(yīng)用進(jìn)行反編譯后�,嵌 入惡意代碼或者修改部分代碼后,重新打包發(fā)布到第三方市場進(jìn)行傳播擴(kuò)散�����。嵌入惡意代 碼的重打包應(yīng)用會進(jìn)行惡意扣費(fèi)��、竊取信息等惡意行為��;修改代碼的重打包應(yīng)用會截取開 發(fā)商的廣告收益����,為自己謀利����。重打包應(yīng)用已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈條�����,給智能終端用 戶和開發(fā)者帶來了嚴(yán)重的經(jīng)濟(jì)損失���。
[0003] 由于重打包的應(yīng)用與正版安卓應(yīng)用具有較高的相似度,一般可以應(yīng)用相似性計算 方法來區(qū)分�。而當(dāng)前基于相似性計算的方法主要分為基于可執(zhí)行代碼的相似性檢測方法和 基于文件的相似性方法兩種。
[0004] 基于可執(zhí)行代碼的相似性檢測方法����,是從安卓應(yīng)用的可執(zhí)行字節(jié)碼中進(jìn)行反編 譯,提取特征��,包括應(yīng)用程序編程接口(ApplicationProgrammingInterface�����,API)����、組件、 意圖��、廣播、接收器等��,以此生成應(yīng)用特征��,如API頻率��、API序列���、組件頻率����、意圖頻率�、廣 播頻率、接收器頻率等���,或者在可執(zhí)行代碼基礎(chǔ)上分析得到應(yīng)用的數(shù)據(jù)流圖、調(diào)用流圖等特 征����,根據(jù)特征計算應(yīng)用的相似性。然而�����,隨著代碼混淆技術(shù)的普及,導(dǎo)致反編譯得到的信息 越來越不準(zhǔn)確����,進(jìn)而嚴(yán)重影響相似性檢測的準(zhǔn)確性。
[0005] 基于文件的相似性檢測方法����,是從安卓應(yīng)用的文件中提取特征,包括文件目錄結(jié) 構(gòu)����、圖形文件、聲音文件���、布局文件�����、其他文件等��,以此生成應(yīng)用特征���,如目錄結(jié)構(gòu)樹、圖形哈 希、其他文件散列值等���,根據(jù)特征計算應(yīng)用的相似性��。然而��,當(dāng)前基于文件目錄的檢測方法�����, 由于采用樹相似性比較方法計算應(yīng)用相似性��,而樹相似性計算是NP(未解難題)問題����,計算 消耗大��,該方法的檢測速度慢�����,不適合用來進(jìn)行大規(guī)模檢測����;基于其他文件的相似性檢測�����, 是計算可執(zhí)行代碼以外所以文件的散列值,以此計算應(yīng)用相似性����,由于散列值的特性,文件 即使修改了 1比特�,計算得到的散列值就不一樣,所以該方法很容易被繞過��。而基于圖片文 件�����、聲音文件等文件的檢測����,是對應(yīng)用內(nèi)所有的圖片和聲音文件提取特征計算相似性,而由 于安卓應(yīng)用開發(fā)設(shè)計的原因���,導(dǎo)致不是所有應(yīng)用包內(nèi)的圖片��、聲音等文件都是真的被調(diào)用 的文件��,而攻擊者也可以通過插入大量無用圖片���、無用聲音等手段來繞過檢測����?��?梢?����,當(dāng)前 基于文件的相似性檢測方法較為繁瑣復(fù)雜��,且很容易被惡意應(yīng)用繞過�����,造成檢測結(jié)果不準(zhǔn) 確����。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明的實(shí)施例提供一種安卓重打包應(yīng)用的檢測方法及裝置�,以解決當(dāng)前對安卓 重打包應(yīng)用的檢測速度較慢,且檢測不準(zhǔn)確的問題��。
[0007] 為達(dá)到上述目的,本發(fā)明采用如下技術(shù)方案:
[0008] -種安卓重打包應(yīng)用的檢測方法���,包括:
[0009] 分別獲取待檢測的安卓應(yīng)用和正版應(yīng)用的反編譯代碼和布局文件,并獲取各自的 反編譯代碼和布局文件中實(shí)際調(diào)用過的圖片文件和聲音文件����,形成待檢測的安卓應(yīng)用的文 件特征和正版應(yīng)用的文件特征;
[0010] 對所述待檢測的安卓應(yīng)用和正版應(yīng)用進(jìn)行基于靜態(tài)分析的特征提取���,形成所述待 檢測的安卓應(yīng)用的靜態(tài)特征和所述正版應(yīng)用的靜態(tài)特征�;
[0011] 對所述待檢測的安卓應(yīng)用的文件特征和所述待檢測的安卓應(yīng)用的靜態(tài)特征進(jìn)行 融合�����,形成待檢測的安卓應(yīng)用的融合特征����;
[0012] 對所述正版應(yīng)用的文件特征和所述正版應(yīng)用的靜態(tài)特征進(jìn)行融合,形成正版應(yīng)用 的融合特征�����;
[0013] 根據(jù)杰卡德相似性算法�,確定所述待檢測的安卓應(yīng)用的融合特征與正版應(yīng)用的融 合特征的相似度�;
[0014] 確定所述待檢測的安卓應(yīng)用的簽名信息和所述正版應(yīng)用的簽名信息是否不同���;
[0015] 若所述相似度大于等于一預(yù)先設(shè)置的相似度閾值���,且所述待檢測的安卓應(yīng)用的簽 名信息和所述正版應(yīng)用的簽名信息不同,確定所述待檢測的安卓應(yīng)用為所述正版應(yīng)用的重 打包應(yīng)用��。
[0016] 具體的��,對所述待檢測的安卓應(yīng)用和正版應(yīng)用進(jìn)行基于靜態(tài)分析的特征提取��,形 成所述待檢測的安卓應(yīng)用的靜態(tài)特征和所述正版應(yīng)用的靜態(tài)特征��,包括:
[0017] 獲取所述待檢測的安卓應(yīng)用和所述正版應(yīng)用調(diào)用安卓系統(tǒng)組件的情況數(shù)據(jù)�����,所申 請的安卓系統(tǒng)權(quán)限和調(diào)用API情況的統(tǒng)計數(shù)據(jù)����;
[0018] 將所述待檢測的安卓應(yīng)用調(diào)用安卓系統(tǒng)組件的情況數(shù)據(jù)和所申請的安卓系統(tǒng)權(quán) 限和調(diào)用API情況的統(tǒng)計數(shù)據(jù),作為所述待檢測的安卓應(yīng)用的靜態(tài)特征���;
[0019] 將所述正版應(yīng)用調(diào)用安卓系統(tǒng)組件的情況數(shù)據(jù)和所申請的安卓系統(tǒng)權(quán)限和調(diào)用 API情況的統(tǒng)計數(shù)據(jù)����,作為所述正版應(yīng)用的靜態(tài)特征。
[0020] 具體的�,所述待檢測的安卓應(yīng)用的融合特征與正版應(yīng)用的融合特征中分別包括多 個特征元素;其中���,所述待檢測的安卓應(yīng)用的融合特征中的多個特征元素構(gòu)成集合A;所述 正版應(yīng)用的融合特征中的多個特征元素構(gòu)成集合B。
[0021] 具體的����,所述根據(jù)杰卡德相似性算法,確定所述待檢測的安卓應(yīng)用的融合特征與 正版應(yīng)用的融合特征的相似度�����,包括:
[0022] 根據(jù)公式
[0023] 確定所述待檢測的安卓應(yīng)用的融合特征與正版應(yīng)用的融合特征的相似度J(A����,B)。
[0024] 具體的�,確定所述待檢測的安卓應(yīng)用的簽名信息和所述正版應(yīng)用的簽名信息是否 不同,包括:
[0025] 從所述待檢測的安卓應(yīng)用和所述正版應(yīng)用中分別提取作者簽名信息����;
[0026] 計算所述待檢測的安卓應(yīng)用的作者簽名信息的第一MD5值��;
[0027] 計算所述正版應(yīng)用的作者簽名信息的第二MD5值�����;
[0028] 確定所述第一MD5值和第二MD5值是否不同����。
[0029] -種安卓重打包應(yīng)用的檢測裝置���,包括:
[0030] 文件特征獲取單元�����,用于分別獲取待檢測的安卓應(yīng)用和正版應(yīng)用的反編譯代碼和 布局文件���,并獲取各自的反編譯代碼和布局文件中實(shí)際調(diào)用過的圖片文件和聲音文件,形 成待檢測的安卓應(yīng)用的文件特征和正版應(yīng)用的文件特征���;
[0031] 靜態(tài)特征獲取單元���,用于對所述待檢測的安卓應(yīng)用和正版應(yīng)用進(jìn)行基于靜態(tài)分析 的特征提取,形成所述待檢測的安卓應(yīng)用的靜態(tài)特征和所述正版應(yīng)用的靜態(tài)特征���;
[0032] 第一融合單元���,用于對所述待檢測的安卓應(yīng)用的文件特征和所述待檢測的安卓應(yīng) 用的靜態(tài)特征進(jìn)行融合�����,形成待檢測的安卓應(yīng)用的融合特征�;
[0033] 第二融合單元����,用于對所述正版應(yīng)用的文件特征和所述正版應(yīng)用的靜態(tài)特征進(jìn)行 融合�,形成正版應(yīng)用的融合特征;
[0034] 相似度計算單元���,用于根據(jù)杰卡德相似性算法��,確定所述待檢測的安卓應(yīng)用的融 合特征與正版應(yīng)用的融合特征的相似度�����;
[0035] 簽名信息確定單元���,用于確定所述待檢測的安卓應(yīng)用的簽名信息和所述正版應(yīng)用 的簽名信息是否不同���;
[0036] 重打包應(yīng)用判斷單元,用于在所述相似度大于等于一預(yù)先設(shè)置的相似度閾值��,且 所述待檢測的安卓應(yīng)用的簽名信息和所述正版應(yīng)用的簽名信息不同時��,確定所述待檢測的 安卓應(yīng)用為所述正版應(yīng)用的重打包應(yīng)用���。
[0037] 具體的����,所述靜態(tài)特征獲取單元����,包括:
[0038] 獲取模塊,用于獲取所述待檢測的安卓應(yīng)用和所述正版應(yīng)用調(diào)用安卓系統(tǒng)組件的 情況數(shù)據(jù)��,所申請的安卓系統(tǒng)權(quán)限和調(diào)用API情況的統(tǒng)計數(shù)據(jù)�;
[0039] 靜態(tài)特征確定模塊,用于將所述待檢測的安卓應(yīng)用調(diào)用安卓系統(tǒng)組件的情況數(shù)據(jù) 和所申請的安卓系統(tǒng)權(quán)限和調(diào)用API情況的統(tǒng)計數(shù)據(jù)�����,作為所述待檢測的安卓應(yīng)用的靜態(tài) 特征;
[0040] 所述靜態(tài)特征確定模塊���,還用于將所述正版應(yīng)用調(diào)用安卓系統(tǒng)組件的情況數(shù)據(jù)和 所申請的安卓系統(tǒng)權(quán)限和調(diào)用API情況的統(tǒng)計數(shù)據(jù)�,作為所述正版應(yīng)用的靜態(tài)特征���。
[0041] 此外��,所述第一融合單元中的待檢測的安卓應(yīng)用的融合特征與第二融合單元中的 正版應(yīng)用的融合特征中分別包括多個特征元素�;其中���,所述待檢測的安卓應(yīng)用的融合特征 中的多個特征元素構(gòu)成集合A;所述正版應(yīng)用的融合特征中的多個特征元素構(gòu)成集