公开(公告)号：CN106951780B

公开(公告)日：2019-09-10

申请号：CN201710069633.1

申请日：2017-02-08

申请人： 中国科学院信息工程研究所

发明人： 刘超 ,  喻民 ,  谭民 ,  朱大立 ,  姜建国

IPC分类号： G06F21/56

摘要： 本发明涉及一种重打包恶意应用的静态检测方法和装置，该方法包括：获取待检测应用程序的安装包的API调用序列及各个API调用序列所属的类之间的关联关系；构建基于类的函数调用关系图；对各个类进行聚类划分，得到多个簇，并将各个簇中类与类之间关联关系最强的预设数量的簇去掉，得到恶意代码簇；在恶意代码簇中的各个类的API调用序列中提取出敏感API调用序列，并将提取出的每个类的敏感API调用序列分别与预先建立的样本库中恶意应用程序的特征序列样本进行相似度匹配；确定待检测应用程序是否为重打包的恶意应用程序。本发明不依赖于Android官方应用程序，且以类为单位进行提取恶意代码，所以针对变种的恶意代码，也能保证有较高的准确度。

公开(公告)号：CN106951780A

公开(公告)日：2017-07-14

申请号：CN201710069633.1

申请日：2017-02-08

申请人： 中国科学院信息工程研究所

发明人： 刘超 ,  喻民 ,  谭民 ,  朱大立 ,  姜建国

IPC分类号： G06F21/56

摘要： 本发明涉及一种重打包恶意应用的静态检测方法和装置，该方法包括：获取待检测应用程序的安装包的API调用序列及各个API调用序列所属的类之间的关联关系；构建基于类的函数调用关系图；对各个类进行聚类划分，得到多个簇，并将各个簇中类与类之间关联关系最强的预设数量的簇去掉，得到恶意代码簇；在恶意代码簇中的各个类的API调用序列中提取出敏感API调用序列，并将提取出的每个类的敏感API调用序列分别与预先建立的样本库中恶意应用程序的特征序列样本进行相似度匹配；确定待检测应用程序是否为重打包的恶意应用程序。本发明不依赖于Android官方应用程序，且以类为单位进行提取恶意代码，所以针对变种的恶意代码，也能保证有较高的准确度。