专利详情

专利名称	重打包恶意应用的静态检测方法和装置
申请号	CN201710069633.1	专利类型	发明专利
公开（公告）号	CN106951780A	公开（授权）日	2017.07.14
申请（专利权）人	中国科学院信息工程研究所	发明（设计）人	刘超;喻民;谭民;朱大立;姜建国
主分类号	G06F21/56(2013.01)I	IPC主分类号	G06F21/56(2013.01)I
专利有效期	重打包恶意应用的静态检测方法和装置至重打包恶意应用的静态检测方法和装置	法律状态	实质审查的生效
说明书摘要	本发明涉及一种重打包恶意应用的静态检测方法和装置，该方法包括：获取待检测应用程序的安装包的API调用序列及各个API调用序列所属的类之间的关联关系；构建基于类的函数调用关系图；对各个类进行聚类划分，得到多个簇，并将各个簇中类与类之间关联关系最强的预设数量的簇去掉，得到恶意代码簇；在恶意代码簇中的各个类的API调用序列中提取出敏感API调用序列，并将提取出的每个类的敏感API调用序列分别与预先建立的样本库中恶意应用程序的特征序列样本进行相似度匹配；确定待检测应用程序是否为重打包的恶意应用程序。本发明不依赖于Android官方应用程序，且以类为单位进行提取恶意代码，所以针对变种的恶意代码，也能保证有较高的准确度。