一种基于本地代码特征的Android恶意代码检测方法

摘要

由于移动互联网的快速发展,Android系统已经成为市场占有率最高的移动操作系统,Android系统的开源特性使其成为恶意软件的主要攻击目标.面对高速增长的恶意软件,为了有效和准确地检测恶意代码,提出一种基于Android本地代码特征的恶意代码检测方法,该方法的代码覆盖率比传统的静态检测方法高.将Dalvik字节码和SO文件转换为汇编代码,并生成各个函数的控制流图,通过定义的模式对控制流图进行注释,利用子图同构和模式匹配计算控制流图集合的相似度,并与设定阈值比较,以判定待检测的应用是否包含恶意代码.通过实验验证该方法可行,并且该方法的准确率和检测率比静态检测工具Androguard更优.