买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:广西华曜网络科技有限责任公司
摘要:本发明涉及木马检测的技术领域,揭露了一种基于大规模图分析的快速安卓ROP木马检测方法,包括:将待运行APP转化为包含APP字节数的方阵,利用卷积操作将方阵压缩到规定维度,构建APP压缩网络;基于优化后的APP压缩网络计算得到方阵的APP哈希值,并将该哈希值上传至云端,云端判断哈希值是否存在,若存在则直接将该哈希值对应的检测结果回传给安卓用户;云端在沙箱中运行APP并记录APP执行的系统调用序列;构建ROP木马检测图模型:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,若路径相似度大于指定阈值则说明待运行APP为ROP木马。本发明所述方法实现基于历史哈希值的ROP木马快速检测,以及基于图模型相似度的ROP木马快速检测。
主权项:1.一种基于大规模图分析的快速安卓ROP木马检测方法,其特征在于,所述方法包括:S1:安卓手机在运行APP前将待运行APP转化为包含APP字节数的方阵,利用卷积操作将方阵压缩到规定维度,构建APP压缩网络,所述APP压缩网络以方阵为输入,以哈希值为输出;S2:对APP压缩网络进行优化学习,学习得到APP压缩网络参数,基于优化后的APP压缩网络计算得到方阵的APP哈希值,并将该哈希值上传至云端,云端判断哈希值是否存在,若存在则直接将该哈希值对应的检测结果回传给安卓用户;若不存在则执行S3;S3:将待运行APP上传至云端,云端在沙箱中运行APP并记录APP执行的系统调用序列;S4:构建ROP木马检测图模型,所述ROP木马检测图模型节点由安卓系统调用组成,有向边表示系统调用的执行顺序:S5:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,若路径相似度大于指定阈值则说明待运行APP为ROP木马,否则不是,其中所述路径匹配流程,包括:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,所述路径匹配流程为:S51:初始化待运行APP系统调用序列的最小连通图为空集S52:将待运行APP中变量调用顺序序列va1,va2,…,vaN构成图G′,其中图的节点为待运行APP中的变量,基于va1,va2,…,vaN为任意两个节点添加有向边,有向边表示调用变量的执行顺序;其中:va1,va2,…,vaN表示待运行APP中变量的调用顺序序列,va1表示待运行APP第一次调用的变量,vaN表示待运行APP第N次调用的变量S53:计算不同变量在图G′中的度,并按度的大小对变量进行降序排序,得到度最小且不存在度为1的邻接点的变量作为最小连通图的初始连通点L0,并将该变量从图中删除,其中最小连通图的连通点为待运行APP中的变量,将初始连通点L0添加到最小连通图中;S54:遍历初始连通点L0在图G′中的邻接点,将邻接点中度最大的变量作为下一个连通点L1,并将该变量从图中删除,将L1添加到最小连通图中;S55:选取度最小且不存在度为1的邻接点的变量作为连通点,将该变量从图中删除,并将连通点添加到最小连通图中;S56:选取连通点在图G′中邻接点中度最大的变量作为下一个连通点,并将该变量从图中删除,将连通点添加到最小连通图中;S57:重复步骤S55、S56,得到待运行APP系统调用序列的最小连通图:{L0,L1,…,LQ}其中:Q表示最小连通图中连通点的数目;计算最小连通图中不同连通点的路径匹配成本,所述路径匹配成本的公式为:costLi=sLidLi其中:costLi为最小连通图中连通点Li的路径匹配成本;dLi表示连通点Li在图G′中的度;sLi表示连通点Li与前i个连通点在图G′中所构成有向边的数量;S58:选取路径匹配成本最低的连通点作为待运行APP系统调用序列最小连通图的起点,并构成最小连通图;S59:将所构成的最小连通图与ROP木马检测图模型中的若干子图进行距离度量,即分别将最小连通图以及子图放置于向量空间中,计算最小连通图与最接近子图在向量空间的距离,若该距离值小于阈值,待运行APP执行的系统调用序列与ROP木马检测图模型之间的路径相似度高,说明待运行APP为ROP木马,否则待运行APP不为ROP木马,并将待运行APP的哈希值以及ROP木马检测结果存放到云端。
全文数据:
权利要求:
百度查询: 广西华曜网络科技有限责任公司 一种基于大规模图分析的快速安卓ROP木马检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。