基于API调用的抗混淆Android应用相似性检测方法

doi:10.11959/j.issn.2096-109x.2018001

网络与信息安全学报 ›› 2018, Vol. 4 ›› Issue (1): 63-68.doi: 10.11959/j.issn.2096-109x.2018001

基于API调用的抗混淆Android应用相似性检测方法

谷杰铭^1,²(),孙博文^1,²,吴鹏³,李祺^1,²,郭燕慧^1,²

¹ 北京邮电大学网络空间安全学院，北京 100876
² 天地互联与融合北京市重点实验室，北京 100876
³ 四川大学计算机学院，四川成都 610015

修回日期:2017-12-05 出版日期:2018-01-01 发布日期:2018-02-09
作者简介:谷杰铭（1993-），男，河北邢台人，北京邮电大学硕士生，主要研究方向为移动安全、恶意软件检测。|孙博文（1994-），男，辽宁沈阳人，北京邮电大学硕士生，主要研究方向为网络安全、恶意软件检测。|吴鹏（1982-），男，四川广元人，四川大学博士生，主要研究方向为恶意软件检测、软件抄袭、软件安全加固。|李祺（1981-），女，北京人，博士，北京邮电大学副教授，主要研究方向为网络安全、机器学习、物联网安全。|郭燕慧（1974-），女，河北唐山人，博士，北京邮电大学副教授，主要研究方向为网络安全、机器学习、信息安全管理。
基金资助:
国家自然科学基金资助项目(61401038)

Anti-obfuscation Android application similarity detection method based on API call

Jieming GU^1,²(),Bowen SUN^1,²,Peng WU³,Qi LI^1,²,Yanhui GUO^1,²

¹ School of Cyberspace Security，Beijing University of Post and Telecommunications, Beijing 100876, China
² Beijing Key Laboratory of integration with the world Internet, Beijing 100876, China
³ School of Computer Science, Sichuan University, Chengdu 610015, China

Revised:2017-12-05 Online:2018-01-01 Published:2018-02-09
Supported by:
The National Natural Science Foundation of China(61401038)

摘要/Abstract

摘要：

传统的移动应用相似性检测方法存在特征提取复杂、检测效率较低等问题。针对上述问题，提出基于API调用的抗混淆Android应用相似性检测方法，首先从DEX文件中提取引用API序列，应用反编译后对引用API进行频数统计；然后构建应用的特征向量，以此计算应用之间的相似度。实验结果证明，该方法具有较高的准确率。

关键词: 应用相似性, Android, 逆向工程, 抗混淆

Abstract:

The traditional Android application similarity detection methods have the problem of complex feature extraction and low detecting efficiency.Regarding the issue above,an anti-obfuscation Android application similarity detection method based on API call was proposed.Firstly,it extracts referenced API sequence from the dex file.Counting the number of referenced API after decompiling the application to build feature vector.Finally,calculate the application similarity through feature vector.The experimental results show that the method has high accuracy.

Key words: application similarity, Android, reverse engineering, anti-obfuscation

中图分类号:

TP399

谷杰铭,孙博文,吴鹏,李祺,郭燕慧. 基于API调用的抗混淆Android应用相似性检测方法[J]. 网络与信息安全学报, 2018, 4(1): 63-68.

Jieming GU,Bowen SUN,Peng WU,Qi LI,Yanhui GUO. Anti-obfuscation Android application similarity detection method based on API call[J]. Chinese Journal of Network and Information Security, 2018, 4(1): 63-68.

图/表 7

表1

表2

表3

表4

图1

图2

图3

参考文献 20

[1]	Smartphone OS Market Share,2016 Q3[EB/OL]. .
[2]	Analysis:how much difference does Google play and App store differ?[EB/OL]. .
[3]	NetQin.Global mobile report of first half of 2012[EB/OL]. .
[4]	SHEKHAR S , DIETZ M , WALLACH D S . AdSplit:separating smartphone advertising from applications[J]. Dissertations ＆ Theses-Gradworks, 2012,54(1):99.
[5]	ZHOU Y , JIANG X . Dissecting android malware:characterization and evolution[C]// 2012 IEEE Symposium on Security and Privacy. 2012: 95-109.
[6]	HANNA S , HUANG L , WU E ,et al. Juxtapp:a scalable system for detecting code reuse among android applications[C]// The International Conference on Detection of Intrusions and Malware,and Vulnerability Assessment. 2012: 62-81.
[7]	ZHOU W , ZHOU Y , JIANG X ,et al. Detecting repackaged smartphone applications in third-party android marketplaces[C]// ACM Conference on Data and Application Security and Privacy. 2012: 317-326.
[8]	LI S . Juxtapp and DStruct:detection of similarity among Android applications[EB/OL]. .
[9]	HUANG H , ZHU S , LIU P ,et al. A framework for evaluating mobile App repackaging detection algorithms[C]// The International Conference on Trust and Trustworthy Computing. 2013: 169-186.
[10]	CHEN K , LIU P , ZHANG Y . Achieving accuracy and scalability simultaneously in detecting application clones on android markets[C]// The 36th International Conference on Software Engineering. 2014: 175-186.
[11]	路程, 张淼, 徐国爱 . 基于源代码静态分析技术的Android应用恶意行为检测模型[J]. 2011.
	LU C , ZHANG M , XU G A . Android application malicious behavior detection model based on source static analysis technology[J]. 2011.
[12]	SOH C , TAN H B K , ARNATOVICH Y L ,et al. Detecting clones in Android applications through analyzing user interfaces[C]// IEEE International Conference on Program Comprehension. 2015: 163-173.
[13]	JesusFreke. smali/baksmali:an assembler/disassembler for Android's dex format[EB/OL]. .
[14]	刘方圆, 孟宪佳, 汤战勇 ,等. 基于smali代码混淆的Android应用保护方法[J]. 山东大学学报(理学版), 2017(3): 44-50.
	LIU F Y , MENG X J , TANG Z Y ,et al. Android application protection method based on smali code confusion[J]. Journal of Shandong University(Nature Science), 2017(3): 44-50.
[15]	Dedexer:dedexer is a disassembler tool for DEX files[EB/OL]. .
[16]	LINARES-VASQUEZ M , HOLTZHAUER A , POSHYVANYK D . On auto-matically detecting similar android apps[C]// The 24th International Conference on Program Comprehension (ICPC). 2016: 1-10.
[17]	ZHOU W , ZHOU Y , GRACE M ,et al. Fast,scalable detection of piggybacked mobile applications[C]// The 3rd ACM conference on data and application security and privacy. 2013: 185-196.
[18]	Apktool.A tool for reverse engineering android apk files[EB/OL]. .
[19]	ZHANG Z Y , WANG J , CHENG H M . An approach for spatial index of text information based on cosine similarity[J]. Computer Science, 2005.
[20]	DESNOS A , GUEGUEN G . Android:from reversing to decompilation[J]. Proc of Black Hat Abu Dhabi, 2011.

名称	格式	描述
header	header_item	文件头结构
string_ids	string_id_item[]	字符串列表，包含文件中使用的所有字符串
type_ids	type_id_item[]	类型标识符列表，包含文件引用的所有类型（类、数组、基本类型）的标识符
proto_ids	proto_id_item[]	方法原型标识符列表，包含文件引用的所有方法的原型
field_ids	field_id_item[]	字段标识符列表，包含文件中引用的所有字段的标识符
method_ids	method_id_item[]	方法标识符列表，包含文件中引用的所有方法的标识符
class_defs	class_def_item[]	类定义列表
data	ubyte[]	数据区，包含上述各表的全部支撑数据
link_data	ubyte[]	静态链接文件所使用的数据

	名称	描述
class_idx		类型标识符列表的索引，用于描述方法的所属类。所指向的类不能为基本数据类型
proto_idx		方法原型标识符列表的索引，用于描述方法的原型
name_idx		字符串列表的索引，用于描述方法的名称

名称	描述
shorty_idx	字符串列表的索引，由方法的返回类型和参数列表组成的字符串，用于描述方法原型
retrun_type_idx	类型标识符列表的索引，用于描述方法原型的返回值类型
parameters_off	指向DexTypeList结构体。DexTypeList结构存放方法的参数列表，如果方法没有参数，值为0

名称	描述
class_idx	类型标识符列表的索引，描述具体的class类型
access_flags	描述class的访问类型，如public、final、static等
superclass_idx	类型标识符列表的索引，描述superclass的类型
interfaces_off	如果类中含有接口声明或实现，interfaceOff会指向一个DexTypeList结构，否则这里的值为0
source_file_idx	字符串列表的索引，表示类所在的源文件名称
annotations_off	指向注解目录结构，根据类型不同会有注解类、注解方法、注解字段与注解参数，如果类中没有注解，值为0
class_data_off	指向DexClassData结构，记录类用到的数据
static_value_off	指向DexEncodedArray结构，记录类中的静态数据

基于API调用的抗混淆Android应用相似性检测方法

Anti-obfuscation Android application similarity detection method based on API call

在线阅读

pdf下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 20

相关文章 9

Metrics

推荐阅读 0

[1]	耿普,祝跃飞. 路径分支混淆研究综述[J]. 网络与信息安全学报, 2020, 6(2): 12-18.
[2]	方宁,曹卫兵,倪冬鹤,狄冠东. 基于Android平台并行运算机制的密码运算加速方案[J]. 网络与信息安全学报, 2019, 5(1): 50-55.
[3]	史福田,毛剑,刘建伟. Android移动设备边信道隐私推测研究综述[J]. 网络与信息安全学报, 2018, 4(4): 12-21.
[4]	朱晓妍,章辉,马建峰. 基于Hook技术的Android平台隐私保护系统[J]. 网络与信息安全学报, 2018, 4(4): 38-47.
[5]	颜慧颖,周振吉,吴礼发,洪征,孙贺. 基于符号执行的Android原生代码控制流图提取方法[J]. 网络与信息安全学报, 2017, 3(7): 33-46.
[6]	叶益林,周振吉,洪征,颜慧颖,吴礼发. 基于静态分析的Android应用事件输入生成方法[J]. 网络与信息安全学报, 2017, 3(6): 21-32.
[7]	王亚伟,彭长根,丁红发,周凯. 基于标识符的Android客户端身份认证方案[J]. 网络与信息安全学报, 2017, 3(4): 32-38.
[8]	张骁敏,刘静,庄俊玺,赖英旭. 基于权限与行为的Android恶意软件检测研究[J]. 网络与信息安全学报, 2017, 3(3): 51-57.
[9]	刘井强,李斌,陈立章,陈彬. 基于Android系统免Root主防方法的研究[J]. 网络与信息安全学报, 2016, 2(1): 65-73.