电子学报 ›› 2014, Vol. 42 ›› Issue (8): 1642-1646.DOI: 10.3969/j.issn.0372-2112.2014.08.029

• 科研通信 • 上一篇    下一篇

NeighborWatcher:基于程序家族关系的附加恶意手机应用检测方法研究

张焕1, 武建亮1, 唐俊杰1, 班涛2, 俞研3, 郭山清1,4, 王利明5, 胡安磊5   

  1. 1. 山东大学计算机科学与技术学院, 山东济南 250100;
    2. 日本信息与通信技术研究所, 日本东京 1848795;
    3. 南京理工大学计算机学院, 江苏南京 210094;
    4. 山东省软件工程重点实验室, 山东济南 250100;
    5. 中国互联网络信息中心, 北京 100010
  • 收稿日期:2013-04-17 修回日期:2013-12-31 出版日期:2014-08-25 发布日期:2014-08-25
  • 作者简介:张焕女,1989年生于河南安阳.山东大学计算机科学与技术学院硕士研究生.研究方向为信息安全.E-mail:inzhanghuan@163.com;郭山清男,1976年生于山东滨州.山东大学计算机科学与技术学院副教授;山东省软件工程重点实验室.研究方向为信息安全.E-mail:guoshanqing@sdu.edu.cn
  • 基金资助:

    国家自然科学基金(No.61173139,No.61303243);山东省科技攻关计划(No.2010GGX10117);互联网基础技术开放实验室基金(No.K201206007)

NeighborWatcher:Detecting Piggybacked Smartphone Applications with Their Family Members

ZHANG Huan1, WU Jian-liang1, TANG Jun-jie1, BAN Tao2, YU Yan3, GUO Shan-qing1,4, WANG Li-ming5, HU An-lei5   

  1. 1. Department of Computer Science and Technology, University of Shandong, Jinan, Shandong 250100, China;
    2. Japanese Institute of Information and Communications, Tokyo 1848795, Japan;
    3. Department of Computer, Nanjing University of Science and Technology, Nanjing, Jiangsu 210094, China;
    4. Shandong Provincial Key Laboratory of Software Engineering, Jinan, Shandong 250100, China;
    5. China Internet Network Information Center, Beijing 100010, China
  • Received:2013-04-17 Revised:2013-12-31 Online:2014-08-25 Published:2014-08-25

摘要:

经过对多个手机恶意应用程序的分析,发现其与被感染程序所属家族的不同版本在程序语义方面存在很大的相似性,并且这种相似性与原家族中不同版本之间的相似性有很大不同.基于该事实,本文借助于分层聚类技术,针对函数的调用图,提出了一种基于程序家族关系的恶意手机应用检测方法并构建了一个NeighborWatcher系统.实验结果表明当每个程序家族都含有四个以上的成员时,NeighborWatcher系统对附加恶意应用的检测率可以达到92.86%.

关键词: 附加恶意应用程序, 方法调用图, 家族聚类, 手机安全

Abstract:

Through the analysis of some mobile malwares,we found that malware is similar with its original application in semantics of the program,and the similarity is different with the similarity between other members of the family.Based on this fact,by means of hierarchical clustering technology for the function call graph,we propose a program based on family relationships to detect the malicious mobile applications and build a system named as "NeighborWatcher".Experimental results show that when each family contains four or more members,the detection rate of Piggybacked application can reach 92.86%.

Key words: piggybacked application, call function graph, family clustering, mobile security

中图分类号: