论文研究基于动静结合的Android恶意代码行为相似性检测.pdf

针对同家族恶意软件行为具有相似性的特点进行研究，提出通过静态分析与动态运行程序相结合的方式度量软件行为的相似性。通过反编译和soot代码转换框架获取程序控制流图，利用行为子图匹配算法从静态方面对程序行为相似性进行度量；通过自动化测试框架运行程序，利用文本无关压缩算法将捕获到的trace文件压缩后进行相似性度量。该检测方法综合静态检测执行效率高和动态检测准确率高的优点，提高了软件行为相似性度量的效率和准确率。实验分析表明，该检测技术能够准确度量程序之间行为的相似性，在准确率上相较于Androguard有大幅提升。