基于函數(shù)指紋的違法APK 檢測

◆肖?漢

（公安部第三研究所 上海 200000）

1 引言

近年來，隨著通信技術(shù)和移動互聯(lián)網(wǎng)的高速發(fā)展，通過手機進行交友、獲取資訊、購物逐漸成為了人們生活中不可或缺的一部分[1]。但與此同時，移動互聯(lián)網(wǎng)也逐漸成為不法分子的活躍平臺，以APK為載體從事網(wǎng)絡(luò)色情、賭博、釣魚等違法活動日益猖獗，對人民的身心健康以及財產(chǎn)安全帶來了巨大的安全隱患。能夠高效準(zhǔn)確完成違法APK 的自動識別，成為了保障網(wǎng)絡(luò)安全、維護社會和諧穩(wěn)定中的重要一環(huán)。

本文提出了一種基于函數(shù)指紋的違法APK 檢測模型，該模型引入了函數(shù)指紋的概念，在此基礎(chǔ)上利用TF-IDF 和隨機森林算法完成了分類模型的構(gòu)建。該模型具有構(gòu)建復(fù)雜度低、準(zhǔn)確率高等特點，能夠有效完成違法APK 的自動識別分類。

2 相關(guān)工作

在移動互聯(lián)網(wǎng)平臺上，針對在APK 分析領(lǐng)域中的分類研究已經(jīng)有一定的成果[2]，例如，2013 年，B San 等人[2]提取APK 的權(quán)限列表，通過分析惡意APK和正常APK權(quán)限的統(tǒng)計特征進行惡意APK識別。2016 年SY Yerima 等人[3]根據(jù)APK 的API、OPCODE、權(quán)限三種類型特征構(gòu)造貝葉斯網(wǎng)絡(luò)對惡意APK 進行分類。2018 年，Q.Zhou 等人[4]利用APK 中的Syscall 構(gòu)造二分類模型。2019 年，Wang S 等人[5]監(jiān)控APK 運行過程中TCP 流量信息來進行惡意APK 識別。2021年褚堃等人[6]將APK 轉(zhuǎn)換為灰度圖，使用卷積神經(jīng)網(wǎng)絡(luò)進行惡意APK 識別。但這些APK 分類的研究主要集中對木馬、間諜、后門等惡意APK 的進行分類驗證，這些惡意APK 往往會有較為明顯的異常特征。而賭博、色情、詐騙這些違法APK 其隱蔽性更強，檢測更為困難。而對這些違法APK 分類識別的相關(guān)研究尚屬空白。……