恭喜广西华曜网络科技有限责任公司罗耿获国家专利权
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
龙图腾网恭喜广西华曜网络科技有限责任公司申请的专利一种基于大规模图分析的快速安卓ROP木马检测方法获国家发明授权专利权,本发明授权专利权由国家知识产权局授予,授权公告号为:CN115098860B 。
龙图腾网通过国家知识产权局官网在2024-09-17发布的发明授权授权公告中获悉:该发明授权的专利申请号/专利号为:202210760340.9,技术领域涉及:G06F21/56;该发明授权一种基于大规模图分析的快速安卓ROP木马检测方法是由罗耿;潘苏强设计研发完成,并于2022-06-29向国家知识产权局提交的专利申请。
本一种基于大规模图分析的快速安卓ROP木马检测方法在说明书摘要公布了:本发明涉及木马检测的技术领域,揭露了一种基于大规模图分析的快速安卓ROP木马检测方法,包括:将待运行APP转化为包含APP字节数的方阵,利用卷积操作将方阵压缩到规定维度,构建APP压缩网络;基于优化后的APP压缩网络计算得到方阵的APP哈希值,并将该哈希值上传至云端,云端判断哈希值是否存在,若存在则直接将该哈希值对应的检测结果回传给安卓用户;云端在沙箱中运行APP并记录APP执行的系统调用序列;构建ROP木马检测图模型:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,若路径相似度大于指定阈值则说明待运行APP为ROP木马。本发明所述方法实现基于历史哈希值的ROP木马快速检测,以及基于图模型相似度的ROP木马快速检测。
本发明授权一种基于大规模图分析的快速安卓ROP木马检测方法在权利要求书中公布了:1.一种基于大规模图分析的快速安卓ROP木马检测方法,其特征在于,所述方法包括:S1:安卓手机在运行APP前将待运行APP转化为包含APP字节数的方阵,利用卷积操作将方阵压缩到规定维度,构建APP压缩网络,所述APP压缩网络以方阵为输入,以哈希值为输出;S2:对APP压缩网络进行优化学习,学习得到APP压缩网络参数,基于优化后的APP压缩网络计算得到方阵的APP哈希值,并将该哈希值上传至云端,云端判断哈希值是否存在,若存在则直接将该哈希值对应的检测结果回传给安卓用户;若不存在则执行S3;S3:将待运行APP上传至云端,云端在沙箱中运行APP并记录APP执行的系统调用序列;S4:构建ROP木马检测图模型,所述ROP木马检测图模型节点由安卓系统调用组成,有向边表示系统调用的执行顺序:S5:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,若路径相似度大于指定阈值则说明待运行APP为ROP木马,否则不是,其中所述路径匹配流程,包括:将待运行APP执行的系统调用序列与ROP木马检测图模型进行路径匹配,所述路径匹配流程为:S51:初始化待运行APP系统调用序列的最小连通图为空集S52:将待运行APP中变量调用顺序序列va1,va2,…,vaN构成图G′,其中图的节点为待运行APP中的变量,基于va1,va2,…,vaN为任意两个节点添加有向边,有向边表示调用变量的执行顺序;其中:va1,va2,…,vaN表示待运行APP中变量的调用顺序序列,va1表示待运行APP第一次调用的变量,vaN表示待运行APP第N次调用的变量S53:计算不同变量在图G′中的度,并按度的大小对变量进行降序排序,得到度最小且不存在度为1的邻接点的变量作为最小连通图的初始连通点L0,并将该变量从图中删除,其中最小连通图的连通点为待运行APP中的变量,将初始连通点L0添加到最小连通图中;S54:遍历初始连通点L0在图G′中的邻接点,将邻接点中度最大的变量作为下一个连通点L1,并将该变量从图中删除,将L1添加到最小连通图中;S55:选取度最小且不存在度为1的邻接点的变量作为连通点,将该变量从图中删除,并将连通点添加到最小连通图中;S56:选取连通点在图G′中邻接点中度最大的变量作为下一个连通点,并将该变量从图中删除,将连通点添加到最小连通图中;S57:重复步骤S55、S56,得到待运行APP系统调用序列的最小连通图:{L0,L1,…,LQ}其中:Q表示最小连通图中连通点的数目;计算最小连通图中不同连通点的路径匹配成本,所述路径匹配成本的公式为:costLi=sLidLi其中:costLi为最小连通图中连通点Li的路径匹配成本;dLi表示连通点Li在图G′中的度;sLi表示连通点Li与前i个连通点在图G′中所构成有向边的数量;S58:选取路径匹配成本最低的连通点作为待运行APP系统调用序列最小连通图的起点,并构成最小连通图;S59:将所构成的最小连通图与ROP木马检测图模型中的若干子图进行距离度量,即分别将最小连通图以及子图放置于向量空间中,计算最小连通图与最接近子图在向量空间的距离,若该距离值小于阈值,待运行APP执行的系统调用序列与ROP木马检测图模型之间的路径相似度高,说明待运行APP为ROP木马,否则待运行APP不为ROP木马,并将待运行APP的哈希值以及ROP木马检测结果存放到云端。
如需购买、转让、实施、许可或投资类似专利技术,可联系本专利的申请人或专利权人广西华曜网络科技有限责任公司,其通讯地址为:530000 广西壮族自治区南宁市那洪大道7号南宁研祥智谷C17-101栋;或者联系龙图腾网官方客服,联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。