摘要：经过对多个手机恶意应用程序的分析,发现其与被感染程序所属家族的不同版本在程序语义方面存在很大的相似性,并且这种相似性与原家族中不同版本之间的相似性有很大不同.基于该事实,本文借助于分层聚类技术,针对函数的调用图,提出了一种基于程序家族关系的恶意手机应用检测方法并构建了一个NeighborWatcher系统.实验结果表明当每个程序家族都含有四个以上的成员时,NeighborWatcher系统对附加恶意应用的检测率可以达到92.86%.

关键词：附加恶意应用程序 方法调用图 家族聚类 手机安全 

单位：山东大学计算机科学与技术学院; 山东济南250100; 日本信息与通信技术研究所; 日本东京1848795; 南京理工大学计算机学院; 江苏南京210094; 山东省软件工程重点实验室; 山东济南250100; 中国互联网络信息中心; 北京100010