基于敏感特征深度域关联的Android恶意应用检测方法

• 全文链接
• 请求原文

作   者：

姜建国;  李松;  喻民;  李罡;  刘超;  李梅梅;  黄伟庆; 

作者机构：

中国科学院信息工程研究所;  迪肯大学信息技术学院; 

关键词：

敏感特征;  域关联;  Android恶意应用;  图卷积神经网络; 

期刊名称：

信息安全学报

i s s n：

2096-1146

年卷期：

2024 年 9 卷 003 期

页   码：

191-203

摘   要：

利用机器学习或深度学习算法进行 Android 恶意应用的检测是当前主流方法,取得了一定的效果.然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低.对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测.本文提出了一种新的Android恶意应用检测模型 GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android 恶意应用.首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典.接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系.通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系.然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建 Android 恶意应用检测模型GCNDroid.在实践中,GCNDroid 还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为.最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%.与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果.