基于GCN增强函数调用图中节点特征差异的Android恶意软件检测方法
摘要
1.简介
函数调用图是一种经常使用的静态特性,因为它很好地捕捉了函数的意图和行为特性。 我们提出了一种子图提取方法,可以有效地删除无意义的节点,并最大限度地保留节点特征。 函数调用子图避免了无意义节点的干扰,降低了函数调用图的邻接矩阵和特征矩阵的维数; 由于GCN的模型学习基于低通滤波器的特征,因此在前向传播过程中,图结构中的节点特征将收敛到相似性,并干扰我们的检测。 一方面,我们提取敏感函数调用子图。 另一方面,受GCN公式的启发,我们提出了一种再次聚合节点特征的方法,以增强不同节点特征之间的差异; 传统的深度学习模型无法直接学习图结构类型的数据。 我们提出了一个使用GCN模型的GCN+1-D CNN模型来学习函数调用图中不同节点之间的行为特征,并使用具有不同卷积核深度的1-D CNN模型提取重要节点之间的关联关系。 实验结果表明,我们的模型在Android恶意软件检测方法中具有较高的准确率。
2.相关工作
2.1. 静态功能
2.1.1. 传统静态功能
2.1.2. 函数调用图
2.2. 动态功能
3.方法
3.1. 特征提取程序
3.1.1. Dalvik操作码
3.1.2. 节点重要性
3.1.3. 功能权重
使用Java annotation@requiresPermission将API与权限相关联; 使用@link android。 Manifest.permission#描述API所需的权限。
3.2. 图形提取程序
3.2.1. 生成整个函数调用图(FCG)
3.2.2. 计算API系数
:计数 在APK中调用; :APK中调用的API总数; :类型的APK计数 c(c) 在数据集中。 c(c) 指示APK的类别是恶意的还是良性的; :称为APK的计数 .
3.2.3. 提取函数调用子图(FCSG)
|
3.2.4. 生成敏感函数调用子图(S-FCSG)
|
3.3. 神经网络模型
3.3.1. 图卷积网络
3.3.2. 全局池层
3.3.3. 一维卷积神经网络与全连通层
4.实验与评估
4.1. 实验软件和环境
4.2. 数据集
4.3. 评价指标
4.4. 实验过程和结果
5.结论
作者贡献
基金
机构审查委员会声明
知情同意书
数据可用性声明
致谢
利益冲突
缩写
工具书类
2021年谷歌游戏年度应用下载。 在线可用: https://www.statista.com/statistics/734332/google-play-app-installs-per-year网站/ (2022年2月22日访问)。 Android测试2019-250应用程序。 在线可用: https://www.av-comparatives.org/tests/android-test-2019-250-apps/ (2022年2月22日访问)。 刘,K。; 徐,S。; 徐,G。; 张,M。; Sun,D。; Liu,H.基于机器学习的android恶意软件检测方法综述。 IEEE接入 2020 , 8 , 124579–124607. [ 谷歌学者 ] [ 交叉参考 ] 巴特,P。; Dutta,K.关于安卓平台中各种威胁和当前安全状态的调查。 Acm计算。 Surv公司。 (CSUR) 2019 , 52 , 1–35. [ 谷歌学者 ] [ 交叉参考 ] 图形神经网络简介。 在线可用: https://distract.pub/2021/gnn-intro(网址:https://distract.pub/2021/gnn-intro) (2022年3月22日访问)。 Lecun,Y。; 博图,L。; Y.本吉奥。; Haffner,P.基于梯度的学习应用于文档识别。 程序。 电气与电子工程师协会 1998 , 86 , 2278–2324. [ 谷歌学者 ] [ 交叉参考 ] Gers,F。; 施密杜贝尔,J。; Cummins,F.学会遗忘:使用LSTM进行持续预测。 1999年第九届国际人工神经网络会议论文集ICANN 99。 (Conf.Publ.No.470),英国爱丁堡,1999年9月7日至10日; 第2卷,第850-855页。 [ 谷歌学者 ] [ 交叉参考 ] Wu,F。; Souza,A。; 张,T。; 五十,C。; Yu,T。; Weinberger,K.简化图卷积网络。 在 机器学习研究,第36届机器学习国际会议论文集,2019年6月9日至15日,美国加利福尼亚州长滩 ; Chaudhuri,K.、Salakhutdinov,R.、Chaudhury,K.和Salakhuttinov,R编辑。; MLR出版社:美国宾夕法尼亚州费城,2019年; 第97卷,第6861-6871页。 [ 谷歌学者 ] 李强。; Wu,X.M。; 刘,H。; 张,X。; Guan,Z.通过图形过滤标记有效的半监督学习。《IEEE/CVF计算机视觉和模式识别会议论文集》,美国加利福尼亚州长滩,2019年6月10日至20日; 第9582–9591页。 [ 谷歌学者 ] Bo,D。; 王,X。; Shi,C。; Shen,H.超越图卷积网络中的低频信息。 2021年2月2日至9日,在线AAAI人工智能会议记录; 第35卷,第3950-3957页。 [ 谷歌学者 ] Android开源项目。 在线可用: https://github.com/aosp-mirror网站 (2022年6月22日访问)。 金,K.W.Y。; 周Y.F。; 黄,Z。; Lie,D.PScout:分析Android权限规范。 2012年10月16日至18日,美国纽约州纽约市,CCS’12,ACM计算机和通信安全会议记录; 第217–228页。 [ 谷歌学者 ] [ 交叉参考 ] Wu,D.J。; 毛,C.H。; 魏,T.E。; Lee,H.M.公司。; Wu,K.P.DroidMat:通过清单和API调用跟踪检测Android恶意软件。 2012年8月9日至10日在日本东京举行的2012年第七届亚洲信息安全联合会议记录; 第62-69页。 [ 谷歌学者 ] [ 交叉参考 ] 李,D。; 王,Z。; Xue,Y.DeepDetector:使用深度神经网络检测Android恶意软件。2018年6月22日至23日,法国巴黎,2018年国际计算与通信工程进展会议(ICACCE)论文集; 第184-188页。 [ 谷歌学者 ] [ 交叉参考 ] 刘,Y。; 张,L。; Huang,X.使用G特性提高基于函数调用图的Android恶意软件检测的效率。 Wirel公司。 个人通讯。 2018 , 103 , 2947–2955. [ 谷歌学者 ] [ 交叉参考 ] 范,M。; 刘杰。; Wang,W。; 李,H。; 田,Z。; Liu,T.DAPASA:通过敏感子图分析检测Android Piggybacked应用程序。 IEEE传输。 Inf.法医安全。 2017 , 12 , 1772–1785. [ 谷歌学者 ] [ 交叉参考 ] 冯·P。; 马,J。; 李·T。; 马,X。; Xi,N。; Lu,D.基于图形神经网络调用图的Android恶意软件检测。《2020年网络与网络应用国际会议论文集》,中国海口,2020年12月10-13日; 第368-374页。 [ 谷歌学者 ] [ 交叉参考 ] Vinayaka,K.V.公司。; Jaidhar,C.D.使用函数调用图和图卷积网络检测Android恶意软件。 2021年5月21日至23日在印度贾兰达尔举行的2021年第二届安全网络计算与通信国际会议(ICSCCC)会议记录; 第279-287页。 [ 谷歌学者 ] [ 交叉参考 ] 蔡,M。; 江,Y。; 高,C。; 李,H。; Yuan,W.从Android恶意软件检测的增强功能调用图中学习功能。 神经计算 2021 , 423 , 301–307. [ 谷歌学者 ] [ 交叉参考 ] 加格,S。; Peddoju,S.K.公司。; Sarje,A.K.基于网络的Android恶意应用程序检测。 国际期刊信息安全。 2017 , 16 , 385–400. [ 谷歌学者 ] [ 交叉参考 ] 蔡,H。; Meng,N。; 莱德,B。; Yao,D.DroidCat:通过应用程序级评测有效地检测和分类Android恶意软件。 IEEE传输。 Inf.法医安全。 2019 , 14 , 1455–1470. [ 谷歌学者 ] [ 交叉参考 ] T.S.约翰。; 托马斯·T。; Emmanuel,S.使用系统调用图检测Android恶意软件的图卷积网络。 2020年2月27日至3月1日在印度古瓦哈蒂举行的2020年第三届ISEA安全与隐私会议(ISEA-ISAP)会议记录; 第162-170页。 [ 谷歌学者 ] [ 交叉参考 ] 塔赫里,L。; A.F.A.卡迪尔。; Lashkari,A.H.使用网络流和API-Calls的可扩展Android恶意软件检测和家族分类。 2019年10月1日至3日在印度钦奈举行的2019年国际卡纳汉安全技术会议(ICCST)会议记录; 第1-8页。 [ 谷歌学者 ] [ 交叉参考 ] Dalvik操作码。 在线可用: http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html (2022年6月10日访问)。 Freeman,L.C.社交网络概念澄清的中心性。 Soc.网络。 1978 , 1 , 215–239. [ 谷歌学者 ] [ 交叉参考 ] Android开发者。 在线可用: https://developer.android.com/reference/android/Manifest.permission网站 (2022年6月12日访问)。 使用注释改进代码检查。 在线可用: https://developer.android.com/studio/write/annotations (2022年6月12日访问)。 欢迎阅读Androguard的文档。 在线可用: https://androguard.readthedocs.io/en/latest/index.html (2022年3月17日访问)。 胡,W。; 陶,J。; 马,X。; 周,W。; 赵,S。; Han,T.MIGDroid:通过方法调用图检测APP-Repackage Android恶意软件。 2014年8月4日至7日,中国上海,《2014年第23届国际计算机通信与网络会议论文集》; 第1-7页。 [ 谷歌学者 ] [ 交叉参考 ] Aizawa,A.tf–idf测量的信息理论视角。 信息处理。 管理。 2003 , 39 , 45–65. [ 谷歌学者 ] [ 交叉参考 ] Kipf,T.N。; Welling,M.用图卷积网络进行半监督分类。 2017年4月24日至26日,法国土伦,《学习代表国际会议论文集》。 [ 谷歌学者 ] 汉密尔顿,W.L。; Ying,R。; Leskovec,J.大图的归纳表示学习。 2017年12月4日至9日,美国纽约州红钩市,第31届神经信息处理系统国际会议,《NIPS论文集》; 第1025-1035页。 [ 谷歌学者 ] 张,M。; 崔,Z。; 诺伊曼,M。; Chen,Y.图分类的端到端深度学习体系结构。 2018年2月2日至3日在美国洛杉矶新奥尔良举行的AAAI人工智能会议记录; 第32卷。 [ 谷歌学者 ] [ 交叉参考 ] 深度图形库。 在线可用: https://www.dgl.ai网址 (2022年7月18日访问)。 Joblib:将Python函数作为管道作业运行。 在线可用: https://joblib.readthedocs.io网站 (2022年7月4日访问)。 Allix,K。; Bissyandé,T.F。; Klein,J。; Le Traon,Y.AndroZoo:为研究社区收集数百万Android应用程序。 2016年5月14日至22日在美国纽约州纽约市举行的第13届国际采矿软件库会议记录中; 第468–471页。 [ 谷歌学者 ] [ 交叉参考 ] 阿普·D。; Spreitzenbarth,M。; Hubner,M。; Gascon,H。; Rieck,K。; Siemens,C.Drebin:有效且可解释地检测您口袋中的android恶意软件。 NDSS公司 2014 , 14 , 23–26. [ 谷歌学者 ] Mahdavifar,S。; A.F.A.卡迪尔。; 法特米,R。; Alhadidi,D。; Ghorbani,A.A.使用半监督式深度学习对android恶意软件进行动态分类。 在2020年IEEE关于可靠、自主和安全计算的国际会议记录、关于普及智能和计算的国际大会记录、关于云和大数据计算的国际商会记录、关于网络科学和技术大会的国际商会(DASC/PiCom/CBDCom/CyberSciTech)记录中,加拿大阿联酋卡尔加里,2020年8月17日至22日; 第515-522页。 [ 谷歌学者 ] Onwuzurike,L。; Mariconti,E。; Andriotis,P。; 克里斯托法罗,E.D。; 罗斯,G。; Stringhini,G.MaMaDroid:通过构建行为模型的马尔可夫链来检测Android恶意软件(扩展版)。 ACM事务处理。 私人安全。 2019 , 22 . [ 谷歌学者 ] [ 交叉参考 ] 太阳,X。; Y.中阳。; 辛,Z。; 毛,B。; Xie,L.使用基于组件的控制流图检测Android应用程序中的代码重用。 在 IFIP信息和通信技术进展,ICT系统安全和隐私保护会议记录,摩洛哥马拉喀什,2014年6月2-4日 ; Cuppens-Boalahia,N.,Cuppens,F.,Jajodia,S.,Abou El Kalam,A.,Sans,T.,Eds。; 施普林格:德国柏林/海德堡,2014年; 第142-155页。 [ 谷歌学者 ] Ge,X。; 潘,Y。; 范,Y。; Fang,C.AMDroid:使用函数调用图检测Android恶意软件。 2019年IEEE第19届软件质量、可靠性和安全指南国际会议(QRS-C)会议记录,保加利亚索非亚,2019年7月22日至26日; 第71–77页。 [ 谷歌学者 ] [ 交叉参考 ] 黄,H。; Sun,L。; 杜,B。; 刘,C。; 吕伟。; Xiong,H.用于节点重要性估计的知识图表示学习。 2021年8月14日至18日,新加坡,第27届ACM SIGKDD知识发现和数据挖掘会议记录; 第646–655页。 [ 谷歌学者 ]