基于GCN和BiLSTM的Android恶意软件检测方法

现有Android恶意软件检测方法大多是对单一结构类型的特征进行学习,在分析应用程序语义方面有所缺失。针对传统检测方法捕获特征语义不够全面的问题,文中创新性地提出了一种基于GCN和BiLSTM的Android恶意软件检测模型,在精准提取样本结构信息的同时对恶意行为语义进行重点分析。首先以图的方式表征26类关键系统调用间的拓扑关系,使用双层GCN网络聚合系统调用图中节点的高阶结构信息,有效提高特征学习效率;然后利用带有自注意力机制的BiLSTM网络获取操作码序列的上下文语义,通过为具有恶意特征的序列赋予高权重得到特征内部的强相关性;最后使用Softmax输出融合结构信息和上下文特征的样本分类概率。在基于Drebin和AndroZoo数据集的实验中,所提模型准确率达到了93.95%,F1值达到了97.09%,相较于基准算法有显著提高,充分证明了基于GCN和BiLSTM的模型能有效提升Android恶意软件的检测效果。

基于异构图注意力网络的Android恶意软件检测

近年来Android已经成为最流行的移动操作系统,越来越多的移动终端恶意软件窃取用户的私人信息,对安全造成了严重的威胁。现有的检测方法通常是通过挖掘不同APK文件中具有显著区分度的特征信息,使用机器学习的方法对欧式空间数据进行检测,但这类方法往往没有考虑到特征的结构性依赖关系。因此,将Android应用程序的API调用、请求权限、访问URL和包含组件关系映射到一个大型的异质网络中,把原来的检测问题转换成节点分类任务,构造的异质信息网络通过节点级注意力将所有类型的节点映射到统一的特征空间中,学习元路径邻居节点的权重并将其聚合得到特定语义的节点嵌入。实验结果证明,基于异构图注意力网络的检测方法能充分利用异质信息网络的结构特征和语义信息,能有效检测Android恶意软件。