202301.DeepCatra：学习基于流程和图表的 Android 恶意软件检测行为

DeepCatra：学习基于流程和图表的 Android 恶意软件检测行为

DeepCatra: Learning flow‐ andgraph‐based behaviours for Android malware detection

摘要：随着Android恶意软件的不断发展和发展，深度学习被引入到恶意软件检测中，并取得了很好的效果。最近的工作正在考虑混合模型和多视图学习。然而，它们仅使用简单的特征，限制了这些方法在实践中的准确性。本研究提出了 DeepCatra，一种用于 Android 恶意软件检测的多视图学习方法，其模型由双向 LSTM (BiLSTM) 和图神经网络 (GNN) 作为子网组成。这两个子网依赖于从静态计算的调用跟踪中提取的特征，从而产生从公共漏洞派生的关键 API。对于每个 Android 应用程序，DeepCatra 首先构建其调用图并计算然后，从调用跟踪中提取 BiLSTM 子网使用的时间操作码特征，而 GNN 子网使用的流图特征则根据所有调用跟踪和组件间通信构建。我们通过将 DeepCatra 与几种最先进的检测方法进行比较来评估 DeepCatra 的有效性。对超过 18,000 个现实世界应用程序和流行恶意软件的实验结果表明，DeepCatra 取得了相当大的改进，例如在 F1 测量上提高了 2.7%–14.6%，这证明了 DeepCatra 在实践中的可行性。