为什么图神经网络适合检测恶意软件

• Interpretable Graph Neural Network-based Android Malware Detection Method
  • 软件学报
  • 基于图神经网络的可解释安卓恶意软件检测方法-Interpretable Graph Neural Network-based Android Malware Detection Method

摘要：随着智能手机的广泛普及，近年来安卓恶意软件的数量迅速增加对智能手机用户的安全构成了严重威胁。学术界和工业界已经开始广泛采用基于深度学习的方法来自动化检测恶意软件，其中，使用图神经网络（Graph Neural Network， GNN）对函数调用图（Function Call Graph， FCG）特征进行检测的方法已经表现出优秀的准确性和鲁棒性。然而，由于现有的基于GNN的检测方法缺乏可解释性，使得对于检测结果的理解和分析变得困难，限制了其在实际中的应用范围。近年来，涌现出了众多GNN可解释性方法。但是，这些可解释性方法往往只关注了解释结果的准确度，而忽略了解释结果的保真度，从而导致在解释FCG图时解释结果准确率不佳。为了解决这一问题，本文提出了一种基于图神经网络的可解释安卓恶意软件检测方法（Interpretable Graph neural network-based Android Malware Detection， IGAMD）。该方法首先通过反编译安卓APK获得FCG，并进一步分析获取属性函数调用图（Attribute FCG，AFCG）特征。随后，IGAMD将AFCG输入到GNN分类模型和GNN解释模型，以得出分类结果和解释结果。与其他GNN可解释性方法不同，GNN解释模型同时关注了解释结果的准确度和保真度，从而达到了更优的性能表现。GNN解释模型能够识别出安卓恶意软件FCG中对分类贡献最大的子图，并提供节点重要性得分供进一步分析。实验结果显示，相较于现有研究中表现最佳的三种GNN可解释性方法，IGAMD的解释结果具有更高的准确度和保真度，能够准确揭示恶意软件的行为模式。同时，IGAMD在恶意软件检测任务中表现出了优异的性能，达到了96.23%的识别准确率。