• 中国精品科技期刊
  • CCF推荐A类中文期刊
  • 计算领域高质量科技期刊T1类
高级检索

InterDroid:面向概念漂移的可解释性Android恶意软件检测方法

张炳, 文峥, 魏筱瑜, 任家东

张炳, 文峥, 魏筱瑜, 任家东. InterDroid:面向概念漂移的可解释性Android恶意软件检测方法[J]. 计算机研究与发展, 2021, 58(11): 2456-2474. DOI: 10.7544/issn1000-1239.2021.20210560
引用本文: 张炳, 文峥, 魏筱瑜, 任家东. InterDroid:面向概念漂移的可解释性Android恶意软件检测方法[J]. 计算机研究与发展, 2021, 58(11): 2456-2474. DOI: 10.7544/issn1000-1239.2021.20210560
shu
Zhang Bing, Wen Zheng, Wei Xiaoyu, Ren Jiadong. InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift[J]. Journal of Computer Research and Development, 2021, 58(11): 2456-2474. DOI: 10.7544/issn1000-1239.2021.20210560
Citation: Zhang Bing, Wen Zheng, Wei Xiaoyu, Ren Jiadong. InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift[J]. Journal of Computer Research and Development, 2021, 58(11): 2456-2474. DOI: 10.7544/issn1000-1239.2021.20210560
shu
张炳, 文峥, 魏筱瑜, 任家东. InterDroid:面向概念漂移的可解释性Android恶意软件检测方法[J]. 计算机研究与发展, 2021, 58(11): 2456-2474. CSTR: 32373.14.issn1000-1239.2021.20210560
引用本文: 张炳, 文峥, 魏筱瑜, 任家东. InterDroid:面向概念漂移的可解释性Android恶意软件检测方法[J]. 计算机研究与发展, 2021, 58(11): 2456-2474. CSTR: 32373.14.issn1000-1239.2021.20210560
shu
Zhang Bing, Wen Zheng, Wei Xiaoyu, Ren Jiadong. InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift[J]. Journal of Computer Research and Development, 2021, 58(11): 2456-2474. CSTR: 32373.14.issn1000-1239.2021.20210560
Citation: Zhang Bing, Wen Zheng, Wei Xiaoyu, Ren Jiadong. InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift[J]. Journal of Computer Research and Development, 2021, 58(11): 2456-2474. CSTR: 32373.14.issn1000-1239.2021.20210560
shu

InterDroid:面向概念漂移的可解释性Android恶意软件检测方法

  • 1(燕山大学信息科学与工程学院 河北秦皇岛 066004)

  • 2(河北省软件工程重点实验室(燕山大学) 河北秦皇岛 066004)

  • 3(中国五洲工程设计研究院 北京 100053) (jdren@ysu.edu.cn)

基金项目: 国家自然科学基金项目(61802332,61807028,61772449);燕山大学博士基金项目(BL18012)
详细信息

  • 中图分类号: TP309

InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift

  • 1(School of Information Science and Engineering, Yanshan University, Qinhuangdao, Hebei 066004)

  • 2(Key Laboratory of Software Engineering of Hebei Province(Yanshan University), Qinhuangdao, Hebei 066004)

  • 3(China Wuzhou Engineering Group, Beijing 100053)

Funds: This work was supported by the National Natural Science Foundation of China (61802332, 61807028, 61772449) and the Doctoral Foundation Program of Yanshan University (BL18012).

摘要

    摘要
  • 摘要: 针对Android恶意软件检测存在特征引入过程主观性高、特征选择过程可解释性差、训练模型检测效果不具备时间稳定性的问题,提出了一种面向概念漂移的可解释性Android恶意软件检测方法InterDroid,该方法首先通过高质量的人工Android恶意软件分析报告引入权限、API包名、意图、Dalvik字节码4种特征.并通过自动化机器学习算法TPOT(tree-based tipeline optimization tool)获得InterDroid训练及对比算法,从而摒弃传统方法中繁复的模型选择与参数调整过程.其后,融入模型解释算法SHAP(shapley additive explanations)改进传统的特征包装方法,从而获得对分类结果具有高贡献度的特征组合用于检测模型训练.最后,通过曼-惠特尼U(Mann-Whitney U, MWU)与机器学习模型的双重检验证明概念漂移现象在Android恶意软件检测中的存在性.并基于联合分布适配(joint distribution adaptation, JDA)算法提高检测模型对新时期Android恶意软件的检测准确率.实验表明:InterDroid筛选出的特征组合具备稳定性与可解释性.同时,InterDroid中的特征迁移模块可将自身对2019年、2020年新兴Android恶意软件的检测准确率分别提高46%,44%.
    Abstract: Aiming at the problems in Android malware detection, which are high subjectivity of feature definition, poor interpretability of feature selection process, and lack of temporal instability of training model detection accuracy, an interpretable Android malware detection method for concept drift called InterDroid is proposed. Firstly, four characteristics of the detection model: permission, API package name, intention and Dalvik bytecode are inferred through the high-quality artificial Android malware analysis report. And InterDroid training and comparison algorithm are obtained through automatic machine learning algorithm TPOT (tree-based tipeline optimization tool), thus abandoning the complicated process of model selection and parameter adjustment in traditional methods. After that, the traditional feature wrapper method is improved by integrating the model interpretation algorithm SHAP (shapley additive explanations), and the feature set with high contribution to the classification results is obtained for detection model training. Finally, the existence of concept drift in Android malware detection is proved by the double tests of MWU(Mann-Whitney U) and machine learning model. Based on the JDA(joint distribution adaptation), the accuracy of the detection model for Android malware in the new era is improved. The experimental results show that the feature screened by InterDroid is stable and interpretable. At the same time, the feature-representation transfer module in InterDroid can improve the detection accuracy of Android malware in 2019 and 2020 by 46% and 44%.
    • HTML全文
    • 参考文献(0)
    • 相关文章
    • 施引文献(15)

  • 期刊类型引用(9)

    1. 李振华,王泓懿,李洋,林灏,杨昕磊. 大规模复杂终端网络的云原生强化设计. 计算机研究与发展. 2024(01): 2-19 . 本站查看
    2. 赵旭康,刘晓锋,徐洁. 融合多样频度与分布差异的Android恶意软件检测. 计算机工程与设计. 2024(02): 390-395 . 百度学术
    3. 方加娟,丁乙恒. 基于关联规则的Android恶意软件检测技术. 电脑与信息技术. 2024(03): 115-118 . 百度学术
    4. 陈志强,韩萌,武红鑫,李慕航,张喜龙. 分段加权的概念漂移检测方法. 计算机应用. 2023(03): 776-784 . 百度学术
    5. 李汇来,杨斌,于秀丽,唐晓梅. 软件缺陷预测模型可解释性对比. 计算机科学. 2023(05): 21-30 . 百度学术
    6. 潘建文,崔展齐,林高毅,陈翔,郑丽伟. Android恶意应用的静态检测方法综述. 计算机研究与发展. 2023(08): 1875-1894 . 本站查看
    7. 殷建艳. 面向云数据库的Android应用风险评估方法. 信息与电脑(理论版). 2023(17): 177-179 . 百度学术
    8. 张皓. 基于深度学习的恶意软件动态检测方法研究. 电子技术与软件工程. 2022(03): 43-46 . 百度学术
    9. 刘光源. 基于DoI-RNNs模型的恶意软件动态检测方法. 信息与电脑(理论版). 2022(23): 38-40 . 百度学术

    其他类型引用(6)

    • 资源附件(0)
计量
  • 文章访问数:  557
  • HTML全文浏览量:  1
  • PDF下载量:  351
  • 被引次数: 15
出版历程
  • 发布日期:  2021-10-31

目录

摘要
HTML全文
    参考文献(0)
    相关文章
    施引文献(15)
    资源附件(0)

    /

    返回文章
    返回
    邮件订阅 RSS
    微信订阅号<br/>(实时资讯)

    微信订阅号
    (实时资讯)

    微信服务号<br/>(同步网站)

    微信服务号
    (同步网站)

    微信视频号<br/>(视频分享)

    微信视频号
    (视频分享)

    CCF<br/>(扫码入会)

    CCF
    (扫码入会)

    版权所有 © 《计算机研究与发展》编辑部

    本系统由北京仁和汇智信息技术有限公司开发  百度统计