InterDroid: An Interpretable Android Malware Detection Method for Conceptual Drift
-
摘要: 针对Android恶意软件检测存在特征引入过程主观性高、特征选择过程可解释性差、训练模型检测效果不具备时间稳定性的问题,提出了一种面向概念漂移的可解释性Android恶意软件检测方法InterDroid,该方法首先通过高质量的人工Android恶意软件分析报告引入权限、API包名、意图、Dalvik字节码4种特征.并通过自动化机器学习算法TPOT(tree-based tipeline optimization tool)获得InterDroid训练及对比算法,从而摒弃传统方法中繁复的模型选择与参数调整过程.其后,融入模型解释算法SHAP(shapley additive explanations)改进传统的特征包装方法,从而获得对分类结果具有高贡献度的特征组合用于检测模型训练.最后,通过曼-惠特尼U(Mann-Whitney U, MWU)与机器学习模型的双重检验证明概念漂移现象在Android恶意软件检测中的存在性.并基于联合分布适配(joint distribution adaptation, JDA)算法提高检测模型对新时期Android恶意软件的检测准确率.实验表明:InterDroid筛选出的特征组合具备稳定性与可解释性.同时,InterDroid中的特征迁移模块可将自身对2019年、2020年新兴Android恶意软件的检测准确率分别提高46%,44%.
-
关键词:
- Android恶意软件检测 /
- 可解释性 /
- 概念漂移 /
- 特征迁移 /
- 自动化机器学习
Abstract: Aiming at the problems in Android malware detection, which are high subjectivity of feature definition, poor interpretability of feature selection process, and lack of temporal instability of training model detection accuracy, an interpretable Android malware detection method for concept drift called InterDroid is proposed. Firstly, four characteristics of the detection model: permission, API package name, intention and Dalvik bytecode are inferred through the high-quality artificial Android malware analysis report. And InterDroid training and comparison algorithm are obtained through automatic machine learning algorithm TPOT (tree-based tipeline optimization tool), thus abandoning the complicated process of model selection and parameter adjustment in traditional methods. After that, the traditional feature wrapper method is improved by integrating the model interpretation algorithm SHAP (shapley additive explanations), and the feature set with high contribution to the classification results is obtained for detection model training. Finally, the existence of concept drift in Android malware detection is proved by the double tests of MWU(Mann-Whitney U) and machine learning model. Based on the JDA(joint distribution adaptation), the accuracy of the detection model for Android malware in the new era is improved. The experimental results show that the feature screened by InterDroid is stable and interpretable. At the same time, the feature-representation transfer module in InterDroid can improve the detection accuracy of Android malware in 2019 and 2020 by 46% and 44%. -
-
期刊类型引用(20)
1. 马行坡,闫梦凡,闵洁,殷明. 一种基于“云-边”协同计算的新安全联邦学习方案. 信阳师范大学学报(自然科学版). 2025(01): 66-71 . 
百度学术
2. 白静,许建军,张龙昌. 随机供需云环境中应用提供商收益驱动的最优资源协同配置策略. 信息系统学报. 2025(01): 105-127 . 百度学术
3. 何涵,刘鹏,赵亮,王青山. 无人机任务卸载与充电协同优化. 工程科学与技术. 2024(01): 99-109 . 百度学术
4. 朱思峰,蔡江昊,柴争义,孙恩林. 车联网边缘场景下基于免疫算法的计算卸载优化. 吉林大学学报(工学版). 2024(01): 221-231 . 百度学术
5. 陈晶腾,陈芳. 分布式新能源接入的配电网降损技术研究. 自动化与仪器仪表. 2024(06): 291-295 . 百度学术
6. 白静,张龙昌. 云应用提供商收益驱动的最佳云资源配置策略. 计算机集成制造系统. 2024(07): 2495-2505 . 百度学术
7. 冯起,薛喜红,任龙,冯英. 考虑云端距离的科技服务边缘计算资源均衡调度算法. 自动化技术与应用. 2024(08): 95-98+104 . 百度学术
8. 纪雯,杨哲铭,王智,郭斌,沈博. 视觉端边云融合架构:面向超级智慧城市群演进的关键技术. 中国科学:信息科学. 2024(11): 2518-2532 . 百度学术
9. 赵璞,肖人彬. 基于自组织劳动分工的边云协同任务调度与资源缓存算法. 控制与决策. 2023(05): 1352-1362 . 百度学术
10. 唐续豪,刘发贵,王彬,李超,蒋俊,唐泉,陈维明,何凤文. 跨云环境下任务调度综述. 计算机研究与发展. 2023(06): 1262-1275 . 本站查看
11. 原静,孙骏. 基于边缘计算的智能电网数据调度与快速分发方法. 信息与电脑(理论版). 2023(06): 226-229 . 百度学术
12. 刘鲤君,丁红,祁鸿燕,杜丽华,孙艳丽,姜宁. PaaS架构后端管理平台的云边协同调度算法设计. 现代电子技术. 2023(16): 91-96 . 百度学术
13. 徐胜超. 基于混合蛙跳算法的容器云资源低能耗部署方法. 重庆邮电大学学报(自然科学版). 2023(05): 952-959 . 百度学术
14. 何卫刚,王晓敏. 多技术辅助的高可靠矿井通信网络框架. 陕西煤炭. 2023(06): 150-153 . 百度学术
15. 蒋伟进,孙永霞,朱昊冉,陈萍萍,张婉清,陈君鹏. 边云协同计算下基于ST-GCN的监控视频行为识别机制. 南京大学学报(自然科学). 2022(01): 163-174 . 百度学术
16. 周伟,谢志强. 考虑多工序设备权重的资源协同综合调度算法. 电子与信息学报. 2022(05): 1625-1635 . 百度学术
17. 李凌,陈曦,沈维捷,熊汉武,蔡冉冉. 面向电工装备智能监造的边缘缓存策略. 计算机与现代化. 2022(05): 61-67 . 百度学术
18. 关天柱. 基于随机优化的边缘网络任务资源协同传输调度机制. 长江信息通信. 2022(06): 59-61 . 百度学术
19. 邓勇琛,胡忠波,王素贞. 边缘计算环境下的任务调度综述. 河北省科学院学报. 2022(04): 1-7 . 百度学术
20. 王其朝,金光淑,李庆,王锴,杨祖业,王宏. 工业边缘计算研究现状与展望. 信息与控制. 2021(03): 257-274 . 百度学术
其他类型引用(28)
计量
- 文章访问数: 558
- HTML全文浏览量: 1
- PDF下载量: 351
- 被引次数: 48
下载:
