基于图卷积神经网络的抗混淆安卓恶意软件检测

作     者：齐蒙 

作者单位：华中科技大学 

学位级别：硕士

导师姓名：邹德清

授予年度：2023年

学科分类：08[工学] 0839[工学-网络空间安全] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 081202[工学-计算机软件与理论] 

主      题：安卓恶意软件 图卷积神经网络 抗混淆 函数调用图 抽象API 

摘      要：安卓操作系统作为移动设备上最广泛使用的开放源代码操作系统,具有着丰富的应用市场与客户人群,但其普及率与快速的增长也为恶意软件的发展提供了温床。在当前已被研究者提出的恶意软件检测技术中,忽视程序语义而直接提取简单程序特征的方法检测速度快但精确度不理想,将程序语义转换为图模型并采用图分析的方法精确度高但开销大且扩展性低。因此,设计出一种精度高、检测速度快且最好能抗混淆的安卓恶意软件检测方法是一个非常重要的研究课题。针对以上问题,Sri Droid采用了图卷积神经网络,实现了对安卓恶意软件的抗混淆检测。首先,通过静态分析提取出安卓应用程序的函数调用图从而保留应用的程序语义,然后采用抽象API技术将函数转化成对应的类、包或者家族,以此构建成更为简单的抽象图从而减少运行开销并增强鲁棒性。基于得到的抽象图,构建基于图卷积神经网络的分类器,通过聚合邻居特征提升检测的准确性,并通过引入Triplet Loss对比损失使得Sri Droid在抵抗代码混淆方面具有更强的鲁棒性。经过对20246个安卓应用的实验分析,实验结果表明Sri Droid可以达到99.17%的恶意软件检测精确度,并在对抗代码混淆的实验测试中达到97.4%的召回率。相较于现有的安卓恶意软件检测方法,Sri Droid具有最高的检测精度、最快的检测速度和最好的抗混淆能力。