Page 288 - 《软件学报》2025年第7期

P. 288

软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn
2025,36(7):3209−3225 [doi: 10.13328/j.cnki.jos.007230] [CSTR: 32375.14.jos.007230] http://www.jos.org.cn
©中国科学院软件研究所版权所有. Tel: +86-10-62562563

*
基于 API 聚类和调用图优化的安卓恶意软件检测

杨宏宇 1,2 , 汪有为 2 , 张良 3 , 胡泽 1 , 姜来为 1 , 成翔 4

1
(中国民航大学安全科学与工程学院, 天津 300300)
2
(中国民航大学计算机科学与技术学院, 天津 300300)
3
(School of Information, The University of Arizona, Arizona 85721, USA)
4
(扬州大学信息工程学院, 江苏扬州 225127)
通信作者: 杨宏宇, E-mail: hyyang@cauc.edu.cn; 张良, E-mail: liangzh@arizona.edu;
胡泽, E-mail: zhu@cauc.edu.cn

摘要: 安卓操作系统和恶意软件的持续进化导致现有检测方法的性能随时间大幅下降. 提出一种基于 API 聚类
和调用图优化的安卓恶意软件检测方法 DroidSA (droid slow aging). 首先, 在恶意软件检测之前进行 API 聚类, 生
成代表 API 功能的聚类中心. 通过设计 API 句子概括 API 的名称、权限等重要特征并使用自然语言处理工具对
API 句子的语义信息进行挖掘, 获得更全面反映 API 语义相似性的嵌入向量, 使聚类结果更为准确. 然后, 为了确
保提取到更能准确反映软件行为逻辑的 API 上下文信息, 采用调用图优化方法对从待检测软件中提取的函数调用
图进行优化并得到优化后的调用图, 在删除图中难以识别的未知方法的同时保留 API 节点之间的连接性. 为了提
高对安卓框架和恶意软件变化的适应性, DroidSA 从优化后的调用图中提取函数调用对, 将调用对中的 API 抽象
为 API 聚类时获得的聚类中心. 最后, 使用独热编码生成特征向量, 并从随机森林、支持向量机和 K 近邻算法中选
择表现最好的分类器进行恶意软件检测. 实验结果表明, DroidSA 的恶意软件检测平均 F1 值为 96.7%; 在消除时间
偏差的实验设置下, 经 2012–2013 年的软件样本集合训练后, DroidSA 对 2014–2018 年的恶意软件样本的检测平
均 F1 值达到 82.6%. 与经典检测方法 MaMaDroid 和 MalScan 等相比, DroidSA 始终能将各项检测指标稳定地维持
在高水平且受到时间变化的影响较小, 能有效检测进化后的恶意软件.
关键词: 恶意软件检测; API 语义; 模型老化; 函数调用图; 机器学习
中图法分类号: TP311

中文引用格式: 杨宏宇, 汪有为, 张良, 胡泽, 姜来为, 成翔. 基于API聚类和调用图优化的安卓恶意软件检测. 软件学报, 2025,
36(7): 3209–3225. http://www.jos.org.cn/1000-9825/7230.htm
英文引用格式: Yang HY, Wang YW, Zhang L, Hu Z, Jiang LW, Cheng X. Android Malware Detection Based on API Clustering and
Call Graph Optimization. Ruan Jian Xue Bao/Journal of Software, 2025, 36(7): 3209–3225 (in Chinese). http://www.jos.org.cn/1000-
9825/7230.htm

Android Malware Detection Based on API Clustering and Call Graph Optimization
2
1,2
3
1
1
YANG Hong-Yu , WANG You-Wei , ZHANG Liang , HU Ze , JIANG Lai-Wei , CHENG Xiang 4
1
(School of Safety Science and Engineering, Civil Aviation University of China, Tianjin 300300, China)
2
(School of Computer Science and Technology, Civil Aviation University of China, Tianjin 300300, China)
3
(School of Information, The University of Arizona, Arizona 85721, USA)
4
(School of Information Engineering, Yangzhou University, Yangzhou 225127, China)
Abstract: As both Android frameworks and malware continue to evolve, the performance of existing malware classifiers degrades
significantly over time. This study proposes droid slow aging (DroidSA), a method for Android malware detection based on API clustering

* 基金项目: 国家自然科学基金 (62201576, U1833107); 江苏省基础研究计划 (BK20230558)
收稿时间: 2023-07-15; 修改时间: 2023-11-03; 采用时间: 2024-05-23; jos 在线出版时间: 2024-08-21
CNKI 网络首发时间: 2024-08-22

283 284 285 286 287 288 289 290 291 292 293