Page 299 - 《软件学报》2025年第7期

P. 299

3220 软件学报 2025 年第 36 卷第 7 期

低, 而在 2015–2018 年间精确率较低, 召回率较高, 此类现象可能与安卓生态环境的变化 [38] 相关. 相比之下, DroidSA
始终能将各项指标稳定地维持在高水平, 受到时间变化的影响较小.

表 4 对同一时间段内开发的恶意软件的检测能力 (%)

MaMaDroid MalScan DroidSA-RF
年份
Acc Pre Rec F1 Acc Pre Rec F1 Acc Pre Rec F1
2012 89.6 91.8 87.5 89.6 92.1 99.4 85.0 91.6 96.8 99.5 94.2 96.8
2013 89.2 90.2 88.1 89.1 88.6 98.0 78.8 87.4 95.8 97.0 94.6 95.8
2014 91.6 91.5 91.7 91.6 90.3 97.6 82.7 89.5 96.5 98.4 94.6 96.5
2015 93.2 93.9 92.4 93.2 91.6 89.1 94.8 91.9 96.5 98.7 94.1 96.4
2016 94.5 94.8 94.1 94.4 90.9 87.9 95.0 91.3 96.4 98.7 93.9 96.3
2017 94.7 95.6 93.8 94.7 91.4 90.2 92.9 91.5 97.0 98.7 95.3 97.0
2018 96.0 96.3 95.6 96.0 93.0 90.6 96.1 93.2 97.8 98.7 97.0 97.8
平均 92.7 93.4 91.9 92.7 91.1 93.3 89.3 90.9 96.7 98.5 94.8 96.7
DroidSA-SVM DroidSA-1NN DroidSA-3NN
年份
Acc Pre Rec F1 Acc Pre Rec F1 Acc Pre Rec F1
2012 95.5 96.1 95.2 95.6 95.8 95.6 96.3 95.9 95.7 96.7 94.8 95.7
2013 95.2 94.8 95.7 95.2 95.4 95.5 95.3 95.4 95.6 97.4 93.7 95.5
2014 95.6 96.8 94.3 95.6 95.4 95.3 95.6 95.4 95.5 96.3 94.6 95.5
2015 95.1 96.0 94.1 95.0 96.1 96.1 96.2 96.1 95.8 96.1 95.4 95.7
2016 95.5 95.6 95.3 95.4 94.7 92.7 97.0 94.8 95.8 96.1 95.5 95.8
2017 96.7 97.1 96.4 96.7 96.6 96.5 96.8 96.7 96.5 96.7 96.4 96.5
2018 97.3 97.4 97.1 97.3 97.5 97.0 98.0 97.5 97.5 97.2 97.7 97.5
平均 95.8 96.3 95.4 95.8 95.9 95.5 96.5 96.0 96.1 96.6 95.4 96.0

6.3 观念迁移样本检测
通过设计 3 个实验场景评估 DroidSA 对进化后恶意软件的检测能力. 选择 MaMaDroid、MalScan、AE-
[7,13] [7,12] [7]
MaMaDroid 和 AE-MalScan 作为对比方法. AE-MaMaDroid 和 AE-MalScan 分别代表使用 APIGraph 对
MaMaDroid 和 MalScan 的增强. APIGraph 是一种对恶意软件分类器的增强方法, 使用聚类时得到的 API 聚类中
心代替特征向量中的 API, 能延缓分类器的老化速度.
● 场景 1 (Scenario A) 使用 2012–2013 年的软件进行十折交叉验证, 获得 10 个训练好的分类器, 分别对
2014–2018 年开发的恶意软件进行检测, 取 10 次检测结果的平均值. 结果如图 6(a) 所示.

100 100 100
90 90
90
80
80
70 70 80
F1 (%) 60 F1 (%) F1 (%) 70
50 DroidSA 60 DroidSA DroidSA
MaMaDroid 50 MaMaDroid MaMaDroid
40 MalScan MalScan 60 MalScan
AE-MaMaDroid 40 AE-MaMaDroid AE-MaMaDroid
30
AE-MalScan AE-MalScan 50 AE-MalScan
20 30
训练集 2014 2015 2016 2017 2018 训练集 2015 2016 2017 2018 训练集 2016 2017 2018
年份年份年份
(a) Scenario A (b) Scenario B (c) Scenario C
图 6 不同方法对观念迁移样本的检测能力

● 场景 2 (Scenario B) 使用 2013–2014 年的软件进行十折交叉验证, 获得 10 个训练好的分类器, 分别对 2015–
2018 年开发的恶意软件进行检测, 取 10 次检测结果的平均值. 结果如图 6(b) 所示.

294 295 296 297 298 299 300 301 302 303 304