可解释的 Android 恶意应用

智能检测方法研究
特征提取工作
除了权限和意图以外，还有哪些静态特征？
（1） Activity 活动。“活动”为用户提供了一个图形窗口，用于操作，如按钮、文本块、
输入块等。用户通过点击这些元素与应用程序进行交互。活动通常充当用户和应用程序功
能之间的中间层，负责传达用户意图
（2）Service 服务。服务通常用于后台耗时的逻辑处理，因此许多恶意行为与服务相关，
因为它对用户不可见。服务不在单独的进程中运行，而是取决于创建服务的应用程序进程
（3）Boradcast Reciever 广播接收机。作为一种在应用程序之间传输信息的广泛使用的机
制，广播接收器通常被恶意软件开发人员用来监视与敏感信息相关的各种事件广播接收器
过滤、接收和响应传出的广播广播接收器允许Android应用程序响应外部事件，例如打开手
机、接收短信或电话
（4）Content Provider 内容提供商。内容提供商可能会帮助Android恶意软件实施恶意行为，
以获得共享数据的权限。内容提供商支持在多个应用程序中存储和读取数据，作为应用程
序的数据库，因此它允许恶意软件开发人员访问暴露的数据，如联系人簿和消息
特征工程——两阶段
• 特征提取：直接从 androidmanifest 文件中提取权限等特征，重点
从 smali 文件（源码）提取 API 调用
• 特征处理（数据预处理）
使用什么特征？
Significant Permission Identification for Android Malware Detection ：
我们的方法不是分析所有 135 个 Android 权限，而是通过挖掘权限数据来应用三级修剪，以仅识别能够有
效区分良性和恶意应用的重要权限。基于识别出的重要权限， SigPID 利用分类算法对恶意软件和良性应
用的不同家族进行分类。我们的评估发现，只有 25% 的权限（ 135 个权限中的 34 个）是重要的
恶意家族分类
• 例如 simhash 与 FalDroid ：对于同一家族的恶意代码，代码中的
有效信息非常相似。
恶意检测方法——如何实现可解释性？
第一类是基于数据的可解释性，通常称为深度模型解释，是最容易想到的一种方法，
也是很多论文里面经常涉及的一类技术；主要是基于数据分析和可视化技术，实现
深度模型可视化，直观展示得到模型结果的关键依据。

第二类是基于模型的可解释性，这类方法也称为可解释模型方法，主要是通过构建
可解释的模型，使得模型本身具有可解释性，在输出结果的同时也输出得到该结果
的原因。

第三类是基于结果的可解释性，此类方法又称为模型归纳方法，思路是将已有模型
作为一个黑盒，根据给定的一批输入和对应的输出，结合观察到模型的行为，推断
出产生相应的结果的原因，这类方法的好处是完全与模型无关，什么模型都可以用。
数据集