With the rapid development of mobile Internet, Android applications are used more and more in people’s daily life. While bringing convenience and making people’s life smarter, Android applications also face much serious security and privacy issues, e.g., information leakage and monetary loss caused by malware. Detection and classification of malware have thus attracted much research attention in recent years. Most current malware detection and classification approaches are based on graph-based similarity analysis (e.g., subgraph isomorphism), which is well known to be time-consuming, especially for large graphs. In this paper, we propose NSDroid, a time-efficient malware multi-classification approach based on neighborhood signature in local function call graphs (FCGs). NSDroid uses a approach based on neighborhood signature to calculate the similarity of different applications’ FCGs, which is significantly faster than traditional approaches based on subgraph isomorphism. For each node in the FCGs, NSDroid uses a fixed-length neighborhood signature to capture the caller-callee relationship between different functions and combines neighborhood signatures of all nodes to form a vector that characterizes the function call relationship in the whole application. The generated signature vector is fed into a SVM-based classifier to determine which family the malware belongs to. Experimental results on large-scale benchmarks show that, compared with state-of-the-art solutions, NSDroid reduces average detection latency by nearly \(20\times \), and meanwhile improves many evaluation index such as recall rate and others.

随着移动互联网的飞速发展，Android应用程序在人们的日常生活中越来越多地被使用。Android应用程序在带来便利和使人们的生活更加智能的同时，还面临着许多严重的安全和隐私问题，例如，信息泄漏和恶意软件造成的金钱损失。因此，近年来，恶意软件的检测和分类吸引了许多研究关注。当前，大多数恶意软件检测和分类方法都是基于基于图的相似性分析（例如，子图同构），众所周知，这非常耗时，特别是对于大型图。在本文中，我们提出了NSDroid，这是一种基于本地功能调用图（FCG）中邻域签名的省时的恶意软件多分类方法。NSDroid使用一种基于邻域签名的方法来计算不同应用程序FCG的相似度，这比基于子图同构的传统方法要快得多。对于FCG中的每个节点，NSDroid使用固定长度的邻域签名来捕获不同功能之间的呼叫者-被调用者关系，并组合所有节点的邻域签名以形成向量，该向量表征了整个应用程序中的函数调用关系。生成的签名向量被馈送到基于SVM的分类器中，以确定恶意软件属于哪个家族。大型基准测试的结果表明，与最新解决方案相比，NSDroid将平均检测延迟减少了近 这比基于子图同构的传统方法要快得多。对于FCG中的每个节点，NSDroid使用固定长度的邻域签名来捕获不同功能之间的呼叫者-被调用者关系，并组合所有节点的邻域签名以形成表征整个应用程序中函数调用关系的向量。生成的签名向量被馈送到基于SVM的分类器中，以确定恶意软件属于哪个家族。大型基准测试的结果表明，与最新解决方案相比，NSDroid将平均检测延迟减少了近 这比基于子图同构的传统方法要快得多。对于FCG中的每个节点，NSDroid使用固定长度的邻域签名来捕获不同功能之间的呼叫者-被调用者关系，并组合所有节点的邻域签名以形成向量，该向量表征了整个应用程序中的函数调用关系。生成的签名向量被馈送到基于SVM的分类器中，以确定恶意软件属于哪个家族。大型基准测试的结果表明，与最新解决方案相比，NSDroid将平均检测延迟减少了近 NSDroid使用固定长度的邻域签名来捕获不同功能之间的呼叫者-被调用者关系，并结合所有节点的邻域签名以形成向量，该向量表征了整个应用程序中的函数调用关系。生成的特征向量被馈送到基于SVM的分类器中，以确定恶意软件属于哪个家族。大规模基准测试的结果表明，与最新解决方案相比，NSDroid将平均检测延迟减少了近 NSDroid使用固定长度的邻域签名来捕获不同功能之间的呼叫者-被调用者关系，并结合所有节点的邻域签名以形成向量，该向量表征了整个应用程序中的函数调用关系。生成的签名向量被馈送到基于SVM的分类器中，以确定恶意软件属于哪个家族。大型基准测试的结果表明，与最新解决方案相比，NSDroid将平均检测延迟减少了近\（20 \ times \），同时提高了许多评估指标，如召回率等。