Android, the most popular mobile operating system, has attracted millions of users around the world. Meanwhile, the number of new Android malware instances has grown exponentially in recent years. On the one hand, existing Android malware detection systems have shown that distilling the program semantics into a graph representation and detecting malicious programs by conducting graph matching are able to achieve high accuracy on detecting Android malware. However, these traditional graph-based approaches always perform expensive program analysis and suffer from low scalability on malware detection. On the other hand, because of the high scalability of social network analysis, it has been applied to complete large-scale malware detection. However, the social-network-analysis-based method only considers simple semantic information (i.e., centrality) for achieving market-wide mobile malware scanning, which may limit the detection effectiveness when benign apps show some similar behaviors as malware. In this article, we aim to combine the high accuracy of traditional graph-based method with the high scalability of social-network-analysis--based method for Android malware detection. Instead of using traditional heavyweight static analysis, we treat function call graphs of apps as complex social networks and apply social-network--based centrality analysis to unearth the central nodes within call graphs. After obtaining the central nodes, the average intimacies between sensitive API calls and central nodes are computed to represent the semantic features of the graphs. We implement our approach in a tool called IntDroid and evaluate it on a dataset of 3,988 benign samples and 4,265 malicious samples. Experimental results show that IntDroid is capable of detecting Android malware with an F-measure of 97.1% while maintaining a True-positive Rate of 99.1%. Although the scalability is not as fast as a social-network-analysis--based method (i.e., MalScan ), compared to a traditional graph-based method, IntDroid is more than six times faster than MaMaDroid . Moreover, in a corpus of apps collected from GooglePlay market, IntDroid is able to identify 28 zero-day malware that can evade detection of existing tools, one of which has been downloaded and installed by more than ten million users. This app has also been flagged as malware by six anti-virus scanners in VirusTotal, one of which is Symantec Mobile Insight .

中文翻译：

---

智能机器人

Android 是最受欢迎的移动操作系统，已经吸引了全球数百万用户。与此同时，近年来，新的 Android 恶意软件实例数量呈指数级增长。一方面，现有的Android恶意软件检测系统表明，将程序语义提炼成图表示并通过进行图匹配来检测恶意程序能够实现Android恶意软件检测的高精度。然而，这些传统的基于图的方法总是执行昂贵的程序分析，并且在恶意软件检测方面的可扩展性低。另一方面，由于社交网络分析的高扩展性，它已被应用于完成大规模的恶意软件检测。然而，基于社交网络分析的方法只考虑简单的语义信息（即，中心性）用于实现市场范围内的移动恶意软件扫描，当良性应用程序显示一些与恶意软件相似的行为时，这可能会限制检测效果。在本文中，我们旨在将传统基于图的方法的高精度与基于社交网络分析的 Android 恶意软件检测方法的高可扩展性相结合。我们没有使用传统的重量级静态分析，而是将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 当良性应用程序显示一些与恶意软件相似的行为时，这可能会限制检测效果。在本文中，我们旨在将传统基于图的方法的高精度与基于社交网络分析的 Android 恶意软件检测方法的高可扩展性相结合。我们没有使用传统的重量级静态分析，而是将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 当良性应用程序显示一些与恶意软件相似的行为时，这可能会限制检测效果。在本文中，我们旨在将传统基于图的方法的高精度与基于社交网络分析的 Android 恶意软件检测方法的高可扩展性相结合。我们没有使用传统的重量级静态分析，而是将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 我们的目标是将传统基于图的方法的高精度与基于社交网络分析的 Android 恶意软件检测方法的高可扩展性相结合。我们没有使用传统的重量级静态分析，而是将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 我们的目标是将传统基于图的方法的高精度与基于社交网络分析的 Android 恶意软件检测方法的高可扩展性相结合。我们没有使用传统的重量级静态分析，而是将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 我们将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法 我们将应用程序的函数调用图视为复杂的社交网络，并应用基于社交网络的中心性分析来挖掘调用图中的中心节点。在获得中心节点后，计算敏感 API 调用与中心节点之间的平均亲密度来表示图的语义特征。我们在一个名为的工具中实现我们的方法智能机器人并在包含 3,988 个良性样本和 4,265 个恶意样本的数据集上对其进行评估。实验结果表明智能机器人能够以 97.1% 的 F 值检测 Android 恶意软件，同时保持 99.1% 的真阳性率。尽管可扩展性不如基于社交网络分析的方法快（即，恶意扫描)，与传统的基于图的方法相比，智能机器人比快六倍以上妈妈机器人. 此外，在从 GooglePlay 市场收集的应用程序语料库中，智能机器人能够识别 28 个可以逃避现有工具检测的零日恶意软件，其中一个已被超过一千万用户下载和安装。该应用程序还被 VirusTotal 中的六个反病毒扫描程序标记为恶意软件，其中一个是赛门铁克移动洞察.