理解Android恶意软件检测中废弃权限引发的概念漂移

摘要

权限分析是Android恶意软件检测中广泛使用的方法，通过检查应用程序请求的权限来访问敏感数据或执行潜在恶意操作。近年来，各种机器学习算法已应用于基于权限特征的Android恶意软件检测，通常能实现高准确率。然而，这些研究大多忽略了保护级别以及Android系统更新导致的权限废弃或限制等重要因素——这些因素可能导致概念漂移。

在本研究中，我们调查了废弃和受限权限对机器学习模型性能的影响。使用包含166个权限的大型数据集，涵盖超过70,000个恶意软件和良性应用程序。采用多种机器学习和深度学习算法作为分类器，并结合不同的概念漂移检测策略。结果表明，Android权限是恶意软件检测的非常有效的特征，排除废弃和受限权限对模型性能影响有限。在某些情况下，如使用CNN时，准确率甚至有所提高。排除这些权限还通过逐年分析策略增强了概念漂移的检测。数据集平衡进一步提高了模型性能，减少了低准确率实例，并通过Kolmogorov-Smirnov检验增强了概念漂移检测。

评论

13页，9张图，5个表格，正在审稿中

主题

密码学与安全（cs.CR）；机器学习（cs.LG）

引用

arXiv:2507.22231 [cs.CR]