基于非用戶操作序列的惡意軟件檢測方法

羅文塽，曹天杰

(中國礦業大學 計算機科學與技術學院，江蘇 徐州 221116)(*通信作者電子郵箱luows@cumt.edu.cn)

0 引言

Android自2012年以來一直是最流行的移動操作系統，它以其開放性和實用性贏得了大多數人的喜愛[1]。由于其開放性等特點，Android的市場份額在2016年第三季度達到了86.8%，僅在中國國內，Android手機就賣出了多達4.25億部，占國內智能手機銷售量的81%。

近幾年，Android手機發展迅猛，Android平臺上的應用軟件數量日益增多，Android手機為用戶帶來了極大便利，但同時也為黑客提供了各種機會。由于Android系統的開源性以及市場自身制度的不完善，導致惡意軟件數量急劇增加[2]。McAfee Labs的一份報告中顯示，移動惡意軟件數量在2017年第一季度增長了37%[3]。Android惡意軟件數量一直處于上升階段，并且新的惡意軟件數量也在不斷增加。今天，雖然用戶享受了Android應用程序帶來的便利，但用戶的個人信息，如電話號碼、當前位置和聯系信息等，可能會被一些不良的應用程序開發商濫用。許多惡意的智能手機應用程序未經用戶許可竊取用戶信息，撥打電話，發送短信等，給用戶帶來了巨大的威脅。為了保護用戶，Android應用市場非常需要強大的分析工具來識別和刪除惡意應用，因此，如何有效地完成對惡意軟件的檢測已經成為了一項亟待解決的問題。

1 相關工作

近些年Android惡意軟件的檢測被越來越多的研究學者所關注，目前惡意軟件檢測工作主要分為靜態檢測和動態檢測[4]。

靜態分析是在不運行代碼的情況下，對應用程序進行反編譯,然后對其進行源代碼級的解析。Junaid等[5]提出了一個Dexteroid的靜態分析框架，它通過反向工程生命周期模型來捕獲Android組件的行為，導出事件序列并使用它們來檢測由特定事件序列發起的攻擊。Wu等[6]通過提取數據流相關的應用程序編程接口(Application Programming Interface， API)級特征，并采用機器學習方法進一步優化數據流相關的API列表進行惡意軟件檢測，該方法大幅度提高了敏感數據傳輸分析的效率，得到了97.66%的準確率。Arzt等[7]提出了一個靜態污點分析系統FlowDroid，通過構建一個過程間控制流圖，采用圖可達性分析來識別可能的隱私泄露路徑。Du等[8]提出了一種基于多源的方法來檢測Android惡意軟件，強調傳統的靜態特性、控制流圖和重打包的特點。每個類別的特征被視為特征提取規則建立和分類中的獨立信息源。使用Dempster-Shafer算法來融合這些信息源，以提高惡意軟件檢測的準確性，而不增加從反匯編代碼中提取的太多不穩定特性，并且在抗代碼混淆技術方面具有更好的性能。Guan等[9]提出了一個RepDetector的原型，該原型基于語義的方法來檢測重打包的應用程序。通過使用狀態流圖捕獲函數的輸入輸出狀態，以描述應用程序的語義行為，通過使用馬氏距離比較不同應用程序之間函數的相似度，從而進行惡意軟件識別，該方法可以有效地檢測出重打包的應用程序，并且可以容忍某些噪聲插入或復雜的混淆，因此具有抗混淆性。Feizollah等[10]提出了AndroDialysis，一個分析兩種不同類型的Intent對象的系統。該系統評估顯式和隱式Android Intents的有效性，作為識別惡意應用程序的一個顯著特征。實驗結果表明Intents擁有語義豐富的特征，與其他特征如權限相比，能夠對惡意軟件的意圖進行編碼，具有更快、更好的惡意軟件檢測效果。Wang等[11]提出了一個DroidChain的原型系統，通過結合靜態分析和行為鏈模型，使用矩陣理論Wxshall-extend來計算可達性矩陣從而進行惡意軟件檢測。

動態分析通過在受控環境中運行應用程序并監視其行為來完成惡意軟件的檢測。動態檢測使用的技術手段主要是軟件行為監控，從而得到軟件的行為信息。Xiao等[12]使用系統調用序列來區分惡意軟件。通過跟蹤在不同事件下的應用程序的系統調用，使用兩個不同的特征模型頻率向量和共生矩陣，從系統調用序列中提取特征，并應用重力向量的自適應正則化和其他機器學習算法，分別基于上述兩個模型來識別Android惡意軟件。實驗結果表明，共生矩陣具有更好的檢測率。Enck等[13]提出TaintDroid，目的是跟蹤隱私敏感數據流，并監視應用程序如何訪問和操縱用戶個人數據，以便檢測敏感數據何時通過不受信任的應用程序離開系統。孫潤康等[14]分析了當前Android惡意軟件特征，提出了一種Android軟件行為動態監控框架，并通過采用信息增益、卡方檢驗和Fisher Score的特征選擇方法評估了支持向量機、決策樹、k-近鄰和樸素貝葉斯分類器在Android惡意軟件分類檢測方面的有效性。Feng等[15]提出了一個SCDFLOW(Selecting Critical Data Flows)系統，該系統通過特征選擇算法CFlowSel，基于每個流的頻率差來自動選擇Android應用程序中的關鍵數據流，并將這些關鍵數據流作為異常行為檢測特征，通過關鍵數據流進行惡意軟件識別。

靜態檢測可以對軟件進行全面分析，并且檢測速度較快，但對未知惡意軟件的檢測具有一定滯后性。動態檢測準確率較高，但同時檢測成本也較高，檢測時間較長，且無法覆蓋程序中的所有路徑。本文采用靜態檢測的方法。對于智能手機惡意軟件的靜態檢測主要是針對應用程序中敏感數據傳輸的檢測，即用戶的隱私數據是否離開設備。然而，在這個時代，許多良性的應用程序通常需要收集敏感數據，如位置、聯系人來提供給用戶更多的功能和服務。云的出現，使得大多數應用程序的數據向云端發送；同時，竊取用戶數據的惡意應用程序也可能表現出相同的行為，使用戶的隱私信息遭到泄露，這大幅度增加了通過敏感數據傳輸的檢測來識別惡意應用程序的難度，因此，敏感數據的傳輸本身可能不表示真正的隱私泄露。本文提出了一種靜態的惡意軟件檢測方法，通過提取API調用信息，構建應用程序的函數調用流程圖，提取出其中的非用戶操作序列進行惡意軟件檢測，并通過不斷更新惡意行為庫的方式來解決對未知惡意軟件的檢測的滯后性問題。

2 相關概念

2.1 敏感API

應用程序的字節碼中包含應用程序的代碼等信息，如API調用信息。應用程序使用這些API函數完成應用程序所需功能，如獲取手機的個人信息，發送短信、撥打電話等；同樣惡意軟件也需通過調用API函數來完成相應的惡意行為。所以，利用API調用信息，可以間接地推斷出應用程序的行為和意圖，尤其是那些權限受到保護的API調用函數。敏感API只占API總數的一小部分，然而，通過它們，惡意軟件可以訪問敏感信息或執行敏感任務。為了識別惡意軟件，本文重點關注受Android權限管理的部分敏感API。

2.2 函數調用流程

函數調用流程圖表示了應用程序中函數的調用關系，函數之間的調用關系反映了應用程序的行為，本文使用它將給定的應用程序轉換為圖形表示，即函數調用流程圖，其中包含必要的結構信息來描述應用程序的行為。

通過使用反編譯工具對應用程序進行反編譯得到應用程序的字節碼文件，從中捕獲應用程序中函數之間的調用關系。它可以表示為有向圖G=(V，E)。V={vi|1≤i≤n}表示給定應用程序調用的函數集合，其中每個vi∈V對應一個函數名稱。E?V×V表示函數調用集合，其中邊(vi，vj)∈E表示從調用函數vi到被調用函數vj存在一個調用，vi是調用函數，vj是被調用函數。

2.3 非用戶操作序列

Android應用程序經常在不經過用戶同意的情況下，將用戶的隱私數據傳輸到未知目的地。尤其是在云的出現后，許多良性的應用程序提供從云到終端用戶的服務，這些應用程序通常需要收集用戶的隱私數據發送到云以完成應用程序的某些功能。同時，惡意應用程序利用云作為中介進行用戶的隱私數據的竊取。所以，敏感數據的傳輸本身不能表示真正的隱私泄露。本文將非用戶意圖的敏感數據傳輸視為隱私泄露，而用戶意圖的敏感數據傳輸視為正常行為，因此，使用非用戶操作序列的方式進行惡意軟件檢測。

1)用戶意圖的數據傳輸。為了使用應用程序提供的一些功能，用戶經常通過應用程序發送其移動終端的隱私信息。例如，當使用信息管理應用時，用戶可以通過在觸摸屏上點擊幾個按鈕來將信息轉發到第三方。當使用地圖等基于位置的應用程序時，用戶通常會發送其所在的位置得到用戶想要獲取的一些信息。由于應用程序獲取用戶隱私信息是在用戶知情且與用戶意圖一致的情況下，所以本文不應將這種傳輸視為隱私泄漏。

2)非用戶意圖的數據傳輸。應用程序在未經用戶的許可下對用戶的隱私數據進行傳輸被定義為非用戶意圖的數據傳輸或隱私泄漏。在大多數情況下，用戶不知道這種傳輸，因為惡意應用程序總是以隱身的方式這樣做。

3)非用戶操作序列。本文將應用程序的所有函數調用流程中不存在用戶操作的序列定義為非用戶操作序列。本文通過提取應用程序中的API調用信息構建應用程序的函數調用流程圖，刪除函數流程圖中的用戶操作調用序列，進一步提取出其中的非用戶操作序列。

2.4 編輯距離

編輯距離(Edit Distance)，又稱Levenshtein距離，是指兩個字符串之間由一個轉成另一個所需的最少編輯操作次數。編輯操作包括將一個字符替換成另一個字符、插入一個字符、刪除一個字符。編輯距離越小，兩個字符串的相似度越大。為了計算出兩個非用戶操作序列的相似度，本文通過計算兩個非用戶操作序列之間的編輯距離從而得到序列之間的差異度，進行相似度判斷。本文通過替換、插入、刪除操作求出兩個序列的最小編輯距離。

3 本文惡意軟件檢測方法的實現

本文惡意軟件檢測方法如圖1所示，主要由敏感API的選取、非用戶操作序列的提取、非用戶操作序列之間的相似性度量以及惡意軟件的檢測識別四部分組成。

該檢測方法的主要工作步驟如下：

1)通過使用Androguard分析工具對應用程序進行反編譯，提取出其中的API調用信息。對惡意樣本中使用的API進行統計分析，提取出其中在惡意樣本中使用頻率較高的API作為敏感API。

2)對訓練樣本進行API調用信息提取，并以其所調用的API函數為核心構建樣本的函數調用流程圖，提取出函數調用圖中的非用戶操作序列作為惡意軟件檢測的惡意行為庫。

3)通過對待檢測樣本進行反編譯，提取出其中的敏感API，構建函數流程圖，并提取出樣本中的非用戶操作序列。采用編輯距離算法計算待檢測樣本的非用戶操作序列與惡意行為庫的差異度。

4)將計算出來的差異度值與設定的閾值相比較來進行惡意軟件檢測。如果待檢測樣本與惡意行為庫的差異度小于或等于該閾值，則判定該檢測樣本為惡意軟件；否則為正常樣本。

3.1 敏感API的選取

Android平臺提供了一些API，應用軟件可用這些函數與底層Android系統進行交互。這些API涉及收集用戶的私人信息或系統信息，訪問Web服務，發送和刪除手機短信服務(Short Message Service， SMS)消息，錄音，訪問和閱讀內容提供商等。例如：“getLine1Number()”函數用于獲取用戶手機號碼，造成用戶手機號碼泄露；“getDeviceId()”函數用于獲取設備Id，造成設備IMEI泄露。本文以統計方式通過對實驗樣本中用到的API進行分析以確定惡意軟件經常使用的敏感API，如表1所示。

表1 敏感API

3.2 非用戶操作序列的提取方法

由于良性軟件和惡意軟件都會對用戶的敏感信息進行操作，因此敏感信息的傳輸本身可能不代表真正的隱私泄露，但通常用戶不希望應用程序在不知情的情況下對隱私信息進行操作，所以敏感數據是否經用戶操作來進行傳輸可用來作為識別惡意行為的一個指標。因此，本文中重點研究未經用戶操作的敏感信息傳輸是否存在惡意行為，進而判斷其是否為惡意軟件。函數之間的調用關系反映了應用程序的行為，本文使用函數調用圖來表示應用程序的函數調用關系，進而從中提取應用程序的非用戶操作序列，進行惡意軟件行為識別。

本文通過使用Androguard分析工具對Android安裝包(Android Package， APK)進行反編譯，提取出API調用信息。以其所調用的敏感API函數為核心構建應用程序的函數調用流程圖。對于調用了敏感API的函數，采用向后遍歷調用圖以查找可能觸發它的所有事件。在所有觸發事件中通過KMP(Knuth-Morris-Pratt)算法搜索是否存在用戶操作。在本文中將所有觸發事件的操作序列作為主串，用戶操作作為模式串進行用戶操作序列匹配，從而查找是否存在非用戶操作序列，流程如圖2所示。

3.2.1 函數調用圖的構建

本文通過廣度優先遍歷構建每個敏感API函數的函數調用流程圖，并將所有流程圖合并為應用程序的完整函數流程圖，構建函數調用流程圖的具體步驟如下：

1)對于應用程序調用的每個敏感API函數，采用廣度優先遍歷的方式，獲得該敏感API函數所調用的函數集合以及被調用的函數集合，形成該敏感API函數的函數調用關系圖。

2)對圖中每個函數分別提取其所調用的函數的集合以及被調用的函數集合插入圖中，重復遍歷直至應用程序中的所有函數均已被遍歷或程序流程結束。

3)將應用程序的每個敏感API函數調用關系圖進行合并，去除重復操作成為該應用程序的完整函數調用關系圖。

圖2 非用戶操作序列提取流程

在上述過程中生成的函數調用流程圖，每個節點代表一個函數，每條邊代表函數之間的先后調用關系。本文采用給節點編號的方式來表示一個應用程序的函數調用流程圖，以方便后續生成的非用戶操作序列之間進行比較，從而得出非用戶操作序列之間的差異度。如惡意樣本在獲取設備ID和發送信息中所調用的敏感API函數getDeviceId()和sendTextMessage()生成的函數流程如圖3所示，其在生成惡意樣本的整體函數調用流程圖的過程中刪除重復節點，最終形成如圖4所示的函數調用流程。

圖3 惡意樣本中敏感API函數調用流程

3.2.2 非用戶操作序列的提取

本文通過采用向后遍歷調用圖以查找函數調用流程圖中可能觸發敏感API函數的所有事件。在所有觸發事件中通過KMP算法搜索是否存在用戶操作，進而形成非用戶操作序列。提取非用戶操作序列的具體步驟如下：

1)將上述形成的應用程序函數調用流程圖采用從尾節點向后遍歷的方式查找可能觸發路徑中的敏感API函數的函數節點。

2)在所有觸發事件中通過KMP算法搜索是否存在用戶操作。若存在用戶操作，則在函數調用流程圖中刪除該路徑，若與其他路徑存在共同部分，則刪除其余部分路徑以保證其他路徑的完整性。

3)重復遍歷上述操作直至所有路徑均以被遍歷。函數調用流程圖中的所有路徑形成操作序列，最終形成應用程序的非用戶操作序列集合。

在上述過程中，每個非用戶操作序列代表該序列中敏感API函數的函數調用流程，通過將該敏感API函數的函數調用序列與惡意行為庫中相同敏感API函數下的函數調用序列進行對比，從而判斷該應用程序是否存在惡意行為。

3.3 非用戶操作序列的相似性度量方式

本文以敏感API函數調用的非用戶操作序列為特征，計算應用程序與惡意軟件的相似性，也就是計算相同敏感API函數調用的非用戶操作序列的相似性。本文采用編輯距離來計算操作序列的相似性。

設str1，str2為需要比較的兩個非用戶操作序列，為了計算兩個非用戶操作序列之間編輯距離，本文通過替換、插入、刪除操作求出兩個序列的最小編輯距離，因此，兩個非用戶操作序列的編輯距離為：

其中：d[i-1,j]+1代表str2插入一個操作所需代價，d[i,j-1]+1代表字符串str1刪除一個操作所需代價。當xi=yj時，表示兩個操作相同，所以與d[i-1,j-1]代價相同；否則代價加1，d[i,j]為以上三者中代價最小的一項。在本文的實驗中，本文將兩個非用戶操作序列的長度分別定義為n，m，則兩個非用戶操作序列的差異度定義為兩個序列的編輯距離之和與兩個序列長度的比值，即：

在上述計算兩個非用戶操作序列相似性的過程中，兩個序列的編輯距離越小，差異度就越小，相似性越大；反之，編輯距離越大，差異度就越大，相似性越小。

3.4 惡意軟件的識別

通過上述的相似性度量方法，計算待檢測樣本中每個敏感API函數的非用戶操作序列與惡意行為庫中相同敏感API函數的非用戶操作序列之間的差異度值，將該差異度值與設定的閾值進行比較，當待檢測樣本與惡意行為庫的差異度值小于或等于該閾值，則判定該樣本為惡意軟件；否則為正常樣本。

4 實驗與分析

4.1 實驗樣本

為了對本文的方法進行驗證，從VirusShare和Google官網獲得1 500個樣本，其中有1 200個惡意樣本和300個正常樣本。首先把收集的1 200個惡意軟件分為兩部分，其中70%用于訓練作為樣本數據集；另外的30%作為檢測數據集。通過殺毒軟件對從Google收集的300個應用程序進行檢測確保實驗的準確性。

4.2 度量指標

1)召回率(recall rate)。惡意軟件被正確地檢測為惡意軟件的數量在所有惡意軟件中的比例：

recall_rate=TP/(TP+FN)

2)漏報率(false negative rate)。惡意軟件被錯誤地檢測為良性軟件的數量在所有惡意軟件中的比例。

false_negative_rate=FN/(TP+FN)

3)準確率(precision rate)。良性軟件被正確地檢測為良性軟件的數量在所有良性軟件中的比例：

precision_rate=TN/(TN+FP)

4)誤報率(false positive rate)。良性軟件被錯誤地檢測為惡意軟件的數量在所有良性軟件中的比例：

false_positive_rate=FP/(TN+FP)

數值模型中，僅在A2和A3兩個控制孔內設置恒定控制水壓，以此改變煤體中孔隙壓力分布，形成非對稱的孔隙壓力場，如圖6所示。模型邊界荷載為定值，分別為8、12 MPa；控制水壓為一變量，分別為0～10 MPa，每個模型控制水壓相差2 MPa，煤、巖體各項參數見表1。模擬結果及分析如下。

5)正確率(accuracy)。被正確檢測的軟件的數量在所有軟件中比例：

accuracy=(TP+TN)/(TP+TN+FP+FN)

4.3 實驗結果

為了驗證本文提出的方法的有效性，本文應用收集的360個惡意樣本和300的正常樣本進行檢測，并與著名的Android惡意應用檢測工具Androguard和FlowDroid[7]進行對比。Androguard惡意應用檢測工具是一個Android惡意軟件靜態檢測工具，該檢測方法可以查看應用程序使用權限，獲取應用程序中的所有方法，獲取調用某個特殊API的方法信息以及獲取應用程序的整體函數調用流程，通過靜態分析應用程序代碼檢測惡意應用程序。

本文通過對惡意樣本進行逆向分析，提取出惡意樣本中的權限和API調用信息。以其所調用的API函數為核心構建惡意樣本的函數調用流程圖，進而獲取惡意樣本的非用戶操作序列形成惡意行為庫。對上述待檢測樣本采用相同方法獲得每個API調用函數的非用戶操作序列并采用編輯距離算法計算待檢測樣本與惡意行為庫中的編輯距離，將計算出來的差異度值與設定的閾值作比較，進而判斷該檢測樣本是否為惡意軟件。本文選擇不同的閾值進行惡意軟件判斷，并對相應的檢測效果進行比較，結果如圖5～6所示。

圖5 不同閾值下的檢測成功率

綜合圖5～6可以看出，在閾值為0.07時，檢測總體正確率達到90.3%，此時本文提出的方法具有較好的檢測效果。對于應用程序的誤報和漏報情況，主要是由于一些應用仍然存在非用戶操作的隱私泄露，其中大多數應用程序是社交網絡服務(Social Networking Services， SNS)應用程序或具有嵌入式廣告模塊的應用程序。另一方面，惡意數據泄漏可能會隱藏在一些正常數據傳輸之中，以繞過最先進的安全驗證。

圖6 不同閾值下的漏報率和誤報率

將上述實驗中閾值為0.07的檢測結果與Androguard和FlowDroid進行比較，對樣本的檢測結果如表2所示。

由表2可以看出，本文所述的惡意軟件檢測方法與Androguard檢測方法相比在正常樣本檢測方面存在一些不足，但在惡意樣本檢測中相比Androguard檢測方法能夠檢測出更多的惡意軟件，檢測效果更優，比Androguard檢測方法在召回率上提升了30%。與FlowDroid檢測方法相比本文所述的檢測方法在正常樣本和惡意樣本檢測中召回率和準確率均有提升，在正常樣本檢測中準確率提升了10%，在惡意樣本檢測中召回率提升了4%。

表2 3種方法的對比結果

5 結語

本文通過提取API調用信息構建應用程序的函數調用流程圖，進一步提取出其中的非用戶操作序列，并通過判斷各非用戶操作序列的相似性來進行惡意軟件檢測。實驗結果表明，本文所提出的方法在閾值為0.07的條件下達到了90.8%的召回率和90.3%的正確率，具有較好的檢測結果。本文的檢測方法有夠有效地識別出惡意軟件，但在SNS應用程序和具有嵌入式廣告模塊的應用程序的檢測中存在一定的誤報。

References)

[1] 彭國軍,李晶雯,孫潤康,等.Android惡意軟件檢測研究與進展[J].武漢大學學報(理學版),2015,61(1):21-33.(PENG G J, LI J W, SUN R K, et al. Android malware detection research and development [J]. Journal of Wuhan University (Natural Science Edition), 2015, 61(1): 21-33.)

[2] 卿斯漢.Android安全研究進展[J].軟件學報,2016,27(1):45-71(QING S H. Research progress on Android security [J]. Journal of Software, 2016, 27(1): 45-71)

[3] McAfee Labs. McAfee labs threats report [EB/OL]. [2017- 06- 01]. https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun- 2017.pdf.

[4] FEIZOLLAH A, ANUAR N B, SALLEH R, et al. A review on feature selection in mobile malware detection [J]. Digital Investigation, 2015, 13: 22-37.

[5] JUNAID M, LIU D, KUNG D. Dexteroid: detecting malicious behaviors in Android apps using reverse-engineered life cycle models [J]. Computers & Security, 2016, 59: 92-117.

[6] WU S Y, WANG P, LI X, et al. Effective detection of android malware based on the usage of data flow APIs and machine learning [J]. Information and Software Technology, 2016, 75(C): 17-25.

[7] ARZT S, RASTHOFER S, FRITZ C, et al. FlowDroid: precise context, flow, field, object-sensitive and lifecycle-aware taint analysis for android apps [C]// PLDI 2014: Proceedings of the 35th ACM SIGPLAN Conference on Programming Language Design and Implementation. New York: ACM, 2014: 259-269.

[8] DU Y, WANG X Q, WANG J F. A static Android malicious code detection method based on multi-source fusion [J]. Security & Communication Networks, 2015, 8(17): 3238-3246.

[9] GUAN Q, HUANG H, LUO W, et al. Semantics-based repackaging detection for mobile apps [C]// ESSoS 2016: Proceedings of the 2016 International Symposium on Engineering Secure Software and Systems. Berlin: Springer, 2016: 89-105

[10] FEIZOLLAH A, ANUAR N B, SALLEH R, et al. AndroDialysis: analysis of Android intent effectiveness in malware detection [J]. Computers & Security, 2016, 65: 121-134.

[11] WANG Z, LI C, YUAN Z, et al. DroidChain: a novel Android malware detection method based on behavior chains [J]. Pervasive & Mobile Computing, 2016, 32:3-14.

[12] XIAO X, XIAO X, JIANG Y, et al. Identifying Android malware with system call co-occurrence matrices [J]. Transactions on Emerging Telecommunications Technologies, 2016, 27(5): 675-684.

[13] ENCK W, GILBERT P, CHUN B G, et al. TaintDroid: an information flow tracking system for real-time privacy monitoring on smartphones [J]. Communications of the ACM, 2014, 57(3): 99-106.

[14] 孫潤康,彭國軍,李晶雯,等.基于行為的Android惡意軟件判定方法及其有效性[J].計算機應用,2016,36(4):973-978.(SUN R K, PENG G J, LI J W, et al. Behavior oriented method of Android malware detection and its effectiveness [J]. Journal of Computer Applications, 2016, 36(4): 973-978.)

[15] FENG P, SUN C, MA J. Selecting critical data flows in android applications for abnormal behavior detection [J]. Mobile Information Systems, 2017, 2017: Article ID 7397812.

This work is partially supported by the National Natural Science Foundation of China (61303263).

LUOWenshuang, born in 1993, M. S. candidate. Her research interests include network security, mobile terminal security.

CAOTianjie, born in 1967, Ph. D., professor. His research interests include cryptology, information security.