新冠肺炎时代及以后基于异构信息网络的解纠缠表示学习，用于大型Android恶意软件检测

Disentangled Representation Learning in Heterogeneous Information Network for Large-scale Android Malware Detection in the COVID-19 Era and Beyond

作者

Shifu Hou1, Yujie Fan1, Mingxuan Ju1, Yanfang Ye1*,Wenqiang Wan2, Kui Wang2, Yinming Mei2, Qi Xiong2, Fudong Shao2

摘要

在抗击新冠肺炎疫情的过程中，许多社交活动都转向了网络;社会对复杂的网络空间的压倒性依赖使其安全比以往任何时候都更加重要。在本文中，我们提出并开发了一个名为Dr.HIN的智能系统，以保护用户免受COVID-19时代及以后不断发展的Android恶意软件攻击。在Dr.HIN中，除了应用内容，我们建议考虑应用、开发者和移动设备之间更高层次的语义和社会关系，以全面描述Android应用;然后引入结构化异构信息网络(HIN)对复杂关系进行建模，并利用元路径引导策略从HIN中学习节点(即应用程序)表示。由于在复杂的开发生态系统中，恶意软件的表征可能与良性应用高度纠缠，因此学习隐藏在HIN嵌入中的潜在解释因素以检测不断演变的恶意软件提出了新的挑战。为了应对这一挑战，我们建议整合从不同角度(即应用内容、应用作者、应用安装)生成的域先验，设计一个对抗性解纠集器，以分离隐藏在HIN嵌入中的不同的、信息丰富的变化因素，用于大规模Android恶意软件检测。这是对HIN数据进行解纠缠表示学习的首次尝试。
基于安全行业真实样本采集的实验结果表明，通过与基线和流行的移动安全产品进行比较，Dr.HIN在不断发展的Android恶意软件检测方面具有良好的性能。

Introduction

新冠肺炎疫情给人类社会带来巨大挑战。在抗击全球大流行的斗争中，许多社交活动都转移到了网上。随着连接到互联网的移动设备变得越来越普遍，社会对复杂但日益连接的设备的压倒性依赖使得它们的安全性比以往任何时候都更加重要。Android作为一个开源的、可定制的移动设备操作系统(OS)，目前在市场上占据主导地位。然而，由于其巨大的市场份额和开源的开发生态系统，Android不仅吸引了开发人员来制作合法的Android应用程序(app)，还吸引了*通讯作者。
还有攻击者传播恶意软件(恶意软件)，故意实现对移动设备用户的有害意图(例如，窃取用户凭据，推送不需要的应用程序[Ye等人2017])。在可观利润的推动下，安卓恶意软件呈爆炸式增长——例如，据报道，2019年上半年，有超过189万新的安卓恶意软件感染了超过3800万部智能手机191。更具体地说，利用恐惧和经济激励，网络攻击者正在利用covid - 19或冠状病毒作为各种复杂程度的诱饵，传播恶意软件，以从全球健康危机中获利(例如，covid - lock是一种Android勒索软件，将自己描绘成冠状病毒追踪器);根据最近的一份报告，大流行引发了72%的勒索软件增长。为了应对复杂的Android恶意软件的指数级增长，我们迫切需要创新的检测技术，以保护合法用户免受COVID-19时代及以后的攻击。
护用户免受Android恶意软件攻击的最重要途径是移动安全产品(例如诺顿和腾讯移动安全)。然而，在永无止境的军备竞赛中，攻击者总是想出新的战术来逃避他们的发现。例如，如图1 (a)所示，为了绕过基于内容的检测，恶意银行木马(即app -2)可以采用重新包装技术，使其代码与为提供COVID-19更新而开发的合法应用(即app -1)高度相似。为了对抗我们的对手，除了使用基于内容的特征进行检测之外，生态系统中应用之间的更高层次语义和社会关系可以提供互补的知识:如图1 (b)所示。没错，如果开发者总是重新打包各种应用来制作定制的恶意软件，那么这个开发者所生成的应用的合法性就值得怀疑了(例如，App-4可能是恶意的);如图1 ©所示。没错，如果一个移动设备用户同时也是在线游戏用户，那么他就更容易被在线游戏木马病毒感染(游戏邦注:也就是说，应用共存可以帮助我们判断某个特定的木马是否是恶意的)。
如何综合利用这些信息，构建一个能够了解给定应用环境的智能系统，从而检测出恶意应用?

要解决上述问题，有两大挑战需要解决。第一个问题是如何设计一个完整的模型，能够全面描述应用之间复杂的语义和社会关系(应用-内容，应用-作者，应用-设备等)。第二个问题是如何推导出能够在给定应用程序的观察环境中分离出不同的、信息丰富的变化因素的解纠缠表示。如图1 (b)所示，虽然应用的作者身份可能有助于判断其合法性，但与app -4相比，app -3的判断可能更加困难，因为它是由一个新的开发者生成的，其信息(即画像)还不为人所知。同样，如图1 ©所示，与app -6相比，通过app共存来预测app -5更具挑战性，因为它共存的许多app的标签是未知的。智能系统预计能够利用全面的社会关系(例如，应用程序作者，应用程序安装)，同时分离隐藏在复杂生态系统中的不同信息因素，以促进检测不断发展的恶意软件。
针对上述挑战，本文提出并开发了一种大规模Android恶意软件检测智能系统Dr.HIN(如图2所示)，以保护用户免受COVID-19时代及以后的攻击。在Dr.HIN中，为了解决第一个挑战，如图2 (a)所示，除了从给定的应用中提取基于内容的特征外，我们建议考虑应用、开发者和设备之间的更高层次的语义和社会关系，以全面描述Android应用;然后引入结构化异构信息网络(HIN)对复杂关系进行建模，并利用元路径引导策略从HIN中学习节点(即应用程序)表示。
对于第二个挑战，对抗性解纠缠器被期望学习解纠缠表征，能够识别和解纠缠隐藏在观察数据中的潜在解释因素[Bengio, Courville, and Vincent 2013]。
解纠缠表征已被证明具有更强的鲁棒性、可解释性和可控性[Tran, Yin, and Liu 2017;Higgins等人2017;杜邦2018]，他的学习获得了相当大的关注。最近，解纠缠表示学习在计算机视觉领域取得了成功[Higgins et al . 2017;杜邦公司2018);然而，关于如何学习解开隐藏在网络数据中的潜在因素的工作很少，主要关注同质网络而不考虑外部知识(例如，[Ma et al . 2019a,b];刘等人2019;Wang et al . 2020;Hu et al 2020;Guo et al . 2020]。

图2:Dr.HIN的系统架构。在Dr.HIN中，(a)我们首先构建一个HIN来建模不同类型的实体和关系，并利用元路径引导策略来学习HIN(即x)中的节点(即app)表示;然后(b)我们建议整合从三个视图(即应用程序内容，应用程序作者，应用程序安装)生成的域先验(即c)到©设计一个对抗性解纠集器，以分离HIN嵌入中变化的不同信息因素;之后，(d)将学习到的解纠缠表示(即Ge(x))馈送给DNN分类器，用于检测Android恶意软件。

到目前为止，还没有关于HIN数据的解纠缠表示学习的研究。为了弥合这一差距，在这项工作中，我们建议整合从不同视图生成的域先验(如图2.(b)所示)来设计一个对抗式解纠缠器(图2.©)，以分离HIN嵌入中变化的不同信息因素。之后，学习到的解纠缠表征将被馈送到深度神经网络(DNN)来训练分类器(图2.(d))，用于检测Android恶意软件。本文工作的主要贡献可以概括为以下几点：
我们使用构建的HIN从Android应用的高级语义和社交环境中全面表征Android应用。HIN模型的全面描述使得规避更加困难和昂贵。
我们首次提出了一种新的无纠缠表征学习框架。由于Android应用的表征在复杂的开发生态系统(即技术假设)中高度纠缠，我们提出了一种对抗性的解纠缠器，通过整合从三种不同观点(即应用内容、应用作者、应用安装)产生的领域先验，分离出HIN嵌入中不同的、信息丰富的变化因素。据我们所知，这是HIN数据中解纠缠表示学习的第一个工作(即理论贡献)。虽然它被用于恶意软件检测，但所提出的学习范式是一个通用的框架，用于识别和解开隐藏在HIN数据中的潜在解释因素，因此可以应用于各种网络挖掘任务。
•我们开发了一个智能系统，部署在反恶意软件行业。基于大规模和真实的工业样本收集的综合实验研究和有希望的结果证明了Dr.HIN的性能，该技术已经被纳入商业移动安全产品的扫描工具中，保护了全球数百万用户。

Proposed Method

在本节中，我们详细介绍了我们在HIN(即Dr.HIN)中提出的用于大规模Android恶意软件检测的解纠缠表示学习方法。
为了全面描述Android应用的恶意软件检测，除了应用内容之外，我们还考虑了生态系统中更高层次的语义和社会关系。

基于内容的特征提取。Android应用程序被编译和打包在一个单一的归档文件(后缀为.apk)中，该文件包括dex文件中的源代码、资源、资产和清单文件。Android应用程序可以使用api (Application Programming interface)访问Android操作系统功能和系统资源，我们从索引文件中提取API调用来描述给定的Android应用程序。例如，从恶意的“tiger”木马中提取的f“startActivity”，“checkConnect”，“sendSMS”，“finishActivity”的API集表示其意图发送短信而无需用户关注。同时，由于应用程序的清单文件向Android操作系统描述了应用程序的基本信息，因此我们从每个给定应用程序的清单文件中检索活动，广播接收器，内容提供者，服务，权限和元数据。例如，由于活动提供图形用户界面(GUI)功能以启用用户交互，因此“com.assistant.home”提取的活动。LocationActivity”和“com.paypal.android.sdk.payments”。LoginActivity”反映了一个名为“LocationAssistant”的恶意银行木马声称提供基于位置的COVID-19更新，但实际上窃取了用户的支付凭证。

基于关系的特征提取。为了描述应用程序与其提取的内容特征之间的关系，我们使用(1)R1: app-invoke-API来表示应用程序是否调用了API， (2) R2: app-include-manifest来表示应用程序是否在manifest文件中包含特定的活动、接收器、提供商、服务、权限或元数据。我们还提取了(3)R3: app- certificate -signature来表示应用程序及其作者(即，在Android上运行的每个应用程序必须由开发人员签名，这与应用程序的签名有关)，以及(4)R4: app- associateaffiliation来描述应用程序及其所有权:公司通常使用他们的反向域名(例如，“tencent.com”)开始应用程序的包名称(例如，“com.tencent.mobileqq”)，这是识别应用程序的唯一名称(例如，“mobileqq”)。为了检测日益复杂的Android恶意软件，我们进一步考虑了生态系统中的以下社会关系:(5)R5: appinstall-device描述了应用程序是否安装在移动设备上，可以用其唯一的国际移动设备标识(IMEI)号码表示;(6) R6: device-havesignature表示设备与app开发者之间的关系;(7) R7: device- possession -affiliation表示设备与该设备上安装了应用的app所有者之间的关系;(8) R8: signature-link-affiliation表示开发者与应用所有者之间的关系(例如，开发者重新包装了原本由官方公共卫生部门制作的应用)。

HIN Construction

考虑到上面提取的丰富的语义和复杂的社会关系，以适当的方式对它们建模是很重要的，这样不同的关系可以更好、更容易地处理。
为了解决这个问题，我们引入了HIN，它可以由多类型的实体和关系组成。
定义1将异构信息网络(HIN) [Sun et al . 2011]定义为图G = (V;E)具有实体类型映射φ: V !A和一个关系类型映射:E !R，其中V为实体集，E为关系集，A为实体类型集，R为关系类型集，实体类型个数jAj > 1或关系类型个数jRj > 1。G的网络图式，记为TG = (A;R)，是一个图，其中节点是来自a的实体类型，边是来自R的关系类型。
基于上述定义，我们应用程序中的网络模式如图3 (a)所示，其中应用程序以综合的方式表示，同时利用了它们的语义和结构化信息。

为了表达HIN中实体之间的相关性，我们设计了三组元路径方案[Sun et al 2011]: S = fSig K i=1 (K=3)，其中S1 = fPIDjg 6 j=1, S2 = fPIDjg 9 j=7, S3 = fPIDjg 12 j=10，从三个不同的角度(即应用内容、应用作者、应用安装)来表征应用之间的相关性。例如，PID1描述如果两个应用程序调用相同的API，则两个应用程序是相关的，例如两个恶意移动视频播放器都调用“requestAudioFocus”的API;PID9能够描述由不同开发者制作的两个应用程序(例如，两个银行木马)都重新打包了相同的原始应用程序(例如，提供COVID-19更新的良性应用程序);和PID10表示两个应用程序是关联的，如果它们共存于同一设备。
为此，Android恶意软件检测问题可以看作是HIN中的节点(即app)分类问题。

为了解决这个问题，我们首先提出了HIN表示学习的概念[Fu, Lee, and Lei 2017]:给定一个HIN G = (V;E)，表示学习任务是学习一个函数g: V !将每个节点映射到d维空间中的向量 jVj，能够保持它们之间的结构和语义关系。

为了学习HIN中的节点表示，需要使用各种嵌入方法[Fu, Lee, and Lei 2017;Dong, Chawla, and Swami 2017;Fan et al . 2018]已经提出。在这项工作中，对于Si 2s中设计的每个元路径，我们利用元路径引导策略[Ye等人2019]来学习HIN中的节点(即应用程序)表示，表示为X = fXkg K K= 1 (K=3)。

Domain Prior Generation

构建的HIN不只是使用基于内容的特性，而是提供了一种全面的方法来描述应用程序之间的高级语义和复杂的社会关系。
然而，从大规模Android应用中检测恶意软件是一项具有挑战性的任务，因为它们是在生态系统中许多潜在因素的复杂交互下开发的(例如，如何编写应用程序，开发人员如何重用其他应用程序来生成定制应用程序，如何在用户设备中安装一组应用程序)。例如，如第1节所述，应用在不同设备上的分布(如图1.©所示)可能对确定给定应用的合法性有不同的贡献。由于外部知识可以使学习到的解纠缠表征更加可靠[Locatello et al . 2019]，那么如何生成和合并领域先验来获得隐藏在HIN嵌入X中的独特的信息因素呢?
为了解决这一问题，我们提出从应用内容、应用作者和应用安装三个角度生成领域先验，引导学习者解开隐藏在HIN嵌入中的潜在解释因素。我们在这里使用应用程序安装来说明如何生成相关的域先验。假设T台设备上安装了N个app，每个app的标签为y2f0;0:5;1g(即0:良性，1:恶意，0.5:未知)，则设备可以表示为M = [mij] 2 R T ×N, mij 2 f1;0g(即1:如果app j安装在设备i上，0:否则)。对于设备i，我们计算其残差信息:

为此，通过对应用j安装的所有设备的残差信息进行平均池化，可以得到应用j(记为cj)的先验:

生成的先验cj将引导学习者理清决定应用程序j合法性的不同因素。同样，我们可以从应用内容和应用作者的角度获得领域先验。然后，对于HIN嵌入X，我们将有相应的域先验，表示为C = fC kg K K= 1 (K=3)。

Adversarial Disentangler in HIN

为了结合上述生成的域先验C来导出隐藏在HIN嵌入X中的不同的信息因素，我们提出了一个对抗性解纠缠器(如图4所示)来实现这一目标。所提出的对抗式解纠缠器由生成器G和鉴别器D组成:给定HIN(即x)中的节点(即app)表示，G旨在将相关域先验c和潜在变量z(即z ~ N (0;σ))通过编码器-解码器框架产生合成嵌入x^;D与G竞争，同时保证检测性能并保留先验;而解纠缠表示Ge(x)将通过对抗性极大极小博弈得到[Goodfellow et al . 2014]。我们将在下面详细介绍该框架。

Multi-task Discriminator（多任务鉴频器）：

所设计框架中的鉴别器是一个多任务深度神经网络，由三部分组成:D = [DT;戴斯。莱纳姆:;[DC]，其中DT旨在区分真实输入和合成输入，DL是预测类别
输入的标签(即恶意或良性)，DC是解码相关的先验域(即c ~ p©)。给定一个嵌入输入(即，原始HIN嵌入x或合成嵌入x^ = G(x;c;z))， D旨在将其分类为真实或合成，同时估计其类标签并解码相关领域先验。D的目标函数可表示为:

Eq.(3)的第一部分是最大化真实输入x被识别为真实并正确分类的概率，同时保留域先验(即，我们对DT和DL使用交叉熵损失，对DC使用均方误差);第二部分对类标签和域先验进行类似的计算，但试图最大化合成x^被识别为假的概率。

Disentangled Generator（）：

给定一个HIN嵌入x，通过一个编码器-解码器框架，生成器G旨在生成一个合成嵌入x^，并结合相关域先验c(即应用内容、应用作者和应用安装)。发电机设计为G = [Ge;Gd]，其中编码器Ge旨在学习从原始HIN嵌入x到解纠缠表示Ge(x)的映射，而解码器Gd将Ge(x)与域先验c和潜在变量z相关联，生成x^ = Gd(Ge(x);c;z)旨在欺骗d。G的目标函数可表示为:

Classifier for Malware Detection（恶意软件检测分类器）：

为此，对于具有HIN嵌入fx kg K K= 1 (K=3)的节点(即app)，其解纠缠表示fGe(x K)g K K= 1 (K=3)将由上述提出的对抗性解纠缠器导出。然后，我们将解纠缠的表示连接为训练DNN框架的输入(如图2.(d)所示)，用于分类任务(即检测给定应用程序是否恶意)。对于复杂性分析，给定N个应用程序，HIN表示学习首先消耗O(N log N)时间来生成N个×ddimensional嵌入作为所提出的对抗性解纠缠器的输入;而对抗性解纠缠器的时间复杂度为O(N d2K Q h)≈O(N)，其中K为域先验类型的数量，h为恒定的隐藏神经元的数量。

Experimental Results and Analysis（实验结果与分析）

在本节中，我们使用反恶意软件行业的大规模真实样本进行了四组实验，以充分评估Dr.HIN的性能。

Experimental Setup：

数据收集和准备

通过与反恶意软件行业合作，我们在2020年7月的第一周获得了291,822台移动设备查询的75,397个应用程序。
在这个大样本集中，25,179个应用程序被标记为恶意应用程序，39,057个应用程序被标记为良性应用程序(即训练集总数为64,236个应用程序);对于剩下的应用，我们请腾讯安全实验室的反恶意软件专家进一步分析，即2673个是恶意的，8488个是良性的(即测试集共11161个应用)。经过特征提取，基于网络模式，构建的HIN有766,976个节点和249,610,168条边。表1显示了数据的详细信息。

Implementation（执行）

实验环境为Ubuntu 19.10，外加2张Intel i9-9900k、4way SLI GeForce RTX 2080 Ti显卡和64gb RAM，框架为Pytorch 1.3.1和Python 3.7。对于HIN嵌入，我们将每个节点的行走次数设置为30，行走长度设置为50，窗口大小设置为5，节点嵌入的维度d设置为200;对于去纠缠表示学习，我们将去纠缠嵌入的维数设置为198，并执行Adam进行优化，学习率为0.0002。

Evaluation Metrics

我们利用精度，召回率，准确度(ACC)和F1作为绩效评估的指标

Evaluation of Dr.HIN（评估）

我们首先全面验证了我们提出的集成在Dr.HIN中的方法，包括HIN表示和用于Android恶意软件检测的对抗性解纠缠器。测试集的结果如表2所示。

A. Evaluation of HIN Representations.

从表2可以看出:(1)相对于每个集合中的单个元路径，相关元路径的组合提高了性能。(2)根据基于内容的相关性(即ID-7)描述应用之间相关性的元路径集比基于作者(即ID-11)和基于安装(即ID-15)的元路径表现得更好。(3)使用相同的DNN分类器，我们将HIN表示(即S1-S3的组合，记为f1)与三种类型的特征进行比较:基于内容的特征(即api和manifest特征，记为f2)，基于关系的特征(即R3-R5，记为f3)和增强特征(即f2和f3的连接，记为f4)。结果表明，编码高级语义的HIN表示(即ID-16)比其他表示(即ID-17至ID-19)更具表现力。

B. Evaluation of Adversarial Disentangler（B.对抗性解缠剂的评价）

在本集中，我们进一步检验了我们提出的对抗性解纠缠器在HIN中的有效性。表2的结果表明:(1)应用整合域先验的对抗性解纠缠器确实提高了检测性能(即ID-20 vs. ID-7, ID-21 vs. ID-11, ID-22 vs. ID15, ID-23 vs. ID-16)。(2)我们提出的Dr.HIN在检测进化中的Android恶意软件时，ACC达到了0.9896,F1达到了0.9782。

C. Visualization and Analysis for Novel Results（C.新结果的可视化和分析）

为了更直观的比较，我们通过t-SNE可视化解纠缠前后的节点表示[Maaten and Hinton 2008]。我们在图5 (a)中绘制了结果，它显示了解纠缠表示在分类中的好处。为了探究其背后的原因，我们使用基于安装的元路径(即ID-15)指导下生成的HIN嵌入进行进一步分析:如图5 (b)所示，在域先验条件下，正确分类和错误分类的应用的分布是不同的(即与正确分类的应用相比，错误分类的应用具有更高的先验值)。这些新结果的证明草图/直觉表明，错误分类应用的HIN嵌入的不同因素可以通过集成生成的先验来解开，从而有助于检测。

Comparisons with Baseline Methods（与基线方法的比较）

在本节中，我们将Dr.HIN与最先进的技术进行比较:i)同质网络嵌入模型(即DeepWalk [Perozzi, al - rfu, and Skiena 2014]， LINE [Tang et al 2015]);ii) HIN嵌入方法(即HIN2Vec [Fu, Lee, and Lei 2017]， metapath2Vec [Dong, Chawla, and Swami 2017])。我们还准备了Dr.HIN的两种变体:一种是去除先验(记为Dr.HINw= 0);另一种是替换随机噪声(用Dr.HINrnd表示)。

对比结果如表3所示，结果表明:(1)HIN嵌入方法(即HIN2Vec、metapath2vec)的性能优于同构网络嵌入模型(即DeepWalk、LINE)。(2)基于我们设计的先验的对抗解纠缠器比随机条件和无先验的解纠缠器性能更好。(3) Dr.HIN始终优于Android恶意软件检测的所有基线。这背后的原因是i)适当考虑和适应HIN的异质性，ii)对抗性解纠错器集成域先验的优势，能够学习隐藏在HIN数据中的独特和信息因素，用于恶意软件检测。

Comparisons with other Detection Systems（与其他检测系统的比较）

我们还通过比较一些流行的商业移动安全产品(即Norton和Lookout)和基于机器学习的检测系统(即HinDroid [Hou等人2017]，Scorpion [Fan等人2018]和AiDroid [Ye等人2019])来评估Dr.HIN。结果如表4所示，Dr.HIN在检测不断演变的Android恶意软件方面优于两种反恶意软件产品和三种基于hin的学习系统。它的成功在于用于应用表示的结构化HIN和用于学习隐藏在HIN中的不同信息因素的对抗性解纠析器。

Evaluation of Model Stability（模型稳定性评价）

在这个集合中，我们检验了Dr.HIN的模型稳定性:图6 (a)绘制了Dr.HIN中生成器和鉴别器的训练损失，说明了它的训练稳定性;图6 (b)显示了Dr.HIN的ROC (receiver operating characteristic)曲线，在0.0052假阳性率(FPR)下，Dr.HIN达到了令人印象深刻的0.9731真阳性率(TPR)。请注意，计算复杂性(即可伸缩性)分析在方法学部分给出。

Related Work

近年来，应用机器学习技术的系统已被开发用于恶意软件检测(例如，[Cai等人2018;Kim et al . 2018;Ye et al . 2017;侯等人2016;Ye et al . 2008])。特别是，基于HIN的模型(即HinDroid [Hou等人2017]，Scorpion [Fan等人2018]和AiDroid [Ye等人2019])通过解决HIN表示学习的不同挑战，在恶意软件检测方面取得了成功。不断发展的Android恶意软件(特别是那些使用COVID-19作为诱饵执行各种恶意活动的恶意软件)对利用基于HIN的检测模型提出了新的挑战:HIN表示可能在应用程序开发的复杂生态系统中高度纠缠，这需要新的技术来识别和解开隐藏在HIN数据中的独特信息因素，以检测日益复杂的恶意软件。尽管在计算机视觉中的解纠缠表示学习方面已经做了很多努力[Tran, Yin, and Liu 2017;Higgins等人2017;杜邦2018]，网络数据中的解纠缠表示学习是一个新兴领域，主要关注同质网络(例如，[Ma等人2019a,b;Liu et al . 2019;Wang et al . 2020;Hu et al 2020;郭等2020;Liu et al . 2020]。到目前为止，还没有关于HIN数据的解纠缠表示学习的研究。在本文中，我们提出整合域先验来设计一个对抗性解纠缠器来弥补这一差距，并将其应用于Android恶意软件检测。

Conclusion

为了对抗不断演变的Android恶意软件，需要创新的检测技术来保护用户免受COVID-19时代及以后的攻击。为了解决这一问题，在本文中，除了应用内容，我们建议考虑更高层次的语义和应用之间的社会关系;然后引入结构化HIN对复杂关系进行建模，并利用元路径引导策略从HIN中学习节点(即应用程序)表示。在HIN嵌入的基础上，我们提出整合从不同视角生成的域先验，设计一种对抗性解纠缠器，首次尝试分离HIN数据变化的不同信息因素，用于不断发展的Android恶意软件检测。基于反恶意软件行业大规模样本收集的综合实验研究和令人满意的结果表明，采用本文方法开发的Dr.HIN系统在Android恶意软件检测方面优于最先进的基线和流行的商业移动安全产品。

References