在目前Android恶意应用检测技术研究中，单维度应用特征检测技术容易被黑客针对该特征的缺点设计恶意代码，而多维度应用特征检测技术存在对新样本检测准确率低的问题。同时，基于用户交互信息的应用行为特征划分方法被广泛运用在多维度应用特征检测技术上，显著提升对新恶意样本的检测准确率。但是，已有的研究工作都是通过在UI控件上的文本信息识别用户有意识行为与应用隐匿行为，而该方法在面对简短文本信息时存在识别困难的问题。为此，设计一种基于用户交互信息的应用行为划分算法。通过捕获应用中发生的用户与应用交互行为，获取交互行为发生的时间信息并进行应用行为划分，得到用户有意识行为特征集与应用隐匿行为特征集。设计并构建一种双通道应用分类模型2ch-LSTM-TCN，同时对用户有意识行为特征集和应用隐匿行为特征集进行学习，并对两者的计算输出统合后进行分类判别。实验结果表明，该算法的准确率和召回率分别达到94.8%和93.3%，能够有效区分Android良性应用和恶意应用，实现一个Android恶意应用自动化检测原型系统。

• 单位
  中国科学院信息工程研究所; 中国科学院大学; 北京邮电大学