Paper: GNNDroid: Graph-Learning Based Malware Detection for Android Apps With Native Code

1. 元信息

• paper_id: PAPER_34285F47
• title: GNNDroid: Graph-Learning Based Malware Detection for Android Apps With Native Code
• year: 2025
• authors: Yuchen Zhang
• venue: IEEE journal (exact venue TBD from extraction)

2. 一句话贡献

提出GNNDroid——基于图学习的Android恶意软件检测框架，针对含Native代码（JNI调用）的Android应用构建函数调用图+权限敏感API图，使用GNN学习图结构特征以检测恶意行为，克服了传统基于签名的检测方案无法处理Native代码混淆的缺陷。（EVID-PAPER_34285F47-P1-C000）

3. 研究问题

3.1 原始问题

Android恶意软件越来越多地使用Native代码（C/C++，通过JNI调用）以逃避基于字节码/Manifest的传统检测方案。现有方案主要分析Java层，对Native代码层的恶意行为检测能力不足。（EVID-PAPER_34285F47-P1-C000）

3.2 学术抽象

• 问题类型：图学习 + Android恶意软件检测
• 关键挑战：从APK中提取跨语言（Java+Native）的调用关系图；设计有效的图表示使GNN能区分恶意和良性图模式
• 形式化：给定APK样本a，提取函数调用图G_a=(V,E)，学习函数f(G_a)→{malware, benign}

3.3 问题重要性

Android设备在IIoT中广泛用作人机界面和边缘控制器，其安全问题直接影响工业系统安全。Native代码恶意软件检测是Android安全中的难题。

4. 核心思想

将Android恶意软件检测建模为图分类任务：从APK中同时提取DEX字节码的函数调用图和SO库的Native函数调用图，构建跨层函数调用图（Java层 ↔ Native层 via JNI）。使用GNN对图结构进行特征学习和分类，捕捉恶意软件特有的调用模式（如敏感API调用序列、异常信息流）。（EVID-PAPER_34285F47-P4-C012）

5. 方法框架

• 输入：Android APK文件
• 输出：恶意/良性分类
• 模型：图神经网络（GNN）+ 图分类器
• 算法：APK反汇编 → 函数调用图构建（Java层+Native层+JNI桥接）→ GNN图嵌入 → 分类
• 数据集：含Native代码的Android恶意/良性APK样本集
• 评价指标：Accuracy, Precision, Recall, F1

6. 实验设计

• Baseline：传统基于特征的检测方案、仅分析Java层的GNN方案
• Ablation：有/无Native代码图 vs 仅Java图 vs 联合图
• Robustness：代码混淆（Obfuscation）下的检测性能

7. 关键结论

8. 隐含假设

系统推断：恶意和良性APK在函数调用图结构上有可区分的图模式；JNI函数调用模式是稳定的恶意行为指标。

9. 局限性

系统推断：对高度混淆或多层加壳的APK图提取可能不完整；未覆盖动态加载代码的运行时行为分析。

10. 可迁移启发

以下为 C 类迁移推断，非原论文结论。

1. "跨语言图"安全分析范式：将跨语言调用关系建模为统一图结构——可迁移到JavaScript+Native的Electron应用安全分析、Python+C扩展的恶意库检测、WASM+JS的浏览器端恶意代码检测。
2. 图学习+代码安全：GNN在代码结构分析中的通用性——可迁移到IoT固件漏洞检测、PLC代码恶意分析、智能合约漏洞检测。

11. 与其他论文关系

• 前置工作：MaMaDroid、Drebin等Android检测方案；GNN图分类
• 同主题工作：与Flash共享"图学习+安全检测"方法范式；与Adaptive Backdoor GNN论文存在GNN安全关联（攻防视角互补）

12. Evidence 列表