《表2 数据集中调用数量排名前十的意图》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于静态行为特征的细粒度Android恶意软件分类》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

表2～4显示了意图、权限和API在恶意软件中前十个出现频率最高的特征排名。需要注意的是由于包依赖图特征是结构化的信息，从某种程度上来说它与API有着很大的关联，所以在后面的实验中没有单独将其拿出来进行实验，而是直接加入混合后的特征集进行相关实验。在三种特征中，对于intent来说，出现次数最高的是BOOT＿COMPLETED，并且出现的次数远远大于其他intent，也就是说，大多数恶意软件通过BOOT＿COMPLETED来启动它们的恶意行为，这一点也与Andro Dialysis[4]的研究相同。同样的对于权限来说，ACCESS＿NETWORK＿STATE、READ＿PHONE＿STATE和INTERNET的出现频率较其他权限来说都很高。并且前十种权限中有三类都与网络有关，说明很多恶意软件通过连网来实施它们的恶意行为。对于API来说，那些与获取用户隐私信息有关的接口调用遥遥领先于其他API，例如get Device Id（）和get Subscriber Id（）会获取用户设备信息，get Last Known Location（）会获取用户地理位置信息。