一、来源
1、2017,NDSS
2、作者:Enrico Mariconti†, Lucky Onwuzurike†, Panagiotis Andriotis‡, Emiliano De Cristofaro†, Gordon Ross†, and Gianluca Stringhini†
†University College London ‡University of the West of England
3、主题:Android malware detect、马尔可夫链
二、摘要
Android平台的日益普及导致针对它的恶意软件威胁激增。随着Android恶意软件和操作系统本身的不断发展,设计强大的恶意软件缓解技术非常艰巨,该技术可以长时间运行而无需修改或进行昂贵的重新培训。在本文中,我们介绍了MAMADROID,这是一个依赖于应用行为的Android恶意软件检测系统。 MAMADROID从应用程序执行的抽象API调用序列中,以马尔可夫链的形式构建行为模型,并使用它来提取功能并进行分类。通过抽象对其包或系列的调用,MAMADROID可以保持对API更改的弹性,并使功能集的大小易于管理。我们在六年的时间内收集了8.5K良性和35.5K恶意应用程序的数据集,评估了其准确性,这表明它不仅可以有效检测恶意软件(F度量高达99%),而且可以通过该系统可以长期保持其检测能力(训练后一年和两年,平均F-measure分别为87%和73%)。最后,我们将DROIDAPIMINER与最先进的系统进行比较,DROIDAPIMINER依靠应用程序执行API调用的频率,显示MAMADROID的性能明显优于它。
三、贡献
在本文中,我们提出了一种适用于Android的新颖的恶意软件检测系统,该系统依赖于由应用执行的抽象API调用的顺序,而不是其使用或使用频率,旨在捕获应用的行为模型。
1、优点
1)题目取得好(哈哈哈哈哈哈😂 好记 朗朗上口
2、缺点
1)第一步中静态分析提取出来的特征还不足够。特征很关键。
2)使用马尔可夫链作为模型的原因并不够,且安卓API调用序列间的关系并不完全满足马尔可夫链的模型。
3)未检测出来的恶意程序如何。
4)主要针对于java语言,但在安卓系统中大部分是C语言,因此检测的恶意软件范围比较有限。
网友评论