MaMaDroid通过建立API行为模型使用马尔可夫链进行恶意软件检测。文章介绍了从提取Call Graph到分类的四步方法,包括API序列提取、package/family抽象、马尔可夫链建模和二分类。实验结果显示模型在恶意软件检测中有良好表现,但面临模型老化问题。
这篇文章用马尔可夫链建模API序列,依据恶意和正常的APP虽然可能调用相同的API序列,但是调用顺序不同。文章用的是纯静态分析的方法.
《MAMADROID: Detecting Android Malware by Building Markov Chains of Behavioral Models》NDSS 2017
方法:四步走
overview
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ffQF92sX-1642753194945)(C:\Users\lichi\AppData\Roaming\Typora\typora-user-images\image-20201207145941706.png)]](https://i-blog.csdnimg.cn/blog_migrate/4e9b29822466e6603266a5ca975183e1.png)
文章其实用的并不是API,而是用的API所属的family或者package,如上图,一个API,属于一个类;类属于package;package属于family。作者也是有苦衷的,静态分析得到的API太多了,下面详细说。
第一步拿到apk用soot等工具反编译出Call Graph;第二步从Call Graph中遍历出API序列,同时抽象成package/family序列;第三步马尔可夫链建模;第四步二分类。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
