阅读：MAMADROID: Detecting Android Malware by Building Markov Chains of Behavioral Models∗

一、来源

1、2017，NDSS
2、作者：Enrico Mariconti†, Lucky Onwuzurike†, Panagiotis Andriotis‡, Emiliano De Cristofaro†, Gordon Ross†, and Gianluca Stringhini†
†University College London ‡University of the West of England
3、主题：Android malware detect、马尔可夫链

二、摘要

        Android平台的日益普及导致针对它的恶意软件威胁激增。随着Android恶意软件和操作系统本身的不断发展，设计强大的恶意软件缓解技术非常艰巨，该技术可以长时间运行而无需修改或进行昂贵的重新培训。在本文中，我们介绍了MAMADROID，这是一个依赖于应用行为的Android恶意软件检测系统。 MAMADROID从应用程序执行的抽象API调用序列中，以马尔可夫链的形式构建行为模型，并使用它来提取功能并进行分类。通过抽象对其包或系列的调用，MAMADROID可以保持对API更改的弹性，并使功能集的大小易于管理。我们在六年的时间内收集了8.5K良性和35.5K恶意应用程序的数据集，评估了其准确性，这表明它不仅可以有效检测恶意软件（F度量高达99％），而且可以通过该系统可以长期保持其检测能力（训练后一年和两年，平均F-measure分别为87％和73％）。最后，我们将DROIDAPIMINER与最先进的系统进行比较，DROIDAPIMINER依靠应用程序执行API调用的频率，显示MAMADROID的性能明显优于它。

三、贡献

        在本文中，我们提出了一种适用于Android的新颖的恶意软件检测系统，该系统依赖于由应用执行的抽象API调用的顺序，而不是其使用或使用频率，旨在捕获应用的行为模型。
1、优点
1）题目取得好（哈哈哈哈哈哈 好记 朗朗上口
2、缺点
1）第一步中静态分析提取出来的特征还不足够。特征很关键。
2）使用马尔可夫链作为模型的原因并不够，且安卓API调用序列间的关系并不完全满足马尔可夫链的模型。
3）未检测出来的恶意程序如何。
4）主要针对于java语言，但在安卓系统中大部分是C语言，因此检测的恶意软件范围比较有限。