文献笔记 《DroidMat ： Android Malware Detection through Manifest and API Calls Tracing 》

文献引用： 

Wu D J, Mao C H, Wei T E, et al. DroidMat: Android Malware Detection through Manifest and API Calls Tracing[C]//Information Security (Asia JCIS), 2012 Seventh Asia Joint Conference on. IEEE, 2012: 62-69.

侧重静态分析的项目，实验对比Androguard

系统大致流程：

1.提取程序静态特征

     

     从AndroidManifest中提取申请权限、 Intent信息以及各类组件

     

     以各类组件（Activity、Service、Receiver） 作为入口，向下跟踪相关权限的敏感API调用

2.采用k-means算法进行聚类，聚类数量由SVD（Singular Value Decomposition）决定

3.最后采用KNN算法对待检测应用进行分类（正常应用 or 恶意应用）

相关内容：动态、静态、额外信息特征

动态特征：

     日志序列、系统调用、污染数据流控制流、电量消耗

     DroidBox、TaintDroid追踪特征还包括：package hash 、读写操作、api调用、网络出入流量、                              DexClassLoader动态加载、receiver、激活的service、权限以及通过网络、短信、电话等隐私泄露

静态特征：

     权限、导入的包、API调用、指令、数据流（ScanDroid）、控制流（ComDroid）

额外特征：

     应用程序作者信息（区分重打包恶意性）、应用程序信息

DroidMat 系统采用的特征：

1.权限、组件

2.intent

3.API调用以（与调用的组件结合）

4.以组件作为入口深入分析与敏感权限相关的intent、api调用

  详细内容见论文