近年来,移动设备与人们日常生活的联系日益紧密,然而Android应用软件(App)却安全漏洞频发,仅仅识别典型恶意应用已经难以满足当前形势下的安全需求,越来越多的应用存在暴露用户隐私信息、威胁用户财产安全等问题。由于Android应用版本更新频繁,对应用的评估相对滞后,并且现有评估技术对攻防收益和漏洞可利用性缺乏考虑。为此,本文针对Android应用漏洞,研究了分类检测、未来版本漏洞预测以及多阶段攻防博弈环境下的安全性评估等3个层次的问题。首先提出了 Android应用漏洞一种新的分类方法——LSA分类法。将漏洞分为3层4类,共计16个类型,通过Z表示法对LSA分类法进行了形式化描述与科学性验证。与已有的基于系统架构和基于经验的一些分类方法相比,LSA分类法在严谨性、针对性、可扩展性等方面都更具有优势,能够满足Android应用安全评估的需求。接着,对Android应用漏洞静态检测技术进行了研究。更进一步地,运用Logistic回归算法对漏洞预测进行了探索,实验结果表明了该方法能够在一定程度上预报Android应用未来版本的漏洞情况。针对现有评估技术中对攻防收益和漏洞可利用性考虑不足的问题,提出了多阶段攻防博弈环境下的Android应用安全评估模型。给出了多阶段攻防中最优防御策略的计算方法和未来遭遇安全风险概率的计算方法。结合未来版本漏洞预测和攻防博弈安全评估的结果,能够对应用的未来安全风险做出预测。最后,实现了基于以上理论模型的Android应用安全评估原型系统。介绍了系统的开发环境和开发细节,展示了系统的运行效果。本系统能够为Android应用使用者挑选安全应用、应用开发者进行安全开发、应用市场管理者剔除不良应用提供帮助。