Android应用程序引入恶意或存在漏洞的第三方库是Android应用程序演化过程中长期存在的严重安全问题。为检测Android应用程序中的第三方库及具体的版本信息,对应用程序进行静态分析和相似度匹配是一种常见的有效手段。商用Android应用程序通常运用多种混淆技术以防止逆向分析,包括基本的标识符重命名、死代码消除以及其他高级混淆技术（如类重打包、控制流随机化等）,给第三方库的准确检测造成极大困难。现有的Android应用程序第三方库检测工具中,ATVHunter与Lib ID难以有效地检测被控制流随机化混淆的应用程序,Lib Pecker与Lib Scout无法有效地处理类重打包混淆的应用程序,此外,Lib ID与Lib Pecker由于对所有类或方法逐对进行相似度比较,因而检测效率低。如何能够有效检测经类重打包和控制流随机化混淆的应用程序,同时保持较高检测效率,是一个尚未解决的问题。针对该问题,本文提出一种多粒度分阶段匹配Android应用程序中第三方库并确定其版本的方法。方案使用前置高效的过滤器匹配,大幅缩小了后续匹配应用范围,然后使用粗粒度的方法相似度匹配支持对控制流随机化应用程序的库检测,此后为减少粗粒度匹配的误匹配,使用细粒度的方法调用路径操作码匹配实现应用程序类与库类的一对一匹配,最后基于细粒度匹配结果进行库识别,同时整个匹配检测过程中不依赖于任何包结构信息,使得本文工具能够抵御各种混淆技术。过滤器的引入与多阶段匹配提供了较高的检测效率。本文研究的主要贡献如下:（1）研究Android应用程序反编译中间代码特征,设计的过滤匹配方法能够为库类高效找出潜在匹配的应用程序类集合,降低后续相似度分析开销,提升检测效率。（2）研究类重打包与控制流随机化混淆技术,设计的方法操作码相似度匹配和方法调用路径操作码相似度匹配能够抵御控制流随机化并减少方法误匹配。（3）在Orlis和ATVHunter公开的包含1049个有库清单的Android应用程序和452个库文件的基准数据集上,对本文工具Lib Scan与现有第三方库检测工具（Lib ID、Lib Pecker、Lib Scout）的检测有效性进行了评价比较。本文工具相比现有工具具有更高的检测精度。（4）在流行的商用Android应用程序上进行的性能评估说明了本文工具具有相对较优的检测性能。在大规模Android应用数据集上,针对来自maven仓库和CVE描述的205个漏洞或恶意库进行了检测实验,说明了本文方案在商用Android应用程序上对漏洞或恶意库检测的有效性。