移动互联网技术的快速发展使得智能手机和可穿戴设备等移动终端成为人们工作和生活不可或缺的一部分。Android系统是目前最热门的移动端操作系统,在移动市场中占据着主导地位。在经济利益的驱动下,许多不法黑客利用Android平台开源的特性,通过重打包、代码混淆、恶意代码嵌入等技术开发了大量Android变种恶意软件。恶意软件可以从不同途径攻击移动设备,严重威胁用户的个人隐私和财产安全。移动设备一旦被感染,恶意程序可以轻松地收集用户的隐私信息,如通讯录、账号密码、通话记录等,并将这些个人信息以短信或者http请求的方式发送到非法的远端服务器。针对目前出现的Android恶意软件,研究人员已经提出许多基于静态和动态的检测方法,但是已有方法都有一定的局限性,检测未知的恶意软件的准确率较低。继续研究Android恶意软件检测技术具有重要理论意义和应用价值。本文主要的研究工作包括:1.介绍Android恶意软件检测的研究背景和意义,综述Android恶意软件检测方法的国内外研究现状,简要介绍Android APP的开发流程和Android安全架构的设计。根据现有的恶意软件攻击技术研究相关的检测方法,归纳总结已有方法的局限性和不足。2.研究了应用图核检测Android恶意软件的方法。将Android恶意软件检测问题转化成函数调用图相似性分析问题,提取Android敏感API调用的上下文语境信息来改进图核函数的重标签过程,利用改进的图核计算应用程序函数调用图两两之间的相似度。设计了与WLK、CWLK、NHGK等经典图核函数进行对比的实验,进行检测准确率、真阳性率、假阳性率和漏报率的实验数据分析。3.针对图核算法的计算复杂度问题和函数调用图特性,研究了基于频繁子图挖掘的图集重构方法。基于图的恶意软件检测只关注敏感权限API及上下文语境信息,本文删除函数调用图中与敏感API不关联的节点和边。利用频繁子图挖掘算法挖掘出频繁子图和非频繁子图,根据区分度系数计算去除低区分度子图,简化原始图集。设计了参数优化实验和相关对比实验,并进行检测分类的实验数据分析。本文的创新之处包括以下几点:1.提出一种改进的基于图核函数的Android恶意软件检测方法,该方法提取激活事件和环境因子两个特征构成上下文语境信息,增强函数调用图节点标签信息,使得图核方法更加适用于Android恶意软件检测。该方法的检测准确率比CWLK和WLK图核方法,分别提高了2.93%和4.79%。2.提出一种改进的基于频繁子图挖掘的原始图集重构方法。该方法利用gSpan算法挖掘子图结构,根据子图区分度系数删除原始图集中的低区分度子图,使函数调用图集更加适用于图核计算。实验结果表明,该方法在分类准确率方面比未经图集重构的图核函数高0.93%,也高于Androguard和Drebin两个经典的检测方法。