随着移动网络的发展,智能移动设备快速普及,其中安卓设备占据大部分份额,安卓应用的数量也呈爆发性增长。用户享受到安卓应用带来的便利的同时,其隐私安全也受到很大威胁。恶意的安卓应用会收集用户的高价值隐私数据,例如账户信息、地理位置、设备信息以及传感器数据等等。若隐私数据泄露,用户轻则受到垃圾短信、电话的骚扰,重则遭受财产损失以及人身安全威胁。因此,为保护用户的隐私安全,检测恶意的安卓应用以及分析应用的恶意行为十分必要。学术界已经提出了诸多高效灵活的检测方案来检测安卓恶意应用,例如抽取应用申请的权限或者编程接口作为特征并配合机器学习方法来检测恶意应用等,其中一些成果已经应用在商业杀毒软件中。然而,由于安卓恶意应用的数量快速增长以及其使用的躲避检测技术快速迭代,现有检测技术在面对层出不穷的安卓恶意应用时检测效果也在逐渐降低。针对此挑战,本文围绕安卓恶意应用的检测,开展了以下研究工作:1.提出了一种基于图嵌入的安卓恶意应用的家族分类技术,设计并实现了原型系统。该系统针对呈现家族特性的安卓恶意应用,分析家族应用的共有行为,抽取应用代表性的行为作为家族特征,然后利用这些特征对新的恶意样本进行检测,识别其家族标签,以辅助安全分析者利用相关应用家族先验知识快速处理恶意应用带来的影响。本研究内容的挑战点在于表示恶意应用行为的图十分复杂,现有的图匹配算法计算复杂度过大。为了解决此挑战,本文提出了一种基于图嵌入的图相似性比较方法,通过图嵌入后节点向量保留的拓扑信息,快速的比较不同图的相似度。在真实的安卓恶意应用数据集上的试验结果表明,该系统能够精准的识别恶意应用的家族标签,同时检测的时间消耗较少。2.提出了一种基于交叉污点分析的安卓应用界面行为的权限滥用检测技术,设计并实现了原型系统。该系统分析安卓应用中使用图片进行渲染的用户界面,采用交叉污点分析方法建立图片与回调函数的关联,再通过分析回调函数执行的行为所需权限,建立图片与权限的关联,然后采用深度学习方法来判断图片触发的行为是否符合用户的预期以检测权限滥用行为。本研究内容的挑战点在于难以建立全定制或半定制的用户界面库中图片和响应事件(回调函数)的关联。安卓原生界面库中,图片的设定和回调函数的设置都有具体的编程接口进行操作。但是,在全定制或半定制的第三方库中,设定图片和回调函数没有统一的模式和名称,这阻碍了现有的分析检测方法。再者,不同于文本渲染的界面元素可以通过文本信息推理用户的期望,图片渲染的界面元素所携带的语义信息很难被机器理解。为了解决这些挑战,本文提出了一种交叉污点分析的方法,用来建立渲染图片和相应回调函数的关联,并利用深度学习提取图片包含的语义信息,以此来检测图片渲染界面触发行为是否滥用权限。在真实的安卓数据集上的试验结果表明,该系统能够有效的建立图片和触发行为的关联,检测出触发行为是否滥用权限。3.提出了一种通用的基于增量学习的安卓恶意应用检测算法。为躲避检测,安卓恶意应用会引入新技术快速更新迭代,为恶意应用带来新的特性。带有新特性的恶意应用为恶意应用集引入了概念漂移,降低原有基于机器学习检测方法的检测性能。面对源源不断新到来的待处理的恶意应用以及保有的海量恶意应用样本,批处理机器学习方法难以实时更新模型。另外,真实的安卓数据集中恶意应用数量远远小于善意应用,带来了数据不平衡问题。同时,恶意应用多种传播方式引入多种概念漂移问题。针对这些问题,本文提出来提出了一种基于块的增量式集成分类算法,将源源不断的恶意应用作为流数据处理,采用权重更新机制、过采样机制以及剪枝机制来处理这些样本,提升检测性能。