随着移动互联网产业的高速发展,Android智能终端用户和应用呈爆炸式增长。海量应用蓬勃发展的同时,大量恶意应用程序也随之而来。Android恶意应用程序、钓鱼网站、骚扰电话、垃圾短信、手机欺诈、操作系统漏洞等安全问题持续危害用户财产和人身安全。因此,Android平台恶意应用自动化检测迫切需求。由于,Android系统的开放性和产品设计的不完备性,目前Android平台存在碎片化问题、兼容性问题、更新问题、安全问题和对抗审查等诸多问题,给Android恶意应用程序的定义、分类、特征提取、自动化分析检测等带来前所未有的挑战。基于此,本文主要工作如下:1.在恶意应用程序建模研究方面,本文通过对国内外恶意应用程序行为的调研,融合多个组织机构对恶意软件的定义和判断标准,提出了14类48种恶意应用程序的定义和相应的分类标准,并梳理恶意应用程序攻击过程。2.在基于相似性的Android恶意应用程序检测方面,本文提出一种抗混淆的应用软件相似性检测方法,该方法选取抗混淆的资源文件与代码特征,通过计算高维空间距离,进而判别应用软件的家族。该方法可以有效克服代码混淆技术给Android恶意应用程序检测带来的问题。实验结果表明该方法具有较高的检测效率,适合大规模部署,可以有效对抗代码混淆,实现对Android应用自动化检测和相似性分析。3.在基于行为的Android恶意应用程序检测方面,本文提出了一种基于行为链的恶意应用程序检测方法,该方法将调用关系转化为有向邻接矩阵,通过计算矩阵的可达性来定位敏感行为路径,进而检测是否存在恶意行为。该方法一是可以快速、自动化地一次检全Android应用中的所有敏感恶行为路径;二是提出了Wx Shall-extend可达矩阵的计算算法,该算法与经典的Warshall算法相比,减少50%以上的计算量,大幅提高了检测效率。4.在基于机器学习的Android恶意应用程序检测方面,本文利用SVM、贝叶斯、逻辑回归、决策树、随机森林五种浅层机器学习方法和DBN深度学习方法对Android恶意应用程序检测进行建模,并从123453个正常应用和5560个恶意应用程序中提取8类特征,共计545000维特征进行训练和检测。实验结果证明浅层学习中随机森林方法效果最佳,具有96.4%准确率和92.56%召回率;深度学习方法中DBN具有较好检测效果,准确率高达99.63%和召回率高达95.04%;相比传统机器学习方法,本文方法能进行更细粒度的检测,不仅仅可以检测目标应用是否为恶意应用程序,可以进一步确定恶意应用程序的家族,且具有较高的准确率和召回率。5.在Android恶意应用程序自动化检测系统方面,本文综合上述四方面的研究成果,设计并实现了Android恶意应用程序检测与安全评估系统(DroidWX),本文详细阐述了DroidWX的系统目标、系统设计、系统架构和处理流程,并介绍了DroidWX的核心模块,包括:静态特征提取功能、自动化分析功能、可视化展示等十几个模块。此外,通过对DroidWX的功能和性能进行测试,测试结果表明DroidWX能够有效对Android恶意应用程序进行检测和识别。综上所述,本文通过对恶意应用程序的建模分析,以及多个层面检测方法的创新,对恶意应用程序的源头安全、传播安全和终端使用安全等多个方面具有较强的参考价值和借鉴意义。