随着智能终端设备的发展,以获取用户隐私信息和敏感数据为主要目标的恶意应用成为移动智能终端用户面临的主要威胁。移动恶意应用的检测方法主要分为基于静态分析、基于动态分析和基于网络行为的分析方法。基于静态分析的方法重点关注恶意应用的代码层面和可执行文件的分析,该方法无需运行应用,难以应对代码混淆技术。基于动态分析的方法针对应用程序运行过程中产生的事件和行为进行分析,此过程需要将恶意应用在虚拟设备或者真实设备中运行,并监控其运行过程,检测成本较高且资源消耗大。基于网络行为的分析方法通过对恶意应用产生的流量进行分析,发现能够识别恶意流量的特征,进而训练移动恶意应用检测模型。基于网络行为的分析方法虽然可以弥补静态分析和动态分析方法的不足,但在不断变化的网络环境中也面临着许多问题。随着移动恶意应用检测技术的增强,大量的恶意应用变种和新恶意应用出现,并且网络流量源源不断的产生,网络环境的不断变化会导致流量的特征分布产生差异,进而发生概念漂移现象,使模型对恶意应用的识别能力变弱,检测性能下降,因此,需要对模型进行更新。部分研究对模型的更新设定周期,模型更新周期设置较短会导致模型更新频繁产生高资源消耗,周期较长会使模型无法及时适应当前网络环境,即发生无效更新现象,这在一定程度上导致模型的自适应能力弱,及时感知数据的概念漂移并建立合理的在线学习模型具有重要意义。针对上述问题,本文的主要研究内容如下:（1）提出面向概念漂移检测的恶意应用在线学习方法,通过设置概念漂移触发器和内存阈值告警触发器来控制模型的增量更新,概念漂移检测主要通过计算两个滑动窗口中数据的概率分布情况对数据分布进行感知,有效缓解模型的无效更新现象。（2）提出一种基于集成模型权重更新的恶意应用在线检测方法,该方法通过计算每个基分类器的实时错误率来更新模型的权重,形成嵌套式的恶意应用在线检测模型,该方法设置了动态样例集,结合概念漂移检测进行样例集的动态更新,在模型更新时将动态样例集加入到模型的训练中,可以缓解模型的灾难性遗忘。（3）设计了一个安卓恶意应用检测模型管理平台,用于模型的在线训练与管理,基于此平台训练上述两个方法,实现多模型对比,并可以将两个方法应用到安卓应用程序的在线检测中。