随着移动互联网的快速发展,移动终端已成为人们在生活中不可或缺的一部分。另一方面,移动终端的智能化也造成了一定程度的安全隐患。近年来随着Android恶意应用数量的逐年增长,恶意应用的检测问题已经成为学术界和工业界关注的热点。本文主要包括以下研究内容与成果:(1)本文提出了一种基于动态行为拦截的Android应用程序安全分析技术。该技术包括以下三个部分。第一,通过进程注入和动态修改虚拟机实例,实现对Android API的拦截,并解析API调用的时序、参数、返回值、线程、上下文等信息。第二,基于Strace实现对系统调用的拦截,并解析系统调用的参数、返回值、线程等信息。第三,通过进程分析自动识别多个目标,实现多进程行为分析。该技术可以在不修改系统源代码的情况下,同时实现JAVA API级别以及系统调用级别的多维度行为分析。(2)本文在综合分析应用程序行为的时序、线程等上下文信息的基础上,提出了行为链的概念,并设计了 50个具有代表性的行为链。行为链能够更好地体现应用程序的行为意图。经验证,基于行为链的特征向量在保留行为特征信息的同时,能够降低特征向量的维度,提高检测系统的性能。(3)本文设计并实现了一种面向运行时行为的恶意应用检测系统。该系统采用C/S架构:客户端负责动态分析待测应用并上传行为记录;服务器负责接收并解析行为记录,通过行为链匹配生成特征向量,结合机器学习算法得出检测结果。经验证该系统的正确率为90.2%,准确率为87.0%,查全率为93.7%,具有较好的检测能力。本文提出的恶意应用检测系统具有一定的实用价值,实验数据可以为恶意应用检测相关研究提供参考。