移动互联网的兴起给人们带来了极大便利,但越来越多的恶意安卓应用渗透到了人们的生活中。对安卓恶意应用进行溯源分析有助于从源头上封堵恶意应用,是治理安卓恶意应用的重要环节。近年来,威胁情报在溯源分析中的地位愈加重要,但利用主流威胁情报平台进行分析存在两点不足:一是现有威胁情报规范的设计侧重于网络攻击、计算机病毒等领域,对移动恶意软件未做特殊处理;二是威胁情报的关联方法上侧重于利用IP、URL等网络特征进行关联,对代码、资源文件等样本内部特征考虑较少,最终导致现有威胁情报方案无法很好地应用于移动安全溯源分析实践。本文针对上述问题,结合安卓恶意应用与溯源分析的特点,从关联恶意应用获取、威胁情报表示、情报关联方法三个方面对传统方案进行了改进,具体工作如下:1)在关联恶意应用获取方面,提出了一种基于多特征的安卓相似应用检测方法,该方法从资源文件、网络、代码和元数据共四个维度提取一系列特征,再针对各个维度构建相似度检测算法,并使用B-Tree索引、倒排索引等技术提高检测效率。实验表明,本方法相比传统方法召回率提高了 10.9%、检测时间缩短了28.9%且具有较好的抗混淆能力。2)在威胁情报表示方面,针对主流威胁情报规范对于安卓恶意软件的动静态特征描述不全、无法描述的问题,本文提出了一种面向安卓端的威胁情报表达与共享规范,该规范从恶意软件的静态特征、动态特征两个角度并采用归纳法提出安卓恶意软件威胁情报数据模型与描述规范,并利用Python实现了改进后情报的生成、解析与共享程序。实验表明,新的威胁情报表示规范相比STIX 2.0在表示移动威胁情报时成功率提高了31%。3)在威胁情报关联方法方面,针对传统威胁情报的关联方法上侧重于利用IP、URL等网络特征进行关联从而导致部分威胁情报无法被关联的问题,本文提出了一种基于关联样本动静态特征的威胁情报关联方法。该方法通过安卓动态测试、静态测试技术提取给定样本及其关联样本的动静态特征,在提取特征时提出了一套特征优化方案提取更多有用特征减少干扰特征,并采用直接匹配和间接匹配两种策略匹配情报,最后使用Gephi可视化框架实现了关联样本及其情报的可视化程序。实验表明,该方法相比传统基于网络、样本哈希的情报关联方法,能够获取更多关联威胁情报,对勒索类、系统破坏类对网络特征不明显的应用有着较好效果。