近几年,智能移动终端使用量迅猛增加,尤其是Android平台的手机,几乎占了手机市场的大半份额。而由于Android系统的开放特性和上网环境的便捷性,很多攻击者把智能终端当成了攻击的目标,他们能轻易收集用户隐私信息,从而对用户造成巨大威胁。本文主要在研究Android平台上恶意软件威胁特性和现有检测方案的基础上,提出一种基于网络行为的恶意软件检测方案,实现了对Android平台上恶意软件的有效检测。本文通过分析软件运行过程中相关的网络特性如流量、端口、IP地址等,发现在正常软件运行情况下,网络信息比较稳定,而一旦感染窃密木马或僵尸网络,就会在流量和网址等网络行为上表现出异常。由此可知恶意软件的多种操作都和网络信息有关,所以将网络行为作为检测依据的方法是有效的。本文具体研究工作如下:首先,获取网络行为信息。为提高网络行为数据的真实性,网络行为获取模块基于Linux内核的Netfilter框架,在框架的检测点处设置处理函数,分析从内核获取的网络数据包并解析出需要的信息,这些信息是来自Android手机架构的Linux内核层,底层获取的方法能保证数据的真实性。然后,处理数据与检测异常。为了提高检测效率,本文采用约简特征数据的方法对捕获的原始网络数据进行预处理,提高朴素贝叶斯算法在网络行为数据处理环境下的适用性。预处理部分首先对网络数据进行清理,将无用信息清除;然后借助建立静态地址库和字段查询等方法对各数据进行划分,将繁杂数据归一化,最后构造特征向量。本文的异常识别模块主要部分是朴素贝叶斯分类器,将预处理后的数据作为特征向量引入到朴素贝叶斯分类器中,进行分类检测,检测结果有两个:正常和异常。最后,引入隐私数据监测技术。由于隐私窃取软件危害大小与其窃取数据的来源和路径有关,为了保证隐私窃取软件的危害可知性,本文引入了隐私数据监测技术,对异常识别模块检测出的恶意软件进行数据流跟踪,确定其隐私数据泄漏路径,从而明确其危害性大小,以便进行下一步处理。文章最后将该系统进行功能测试,测试结果证明了该系统的有效性。