随着移动智能时代的到来,以移动电话为主的移动智能终端已经超越传统PC(Personal Computer),成为最受欢迎的移动计算智能设备。但是同时,在各种利益的驱使下,黑客和恶意病毒制造者也开始将目光投向移动终端,移动恶意应用软件已经开始肆意泛滥,若不加以控制和打击,势必给国家和社会带来严重的损失和难以想象的后果,因此,移动终端的安全问题已经开始受到学术界和产业界的广泛关注。近几年来,虽然移动终端网络流量分析研究已经逐渐被认识到可以用来识别恶意应用,但是由于缺乏大规模的恶意流量样本、对网络流量特征的系统性的分析等种种原因的制约,现有的相关研究仅停留在理论研究上,很少针对实际应用中的实时性问题、非平衡问题进行深入的研究。因此,本文将从以下三方面对上述的几个问题展开,提出了两种具有入网发现能力的恶意代码网络行为检测模型。首先,为解决现有的基于移动终端网络流量分析缺乏大规模恶意流量的问题,本文设计了一套Android恶意应用的网络流量自动化采集方案,并完成了恶意应用的网络流量自动化采集平台。在此基础上,本文采集了5560个Android恶意应用软件样本的网络流量数据,完成了具有真实类别标识的移动终端恶意网络行为数据集的研制。同时,本文对网络流量的一些基本特征进行了分析,证实了恶意应用在运行的前几分钟会产生恶意行为、应用层流量的组成、DNS和HTTP流量的重要特征等结论。本文的这些分析会对推动恶意应用网络行为的相关研究产生极有意义的效果。其次,针对具有移动恶意应用入网发现能力的高度实时性的特性,以及基于上述对DNS和HTTP流量的特征分析等工作,本文提出了一种基于规则的移动终端恶意应用实时检测模型,这种简单的规则匹配模式对计算能力要求不大,能够满足实际网络环境下实时性的要求。最后,针对实际网络环境下正常流量和恶意流量之间的高度不平衡特征,本文通过实验模拟和理论估计揭示了实际网络环境下这种现象的普遍存在性。同时,本文基于机器学习技术对现有的一些分类算法在不同的不平衡程度下的网络流数据集上进行了实验验证。进一步地,本文基于IDGC(Imbalanced Data Gravity Classfication)模型,提出了一种改进的S-IDGC(Simplex Imbalanced Data Gravity Classification)模型,该模型在继承IDGC模型分类的稳定性特征的之外,极大的提高了模型的训练时间,满足入网发现能力的实时性要求。在本文的最后,设计了一种具有入网发现能力的移动终端恶意应用检测分布式模型,该模型通过部署在网络接入点处的检测模型子节点服务器完成对恶意应用的检测,同时检测模型中心结点服务器完成分类器的训练,以及对子节点上的模型服务器定时更新。