Android操作系统的开放性以及繁杂的第三方应用市场使得恶意应用数量爆炸性增长,这些恶意应用给用户带来了严重的经济损失和隐私泄露问题。因此,Android恶意应用检测方法的研究非常重要。传统的Android恶意应用检测方法主要通过研究分析利用静态或动态手段从应用程序中提取的语法特征来检测恶意应用,因为这些语法特征可以从一定程度上反映应用程序的行为。然而,应用程序的行为与其功能息息相关,相同的行为在某些应用中是恶意的,但在特定的功能的应用中却可能是正常的。因此,分析应用程序安全问题时应当将其功能和语法特征都纳入考量范围。本文正是以此为出发点,充分考虑应用程序功能和行为间的联系,提出了一种基于主题和敏感数据流的恶意应用检测方法。本文的具体工作如下:1、提出一种基于自然语言处理的Android应用程序功能分类方法。利用应用程序的描述信息,通过主题建模算法抽象出其中的主题。然后根据应用程序对各主题的相关度对应用进行聚类分析,实现对应用程序的功能分类,为后续的恶意应用检测提供前提条件。2、提出一种基于敏感数据流异常分析的特征抽象方法。通过静态分析的方法提取更能代表应用程序行为的敏感数据流信息。以此为基础,结合应用程序所申请的敏感权限,通过异常分析算法对同一主题类别中的应用程序进行敏感数据流异常分析,抽象出异常值特征向量。该特征向量反映了应用程序在各权限下敏感数据流的异常程度,可以指导研究人员发现潜在的安全问题或者告知用户可能存在潜在风险。此外,异常值特征向量也可以用来训练分类模型以检测恶意应用。3、综合考虑应用程序的功能用途和敏感数据流特征,提出并实现一个基于主题和敏感数据流的Android恶意应用程序检测系统。通过在1 145 1个应用程序样本上进行实验,选取了五种机器学习分类算法中最适合本文方法的算法——随机森林,并进行多组对比实验证明本文所提出的恶意应用检测方法的有效性。除此之外,本文还对几个主题类别内正常应用和恶意应用的敏感数据流进行宏观分析,进一步验证通过结合应用程序功能和敏感数据流来检测Android恶意应用程序方法的合理性。最终,根据本文方法所训练的检测模型取得了不错的效果:整体应用分类正确率到达了98.67%,恶意应用程序识别率达到了98.76%。