随着移动互联网的发展,智能手机已成为网络时代的主流设备,其中Android系统占据着智能手机操作系统市场的最高份额。与此同时,大量的恶意应用严重影响Android系统安全和用户的隐私、财产和信息安全。通过对Android应用进行分析,对恶意应用进行检测与查证是保护Android安全的重要手段。本文在现有Android安全研究的基础上,设计并实现了动态行为特征信息获取与特征处理方案,构建了一个基于动态分析的Android恶意应用检测模型。本方法能够自动化地采集Android应用运行过程中的框架层API调用信息,提取Android API调用信息的统计特征和时序特征。在检测阶段,本文以Logistic回归为初级学习器,以XGBoost为元模型,构建了一个恶意应用检测算法模型——LR_XGB模型,该模型有效提升了恶意应用检测准确率,具有较快的模型训练和检测速度。本文主要研究工作包括:(1)对Android系统的架构和恶意应用检测相关的理论和主要技术进行了研究总结,对目前研究中取得的进展和存在的问题进行了深入分析。(2)在对恶意应用动态行为特征进行分析的基础上,研究了动态行为特征信息获取方法。针对目前存在的动态行为信息获取困难的问题,基于Xposed框架设计编写了 API Hook模块,对Android框架层与行为特征相关的API进行监控,自动化地采集并记录应用运行时的API调用信息。(3)在对API调用信息进行特征处理方面,提出了将API调用信息的统计特征和时序特征相结合的特征处理方法。从样本维度和API维度两个方面计算统计特征,通过N-gram建模和TF-IDF权重调整,提取了 Android应用的时序特征。(4)针对目前恶意应用检测算法模型存在的容易过拟合,训练和检测效率低的问题,分析了现有解决方案的优缺点,构建了以Logistic回归为初级学习器,以XGBoost为元模型的LR_XGB恶意应用检测模型,实验证明,本方法有效提高了恶意应用检测准确度和检测速度。(5)收集并建立了 Android应用样本数据集,搭建实验环境对LR_XGB模型的检测效果进行了验证分析。结合现有研究进展和本文研究工作成果,设计实现了一个Android恶意应用检测系统。