随着生活水平的提高和科技的进步,智能终端的产品普及到人们生活的方方面面。与此同时,越来越多的用户信息及安全数据存储在用户终端,如果终端被恶意应用进行攻击、渗透,后果不堪设想。如何在应用软件安装使用前,准确地评估出应用的潜在风险,已成为移动安全领域的关注热点。针对Android平台的应用安全问题,本文在充分了解当前Android应用开发技术和恶意软件特性的基础上,进行了基于Android的应用软件风险评估方法研究,通过分析应用特征,赋予特征权重来进行应用风险的计算,评估相关特征带来的风险值总和,划分安全风险值范围来判断应用的风险类型:良性应用或恶意应用。本文开展的主要工作有:(1)研究学习了Android系统安全机制和应用开发技术,分析在应用开发过程中可能存在的权限申请不合理、组件使用不当等情况带来的隐藏风险,从而揭示Android安全的潜在问题。为后文设计应用程序风险评估方案提供了理论基础。(2)介绍关于软件逆向分析的工具和方法,并针对不同类型的应用样本进行反编译,提取应用特征进行研究,对比分析良性应用和恶意应用在权限申请、组件使用等方面存在的差异。(3)提出一种良性应用的风险评估方法。对于应用权限和应用组件进行研究,分别评估每个权限组对于应用的风险程度,以及判断应用组件的不合理使用所带来的风险,根据不同类型良性应用的权限权重和组件权重,进行应用风险值的计算,并作出安全评估。(4)针对恶意软件的组合特征进行分析,以四种恶意应用(广告软件、短信订阅恶意软件、勒索软件和恐吓软件)为例,分析恶意软件在权限申请、组件使用之间的特征性,构建恶意软件的组合特征并对恶意软件的威胁值进行量定判断,最后通过实验测试分析其有效性。(5)提出了一种基于混合特征的应用风险评估方法,主要包括三个模块:应用权限分析、应用组件分析和潜在风险特征分析,通过对这三方面的特征关联性、特征风险贡献度进行研究,量化应用特征并赋予特定的权值进行应用风险值的计算,最后根据安全风险值范围区分出良性应用和恶意应用。通过实验对上述应用风险评估方法的有效性进行了测试和分析,证明了所提方法能够比较合理且有效地评估应用软件的风险,符合预期的实验效果。