随着移动互联网的蓬勃发展,智能终端全面普及,各种智能应用在人们的日常生活中起着不可或缺的作用。随之而来的是移动恶意软件的肆虐威胁着用户的财产及隐私安全。因此多年来移动恶意软件检测也是业界重要的研究方向。现有的恶意软件检测主要包括静态检测和动态检测,静态检测重点是分析移动应用源码中的恶意功能和可疑代码段,因此其优点是高效,但无法检测全部恶意功能。而动态检测通过分析应用程序运行时的状态来提取恶意行为来弥补静态检测的缺陷,然而该过程需要较大的性能开销,在移动终端运行动态检测的代价是高昂的。将移动终端的计算过程外包到云服务提供商可以解决这一问题,但移动应用的运行数据往往包含用户的各种隐私,比如用户的使用数据和爱好。在半可信安全模型下,云服务提供商会忠实地执行预期设计的协议,算法及功能,但对用户隐私产生好奇,通过简单的数据分析,云服务提供商可能会获取用户的隐私信息继而从中获利。因此,提供保护隐私的移动恶意软件检测对于云服务中的“检测即服务”至关重要。然而当下仅有少数基于密码学的相关解决方案,而且具有高计算复杂性,低灵活性和低效率等问题,因此在实际场景中无法落地。除了检测阶段的隐私保护问题,检测模型训练阶段中数据提供方的隐私同样需要保护,然而很少有该问题的解决方案。针对上述问题,本文基于Intel SGX技术设计了一种高效,安全,灵活,可扩展的移动恶意软件测检方案,解决了恶意软件检测领域存在的性能开销及隐私问题,该方案也可以方便地移植到其他需要隐私保护的查询场景。该方案系统模型主要包括移动设备,App数据提供商以及恶意软件检测云服务提供商,主要有以下三部分:1)基于Intel SGX远程认证设计了通信协议,将移动设备或App数据提供商收集到的数据加密并安全地上传到云服务提供商。2)在恶意软件检测模型训练阶段,各App数据提供商将收集到的数据通过与恶意软件检测服务提供商远程认证协商的会话密钥加密上传到云服务提供商用于训练检测模型。3)在恶意软件检测阶段,我们基于概率数据结构设计了两种缓存查询方案,达到了高效实时检测的目标,并解决了SGX中Enclave大小受限的问题。一种是基于Bloom过滤器和Sketch的方案,另一种方案基于改进的Cuckoo过滤器,名为Cuckoo Table,能完成同样的功能,并实现了更高的空间利用率及查询效率。最后我们对本方案进行了原型系统实现,同时也实现了相关基于密码学的具有隐私保护的恶意软件检测方案,设计相关实验对几种方案进行了对比,实验结果显示,我们的方案在各种评判标准下有着明显的优势,检测耗时为原方案的2.23%-2.63%。压力测试结果也表明我们的方案同样也适用于具有隐私保护的大数据场景下的恶意软件检测。