伴随着智能手机的快速普及,智能手机恶意APP的数量也与日俱增。恶意行为代码的二次复用开发、恶意APP的自动生成技术使得具有恶意行为的APP开发效率大大提高,恶意程序的数量急剧上升;并且现有的恶意行为特征库分类繁杂、良莠不齐,不利于对恶意APP进行恶意行为分析。一个全面、稳定、可扩展的恶意行为特征库,能有效地提高对恶意行为软件的检测精度,有利于分析恶意行为的不断演化的特征。本文基于APP逆向工程研究提出了一个基于文本挖掘以及信息检索的恶意特征库构建方法,并通过构建恶意行为演化关系树对恶意行为族之间的演化关系进行了分析,主要有以下工作。第一,对现有的恶意特征库进行批量反编译,将反编译的APP代码段生成SCFG流程图,通过实验表明该步骤可以一定程度上降低特征库的存储空间。第二,通过文本挖掘算法构建恶意特征库,计算代码块在相应恶意特征向量中的权值,通过恶意应用程序自动化分类实验进行分析,实验表明采用文本挖掘算法进行恶意行为特征库构建可以对恶意应用程序进行自动化分类。第三,通过聚类分析算法对恶意行为族进行分析可以得到恶意行为族之间的演化关系。在生物学领域演化关系树可以用来分析生物物种之间的进化关系,实验数据表明这种思想可以应用在恶意行为族演化分析中。通过分析恶意行为族演化系统树可以获取恶意行为之间的演化关系,便于识别变种的恶意应用程序。经过实验证明本文提出的构建恶意行为特征库方法对静态分析恶意应用提供了可靠的基础,并且可以提高恶意行为检测精度。