Android应用是在Android操作系统上进行设计的应用程序,适用于Android不同类型的移动设备的应用,比如,智能手机、平板电脑等。它为移动用户在日常生活等方面提供丰富多样的功能。随着安卓(Android)手机的快速发展,Android手机应用的数目呈指数增加。Android手机产生的网络流量增长速度迅猛,Android手机及其相应的应用所生成的网络流量所带来的新情况逐渐成为国内外的研究热点。与此同时,由于Android系统和应用具有的开源等特点,恶意应用制造者通过嵌入恶意代码来执行恶意行为达到他们非法的目的。如何让用户了解Android应用的网络流量和检测Android应用的恶意行为也成为国内外的研究热点。因此本论文围绕Android应用网络流量分析和恶意行为检测这两大问题展开深入研究,主要工作及创新点如下:(1)Android应用网络流量自动生成技术。如果要对Android应用网络流量进行分析,网络流量数据是必不可少的。但是运营商的网络流量数据包含大量的用户隐私数据导致难以获取。手动执行Android应用产生网络流量的方式不适合于大量Android应用的情况。为了解决前述问题,该工作设计并实现一种Android应用网络流量自动生成系统,Andro Generator。该系统首先设计一种自动执行的方法来自动执行大量的Android应用,并采集应用产生的网络流量;随后提取网络流量的属性,比如数据包个数、字节数等;再根据采集到的流量数据的特征和模式来模拟生成Android应用的网络流量。实验结果表明,第一、该系统的自动执行应用算法可以触发Android应用的大部分的网络行为;第二、该系统模拟生成的Android应用网络流量与实际环境中的Android应用网络流量具有较高的相似度,可以为Android应用网络流量分析研究工作提供数据。(2)融入网络流量开销因素的Android应用推荐方法。大部分的Android应用完成其功能需要访问网络从而产生网络流量,并带来手机流量套餐资费的消耗。目前主流的Android应用市场在推荐应用的时候主要考虑Android应用的流行度(比如,应用评分等),而忽略了该应用产生的网络流量开销。因此,如何使得用户所下载的应用同时具备高流行度和低网络流量开销是本工作要解决的问题。该工作首先从Android官方市场中的22个主流的应用类别分别下载排名前100的应用。其次,对这2200个应用采集运行时产生的网络流量,并根据每秒流量开销、不同类型的流量开销、不同类型流量所占的比例等几个方面来测量每个应用的流量开销情况。在完成测量后,根据得到的测量结果提出了一个基于网络流量开销的应用推荐技术。该技术可以和现有的Android市场的推荐算法相结合来为用户推荐不仅具有较高的流行度,同时节省网络流量开销的Android应用。(3)HTTP流的Android应用识别方法。为了解决已有的方法在识别Android应用上存在识别准确率低,识别不够全面的问题。本工作提出一种从Android应用产生HTTP流中提取特征签名的识别方法。不同于传统的网络特征签名,该特征签名不仅包括具有特殊字符串,也包括具有普通字符串。该方法首先识别具有特殊字符串的HTTP流,再通过时间窗口和恢复HTTP响应流中的压缩内容的方法来关联具有普通字符串的HTTP流。随后从这些HTTP流中提取的HTTP特征签名来识别网络中运行的Android应用,并统计这些Android应用产生的网络流量大小。实验结果表明该方法的Android应用识别率相比于已有的方法的识别率提高了35%-81%。(4)基于HTTP流挖掘技术的Android恶意应用和不安全广告库检测方法。根据已有研究工作,发现大部分的Android应用及其嵌入的广告库与服务器之间的通信都是基于HTTP协议。根据这个现象,本工作提出针对Android应用和广告库产生的HTTP流进行属性挖掘并检测Android恶意应用和不安全广告库。该方法首先分析Android正常应用和Android恶意应用,安全广告库和不安全广告库之间的在HTTP流量属性上的区别,并分析HTTP流量属性和恶意行为之间的关联;其次,根据比较后得到正常应用和恶意应用,安全广告库和不安全广告库的HTTP流量属性,使用分类算法建立分类模型来对Android恶意应用和不安全广告库进行分类检测;最后,从检测到的Android恶意应用和不安全广告库中提取HTTP指纹特征来进一步归类Android恶意应用和不安全广告库。实验结果表明,该方法在检测Android恶意应用和不安全广告库分别达到97.67%和95.86%的准确率,并可以对检测到的恶意应用和不安全广告库进行归类。(5)移动僵尸网络检测方法。移动僵尸网络(Mobile Botnet)是一种从传统僵尸网络(Botnet)进化而来的新型网络攻击方式,为黑客提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel,C&C)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该工作提出一种与移动僵尸网络结构和C&C协议无关,不需要分析数据包的特征负载的移动僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与移动僵尸网络无关的流量;其次对过滤后的流量属性进行统计并提取网络流量属性;接着使用基于umerged X-means聚类算法的两步聚类方法对包含了C&C信道的流量和其他正常程序的网络流量的混合数据集进行分析与聚类,从而达到对移动僵尸网络检测的目的。在实验阶段,该方法在检测移动僵尸网络的准确率可以达到98.34%。综上所述,本文首先通过设计Andro Generator来生成Android应用的网络流量;然后在网络流量数据的基础上展开一系列的关于Android应用网络流量的分析和恶意行为的检测,比如Android应用识别、Android应用网络流量测量、Android恶意应用和不安全广告库的检测等。从而让用户对使用的Android应用的网络行为有更深刻的认识,同时保证了Android用户在使用Android应用的安全性。