随着移动终端的发展,智能手机以它强大的功能吸引了非常庞大的用户,其中Android系统因为其开源、自由的特性深受开发人员的喜爱,占据了很大的市场份额,但这也为安卓恶意软件敞开了大门,所以研究一个有效的恶意软件检测方法非常有必要。目前通过流量分析来检测恶意代码的研究并不多,常见的Android恶意软件识别与分类方法多是基于静态程序分析,通过分析Android软件的API调用、权限等特征来识别和分类。此类分析方法需要对软件进行逆向工程、反编译等操作且容易被基于混淆代码的恶意软件轻易的绕过检测。而本文采用动态分析的流量分析方法,通过获取Android软件运行期间产生的流量,并使用机器学习和深度学习对Android恶意软件进行识别和分类,该方法具有识别及分类准确率高,灵活且适用性强以及对于基于代码层面的静态混淆具有抵抗力的优点,本文主要工作包括以下几点:1、选择机器学习算法构建有效的流量指纹检测模型,并且该模型还适用于加密流量。我们模拟了两种场景来分别区分良性流量和恶意流量并对恶意流量的类别进行了区分。为了更好地区分恐吓类和广告类这两种混淆度较高的模糊流量,我们加入了一层额外的混淆分类器来帮助进一步进行恶意软件分类。该框架主要包括应用程序通信流量获取、流量文件以会话或流为单位进行切分、预处理、特征工程、基于机器学习算法的分类过程。在面对混淆分类的问题上引入了混淆分类器构成多级分类器从而提升分类的准确率。2、构建深度学习检测模型时,引入去除第三方流量的方式,提高模型的运行效率和检测准确率,再按会话为单位对流量原始数据进行切分,进而转为能够代表流量原始数据特征的灰度图,用二维矩阵作为灰度图的数据结构。在分类领域,由于CNN网络能够较好的学习二维矩阵中具有的空间结构信息,因此采用CNN作为神经网络模型自主地获取流量灰度图中的空间特征。此外,由于会话的内容本质是按照流量交互时间所产生的线性排列数据的分组序列构成,所以采用RNN中的两阶段双向LSTM自主地获取流量中的时序特征,最后通过这两种训练好的深度学习模型对待检测的恶意软件进行识别与分类。3、本文采用的实验数据是真实环境下采集的CICAndMal2017数据集,在机器学习模型下分别在两种场景对该模型进行了评估,实验结果显示在恶意流量与良性流量的二分类中准确率达到了 98.8%,在具体的恶意流量分类中也有95.2%的准确率;在深度学习模型的CNN和两阶段双向LSTM 下,第三方流量去除之后对测试集中的样本进行恶意软件的分类与识别的效果均大幅提高,将CNN的准确率从88.2%上升至96.8%,而LSTM的上升效果更加明显,准确率从89.2%上升至98.3%。不过深度学习模型需要大量的训练数据,才能展现出较好的结果,而现实生活中会遇到许多小样本问题,此时机器学习比深度学习更适用于此类情况。