随着网络和移动设备的发展,移动智能终端功能日益强大,移动应用(App)被广泛使用,移动应用安全问题也频繁显现。Android是目前为止最为流行的智能终端系统,数据显示,2016年Android的销量达到12亿部,占全球份额85%以上。与此同时,这些智能设备上运行着大量的移动应用。由于Android系统的开源性,且Android应用商城审查机制的不完善,致使Android恶意软件层出不穷。为了应对恶意应用的威胁,研究人员提出了各种各样基于动静态的检测技术,这些技术已经对应用的安全性有了很好的评判效果,但是大多数的评价结果是从开发者的角度讨论应用的权限问题,而实际上还可以从用户的角度去评价应用的安全性。当用户在应用商城选择是否安装应用时,他只能从商城提供的应用描述、应用运行截图判断应用的行为。由于应用描述是开发者给定,且没被明确规定需要说明所有的应用行为,所以具有不确定性,而用户可根据UI截图推断应用的功能和操作信息,在一定程度上是应用实际行为的体现,所以一个截图界面提供的信息至关重要。Android移动应用的UI界面承载了几乎所有的人机交互任务,用户在UI界面上通过滑动、点击等操作完成应用提供的功能,而UI上的文本、图片等信息能帮助用户推断出应用行为。考虑到在商城下载移动应用时,用户对应用的权限并不关心,而单个界面的异常情况又容易被用户接受,且商城缺少对单个UI界面安全性的评价机制,所以本文引入UI界面的文本信息来刻画单个UI界面的功能类别特征,提出一种基于Android应用UI界面功能的异常行为分析方法,该方法在研究应用检测技术的基础上,首先利用机器学习的手段把商城同一类别的应用在单个UI界面级别进行更细粒度的功能划分,并依据不同功能下所有的UI界面的API调用生成多个异常行为判决模型,最后通过不同模型推断未知UI界面的异常可能性。本文主要研究方向:(1)研究Android系统基础、Android安全机制、Android反编译技术以及机器学习方法;(2)研究UI文本提取技术,API提取技术等;(3)提出了一种基于UI类别的异常行为分析方法,从Android应用的Activity层面分析API的异常调用。在大量应用样本支撑下,实验结果表明本论文中提出的异常行为发现方法能一定程度上发现Android应用可能的异常行为。