电子商务市场的日渐发展,使得越来越多的人参与到网络购物中。在这种背景下,Android平台上出现了各种各样的物流应用软件,这其中,一些恶意软件伪装成正常的物流应用窃取用户隐私信息,给用户造成了巨大的损失。不仅如此,许多恶意软件还时常使用代码混淆或者重打包等手段来躲避安全检测。而面对日益增长的Android恶意软件威胁,传统的静态检测方法开始面临一些不足,尤其是在检测精度与检测开销上难以找到一个合理的平衡点。本文提出了一种混合型两阶段静态检测方法,使之能够在精度与开销上达到折中,并对其进行了原型系统实现。本文的主要工作如下:1)深入研究并总结了目前整体签名与多级签名的优势与劣势,基于该研究结果与系统要求,使用整体签名,构建了超过11000种恶意软件的“黑名单”。2)提出了基于权限类别组合的轻量型检测方法,使用D-S证据合成,根据应用使用的权限类别,检测正常软件并拦截躲避签名检测的恶意软件。3)提出了基于“Cache与Ram”思想的混合型的两阶段静态检测系统,平衡检测精度与检测开销。本文使用整体签名与基于权限类别的检测方法构建轻量检测模块,使用基于数据流的检测方法并结合SVM机器学习构建精确检测模块。通过两种模块的结合使用,检测恶意软件。轻量检测模块按照1:1:1的方式选取已知恶意软件、未知恶意软件与正常软件,进行测试,实验表明,本文方法能够检测出全部已知恶意软件,拦截大部分未知恶意软件,正确判断大部分正常软件,并且具有检测速度较快的特点。精确检测模块采用200款恶意软件和200款正常软件进行模型训练,使用共计100款恶意软件与正常软件进行验证实验。实验结果表明,精确检测模块能够有效的检测出未知的可疑应用程序是否为恶意软件,对恶意软件的检测精度达到91%。在进行系统集成测试时,50款主流应用软件中48款被判断为正常软件,平均检测时间较传统数据流分析有所提高。对比传统数据流检测,本系统平衡了检测精度与检测开销;对比传统签名检测方法,具有抗代码混淆的检测能力。然而,由于轻量检测模块中用于D-S合成的权重,在分配时,存在一定主观性。精确检测模块也无法对动态加载的恶意软件进行检测,因此,未来仍需在这些方面对系统进行改进。