随着Android系统的迅速普及,Android恶意应用软件成为了人们日常生活中的严重威胁。虽然近年来研究者们提出了许多方法和工具来对Android恶意应用软件进行检测与防御,但是大多数的方法都聚焦于恶意应用粗粒度的检测,无法更准确的考虑到具体的恶意行为类别。本论文从静态分析的角度入手,在Android应用中提取行为特征,将恶意应用根据其实施的恶意行为进行分类;并考虑对抗环境下检测方法的适用性,研制了Android恶意应用行为分类系统Androi MD。具体的研究工作包括:1)针对单一Android静态特征易被混淆、单一分类学习器会由于选择的精确性而导致泛化能力不佳或训练结果有偏差等问题,提出了一种基于动态集成学习的恶意应用细粒度分类方法。该方法首先结合多种静态分析方法分别对多类型静态特征进行提取和优化,得到能充分反映Android应用行为的特征;然后在此基础上,提出了一种基于动态集成学习算法的双层分类模型,先进行恶意和良性的较粗粒度的分类,接着进一步动态选择分类器组合对Android恶意软件的具体恶意行为进行细粒度的分类,不仅将集成学习算法的优势应用到恶意行为检测中,还可以利用不同分类算法之间的互补性动态选择最合适的分类器组合,从而提升整个模型的分类精度。对来自Google Play的3000个良性Android应用程序和属于73个恶意软件家族的10153个恶意Android应用程序样本进行了实验验证,实验结果表明本文提出的恶意应用检测方法和恶意应用分类算法的准确率可以分别达到93.87%和96.11%。2)针对敌手会通过对恶意软件特征进行修改混淆以欺骗分类器来达到逃避检测的问题,研究了在对抗环境下具有鲁棒性的检测方法,该方法通过构造修改后的Android应用程序来模拟具有针对性的敌手攻击以达到混淆分类器、降低检测精度的目的,然后设计具有鲁棒性的防御方法,最后在对抗环境下恶意应用检测方法的准确率可以达到93.24%。3)设计并实现了基于Web的恶意应用检测与行为分类的原型系统Androi MD。该系统可以将待检测的Android应用程序进行反编译,以提取应用程序中的静态特征并进行特征化,然后使用双层分类模型进行粗粒度和细粒度的Android应用检测,同时也可以实现对抗环境中对抗样本的生成和防御。