近年来移动设备和网络接入点的快速发展,提高了手机应用的增长速度,尤其是安卓(Android)平台及该平台下的应用程序。与此同时,移动恶意软件编写者也将攻击目标转向了 Android平台。已有的Android恶意应用的分析工作发现,大部分Android恶意应用都是基于HTTP协议(Hyper Text Transport Protocol)的类似僵尸程序,这些恶意应用通过恶意扣费、泄露隐私信息等恶意行为,严重危害了用户的财产、隐私安全和Android平台的网络安全性。但是日益增长的Android恶意应用及其多样化的变种程序,加大了 Android恶意应用检测的难度。因此,为了提高Android平台的安全性,需要通过深入研究Android恶意应用的通信机制和恶意特征提取技术,为Android恶意应用的检测提供理论和技术支持。本文首先对Android恶意应用的通信机制进行研究,构造了一种类似移动僵尸网络命令与控制(Command and Control,C&C)通信信道的Android恶意应用通信机制。通过结合短消息服务(ShortMessageService,SMS)和HTTP协议作为Android恶意应用C&C通信信道的设计方法,从而实现减少系统消耗、提高命令信息接收准确率和执行效率,以及更好地将恶意流量隐藏在其他良性的HTTP流量中。实验结果表明,结合SMS和HTTP协议混合通信信道的Android恶意应用具有效率高、隐匿性强和消耗少的特点。另外针对Android恶意应用的通信信道,提出了几种可行的检测方法。鉴于对Android恶意应用通信机制的研究,以及针对大量Android恶意应用及变种程序的检测工作所面临的挑战,本文提出了一种基于HTTP协议的Android恶意应用网络特征签名库自动生成系统。该系统设计了一个自动化测试工具DroidRunner,用于自动触发网络行为和流量采集,解决手动采集工作量大的问题。然后对收集的1,260个已经恶意家族的Android恶意应用样本和118个未知恶意家族的恶意样本进行了实验,通过对恶意HTTP流量的不同特征量提取、合并和聚类等过程为Android恶意应用自动构建网络特征签名库。实验结果表明,该系统为恶意样本准确的采集了网络流量,有效的提取了恶意流量特征。