Android系统目前是最常用且占市场份额最大的移动操作系统。随着手机的广泛使用及通信技术的快速发展,Android应用也日益丰富。但是由于应用市场发布混乱,监管力度不足和用户的安全防范意识薄弱等原因,导致Android恶意应用的数量迅速地增大。因此,针对Android恶意应用进行检测是十分有意义的,也一直是安全领域重点研究的对象。现有基于权限组合的检测往往是根据经验挑选出固定恶意权限组合,或者挖掘有关权限的极大频繁项集,这样都会忽略掉很多的恶意权限组合,这里有些权限组合在正常应用中也有可能被请求使用。在定义单个权限的权值和权限组合的权值仅仅通过它们出现在应用的频度决定,精度大大降低。针对这些不足,提出KMD恶意应用检测模型。本文主要研究工作如下:首先,提取Android应用实际使用权限,由于权限特征数量太多,为了提取对分类有良好效果的特征数据,研究分析信息增益与卡方统计特征选择方法,通过实验检验两种选择方法对分类模型的影响,最后选择对本文分类效果较好的特征选择方法。其次,提出KMD模型,该模型主要根据Google play,将应用按照实现的功能进行分类。通过平衡二叉决策树SVM多类分类算法在样本集空间类别交界处训练最优分类器,进而实现样本功能分类,从而降低数据挖掘与样本检测的空间,提高检测的准确性。最后,KMD模型针对每个功能类别采用Apriori的改进算法—SRApriori来挖掘出所有频繁项集,并对恶意权限频繁项集进行筛选。量化每个功能类别中权限与权限组合的权值,构建基于类别的恶意权限组合-权值特征库,生成最终的恶意行为判定模型。