随着智能手机和4G移动网络的普及,移动互联网行业在近年迅速发展壮大,带来了安卓应用程序的恶意软件、盗版软件等各种安全问题,安卓用户因此受到病毒、木马、蠕虫以及僵尸网络等威胁,安卓安全研究应运而生。研究者一方面通过软件加壳、代码混淆等技术对安卓应用进行保护,另一方面通过对检测恶意流量,进而检测手机恶意行为。安卓应用保护以应用程序为研究主体,验证应用的合法性和安全性。安卓流量检测则通过监控设备流量,及时发现非法上传下载行为。后者仅通过流量识别恶意服务器,而忽略了安卓客户端的保护,没有与安卓应用保护形成统一的检测保护方案。本文在现有工作基础上,深入研究了手机恶意流量基础,并总结分析了相关的国内外文献,提出了基于DNS特征和网络流量特征的移动终端APT恶意流量检测方法,以及基于DNS特征的移动终端僵尸网络恶意流量检测方法,建立基于机器学习的异常检测模型,并采用基于多分类器融合技术的声誉引擎对可疑的IP地址进行综合评价,使用两种方法并行检测不同类型的手机恶意流量。最终,使用流量分类的技术,通过应用程序的指纹匹配将产生恶意流量的安卓应用程序与恶意流量相关联,达到恶意流量定位的目的。本文协同了移动设备主机保护方案和移动流量检测方案,建立了恶意流量识别和恶意应用定位的统一模型,采用公开数据集进行实验,取得了不低于96%的恶意流量检测率和较高的恶意应用定位准确率。