随着技术发展,如今我们已进入到了5G时代,除了日常通讯使用外,智能手机在日常生活中所扮演的角色也越来越重要。而在移动端设备的市场占比中,Android系统的占有率成为了全球第一,与之相对应的是应用软件的爆炸式增长,再加之该系统的开源特性,恶意应用软件的数量也随之增加,这使Android系统所面临的安全问题也越来越严峻,如何有效的对Android恶意软件进行检测成了近年来许多研究人员的研究课题。到目前为止,Android恶意软件检测的技术可以大致分为静态分析、动态分析与混合分析三类,由于人工智能相关技术的崛起,如今的大部分研究人员所提出的检测方案都运用了机器学习的相关知识,但是如今的大部分检测方案都有一个缺点,随着恶意软件的发展,这些检测方案的性能会随着时间的推移而显著降低,需要提供新的样本集来更新检测模型,若添加新样本的频率太高,需要付出巨大的人力成本。针对以上问题,本文提出了一种基于多特征的混合分析方案,该方案分为静态分析与动态分析两个阶段,在静态分析中,本文从Google官方的Android API参考文档中提取了其中API间的关系图,通过Trans E算法,将关系图中的所有实体与关系转换为了向量的形式,然后使用聚类的方法把其中的API实体按照行为相似性进行分类,最后将静态分析阶段所获得API调用、权限等特征与聚类后的关系图结合,以此来减缓检测模型的老化速率。由于静态分析的使用场景有限,无法准确检测到某些在运行过程中动态加载的恶意行为,因此本文在静态分析的基础上,提出了基于多特征的混合分析方案。该方案通过对静态分析所得检测结果的可信度判断是否需要进行动态分析,在动态分析阶段,通过编写脚本使动态分析的执行流程大大简化,提高了动态分析过程中的检测效率。同时在动态分析阶段,除了API调用、权限特征外,还增加了在静态分析阶段无法获取的流量特征,并且使用信息增益算法来对所获取的流量特征进行筛选,以此来提高检测准确率。最后,本文将所获得的数据集按照现实中恶意软件与良性软件1:9的比例进行分配,并且按照软件出现的先后时间进行排序。经过整理后,本文总共选取了横跨了5年的5154个恶意软件和46393个良性软件作为数据集。在实验阶段,将API调用、权限特征与关系图结合前后进行对比,实验结果表明了本文所提出的方法对于模型的老化速度减缓效果达到了20%,其效果比2019年所提出的模型抗老化方案Droid Evolver好16.1%且稳定性更好。随后将静态分析的检测结果与混合分析的结果进行对比,验证了本文所提出的混合分析方法检测准确率更高,达到了97.3%,已经超过了众多检测方法的平均值。因此,本文所提出的方法在能够保证检测准确率的情况下,还可以有效的防止检测模型老化。