随着智能手机的普及,移动应用的数量呈现爆发性增长。移动系统平台数量庞大,其中,Android系统的开放性和灵活性使其成为最受欢迎的平台,然而,由于其开放性的特点,黑客以及恶意病毒制造者开始将获取利益的目光投向Android系统平台,造成恶意软件大量涌现于应用市场中,对用户的移动终端构成严重威胁,若不加以防范与打击,势必会给国家和社会带来严重的破坏以及难以想象的损失,因此,移动终端的安全问题成为公众越发关注的问题,也开始成为学术界和产业界的研究目标。近几年来,研究人员开始从静态代码层面、动态调用层面以及网络流量层面研究恶意应用的识别,但是由于单一层面的信息量有限、对信息处理以及分析等种种条件的制约,现有的相关研究分别存在着不同程度的缺陷,很少针对多个层面以及层面之间关系进行深入的研究与分析。因此,本文将从以下几个方面对上述的问题展开,提出了两种具有智能识别能力的恶意Android应用识别方法。首先,由于本课题是针对静态代码、网络流量和地理位置信息层面以及各层面之间的关系进行恶意Android应用识别的,而上述层面的数据获取成为首先需要解决的问题,因此,本文设计了一套Android应用自动化反编译和地理位置信息自动化获取方案,而网络流量自动化采集由课题组已完成的网络流量采集平台完成。在此基础上,本文采集了约2万个Android应用软件样本的源代码及其运行时与其产生交互的服务器的地理位置信息,解决了多个层面的数据集问题,推动了融合多元信息进行恶意应用识别方法的研究。同时,本文从Android应用源代码、网络流量以及地理信息位置三个不同的层面对恶意Android应用和恶意应用家族进行可视化并进行分析,从可视化结果中发现有效识别恶意Android应用的特征,推动后续实验的进行。其次,针对现有相关研究从单一层面进行恶意Android应用识别以及存在一定缺陷的问题,本文提出了一种具有智能识别能力的恶意Android应用双重检测方法,分别从静态代码和网络流量两个层面进行分析及提取特征,再结合机器学习算法训练出基于静态代码的检测模型和基于网络流量的检测模型,最后结合使用两种检测模型进行检测,从而提高检测能力,得到更好的检测效果。再者,针对相关研究较少对多个层面之间联系进行分析研究的问题,本文提出了一种基于数据融合的恶意Android应用识别的方法。本文展现了Android源代码、网络流量以及地理位置等信息之间的关系,并通过这种关系融合三个层面的信息,进而提取特征并使用支持向量机(Support Vector Machine)算法训练检测模型,用于恶意Android应用的识别。同时,本文对实验结果提供了解释说明,使用户和研究人员更加深入的了解其恶意行为。最后,本文基于所有的研究成果,设计了一个恶意Android应用检测系统原型,可更加方便的检测未知Android应用。