Android(安卓)是最流行的智能终端操作系统。当前越来越多攻击者把Android平台作为攻击对象,导致Android平台恶意代码泛滥,给用户造成经济损失、隐私泄露等诸多安全风险。因此Android平台的恶意代码检测已是智能终端安全领域一个亟待解决的问题。当前Android平台的恶意代码检测技术以静态检测和动态检测为主,大都只关注的应用的某一方面的特征,对恶意代码的特征考察不够全面,对不同类型恶意应用的检测能力有较大差别。为了解决这一问题,本文提出了基于多类特征的Android恶意代码检测技术。设计和实现了恶意代码检测系统,从应用的代码特征和行为特征两方面进行检测。研究内容可以归纳为以下几个方面:1.研究了通过应用代码相似度检测恶意代码的方法。为了检测相似的恶意应用,本文使用应用的代码相似度来检测诸如重打包、同族的恶意应用。通过提取应用的代码结构信息,以此为特征,提出了一种应用相似度计算方法,能够较好地反映应用之间的相似度,从而识别出相似的恶意应用。2.设计了基于操作路径的Android应用动态测试方法。为了解决传统工具测试的随机性导致的代码覆盖率低的问题,本文设计了基于操作路径的Android应用自动化测试方法。对应用的界面进行遍历,生成测试脚本,模拟用户操作,从而降低搜索空间,提高了动态测试效率。3.通过提取Android应用程序应用层行为特征,使用敏感API调用序列来检测恶意代码。结合API调用之间的依赖关系,提出基于API短序列的检测方法以及马尔可夫链的检测方法。实验验证了本文的方法能提高检测的准确率。4.建立Android恶意应用多类特征联合检测模型,能够对多种类型的恶意应用进行检测。首先用基于代码相似度的检测方法对相同或相似的恶意应用进行快速检测,然后使用基于应用行为的检测方法对其它恶意应用进行深度检测,提高了检测的覆盖面,保证了检测的准确性和快速性。