Android的开源特性致使98%的恶意应用滋生在Android平台。为有效识别恶意应用,学者们探索了基于机器学习的检测方法。然而这些方法普遍在特征选择中使用单一的选择算法,存在丢失某些特征类别的风险;在分类中使用单个机器学习算法,无法确定最适合当前模型的算法。一些基于集成学习的工作提取特征较少,难以全面描述应用(APP)。同时,在网络级别的检测中流量数据庞大,但少有工作借助机器学习算法,且方法普遍异步地检测APP。针对上述不足,本文首先提出了基于本地行为和集成学习的Android恶意应用检测(Mlifdect)。方法将本地行为细化为“APP独立的特征”和“平台定义的特征”,引入两种特征选择算法分别挑选它们;接着使用三种不同的机器学习算法分别搭载生成的两类特征数据集,构建六个基分类器,多线程并发执行分类任务;最后调研了Dempster-Shafer(DS)理论和概率分析的两种集成策略。实验中,Mlifdect的准确率和召回率均接近99.7%,并以少量硬件开销换取时间的优化。其次,本文提出了基于网络行为和集成学习的检测模型。该模型是一种多标签分类问题,从流量数据中提取了数量、时间、语义性质的16个特征,并维护流量所属APP属性,以“特征+属性+APP标签+流量标签”的方式构建特征向量,使用Mlifdect中的三种机器学习算法分类,通过DS理论集成,完成了流量与对应APP的同步分类。实验证明该模型准确率达到97%,并将异步操作转化为同步行为,节省了计算开销。最后,本文分别对本地和网络行为展开了细粒度分析,探索恶意应用与正常应用行为特征的差异;随后,本文提出特征持久化概念,并通过时间序列实验与数据分析发现Android恶意应用的本地行为特征随时间推移变化较为明显,持久性相对欠缺。