随着通讯技术的快速发展,智能手机在人类生活中变得越来越重要。Android系统由于其高度的开放性成为了主流的移动操作系统,其市场份额在2019年达到了87%。然而随着Android系统的流行,更多的攻击者将Android应用程序作为了攻击目标。因此,研究高效的Android恶意代码检测方法来检测大规模的Android应用程序集是非常有必要的。现有的Android恶意代码检测方法可以分为静态分析、动态分析和混合分析三种。静态分析方法常使用请求权限和API调用作为特征,具有检测时间少的优点。但是目前的静态分析方法对于使用了反检测手段的恶意代码检测效果不理想,如动态加载机制来隐藏恶意行为。动态分析方法常使用系统调用作为特征,可以有效地解决反检测技术带来的问题。但是动态分析需要人工或行为触发工具来运行应用程序,存在着触发不完整以及检测时间长的问题。混合分析方法将上述两种方法结合,有效的整合了静态分析方法和动态分析方法的优点,但系统复杂性高,所需的检测时间相较于动态分析还要多。因此,为了快速准确的检测Android恶意代码,本文采用分治思想,在静态分析方法的基础上提出了一种两层模型的Android恶意代码检测系统。第一层模型将易识别的Android应用程序识别为正常和恶意,对复杂的识别为未知,第二层模型针对使用动态代码加载机制等反检测技术,进一步检测第一层不能识别的复杂Android应用程序。本文在分析Android系统架构、Android组件、Android安全机制的基础上,对Android恶意代码检测技术进行了深入的研究,其主要内容如下:（1）作为检测系统的第一层,为了快速、精确的对Android应用程序分类,本文提出了一种更好的基于权限的Android恶意代码检测模型。该模型通过提出的特征选择方法从权限中挖掘出重要特征以构建特征向量,并基于该特征向量训练分类器。该检测模型具有检测速度快,对分类为正常和恶意的检测精度很高。（2）作为检测系统的第二层,针对现有静态分析方法对采用了反检测技术应用程序的检测精度低的问题,提出了权限补集准确表征隐藏在外部文件中恶意代码的方法,结合集成学习模型提出了一种基于API调用和权限补集的恶意代码检测模型,该检测模型对第一层未能判别的Android应用程序实现了精确的检测。（3）基于分治的思想,本文设计了一种结合策略来整合提出的两个模型,并构建了一种两层模型的检测系统。该系统整合了提出的两个模型的优点,第一层实现了快速的分类,第二层解决了复杂Android恶意代码检测率低的问题,检测系统在保证了高检测准确度的情况下显著地降低了平均检测时间。（4）对提出的基于权限的Android恶意代码检测模型、基于API调用和权限补集的检测模型、基于提出模型的两层Android恶意代码检测系统分别进行了实验验证。构建了两个数据集,数据集D1分别由安卓应用市场和某安全公司提供的6000个正常应用程序和6000个恶意应用程序构成。数据集D2分别由3000个复杂的正常应用程序和恶意应用程序构成。实验结果表明,本文提出的两个检测模型以及构建的基于两层模型的检测系统在数据集D1和D2上均取得了高检测准确度和低检测时间,较同类方法有显著提高。