许多研究人员提出了机器学习方法来处理Android恶意软件检测问题。然而,随着时间的推移,随着恶意软件变化,旧的分类模型缺乏适合现代样本的特征。开发人员必须基于现代样本重新提取基本特征,以训练恶意软件分类模型。为了保证模型的准确性,目前的方法大多需要以贪婪的形式提取大量特征。然而,考虑到恶意软件的复杂性和多样性,提取方法需要花费大量的时间。针对这一问题,本文基于恶意行为的进行了特征提取,根据恶意行为分组收集关键特征,以减少所需时间。同时考虑到重复特征是由不同的恶意行为提取的,它们在其中扮演着不同的作用和重要性。因此采用了基于梯度提升决策树（Gradient Boosting Decision Tree,GBDT）的恶意行为特征组合生成方法。本文中的恶意软件样本来自Virus Share根据年份收集的2013年、2017年和2018年的恶意软件。每年数据集的一半用于提取恶意行为特征,另一半和1021个良性应用用于训练恶意软件检测模型。实验结果表明,该方法在保持精度的同时能显著缩短特征提取时间。为了进一步提高精度,一些研究者逐渐在数据流相关的特征进行了探讨。大部分都是考虑恶意程序中的重要应用接口（Application Programming Interface,API）是否是有与UI有关的接口触发的或者一些敏感的数据流,而缺乏考虑应用接口之间的关联。基于GBDT的特征组合难以衡量特征之间是否存在有关数据流的联系,进而提出了基于API可达性特征的Android恶意软件检测的方法,该方法通过交集来确定API之间的连通性,定义距离较近的应用接口之间存在可达性。该方法通过注重恶意行为之间的区别,提取恶意行为重复特征与独有特征之间作为可达性特征,有效地使特征集包含边信息。在1151个恶意程序与1021个良性程序上进行了实验,实验结果表明API可达性特征使得模型的召回率和精度均有所提高,并且相比实验中的其他特征更为重要。