随着移动互联网时代的到来,智能手机已经深入到人们日常生活的每个角落中。手机中通常保存着个人信息,通话信息等隐私数据,关系着用户的隐私安全。随着各大公司对移动支付的推广,移动互联网安全显得更加责任重大。作为占据手机市场最大份额的Android手机,Android系统的安全是不容忽视的一环。Android手机自面世以来,因为其用户数量庞大,开源性等特点,一直是恶意程序攻击的主要目标。市场上Android平台安全软件很多,其中大部分类似于传统杀毒软件,其中一些安全软件还集成了防火墙、漏洞检测等功能,有较好的检测率,检测效率也比较理想,但是此类安全软件的检测效率往往依赖于服务器端病毒数据库的完备性。入侵检测方法则从系统及用户的行为出发来保障设备的安全,但市场上仍很少看到成熟的Android入侵检测系统,原因在于对用户行为进行精确描述比较困难。在本文中,根据Android系统的CPU信息、存储信息、网络流量等使用信息作为行为构造的基础,以此来进行异常入侵检测,设计了一种Android平台的入侵检测系统Droid IDS。文中详细介绍了该系统的总体框架,并阐述了数据提取模块、训练模块、检测模块及响应模块的实现方法及功能,通过客户端与服务器端的各个模块协同工作组成了一个完善的入侵检测系统。本文设计了一种基于密度聚类的异常入侵检测系统,通过构建用户的行为轮廓,并在此基础上对比新的行为数据来判断是否有入侵的发生。为了精确地描述用户行为轮廓,本文提出了一种新型的异常入侵检测算法,不仅将一种新型密度聚类算法首次应用在异常入侵检测中,还利用原有聚类特性得到了更精确的行为轮廓。根据该聚类算法原理中边缘数据点密度比核心数据点低的特点,提出了一种行为轮廓构建算法,即从边缘点开始构建,只保留关键点和截断距离作为行为特征,删除关键点周围处于截断距离内的所有点,依次构建直至行为轮廓生成。在检测阶段,依次计算行为数据与行为轮廓内的所有中心点的距离,从而判断是否有入侵发生。在本文的实验部分,首先对不同的聚类个数及不同截断距离进行实验,分析了造成这种结果的原因,并最终得到了比较理想的检测效果;然后通过对比该算法与DBSCAN以及原聚类算法在内存占用、检测效率、轮廓生成速度等方面的表现,对算法的性能进行了评估。实验表明,该异常检测算法不仅具有很好的检测性能,而且降低了聚类过程中产生的存储和计算开销。