智能手机在最近十年间得到了迅速的发展,由于其出色的性能和丰富的功能,人们开始使用智能手机代替个人电脑处理一些日常事务,如收发邮件、在线购物等。由于更多的接触使用者的个人信息,智能手机也开始吸引更多恶意软件的攻击,在这种情况下,保护智能手机安全变得极为重要。本文在深入理解智能手机特点及其所面临的安全威胁的基础上,提出了一个基于智能手机行为分析的异常检测方法并在Android系统上实现。该方法首先对异常检测过程进行抽象,针对该过程提出一个支持多种算法、动态可扩展的异常检测框架,其次在该框架上设计并实现了一个基于系统行为分析的异常检测算法,该算法首先对系统行为进行了抽象和定义,其次通过一个代理不断的观察获取系统行为,并使用了一个基于自组织映射的分类算法对系统行为进行分析,最后根据算法的分析结果,找到系统异常并执行相应的处理。本文的主要工作和贡献包含以下三点:(1)提出一个支持多种算法、动态可扩展的异常检测框架通过对传统计算机和智能手机现有异常检测技术的分析和总结,将异常检测方法抽象为数据获取和数据分析两个过程,并设计了一个客户端-服务器结构的异常检测框架,分别对两个过程进行管理。该框架可以同时管理多个异常算法的执行过程,并能够动态的添加和删除算法。因而可以使用不同算法对同一个系统进行综合分析,并比较不同算法的优缺点,便于算法的设计和改进。(2)提出一个基于系统行为分析的异常检测方法首先分析了单个应用程序和整个系统在行为获取和分析方面的差异,定义整个系统作为异常检测的客体,即被检测对象;其次跟踪并收集Android系统上已有的恶意软件信息,并对恶意软件行为进行模拟和观察,选择若干受其影响最大的系统信息,定义为系统行为,并作为异常检测的依据,最后根据系统行为数据的特点,设计了一个基于SOMs的改进的分类算法对收集到的系统行为进行分析,找出由于恶意软件而引起的系统异常。(3)总结了Android系统的系统行为获取方法总结了系统行为数据在Android系统上的获取方法,对于无法通过系统所提供的API获取的数据,给出了该项数据的近似值获取方法。这为其他智能手机系统上的实现提供了参考。