在不断涌现出的新型恶意软件以及恶意软件变种过程中,一方面由于传统的检测模型过分依赖已知样本,无法检测新的恶意行为,另一方面在现实检测任务中普遍存在恶意数据难以获取且获取代价过高的现象。面对恶意软件收集数据的不完整性及获取难和代价高等问题,异常点检测法是目前行之有效的一种方法。Android系统软件异常点检测方法是指对上线后的应用进行行为预测的检测过程。虽然软件异常点检测是目前检测未知软件安全性不可或缺的重要手段,但是软件异常点检测仍然面临着高维数据难以有效运行、异常检测实时性和准确性要求较高以及检测样本不均衡等问题。以数据流信息是软件隐私泄露的主要判断依据和资源为基础,围绕上述问题,论文主要做了如下工作:(1)异常点检测特征提取。异常点检测特征难以分析表现在高维异常点的检测、异常点检测的实时性、异常点检测的准确性以及异常软件之间的关联性。为此,本文首先对软件异常点检测进行问题定义,接着对特征提取模型进行特征变换和参数设定,利用机器学习良好泛化能力的特征,将样本在原空间的特征表示变换到一个新的特征空间以提高分类准确度,从而构建出一种自动高效的软件异常点特征提取方法。(2)异常点检测样本平衡性。异常点检测样本不平衡的问题往往出在新型恶意软件或恶意软件变种出现初期有标记的样本不足且样本分类不均衡,从而导致异常点检测面临训练集样本不均衡以及有标记样本偏少的问题。文中通过半监督学习方法,根据已有标记样本和未标记样本来自学成才,这样无需过多的人工参与,利用大量无标记软件样本本身的分布信息可辅助异常点的检测。(3)多步异常点检测模型。基于特征变换的优异性和聚类算法的自动化分类,参照机器学习邻域对大规模的数据具有良好的处理能力,结合现有的资源进行问题建模并设计异常点检测的方案,提出多步异常点的检测模型。该模型以应用程序数据执行路径相关信息为切入点,根据信息的重要程度进行特征选取,为异常样本提供聚类依据和异常度量,组成具有代表软件异常的数据流信息集合作为分类标准。实验结果表明该模型可以有效减少数据集上异常检测的数据流特征的数量,提高异常软件识别的准确性和保障使用软件的安全性。(4)多步异常点检测原型系统。在Android Studio开发工具和FLOWDROID数据流分析工具的基础上,设计并实现本文原型系统的各个功能模块,采用不同性质的样本来验证本文提出的多步异常点检测方法的有效性。本文通过对比实验的形式对多步异常点检测方法进行了测试,利用Google Play商店和VirusShare数据库两个数据集进行实验,对比了MUDFLOW、基于主成分分析法(PCA,principal component analysis)前后的MULTIFLOW异常检测模型,数据集进行了实验并且分析了结果,与已发表的方法MUDFLOW检测模型相比,检测率分别从78.16%提高到91.37%,真正例率从79.59%提高到92.76%,证明了本文提出的多步异常点检测方法相对于传统的异常检测方法,有较高的性能提升,验证了多步异常点检测方法的高效性和正确性。