随着Android平台的流行,针对Android平台的恶意攻击也日益增多。Android系统虽然已经提供了诸如沙箱、Permission机制等安全措施来保证系统安全,但是在巨大商业利益的激励下,无数攻击者针对系统和软件本身漏洞、安全机制漏洞等,对Android用户展开了各种形式的攻击。在这过程中Android系统已经暴露出开放模式、系统漏洞、软件漏洞、permission机制漏洞等严重安全威胁。因此,在Android系统现有安全机制之外,急需新的安全机制来应对Android系统面临的安全威胁。本论文以保证Android系统用户安全为根本出发点,以能够识别已有恶意攻击和发现未知恶意攻击为目标,从Android安全机制和面临的安全威胁,以及Android平台恶意软件攻击意图和攻击手段两条主线同时进行研究。在同时考虑Android系统安全威胁和Android恶意软件行为模式的情况下,提出采用应用和用户行为模式作为异常检测对象,并设计基于Markov链模型的用户和应用行为模式的异常检测算法。最后给出了基于行为模式的Android平台入侵检测系统的整体设计,并详细设计和实现了异常检测子系统。论文总共分为七章。第一章首先分析了Android平台安全研究背景,提出在Android平台上设计并实现一套入侵检测系统来保证系统安全。第二章首先在概述Android系统架构和安全机制的基础上,详细分析了Android系统所面临的安全威胁；然后概述了入侵检测技术和智能手机异常检测研究现状,并给出了Android平台异常检测需求分析。第三章在详尽分析Android平台主流恶意软件行为模式的基础上,总结了Android平台恶意软件的攻击意图和攻击手段。第四章定义和描述了Android系统应用和用户行为模式,然后设计了基于Markov链模型的用户和应用行为模式的异常检测算法。第五章提出了在Android平台上实现入侵检测系统的设计原则,并给出了系统及云端的整体设计。第六章对异常检测子系统进行了详细设计和实现,并在原型层面上测试了系统的可用性。第七章总结了本论文的工作,并对下阶段的工作进行了展望。