在过去的几年,移动设备的数量在飞速的增长,如智能手机、平板电脑等。在智能手机市场,安卓系统的市场份额是最高的。与此同时,针对移动设备的安全威胁也越来越多,由于安卓系统的开源性以及它的受欢迎程度,已成为黑客们最理想的攻击目标,所以针对安卓设备的恶意软件数量也在迅速增长,安卓用户正在寻找好的安全解决方案,以防止恶意软件破坏他们的智能手机。　　实际上,恶意用户和黑客是利用移动设备有限的功能和缺乏标准的安全机制来设计特定的恶意软件,这些恶意软件主要是访问用户的敏感数据,窃取用户隐私或拒绝访问设备功能等。为了减少这些安全威胁,最近提出了各种入侵检测系统,这些系统大多是基于行为的检测。在本文中,描述了一个在内核层和用户层同时监测恶意软件感染的两层异常检测器(TLAD),它利用机器学习来区分正常行为和恶意行为。通过仿真实验结果,我们发现这种方法能真正地检测到恶意软件,且误报率很低。　　本文的主要研究内容如下:　　1.描述了TLAD的设计与实现,它是一个基于主机的实时异常检测器,利用多级视图监控智能手机,它考虑了系统调用和手机参数两种操作系统事件来检测入侵企图,如用户空闲或活动。此外,TLAD采用机器学习系统,能够自适应新的行为,包括运行时训练集学习的新元素。　　2.构造了框架并在真正的设备上进行了测试,测试了超过50个流行的应用程序来衡量误报,结果表明,每天平均的误报数少于5。此外,还测试了一些零攻击的恶意软件,这些软件是目前现成的安全检测方案无法检测到的,实验表明TLAD的检测率为93％。