1.基于組合事件行為觸發(fā)的Android惡意行為檢測(cè)系統(tǒng)，其特征在于：包括多層行為監(jiān) 測(cè)模塊、行為分析模塊和DroidRunner行為觸發(fā)模型；

多層行為監(jiān)控模塊通過(guò)修改Android源碼、植入網(wǎng)絡(luò)監(jiān)控工具實(shí)現(xiàn)對(duì)Java調(diào)用、本地調(diào) 用和網(wǎng)絡(luò)連接的監(jiān)控，捕獲應(yīng)用程序運(yùn)行時(shí)的行為日志；

行為分析模塊通過(guò)函數(shù)調(diào)用關(guān)系和函數(shù)參數(shù)特征識(shí)別應(yīng)用程序中的惡意行為，同時(shí)，行 為分析模塊會(huì)生成應(yīng)用行為分析報(bào)告，用戶通過(guò)應(yīng)用行為分析報(bào)告識(shí)別檢測(cè)結(jié)果中誤報(bào)或漏 報(bào)的惡意行為，并修正或擴(kuò)展惡意行為特征庫(kù)；

DroidRunner行為觸發(fā)模型根據(jù)對(duì)界面調(diào)度方式和已知惡意行為觸發(fā)條件的分析設(shè)計(jì)了多 組合均衡遍歷算法和特殊事件觸發(fā)庫(kù)，完成對(duì)應(yīng)用程序中惡意行為的動(dòng)態(tài)檢測(cè)。

2.根據(jù)權(quán)利要求1所述的基于組合事件行為觸發(fā)的Android惡意行為檢測(cè)系統(tǒng)，其特征 在于：所述的DroidRunner行為觸發(fā)模型包括預(yù)處理組件、主控組件、界面分析組件、界面 控制組件、特殊事件觸發(fā)組件和特殊事件觸發(fā)庫(kù)組件；

預(yù)處理組件，分析APK并獲取其基本信息，為其它組件的運(yùn)行提供基礎(chǔ)數(shù)據(jù)；

界面分析組件，獲取當(dāng)前Activity中顯示的所有可操作控件的屬性，并生成控件序列，為 界面控制組件提供基礎(chǔ)數(shù)據(jù)；

界面控制組件，模擬用戶對(duì)應(yīng)用的操作，操作根據(jù)多組合均衡遍歷算法調(diào)度生成；

特殊事件觸發(fā)組件，基于對(duì)由注冊(cè)廣播接受器和檢測(cè)運(yùn)行環(huán)境類事件觸發(fā)執(zhí)行應(yīng)用程序 惡意行為的分析，設(shè)計(jì)了命令行實(shí)現(xiàn)、腳本實(shí)現(xiàn)和預(yù)裝實(shí)現(xiàn)方式三種方式來(lái)實(shí)現(xiàn)這些事件的 自動(dòng)化觸發(fā)；

特殊事件觸發(fā)庫(kù)組件，存儲(chǔ)當(dāng)前已發(fā)現(xiàn)惡意應(yīng)用惡意行為的觸發(fā)事件及實(shí)現(xiàn)方法；

主控組件，負(fù)責(zé)通過(guò)ADB與設(shè)備之間進(jìn)行通訊與控制，并在界面分析組件、界面控制組 件、特殊事件觸發(fā)組件的支撐下，實(shí)現(xiàn)對(duì)應(yīng)用的自動(dòng)化操作。

3.一種基于權(quán)利要求1所述的基于組合事件行為觸發(fā)的Android惡意行為檢測(cè)系統(tǒng)的檢 測(cè)方法，其特征在于，包括以下步驟，

步驟一：多層行為監(jiān)控模塊通過(guò)修改Android源碼、植入網(wǎng)絡(luò)監(jiān)控工具實(shí)現(xiàn)對(duì)Java調(diào)用、 本地調(diào)用和網(wǎng)絡(luò)連接的監(jiān)控，捕獲應(yīng)用程序運(yùn)行時(shí)的行為日志；

步驟二：行為分析模塊通過(guò)函數(shù)調(diào)用關(guān)系和函數(shù)參數(shù)特征識(shí)別應(yīng)用程序中的惡意行為， 同時(shí)，行為分析模塊會(huì)生成應(yīng)用行為分析報(bào)告；

步驟三：根據(jù)應(yīng)用行為分析和DroidRunner行為觸發(fā)模型完成對(duì)惡意行為的動(dòng)態(tài)檢測(cè)。

4.根據(jù)權(quán)利要求3所述的基于組合事件行為觸發(fā)的Android惡意行為檢測(cè)方法，其特征 在于：所述的根據(jù)應(yīng)用行為分析和DroidRunner行為觸發(fā)模型完成對(duì)惡意行為的動(dòng)態(tài)檢測(cè)的 方法為：

步驟一：通過(guò)預(yù)處理組件完成APK的分析并取其基本信息；利用apktool工具反編譯APK 獲取Androidmanifest.xml文件，通過(guò)分析Androidmanifest.xml文件獲取APK的基本信息， 包括APK的包名稱、MainActivity名稱、4種組件信息、申請(qǐng)的權(quán)限；

步驟二：通過(guò)分析組件獲取當(dāng)前Activity中顯示的所有可操作控件的絕對(duì)坐標(biāo)、控件類型、 控件可操作指令屬性，生成控件的操作序列，為界面控制組件提供基礎(chǔ)數(shù)據(jù)；

步驟三：利用步驟二獲得的數(shù)據(jù)信息模擬用戶對(duì)應(yīng)用的操作，操作根據(jù)多組合均衡遍歷 算法調(diào)度生成；

步驟四：根據(jù)預(yù)處理組件獲取的待檢測(cè)應(yīng)用的權(quán)限及組件信息，從特殊事件觸發(fā)庫(kù)中抽 取符合條件的特殊事件列表，在主控組件的控制下在APP運(yùn)行期間隨機(jī)觸發(fā)這些特殊事件；

步驟五：通過(guò)ADB與設(shè)備之間進(jìn)行通訊與控制，并在界面分析組件、界面控制組件、特 殊事件觸發(fā)組件的支撐下，完成自動(dòng)檢測(cè)。

5.根據(jù)權(quán)利要求4所述的基于組合事件行為觸發(fā)的Android惡意行為檢測(cè)方法，其特征 在于：所述的根據(jù)多組合均衡遍歷算法調(diào)度生成生成操作的過(guò)程為：

(1)將Android應(yīng)用界面間跳轉(zhuǎn)關(guān)系轉(zhuǎn)化為一個(gè)有向賦權(quán)圖：

G=(L,W,E)L={li|i=1,2,3...,n}W={w(l)|∀l∈L}E={eij=<li,lj>|i,j=1,2,3...,n}]]>

G表示界面跳轉(zhuǎn)關(guān)系的有向圖；

L表示應(yīng)用所有界面的集合，集合中每個(gè)節(jié)點(diǎn)表示一個(gè)界面；

W表示界面權(quán)值的集合，權(quán)值表示需要調(diào)度到該界面執(zhí)行操作的需求程度，該值越大表 示調(diào)度到該界面進(jìn)行操作的需求越迫切；

E表示界面間跳轉(zhuǎn)的邊的集合，存儲(chǔ)的是導(dǎo)致界面跳轉(zhuǎn)的操作；

(2)如果即發(fā)現(xiàn)一個(gè)新的界面節(jié)點(diǎn)L_i，將界面分析組件獲取的當(dāng)前界面的所有 操作置于L_i.unKnownList表中，計(jì)算界面權(quán)值L_i.weight，轉(zhuǎn)到下一步；如果L_i∈L，轉(zhuǎn)到下 一步；

Li.weight=0,len(Li.unKnowList)=0,len(Li.notJumpList)=0n,n=len(Li.unKnowList)>0nΣxk,n=len(Li.notJumpList)>0,len(Li.unKnowList)=0]]>

其中x_k表示L_i.notJumpList列表中k個(gè)操作被執(zhí)行的次數(shù)，每一個(gè)界面節(jié)點(diǎn)均維持了3個(gè) 列表：unKnowList、notJumpList和jumpList；unKnowList列表用于存儲(chǔ)不確定是否會(huì)導(dǎo)致界 面跳轉(zhuǎn)的控件操作，在進(jìn)入一個(gè)新的界面時(shí)，所有的控件操作均存儲(chǔ)在這個(gè)列表中； notJumpList列表用于存儲(chǔ)不會(huì)導(dǎo)致界面跳轉(zhuǎn)的操作，初始值為空；jumpList列表用于存儲(chǔ)會(huì) 發(fā)生界面跳轉(zhuǎn)的操作，初始值為空；

(3)如果len(L_i.unKnownList)≠0，在L_i.notJumpList列表中，在L_i.unKnownList列表中 隨機(jī)選擇執(zhí)行一個(gè)操作x_k，x_k.count自加1，計(jì)算界面權(quán)值L_i.weight；如果界面沒(méi)有發(fā)生變 化，則將操作x_k從L_i.unKnownList列表移動(dòng)到L_i.notJumpList列表中，跳到步驟(3)；如果 界面發(fā)生跳轉(zhuǎn)，新的界面為L(zhǎng)_j，則將操作x_k從L_i.unKnownList列表移動(dòng)到L_i.notJumpList列 表中，并建立界面L_i過(guò)操作x_k跳轉(zhuǎn)到界面L_j的指向關(guān)系，跳到步驟(2)；如果 len(L_i.unKnownList)＝0，跳到步驟四(4)；

(4)如果len(L_i.notJumpList)≥3，根據(jù)執(zhí)行次數(shù)少優(yōu)先和不同類型優(yōu)先隨機(jī)在 L_i.notJumpLtis中選擇3個(gè)操作組合Commands并執(zhí)行；如果len(L_i.notJumpList)<3，執(zhí)行所 有操作；被執(zhí)行操作count屬性自加1，計(jì)算界面權(quán)值L_i.weight，完成后跳轉(zhuǎn)到步驟(5)； 如果len(L_i.notJumpList)＝0，跳轉(zhuǎn)到步驟(5)；

(5)L_k＝max(W(L))，如果i＝k，跳到步驟(4)；如果i≠k，跳到步驟(6)；

(6)根據(jù)廣度優(yōu)先算法在圖中搜索當(dāng)前界面L_i到界面L_k的路徑S，如果S存在，按照跳 轉(zhuǎn)操作執(zhí)行，操作的count屬性自加1，跳轉(zhuǎn)到步驟(3)。如果S不存在，執(zhí)行返回操作， 跳到步驟(6)。