1.一種可驗(yàn)證的安卓惡意軟件檢測(cè)系統(tǒng)，其特征在于，所述的檢測(cè)系統(tǒng)包括源數(shù)據(jù)初始化過(guò)濾器模塊、可疑代碼警報(bào)模塊和惡意代碼驗(yàn)證模塊；

其中，所述的源數(shù)據(jù)初始化過(guò)濾器模塊以提交者通過(guò)網(wǎng)站或者系統(tǒng)API提交的安卓應(yīng)用源數(shù)據(jù)為輸入，以分布式計(jì)算框架作數(shù)據(jù)清洗和重新封裝，初步篩選出可疑的安卓應(yīng)用，包括樣本提交相關(guān)的結(jié)構(gòu)信息及特征向量；

所述的可疑代碼警報(bào)模塊以篩選出的安卓應(yīng)用數(shù)據(jù)及相關(guān)信息為輸入，將所有的可疑安卓應(yīng)用數(shù)據(jù)下載到分布式計(jì)算框架的訓(xùn)練分類(lèi)器，執(zhí)行深層次分析從可疑的安卓應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)并定位出惡意代碼，輸出可疑代碼的結(jié)果報(bào)告；

所述的惡意代碼驗(yàn)證模塊對(duì)可疑代碼作詳細(xì)分析，在分布式計(jì)算框架中為APP安裝包分析組件、APP函數(shù)功能分析組件和視圖相似性分析組件建立多個(gè)并行樣本分析任務(wù)，對(duì)每個(gè)提交的數(shù)據(jù)流作安裝包分析、靜態(tài)相似性分析和動(dòng)態(tài)相似性分析，根據(jù)驗(yàn)證規(guī)則計(jì)算結(jié)果；

所述的惡意代碼驗(yàn)證模塊包括安裝包分析器、靜態(tài)分析器、動(dòng)態(tài)分析器、驗(yàn)證器，其中，所述的安裝包分析器、所述的靜態(tài)分析器、所述的動(dòng)態(tài)分析器分別同步提取每個(gè)樣本的安裝包信息、功能函數(shù)靜態(tài)代碼和動(dòng)態(tài)行為信息，然后生成驗(yàn)證文件，將所有驗(yàn)證文件和中間分析結(jié)果收集并解析后提交到驗(yàn)證器中，以根據(jù)多個(gè)驗(yàn)證文件進(jìn)行對(duì)可疑提交者的決策；

所述系統(tǒng)進(jìn)行安卓惡意軟件檢測(cè)方法包括：

S1、源數(shù)據(jù)初始化過(guò)濾器模塊對(duì)源數(shù)據(jù)進(jìn)行預(yù)過(guò)濾和特征生成，以提交者通過(guò)病毒檢測(cè)服務(wù)平臺(tái)的網(wǎng)站或者檢測(cè)系統(tǒng)API接口提交的數(shù)據(jù)為輸入預(yù)過(guò)濾處理后，進(jìn)行數(shù)據(jù)重新封裝，篩選后得到關(guān)于每個(gè)樣本提交的相關(guān)結(jié)構(gòu)信息，其中結(jié)構(gòu)信息包括樣本SampleID、時(shí)間戳、國(guó)家，生成用戶(hù)UserID，來(lái)自同一提交者的多次提交形成一系列的安卓應(yīng)用數(shù)據(jù)流，并按提交的時(shí)間戳給予排序；

S2、可疑代碼警報(bào)模塊以源數(shù)據(jù)初始化過(guò)濾器模塊輸出的數(shù)據(jù)流為輸入，經(jīng)過(guò)訓(xùn)練分類(lèi)器輸出可疑代碼報(bào)告，將提交流實(shí)時(shí)分為可疑或正常，發(fā)現(xiàn)有新的數(shù)據(jù)流提交時(shí)，首先檢查用戶(hù)UserID是否存在于用戶(hù)及惡意特征數(shù)據(jù)庫(kù)中，如果存在，則從該用戶(hù)UserID加載所有先前提交的數(shù)據(jù)流記錄，然后計(jì)算它們的特征向量，訓(xùn)練分類(lèi)器將來(lái)自每個(gè)用戶(hù)UserID提交數(shù)據(jù)的所有字段計(jì)算出數(shù)據(jù)的特征向量，并從提交數(shù)據(jù)的字段中提取一組派生特征；

S3、在可疑代碼警報(bào)模塊將提交數(shù)據(jù)流標(biāo)記為可疑后，惡意代碼驗(yàn)證模塊分析來(lái)自可疑用戶(hù)UserID的所有樣本文件，部署安裝包分析器、靜態(tài)分析器、動(dòng)態(tài)分析器提取每個(gè)樣本的安裝包信息、功能函數(shù)靜態(tài)代碼和動(dòng)態(tài)行為信息進(jìn)行惡意代碼行為分析；

S4、解析多個(gè)驗(yàn)證屬性，對(duì)可疑代碼驗(yàn)證屬性進(jìn)行計(jì)算，生成各種驗(yàn)證文件，收集驗(yàn)證文件和中間分析結(jié)果，最終提交到驗(yàn)證器中，以根據(jù)多個(gè)驗(yàn)證文件進(jìn)行決策，依據(jù)樣本相似性對(duì)可疑代碼分組，并形成最終驗(yàn)證的結(jié)果；

S401、設(shè)安裝包分析結(jié)果集合P＝{P₁,P₂,P₃,P₄}，且V(P_m)∈{0,1}，為所述的安裝包分析器及其驗(yàn)證屬性設(shè)定規(guī)則：

安卓應(yīng)用安裝包分析器包括4個(gè)驗(yàn)證屬性：

驗(yàn)證屬性P₁：安卓應(yīng)用安裝包APK中的所有文件的時(shí)間戳與提交的時(shí)間戳之間的方差，當(dāng)安卓應(yīng)用不被病毒檢測(cè)平臺(tái)測(cè)試通過(guò)，開(kāi)發(fā)人員需要時(shí)間去修改和分發(fā)新的應(yīng)用，即屬性P₁值V(P₁)＝0，如果所有文件的時(shí)間戳與提交的時(shí)間戳小于一閾值，那么屬性P₁的值V(P₁)＝1；

驗(yàn)證屬性P₂：提交的樣本應(yīng)用時(shí)間戳之間的方差，當(dāng)用戶(hù)ID提交的樣本應(yīng)用具有許多相同的時(shí)間戳?xí)r，即惡意應(yīng)用開(kāi)發(fā)者很有可能同時(shí)生產(chǎn)不同版本的安卓應(yīng)用，則驗(yàn)證屬性V(P₂)＝1，否則屬性V(P₂)＝0；

驗(yàn)證屬性P₃：安裝包APK中的所有文件的時(shí)間戳方差，當(dāng)安卓安裝包APK中的所有文件時(shí)間戳完全相同時(shí)，則驗(yàn)證屬性V(P₃)＝1，否則屬性V(P₃)＝0；

驗(yàn)證屬性P₄：安卓應(yīng)用使用的簽名證書(shū)分析比較，如果提交的數(shù)據(jù)流中一組安卓應(yīng)用使用相同的簽名證書(shū)，則驗(yàn)證屬性V(P₄)＝1，如果不同的簽名證書(shū)，則屬性V(P₄)＝0；

四個(gè)驗(yàn)證屬性中，只要存在一個(gè)驗(yàn)證屬性值為1，那么該安裝包分析器就判斷提交的數(shù)據(jù)流存在可疑的惡意代碼；

S402、設(shè)靜態(tài)分析結(jié)果集合Q＝{Q₁，Q₂}，且V(Q_n)∈{0,1}，為所述的靜態(tài)分析器及其驗(yàn)證屬性設(shè)定規(guī)則：靜態(tài)分析器應(yīng)用兩個(gè)驗(yàn)證辦法并生成驗(yàn)證屬性，首先用視圖圖形同構(gòu)方法來(lái)計(jì)算安卓應(yīng)用UI結(jié)構(gòu)的相似性，生成驗(yàn)證屬性Q₁，如果提交的應(yīng)用樣本數(shù)據(jù)流之間的圖形相似度系數(shù)大于或等于設(shè)定的閾值ξ，即可判斷提交數(shù)據(jù)流的一組應(yīng)用具有類(lèi)似的UI結(jié)構(gòu)，則驗(yàn)證屬性V(Q₁)＝1，否則屬性V(Q₁)＝0，然后使用靜態(tài)分析工具分析控制流圖生成驗(yàn)證屬性Q₂，如果提交流中的一組安卓應(yīng)用擁有類(lèi)似的控制流，相似度系數(shù)大于或等于閾值ξ，則驗(yàn)證屬性V(Q₂)＝1，反之，若安卓應(yīng)用的程序控制流比較結(jié)果低于閾值ξ,則驗(yàn)證屬性V(Q₂)＝0；

S403、設(shè)動(dòng)態(tài)分析結(jié)果集合R＝{R₀}，V(R_o)∈{0,1}，為所述的動(dòng)態(tài)分析器及其驗(yàn)證屬性設(shè)定規(guī)則：基于動(dòng)態(tài)分析工具分析各種可疑的安卓API，借助系統(tǒng)調(diào)用和代碼加載行為等動(dòng)態(tài)特征，以此計(jì)算安卓應(yīng)用樣本之間的動(dòng)態(tài)行為相似性，生成驗(yàn)證屬性R_o，如果提交的數(shù)據(jù)流的一對(duì)安卓應(yīng)用樣本具有動(dòng)態(tài)行為相似性，相似性大于或等于閾值ξ，則驗(yàn)證屬性V(R_o)＝1，應(yīng)用樣本之間的動(dòng)態(tài)行為相似度低于閾值ξ，則驗(yàn)證屬性V(R_o)＝0，若動(dòng)態(tài)分析器的兩個(gè)驗(yàn)證屬性中，只要存在一個(gè)驗(yàn)證屬性值為1，那么該動(dòng)態(tài)分析器就判斷提交的數(shù)據(jù)流存在可疑的惡意代碼；

S404、在提交的數(shù)據(jù)流生成所有驗(yàn)證屬性后，基于它們做出驗(yàn)證結(jié)果，驗(yàn)證結(jié)果M由以下公式計(jì)算：

M::＝P×Q×R＝{(P_m,Q_n,R_o)|P_m∈P∧Q_n∈Q∧R_o∈R}

每個(gè)提交的數(shù)據(jù)流都經(jīng)過(guò)三種不同分析器給予驗(yàn)證，在驗(yàn)證屬性之間的計(jì)算關(guān)系使用或，即：V(P)＝V(P₁)∨V(P₂)∨V(P₃)∨V(P₄),V(Q)＝V(Q₁)∨V(Q₂),V(R)＝V(R_o)，因此只要分析器內(nèi)的任何一個(gè)規(guī)則被驗(yàn)證，提交的樣本數(shù)據(jù)流將被暫定為可疑的惡意代碼，而安裝包分析器，靜態(tài)分析器，動(dòng)態(tài)分析器三種不同分析器之間是與關(guān)系，也就是說(shuō)三種分析器同時(shí)確認(rèn)樣本應(yīng)用存在惡意代碼后，用戶(hù)UserID被確認(rèn)為安卓惡意應(yīng)用開(kāi)發(fā)者，其提交的數(shù)據(jù)流完整確認(rèn)存在惡意代碼。