[发明专利]一种安卓系统下勒索应用检测系统及方法

权利要求书

1.一种安卓系统下勒索应用检测系统，其特征在于，包括：

行为触发模块，用于触发应用程序、激活设备管理器；

行为监控模块，用于应用程序启动后后动态获取应用的执行信息；所述执行信息包括：行为信息、布局类型信息、视图属性信息、视图文本信息；

勒索应用判定模块，用于根据执行信息判定系统中是否存在勒索应用。

2.如权利要求1所述的系统，其特征在于，所述勒索应用判定模块，其判定规则包括：根据执行信息中的布局类型信息及视图属性信息，判断新安装的应用程序是否存在强制应用窗口全屏的行为，若是则视为相应的新安装应用程序为勒索应用；

或者，根据新安装应用程序的行为信息，判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为，若是则视为相应的新安装应用程序为勒索应用。

3.如权利要求1所述的系统，其特征在于，所述行为触发模块具体用于：当有应用程序安装到系统中后，触发新安装的应用程序，获取系统中顶层Activity窗口，判断活动行为是否为请求启动设备管理器，若是，则激活设备管理器；否则按规定触发系统中其他应用程序的Activity，并记录该Activity的启动次数。

4.如权利要求3所述的系统，其特征在于，所述行为信息包括：新安装应用程序的行为信息、系统中其他应用程序的行为信息；其中，新安装应用程序的行为信息具体包括：新安装应用程序中Activity类名以及该Activity的启动次数；其中，系统中其他应用程序的行为信息具体包括：行为触发模块启动系统中其他应用程序Activity的启动次数。

5.如权利要求4所述的系统，其特征在于，所述勒索应用判定模块，其判定规则还包括：根据系统中其他应用程序Activity启动次数和新安装应用程序中每个Activity的启动次数，判断新安装应用程序中是否有Activity在每次行为触发模块触发系统中其他应用程序Activity后都会自动启动，若存在这样的Activity则视为相应的新安装应用程序为勒索应用。

6.如上述权利要求1至5任一所述的系统，其特征在于，还包括黑名单模块，用于提取勒索应用特征信息，写入黑名单；当有应用程序安装到系统中后，启动行为触发模块，并由行为监控模块提取新安装应用程序的特征信息，并与黑名单匹配，若匹配成功则视为相应的新安装应用程序为勒索应用，否则执行勒索应用判定模块；所述特征信息包括：视图文本信息、Activity类名。

7.一种安卓系统下勒索应用检测方法，其特征在于，包括：

当有应用程序安装到系统中后，触发新安装的应用程序；

获取系统中顶层Activity窗口，判断活动行为是否为请求启动设备管理器，若是，则激活设备管理器；否则按规定触发系统中其他应用程序的Activity，并记录启动次数；

动态获取系统中的执行信息；所述执行信息包括：行为信息、布局类型信息、视图属性信息、视图文本信息；

根据执行信息判定系统中是否存在勒索应用。

8.如权利要求7所述的方法，其特征在于，所述判定系统中是否存在勒索应用，其判定规则包括：根据执行信息中的布局类型信息及视图属性信息，判断新安装的应用程序是否存在强制应用窗口全屏的行为，若是则视为相应的新安装应用程序为勒索应用；

或者，根据新安装应用程序的行为信息，判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为，若是则视为相应的新安装应用程序为勒索应用，否则执行其他判定规则。

9.如权利要求8所述的方法，其特征在于，所述行为信息包括：新安装应用程序的行为信息、系统中其他应用程序的行为信息；其中，新安装应用程序的行为信息具体包括：新安装应用程序中Activity类名以及该Activity的启动次数；其中，系统中其他应用程序的行为信息具体包括：行为触发模块启动系统中其他应用程序Activity的启动次数。