[发明专利]一种云端结合的安全手机防护系统

权利要求书

1.一种云端结合的安全手机防护系统，其特征在于，包括：手机终端和云端监管服务器；

其中，所述手机终端上设置有安全监控模块；所述安全监控模块用于劫持所述手机终端上所有APP的访问行为，并根据预设的URL名单列表，确定被劫持访问行为的执行动作；所述URL名单列表包括：白名单列表、灰名单列表和黑名单列表；

所述云端监管服务器用于配置所述URL名单列表，并在接收到所述安全监控模块发送的第一决策请求时，分析所述决策请求中的第一访问行为，向所述安全监控模块发送第一决策命令，以使所述安全监控模块根据所述第一决策命令，确定所述第一访问行为的执行动作；

其中，所述根据预设的URL名单列表，确定被劫持访问行为的执行动作具体为：

所述安全监控模块提取所述被劫访问行为的第二访问地址；

当所述第二访问地址在所述白名单列表中，则确定所述被劫持访问行为的执行动作为放行；

当所述第二访问地址在所述黑名单列表中，则确定所述被劫持访问行为的执行动作为阻断访问；

当所述第二访问地址在所述灰名单列表中，则向所述云端监管服务器发送包含所述第二访问地址的第二决策请求；

所述云端监管服务器包括监管引擎，所述监管引擎包括WAF组件、NGFW组件、恶意行为检测引擎和恶意URL分析引擎；

所述云端监管服务器，还用于在接收到包含所述第二访问地址的决策请求时，通过监管引擎中的恶意URL分析引擎，对所述第二访问地址进行分析；

如果分析结果为所述第二访问地址为安全访问地址，则向所述安全监控模块发送包含放行指令的第二决策命令，以使所述安全监控模块，确定所述被劫访问行为的执行动作为放行；

如果分析结果为所述第二访问地址为恶意访问地址，则向所述安全监控模块发送包含阻断指令的第二决策命令，以使所述安全监控模块，确定所述被劫访问行为的执行动作为阻断；

如果分析结果为所述第二访问地址既不是安全访问地址也不是恶意访问地址，则通过所述监管引擎中的恶意行为检测引擎，检测所述被劫访问行为，判断所述被劫访问行为是否为恶意访问行为，如果是，则向所述安全监控模块发送包含阻断指令的第二决策命令，以使所述安全监控模块，确定所述被劫访问行为的执行动作为阻断；如果不是，则向所述安全监控模块发送包含放行指令的第二决策命令，以使所述安全监控模块，确定所述被劫访问行为的执行动作为放行；

其中，所述判断所述被劫访问行为是否为恶意访问行为，具体为：

步骤1：生成所述被劫访问行为的模拟访问；

步骤2：获取所述模拟访问返回的脚本和文件样本；

步骤3：将所述脚本和文件样本放到沙箱中，并根据不同的移动操作系统和应用进行虚拟执行和重放，获得虚拟执行结果；

步骤4：按照步骤2和步骤3分别采集所述白名单列表和黑名单列表中各地址所对应的脚本、文件样本和虚拟执行结果，并根据采集到的文件、URL地址、证书、文件类型以及虚拟执行结果，构建特征矩阵，再结合机器学习算法，使用所述特征矩阵训练检测模型，最后根据所述检测模型判断所述被劫访问行为是否为恶意访问行为。

2.根据权利要求1所述的云端结合的安全手机防护系统，其特征在于，在所述步骤4之后还包括步骤5：构建专家知识库，并通过所述专家知识库将所述步骤4得出的判定结果进行二次判断，输出最终的判定结果。

3.根据权利要求1所述的云端结合的安全手机防护系统，其特征在于，所述云端监管服务器还用于根据所述分析结果，更新所述安全监控模块存储的URL名单列表。