[发明专利]基于流量分析的IOS恶意软件预警和检测系统及其方法

摘要

本发明公开了一种基于流量分析的IOS恶意软件预警和检测系统及其方法，涉及移动终端信息安全领域。本系统包括IOS手机端检测单元（10）和服务器端检测单元（20），IOS手机端检测单元（10）和服务器端检测单元（20）交互，实现基于IOS系统上的恶意软件检测和分析功能，并形成分析报告，提供给终端预警。本方法包括①IOS手机端恶意软件预判方法；②服务器端病毒研判方法。本发明具有下列优点和积极效果①独创性支持未越狱版本的监测；②检测范围广，支持恶意软件和捆绑软件；③检测方案严谨；④系统可扩展强；⑤可溯源。

主权项

一种基于流量分析的IOS恶意软件预警和检测系统，其特征在于：本系统包括IOS手机端检测单元(10)和服务器端检测单元(20)；所述的IOS手机端检测单元(10)是一种基于用户上网行为分析和结合应用流量分析的恶意软件预判系统的功能集合，包括包括数据流量采集模块(11)、机器学习模块(12)、流量行为检测模块(13)、恶意软件预判模块(14)和预警模块(15)，基于后台的综合分析系统，构建恶意软件库，不断优化样本分析模型，提升研判的精准度；所述的服务器端检测单元(20)是一种恶意软件进行流量内容和权限特征深度分析的集合，包括IOS系统终端模拟模块(21)、流量数据还原模块(22)、恶意软件特征监测模块(23)、病毒研判模型(24)和恶意软件分析报告生成模块(25)；其交互关系是：IOS手机端检测单元(10)和服务器端检测单元(20交互)，实现基于IOS系统上的恶意软件检测和分析功能，并形成分析报告，提供给终端预警；IOS手机端检测单元(10)中的数据流量采集模块(11)将手机上采集流量信息传递给机器学习模块(12)和流量行为检测模块(13)，实现用户行为分析；机器学习模块(12)和流量行为检测模块(13)分别与恶意软件预判模块(14)交互，提供源应用的MD5值比对、用户的上网行为画像和应用软件的流量分析数据进行风险分析，最终确定预判是否是恶意软件或者是捆绑恶意代码的应用程序；恶意软件预判模块(14)与IOS系统终端模拟模块(21)交互，传递恶意软件样本给后台服务器，并在后台模拟基于IOS系统越狱环境的虚拟化终端，提供样本分析；IOS系统终端模拟模块(21)分别与流量数据还原模块(22)和恶意软件特征监测模块(23)交互，通过对样本的逆向分析和动态调试，还原加密算法，实现对模拟环境下的数据还原，监测应用是否包含敏感权限和敏感数据；流量数据还原模块(22)和恶意软件特征监测模块(23)分别将提取的数据传送给病毒研判模型(24)进行综合分析，通过数据还原内容和权限特征访问日志，结合病毒库计算恶意软件风险值，对恶意软件进行病毒判定；病毒研判模型(24)与恶意软件分析报告生成模块(25)交互，生成病毒分析报告，相关特征入病毒库样本，并提交给终端预警模块(15)进行告警。