[发明专利]基于流量分析的IOS恶意软件预警和检测系统及其方法

权利要求书

1.一种基于流量分析的IOS恶意软件预警和检测系统，其特征在于：

本系统包括IOS手机端检测单元(10)和服务器端检测单元(20)；

所述的IOS手机端检测单元(10)是一种基于用户上网行为分析和结合应用流量分析的恶意软件预判系统的功能集合，包括包括数据流量采集模块(11)、机器学习模块(12)、流量行为检测模块(13)、恶意软件预判模块(14)和预警模块(15)，基于后台的综合分析系统，构建恶意软件库，不断优化样本分析模型，提升研判的精准度；

所述的服务器端检测单元(20)是一种恶意软件进行流量内容和权限特征深度分析的集合，包括IOS系统终端模拟模块(21)、流量数据还原模块(22)、恶意软件特征监测模块(23)、病毒研判模型(24)和恶意软件分析报告生成模块(25)；

其交互关系是：

IOS手机端检测单元(10)和服务器端检测单元(20交互)，实现基于IOS系统上的恶意软件检测和分析功能，并形成分析报告，提供给终端预警；

IOS手机端检测单元(10)中的数据流量采集模块(11)将手机上采集流量信息传递给机器学习模块(12)和流量行为检测模块(13)，实现用户行为分析；

机器学习模块(12)和流量行为检测模块(13)分别与恶意软件预判模块(14)交互，提供源应用的MD5值比对、用户的上网行为画像和应用软件的流量分析数据进行风险分析，最终确定预判是否是恶意软件或者是捆绑恶意代码的应用程序；

恶意软件预判模块(14)与IOS系统终端模拟模块(21)交互，传递恶意软件样本给后台服务器，并在后台模拟基于IOS系统越狱环境的虚拟化终端，提供样本分析；

IOS系统终端模拟模块(21)分别与流量数据还原模块(22)和恶意软件特征监测模块(23)交互，通过对样本的逆向分析和动态调试，还原加密算法，实现对模拟环境下的数据还原，监测应用是否包含敏感权限和敏感数据；

流量数据还原模块(22)和恶意软件特征监测模块(23)分别将提取的数据传送给病毒研判模型(24)进行综合分析，通过数据还原内容和权限特征访问日志，结合病毒库计算恶意软件风险值，对恶意软件进行病毒判定；

病毒研判模型(24)与恶意软件分析报告生成模块(25)交互，生成病毒分析报告，相关特征入病毒库样本，并提交给终端预警模块(15)进行告警。

2.按权利要求1所述的基于流量分析的IOS恶意软件预警和检测系统，其特征在于所述的IOS手机端检测单元(10)其工作流程是：

①数据流量采集模块(11)采集用户手机上网流量信息，提供给机器学习模块(12)和流量行为检测模块(13)进一步分析；

②机器学习模块(12)根据用户上网时间、位置结合应用基本信息，形成用户上网习惯模型，根据每日的数据使用样本分析，结合时间、空间、位置形成用户流量画像，不断完善机器学习模型；

③流量行为检测模块(13)，通过对应用流量监测，统计出上下行流量数据，回传IP统计，形成特定应用的流量日志；

④恶意软件预判模块(14)，一方面通过比对恶意软件和源安装包的特征MD5值，发现篡改和捆绑软件，另一方面结合用户上网习惯和应用的流量监测，对异常流量进行预警，根据木马库进行研判，实现高风险预警；

⑤预警模块(15)根据服务器端检测系统(20)反馈的病毒研判结果，实现对当前终端的恶意软件告警，对其他终端起到预警作用。