[发明专利]基于流量分析的IOS恶意软件预警和检测系统及其方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种基于流量分析的IOS恶意软件预警和检测系统及其方法。

背景技术

根据市场调研公司Kantar Worldpanel近日发布的智能手机销售数据显示，从2016年12月到今年2月份，苹果iOS设备在中国市场的份额已经达到27.6％，为有史以来最高记录，已经占到中国智能手机市场将近三分之一的份额。

Apple官方的IOS App Store一直以来都以严格的代码审查著称，这项强制性的措施已经成为IOS安全生态系统中确保IOS用户的隐私和安全的一项重要机制，特别是由于该系统“更小的受攻击面”、“精简的操作系统”、“权限分离”、“代码签名机制”、“DEP”、“ASLP”和“沙盒机制”等安全开发措施，使得IOS系统一直以安全著称。

但是伴随着IOS系统的频繁升级，以及漏洞挖掘技术的快速发展，信息安全已成为社会关注的主流方向，越来越多的黑客利用漏洞技术发布恶意软件绕过苹果官网，以及通过注入方式感染QQ、滴滴快的等知名APP，特别是2015年9月20日苹果公司的IOS平台遭到罕见入侵苹果公司在中国应用商店的多款知名移动软件受到恶意软件感染。这无疑暴露了该系统罕见的安全漏洞。据总部位于美国的帕洛阿尔托网络公司称，此次约有30多个应用受到攻击。研究人员表示，这些被感染的应用可以上传用户的设备信息，引发假警报，进而窃取用户iCloud服务的密码，并读取和记录用户剪贴板上的信息。

因此，由苹果手机恶意软件引发的恶意事件层出不穷，利用恶意软件进行网络犯罪的事件也呈现增长趋势。由于IOS之前系统的封闭性，一直以来很多杀毒软件都放弃了对IOS系统的检测，面对突发的恶意软件威胁束手无策。目前，国内针对IOS平台的恶意软件检测手段还处于摸索阶段，特别是对于未越狱手机和感染应用的检测没有完整的解决方案，存在滞后性、资源消耗大和响应慢以及对恶意软件研判错误等问题。因此急需一套基于IOS系统的恶意软件检测方案实现对恶意软件的特征判定和危险预警。

发明内容

本发明的目的就在于克服现有技术存在的缺点和不足，提供一种基于流量分析的IOS恶意软件预警和检测系统及其方法，通过对恶意软件和捆绑软件进行流量行为分析，提供研判分析模型，为IOS系统恶意软件检测提供技术支持。

实现本发明目的技术方案是：

本发明通过以下5种方式在手机端和服务器端实现基于IOS系统的恶意软件检测：

①IOS手机端检测单元恶意软件检测方法

通过用户手机锁屏期间频繁交互、周期性请求固定数据和上行流量大于下行流量等特征，判断是否为恶意软件；

②IOS手机端检测单元被感染恶意代码软件检测方法

通过目标应用和原始程序MD5特征值比对，监测是否是篡改应用，同时通过比对正常应用IP池、用户手机锁屏期间频繁交互、周期性请求固定数据和上行流量大于下行流量等特征，判断是否为被注入恶意代码正常软件；

③服务端检测单元隐私内容检测方法

通过反编译技术对恶意软件进行逆向源码分析，还原数据加密解密流程和加密算法，对IOS系统终端模拟模块中的数据流量进行还原，解析内容并比对敏感模块，检测是否涉及到用户通讯录、地理位置、短信、通话记录、图片、音视频敏感私人信息，判断是否为恶意软件；

④服务端检测单元敏感权限检测方法

采用动态监测技术，对IOS系统终端模拟模块应用行为和权限进行分析，记录行为日志和权限日志，检测是否涉及到用户通讯录、地理位置、短信、通话记录、图片和音视频敏感权限信息，提交给病毒研判模型进行综合分析；

⑤服务器端研判模型检测方法

结合隐私数据内容和权限分析，以及比对病毒木马特征库，评估风险值，形成恶意软件分析报告，形成分析样本，推送各个终端实现预警；

本发明采用基于流量分析技术实现终端预判和后台综合检测方式，采用先预判后深度分析，动静结合的方式对恶意软件进行取证分析，结合机器学习理论不断完善评估模型，解决IOS系统下恶意软件特征分析难题，支持非越狱系统和捆绑软件的分析。

具体地说：

一、基于流量分析的IOS恶意软件预警和检测系统(简称系统)

本系统包括IOS手机端检测单元和服务器端检测单元；