技術領域

本發明涉及信息安全領域，尤其涉及一種基于流量分析的IOS惡意軟件預警和檢測系統及其方法。

背景技術

根據市場調研公司Kantar Worldpanel近日發布的智能手機銷售數據顯示，從2016年12月到今年2月份，蘋果iOS設備在中國市場的份額已經達到27.6％，為有史以來最高記錄，已經占到中國智能手機市場將近三分之一的份額。

Apple官方的IOS App Store一直以來都以嚴格的代碼審查著稱，這項強制性的措施已經成為IOS安全生態系統中確保IOS用戶的隱私和安全的一項重要機制，特別是由于該系統“更小的受攻擊面”、“精簡的操作系統”、“權限分離”、“代碼簽名機制”、“DEP”、“ASLP”和“沙盒機制”等安全開發措施，使得IOS系統一直以安全著稱。

但是伴隨著IOS系統的頻繁升級，以及漏洞挖掘技術的快速發展，信息安全已成為社會關注的主流方向，越來越多的黑客利用漏洞技術發布惡意軟件繞過蘋果官網，以及通過注入方式感染QQ、滴滴快的等知名APP，特別是2015年9月20日蘋果公司的IOS平臺遭到罕見入侵蘋果公司在中國應用商店的多款知名移動軟件受到惡意軟件感染。這無疑暴露了該系統罕見的安全漏洞。據總部位于美國的帕洛阿爾托網絡公司稱，此次約有30多個應用受到攻擊。研究人員表示，這些被感染的應用可以上傳用戶的設備信息，引發假警報，進而竊取用戶iCloud服務的密碼，并讀取和記錄用戶剪貼板上的信息。

因此，由蘋果手機惡意軟件引發的惡意事件層出不窮，利用惡意軟件進行網絡犯罪的事件也呈現增長趨勢。由于IOS之前系統的封閉性，一直以來很多殺毒軟件都放棄了對IOS系統的檢測，面對突發的惡意軟件威脅束手無策。目前，國內針對IOS平臺的惡意軟件檢測手段還處于摸索階段，特別是對于未越獄手機和感染應用的檢測沒有完整的解決方案，存在滯后性、資源消耗大和響應慢以及對惡意軟件研判錯誤等問題。因此急需一套基于IOS系統的惡意軟件檢測方案實現對惡意軟件的特征判定和危險預警。

發明內容

本發明的目的就在于克服現有技術存在的缺點和不足，提供一種基于流量分析的IOS惡意軟件預警和檢測系統及其方法，通過對惡意軟件和捆綁軟件進行流量行為分析，提供研判分析模型，為IOS系統惡意軟件檢測提供技術支持。

實現本發明目的技術方案是：

本發明通過以下5種方式在手機端和服務器端實現基于IOS系統的惡意軟件檢測：

①IOS手機端檢測單元惡意軟件檢測方法

通過用戶手機鎖屏期間頻繁交互、周期性請求固定數據和上行流量大于下行流量等特征，判斷是否為惡意軟件；

②IOS手機端檢測單元被感染惡意代碼軟件檢測方法

通過目標應用和原始程序MD5特征值比對，監測是否是篡改應用，同時通過比對正常應用IP池、用戶手機鎖屏期間頻繁交互、周期性請求固定數據和上行流量大于下行流量等特征，判斷是否為被注入惡意代碼正常軟件；

③服務端檢測單元隱私內容檢測方法

通過反編譯技術對惡意軟件進行逆向源碼分析，還原數據加密解密流程和加密算法，對IOS系統終端模擬模塊中的數據流量進行還原，解析內容并比對敏感模塊，檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片、音視頻敏感私人信息，判斷是否為惡意軟件；

④服務端檢測單元敏感權限檢測方法

采用動態監測技術，對IOS系統終端模擬模塊應用行為和權限進行分析，記錄行為日志和權限日志，檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權限信息，提交給病毒研判模型進行綜合分析；

⑤服務器端研判模型檢測方法

結合隱私數據內容和權限分析，以及比對病毒木馬特征庫，評估風險值，形成惡意軟件分析報告，形成分析樣本，推送各個終端實現預警；

本發明采用基于流量分析技術實現終端預判和后臺綜合檢測方式，采用先預判后深度分析，動靜結合的方式對惡意軟件進行取證分析，結合機器學習理論不斷完善評估模型，解決IOS系統下惡意軟件特征分析難題，支持非越獄系統和捆綁軟件的分析。

具體地說：

一、基于流量分析的IOS惡意軟件預警和檢測系統(簡稱系統)

本系統包括IOS手機端檢測單元和服務器端檢測單元；