本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種基于流量分析的ios惡意軟件預(yù)警和檢測系統(tǒng)及其方法。
背景技術(shù):
根據(jù)市場調(diào)研公司kantarworldpanel近日發(fā)布的智能手機銷售數(shù)據(jù)顯示,從2016年12月到今年2月份,蘋果ios設(shè)備在中國市場的份額已經(jīng)達到27.6%,為有史以來最高記錄,已經(jīng)占到中國智能手機市場將近三分之一的份額。
apple官方的iosappstore一直以來都以嚴(yán)格的代碼審查著稱,這項強制性的措施已經(jīng)成為ios安全生態(tài)系統(tǒng)中確保ios用戶的隱私和安全的一項重要機制,特別是由于該系統(tǒng)“更小的受攻擊面”、“精簡的操作系統(tǒng)”、“權(quán)限分離”、“代碼簽名機制”、“dep”、“aslp”和“沙盒機制”等安全開發(fā)措施,使得ios系統(tǒng)一直以安全著稱。
但是伴隨著ios系統(tǒng)的頻繁升級,以及漏洞挖掘技術(shù)的快速發(fā)展,信息安全已成為社會關(guān)注的主流方向,越來越多的黑客利用漏洞技術(shù)發(fā)布惡意軟件繞過蘋果官網(wǎng),以及通過注入方式感染qq、滴滴快的等知名app,特別是2015年9月20日蘋果公司的ios平臺遭到罕見入侵蘋果公司在中國應(yīng)用商店的多款知名移動軟件受到惡意軟件感染。這無疑暴露了該系統(tǒng)罕見的安全漏洞。據(jù)總部位于美國的帕洛阿爾托網(wǎng)絡(luò)公司稱,此次約有30多個應(yīng)用受到攻擊。研究人員表示,這些被感染的應(yīng)用可以上傳用戶的設(shè)備信息,引發(fā)假警報,進而竊取用戶icloud服務(wù)的密碼,并讀取和記錄用戶剪貼板上的信息。
因此,由蘋果手機惡意軟件引發(fā)的惡意事件層出不窮,利用惡意軟件進行網(wǎng)絡(luò)犯罪的事件也呈現(xiàn)增長趨勢。由于ios之前系統(tǒng)的封閉性,一直以來很多殺毒軟件都放棄了對ios系統(tǒng)的檢測,面對突發(fā)的惡意軟件威脅束手無策。目前,國內(nèi)針對ios平臺的惡意軟件檢測手段還處于摸索階段,特別是對于未越獄手機和感染應(yīng)用的檢測沒有完整的解決方案,存在滯后性、資源消耗大和響應(yīng)慢以及對惡意軟件研判錯誤等問題。因此急需一套基于ios系統(tǒng)的惡意軟件檢測方案實現(xiàn)對惡意軟件的特征判定和危險預(yù)警。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的就在于克服現(xiàn)有技術(shù)存在的缺點和不足,提供一種基于流量分析的ios惡意軟件預(yù)警和檢測系統(tǒng)及其方法,通過對惡意軟件和捆綁軟件進行流量行為分析,提供研判分析模型,為ios系統(tǒng)惡意軟件檢測提供技術(shù)支持。
實現(xiàn)本發(fā)明目的技術(shù)方案是:
本發(fā)明通過以下5種方式在手機端和服務(wù)器端實現(xiàn)基于ios系統(tǒng)的惡意軟件檢測:
①ios手機端檢測單元惡意軟件檢測方法
通過用戶手機鎖屏期間頻繁交互、周期性請求固定數(shù)據(jù)和上行流量大于下行流量等特征,判斷是否為惡意軟件;
②ios手機端檢測單元被感染惡意代碼軟件檢測方法
通過目標(biāo)應(yīng)用和原始程序md5特征值比對,監(jiān)測是否是篡改應(yīng)用,同時通過比對正常應(yīng)用ip池、用戶手機鎖屏期間頻繁交互、周期性請求固定數(shù)據(jù)和上行流量大于下行流量等特征,判斷是否為被注入惡意代碼正常軟件;
③服務(wù)端檢測單元隱私內(nèi)容檢測方法
通過反編譯技術(shù)對惡意軟件進行逆向源碼分析,還原數(shù)據(jù)加密解密流程和加密算法,對ios系統(tǒng)終端模擬模塊中的數(shù)據(jù)流量進行還原,解析內(nèi)容并比對敏感模塊,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片、音視頻敏感私人信息,判斷是否為惡意軟件;
④服務(wù)端檢測單元敏感權(quán)限檢測方法
采用動態(tài)監(jiān)測技術(shù),對ios系統(tǒng)終端模擬模塊應(yīng)用行為和權(quán)限進行分析,記錄行為日志和權(quán)限日志,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權(quán)限信息,提交給病毒研判模型進行綜合分析;
⑤服務(wù)器端研判模型檢測方法
結(jié)合隱私數(shù)據(jù)內(nèi)容和權(quán)限分析,以及比對病毒木馬特征庫,評估風(fēng)險值,形成惡意軟件分析報告,形成分析樣本,推送各個終端實現(xiàn)預(yù)警;
本發(fā)明采用基于流量分析技術(shù)實現(xiàn)終端預(yù)判和后臺綜合檢測方式,采用先預(yù)判后深度分析,動靜結(jié)合的方式對惡意軟件進行取證分析,結(jié)合機器學(xué)習(xí)理論不斷完善評估模型,解決ios系統(tǒng)下惡意軟件特征分析難題,支持非越獄系統(tǒng)和捆綁軟件的分析。
具體地說:
一、基于流量分析的ios惡意軟件預(yù)警和檢測系統(tǒng)(簡稱系統(tǒng))
本系統(tǒng)包括ios手機端檢測單元和服務(wù)器端檢測單元;
所述的ios手機端檢測單元是一種基于用戶上網(wǎng)行為分析和結(jié)合應(yīng)用流量分析的惡意軟件預(yù)判系統(tǒng)的功能集合,包括包括數(shù)據(jù)流量采集模塊、機器學(xué)習(xí)模塊、流量行為檢測模塊、惡意軟件預(yù)判模塊和預(yù)警模塊,基于后臺的綜合分析系統(tǒng),構(gòu)建惡意軟件庫,不斷優(yōu)化樣本分析模型,提升研判的精準(zhǔn)度;
所述的服務(wù)器端檢測單元是一種惡意軟件進行流量內(nèi)容和權(quán)限特征深度分析的集合,包括ios系統(tǒng)終端模擬模塊、流量數(shù)據(jù)還原模塊、惡意軟件特征監(jiān)測模塊、病毒研判模型和惡意軟件分析報告生成模塊;
其交互關(guān)系是:
ios手機端檢測單元和服務(wù)器端檢測單元交互,實現(xiàn)基于ios系統(tǒng)上的惡意軟件檢測和分析功能,并形成分析報告,提供給終端預(yù)警;
ios手機端檢測單元中的數(shù)據(jù)流量采集模塊將手機上采集流量信息傳遞給機器學(xué)習(xí)模塊和流量行為檢測模塊,實現(xiàn)用戶行為分析;
機器學(xué)習(xí)模塊和流量行為檢測模塊分別與惡意軟件預(yù)判模塊交互,提供源應(yīng)用的md5值比對、用戶的上網(wǎng)行為畫像和應(yīng)用軟件的流量分析數(shù)據(jù)進行風(fēng)險分析,最終確定預(yù)判是否是惡意軟件或者是捆綁惡意代碼的應(yīng)用程序;
惡意軟件預(yù)判模塊與ios系統(tǒng)終端模擬模塊交互,傳遞惡意軟件樣本給后臺服務(wù)器,并在后臺模擬基于ios系統(tǒng)越獄環(huán)境的虛擬化終端,提供樣本分析;
ios系統(tǒng)終端模擬模塊分別與流量數(shù)據(jù)還原模塊和惡意軟件特征監(jiān)測模塊交互,通過對樣本的逆向分析和動態(tài)調(diào)試,還原加密算法,實現(xiàn)對模擬環(huán)境下的數(shù)據(jù)還原,監(jiān)測應(yīng)用是否包含敏感權(quán)限和敏感數(shù)據(jù);
流量數(shù)據(jù)還原模塊和惡意軟件特征監(jiān)測模塊分別將提取的數(shù)據(jù)傳送給病毒研判模型進行綜合分析,通過數(shù)據(jù)還原內(nèi)容和權(quán)限特征訪問日志,結(jié)合病毒庫計算惡意軟件風(fēng)險值,對惡意軟件進行病毒判定;
病毒研判模型與惡意軟件分析報告生成模塊交互,生成病毒分析報告,相關(guān)特征入病毒庫樣本,并提交給終端預(yù)警模塊進行告警。
二、基于流量分析的ios惡意軟件預(yù)警和檢測方法(簡稱方法)
本方法的研究思路是基于流量特征分析基礎(chǔ)之上,通過用戶上網(wǎng)模型分析信息,應(yīng)用流量特征、流量內(nèi)容敏感監(jiān)測以及敏感權(quán)限檢測基于ios系統(tǒng)的惡意軟件,結(jié)合動態(tài)惡意病毒木馬庫實現(xiàn)對惡意軟件的風(fēng)險評估,形成分析報告,提交給各終端進行預(yù)警。
①ios手機端惡意軟件預(yù)判方法
通過流量采集根據(jù)用戶上網(wǎng)時間、位置結(jié)合應(yīng)用基本信息,形成用戶上網(wǎng)習(xí)慣模型,通過機器學(xué)習(xí)形成用戶流量畫像,同時統(tǒng)計出上下行流量數(shù)據(jù),回傳ip統(tǒng)計,形成流量日志;惡意軟件預(yù)判模塊根據(jù)采集到的數(shù)據(jù)和模型,一方面通過比對惡意軟件和源安裝包的特征md5值,發(fā)現(xiàn)篡改和捆綁軟件,另一方面結(jié)合用戶上網(wǎng)習(xí)慣和應(yīng)用的流量監(jiān)測,對異常流量進行預(yù)警,根據(jù)病毒木馬庫進行研判,實現(xiàn)高風(fēng)險預(yù)警,回傳惡意軟件進入后臺系統(tǒng)進行深度研判;
②服務(wù)器端檢測單元病毒研判方法
根據(jù)ios系統(tǒng)的終端監(jiān)測程序傳回的惡意軟件樣本進行模擬用戶手機ios越獄環(huán)境,在虛擬環(huán)境中動態(tài)運行惡意軟件,實現(xiàn)全方位的行為和流量檢測,結(jié)合反編譯技術(shù),還原惡意軟件加密解密流程,實現(xiàn)數(shù)據(jù)內(nèi)容的還原和權(quán)限特征監(jiān)測。惡意軟件特征監(jiān)測模塊通過對還原內(nèi)容和權(quán)限特征進行分析,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感私人信息,結(jié)合病毒木馬特征庫,對惡意軟件進行風(fēng)險性評估,形成惡意軟件分析報告。
本發(fā)明具有下列優(yōu)點和積極效果:
①獨創(chuàng)性支持未越獄版本的檢測:本發(fā)明采用的基于流量檢測惡意軟件的方法,有效的解決了ios系統(tǒng)未越獄問題,可以實現(xiàn)在未越獄版本的檢測;
②檢測范圍廣:同時支持對注入惡意代碼的偽裝軟件和普通惡意軟件的檢測,提升系統(tǒng)的使用范圍;
③檢測方案嚴(yán)謹(jǐn):本發(fā)明采用的基于流量檢測惡意軟件的方法,基于ios手機端預(yù)判和服務(wù)端的深度檢測兩種方式,檢測范圍要比傳統(tǒng)檢測要小,檢測規(guī)則也相對簡單,降低了對系統(tǒng)資源的開銷,提升了研判效率;
④系統(tǒng)可擴展強:在不對系統(tǒng)的結(jié)構(gòu)進行修改的前提下,可以對樣本檢測特征進行動態(tài)調(diào)整,通過機器學(xué)習(xí)技術(shù)不斷完善用戶流量模型,不斷填充木馬病毒特征庫,以此來保證可以檢測新威脅;
⑤可溯源:本發(fā)明通過分析日志可以記錄惡意軟件感染機型、感染時間、感染范圍,以及涉及到的隱私數(shù)據(jù)和權(quán)限,并形成完整日志記錄,便于追溯和統(tǒng)計分析。
附圖說明
圖1是本系統(tǒng)的結(jié)構(gòu)方框圖。
其中:
10—ios手機端檢測單元,
11—數(shù)據(jù)流量采集模塊,
12—機器學(xué)習(xí)模塊,
13—流量行為檢測模塊,
14—惡意軟件預(yù)判模塊,
15—預(yù)警模塊;
20—服務(wù)器端檢測單元,
21—ios系統(tǒng)終端模擬模塊,
22—流量數(shù)據(jù)還原模塊,
23—惡意軟件特征監(jiān)測模塊;
24—病毒研判模型,
25—惡意軟件分析報告生成模塊。
英譯漢
1、ios:iphoneos,蘋果手機系統(tǒng);
2、dep:dataexecutionprevention,數(shù)據(jù)執(zhí)行保護;
3、aslp:addressspacelayoutrandomization,地址空間布局隨機化;
4、knn,k-nearestneighbor,臨近算法;
5、rvi,remotevirtualinterface,遠程虛擬接口。
具體實施方式
下面結(jié)合附圖和實施例詳細說明:
一、系統(tǒng)
1、總體
如圖1,本系統(tǒng)包括ios手機端檢測單元10和服務(wù)器端檢測單元20;
所述的ios手機端檢測單元10是一種基于用戶上網(wǎng)行為分析和結(jié)合應(yīng)用流量分析的惡意軟件預(yù)判系統(tǒng)的功能集合,包括包括數(shù)據(jù)流量采集模塊11、機器學(xué)習(xí)模塊12、流量行為檢測模塊13、惡意軟件預(yù)判模塊14和預(yù)警模塊15,基于后臺的綜合分析系統(tǒng),構(gòu)建惡意軟件庫,不斷優(yōu)化樣本分析模型,提升研判的精準(zhǔn)度;
所述的服務(wù)器端檢測單元20是一種惡意軟件進行流量內(nèi)容和權(quán)限特征深度分析的集合,包括ios系統(tǒng)終端模擬模塊21、流量數(shù)據(jù)還原模塊22、惡意軟件特征監(jiān)測模塊23、病毒研判模型24和惡意軟件分析報告生成模塊25;
其交互關(guān)系是:
ios手機端檢測單元10和服務(wù)器端檢測單元20交互,實現(xiàn)基于ios系統(tǒng)上的惡意軟件檢測和分析功能,并形成分析報告,提供給終端預(yù)警;
ios手機端檢測單元10中的數(shù)據(jù)流量采集模塊11將手機上采集流量信息傳遞給機器學(xué)習(xí)模塊12和流量行為檢測模塊13,實現(xiàn)用戶行為分析;
機器學(xué)習(xí)模塊12和流量行為檢測模塊13分別與惡意軟件預(yù)判模塊14交互,提供源應(yīng)用的md5值比對、用戶的上網(wǎng)行為畫像和應(yīng)用軟件的流量分析數(shù)據(jù)進行風(fēng)險分析,最終確定預(yù)判是否是惡意軟件或者是捆綁惡意代碼的應(yīng)用程序;
惡意軟件預(yù)判模塊14與ios系統(tǒng)終端模擬模塊21交互,傳遞惡意軟件樣本給后臺服務(wù)器,并在后臺模擬基于ios系統(tǒng)越獄環(huán)境的虛擬化終端,提供樣本分析;
ios系統(tǒng)終端模擬模塊21分別與流量數(shù)據(jù)還原模塊22和惡意軟件特征監(jiān)測模塊23交互,通過對樣本的逆向分析和動態(tài)調(diào)試,還原加密算法,實現(xiàn)對模擬環(huán)境下的數(shù)據(jù)還原,監(jiān)測應(yīng)用是否包含敏感權(quán)限和敏感數(shù)據(jù);
流量數(shù)據(jù)還原模塊22和惡意軟件特征監(jiān)測模塊23分別將提取的數(shù)據(jù)傳送給病毒研判模型24進行綜合分析,通過數(shù)據(jù)還原內(nèi)容和權(quán)限特征訪問日志,結(jié)合病毒庫計算惡意軟件風(fēng)險值,對惡意軟件進行病毒判定;
病毒研判模型24與惡意軟件分析報告生成模塊25交互,生成病毒分析報告,相關(guān)特征入病毒庫樣本,并提交給終端預(yù)警模塊15進行告警。
2、功能模塊
1)ios手機端檢測單元10
ios手機端檢測單元10是一種基于用戶上網(wǎng)行為分析,結(jié)合應(yīng)用流量分析的惡意軟件預(yù)判系統(tǒng)的功能集合,通過構(gòu)建用戶上網(wǎng)模型,結(jié)合應(yīng)用流量特征,實現(xiàn)風(fēng)險評估。
(1)數(shù)據(jù)流量采集模塊11
數(shù)據(jù)流量采集模塊11會在用戶手機上采集流量信息,提供給機器學(xué)習(xí)模塊12用來建立用戶模型,提供給流量行為檢測模塊13用來進行流量分析;
數(shù)據(jù)流量采集模塊可以使用rvi建立虛擬網(wǎng)卡進行抓包,使用rvi不管是蜂窩數(shù)據(jù)還是wifi,網(wǎng)絡(luò)報文都能抓的到,而以往用wifi把流量導(dǎo)入電腦抓包無法抓取蜂窩數(shù)據(jù)下的報文。
(2)機器學(xué)習(xí)模塊12
機器學(xué)習(xí)模塊12會根據(jù)用戶上網(wǎng)時間、位置結(jié)合應(yīng)用基本信息,形成用戶上網(wǎng)習(xí)慣模型,可以根據(jù)每日的數(shù)據(jù)使用樣本分析,不斷機器學(xué)習(xí)完善模型,形成用戶流量畫像;
機器學(xué)習(xí)模塊12根據(jù)基于異常值分析,當(dāng)惡意軟件在非用戶活躍時間進行數(shù)據(jù)交互,系統(tǒng)會實時判斷這些操作是否屬于惡意軟件的行為。通過判斷上網(wǎng)規(guī)律、上下行流量、交互周期、頻率、交互ip池比對,md5比對,交互數(shù)據(jù)包大小因素進行判斷,尋找用戶上網(wǎng)流量異常值。
(3)流量行為檢測模塊13
流量行為檢測模塊13通過對應(yīng)用流量監(jiān)測,統(tǒng)計出上下行流量數(shù)據(jù),回傳ip統(tǒng)計,形成流量日志。
(4)惡意軟件預(yù)判模塊14
惡意軟件預(yù)判模塊14一方面通過比對惡意軟件和源安裝包的特征md5值,發(fā)現(xiàn)篡改和捆綁軟件,另一方面結(jié)合用戶上網(wǎng)習(xí)慣和應(yīng)用的流量監(jiān)測,對異常流量進行預(yù)警,根據(jù)木馬庫進行研判,結(jié)合knn鄰近算法實現(xiàn)高風(fēng)險預(yù)警。
(5)預(yù)警模塊15
預(yù)警模塊15通過服務(wù)器檢測單元20的分析報告實現(xiàn)對當(dāng)前終端的惡意軟件告警,對其他終端起到預(yù)警作用。
所述的ios手機端檢測單元(10)其工作流程是:
①數(shù)據(jù)流量采集模塊11采集用戶手機上網(wǎng)流量信息,提供給機器學(xué)習(xí)模塊12和流量行為檢測模塊13進一步分析;
②機器學(xué)習(xí)模塊12根據(jù)用戶上網(wǎng)時間、位置結(jié)合應(yīng)用基本信息,形成用戶上網(wǎng)習(xí)慣模型,根據(jù)每日的數(shù)據(jù)使用樣本分析,結(jié)合時間、空間、位置形成用戶流量畫像,不斷完善機器學(xué)習(xí)模型;
③流量行為檢測模塊13,通過對應(yīng)用流量監(jiān)測,統(tǒng)計出上下行流量數(shù)據(jù),回傳ip統(tǒng)計,形成特定應(yīng)用的流量日志;
④惡意軟件預(yù)判模塊14,一方面通過比對惡意軟件和源安裝包的特征md5值,發(fā)現(xiàn)篡改和捆綁軟件,另一方面結(jié)合用戶上網(wǎng)習(xí)慣和應(yīng)用的流量監(jiān)測,對異常流量進行預(yù)警,根據(jù)木馬庫進行研判,實現(xiàn)高風(fēng)險預(yù)警;
⑤預(yù)警模塊15根據(jù)服務(wù)器端檢測系統(tǒng)20反饋的病毒研判結(jié)果,實現(xiàn)對當(dāng)前終端的惡意軟件告警,對其他終端起到預(yù)警作用。
2)服務(wù)器端檢測單元20;
服務(wù)器端檢測單元20是一種惡意軟件進行流量內(nèi)容和權(quán)限特征深度分析的集合,通過內(nèi)容敏感分析和權(quán)限特征,結(jié)合病毒木馬特征庫進行風(fēng)險分析。
(1)ios系統(tǒng)終端模擬模塊21
ios系統(tǒng)終端模擬模塊21可以對ios手機端檢測單元10預(yù)判的惡意程序進行環(huán)境模擬,模擬用戶手機ios越獄環(huán)境,安裝運行惡意軟件,實現(xiàn)全方位的行為和流量檢測。
(2)流量數(shù)據(jù)還原模塊22
流量數(shù)據(jù)還原模塊22通過反編譯技術(shù)對惡意軟件進行逆向源碼分析,還原數(shù)據(jù)加密解密流程和加密算法,對ios系統(tǒng)終端模擬模塊21中的數(shù)據(jù)流量進行內(nèi)容還原,解析內(nèi)容比對敏感模塊,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感私人信息;
(3)惡意軟件特征監(jiān)測模塊23
惡意軟件特征監(jiān)測模塊23采用動態(tài)監(jiān)測技術(shù),對ios系統(tǒng)終端模擬模塊21應(yīng)用行為和權(quán)限進行分析,記錄行為日志和權(quán)限日志,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權(quán)限,提交給病毒研判模型24進行綜合分析;
(4)病毒研判模型24
病毒研判模型24基于應(yīng)用上傳數(shù)據(jù)進行內(nèi)容解析和惡意軟件行為特征分析,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權(quán)限,結(jié)合病毒木馬特征庫,對惡意軟件進行knn算法分析,計算風(fēng)險值,進行風(fēng)險性評估。
(5)惡意軟件分析報告生成模塊25
惡意軟件分析報告生成模塊25對分析結(jié)果進行入庫保存,同時記錄在病毒木馬特征庫,推送到基于ios系統(tǒng)的終端,對當(dāng)前終端和新裝終端提出惡意軟件預(yù)警通知,避免惡意軟件的進一步擴散。
所述的服務(wù)器端檢測單元20其工作流程是:
①ios系統(tǒng)終端模擬模塊21對ios手機端檢測單元10預(yù)判的惡意程序進行運行環(huán)境模擬,模擬用戶手機ios越獄環(huán)境,安裝運行惡意軟件,實現(xiàn)全方位的行為和流量檢測;
②流量數(shù)據(jù)還原模塊22通過反編譯技術(shù)對惡意軟件進行逆向源碼分析,還原數(shù)據(jù)加密解密流程和加密算法,對ios系統(tǒng)終端模擬模塊(21)中的數(shù)據(jù)流量進行還原,解析內(nèi)容并比對敏感模塊,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片、音視頻敏感私人信息;
③惡意軟件特征監(jiān)測模塊23采用動態(tài)監(jiān)測技術(shù),對ios系統(tǒng)終端模擬模塊21應(yīng)用行為和權(quán)限進行分析,記錄行為日志和權(quán)限日志,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權(quán)限,提交給病毒研判模型(24)進行綜合分析;
④病毒研判模型24基于上傳數(shù)據(jù)內(nèi)容解析和惡意軟件行為特征分析,結(jié)合病毒木馬特征庫,對惡意軟件進行風(fēng)險性評估;
⑤惡意軟件分析報告生成模塊25對分析結(jié)果進行入庫保存,同時記錄在病毒木馬特征庫,推送到基于ios系統(tǒng)的終端,對當(dāng)前終端和新裝終端提出惡意軟件預(yù)警通知,避免惡意軟件的進一步擴散。
3、本系統(tǒng)的工作機理:
本系統(tǒng)研究了一種基于流量分析的ios惡意軟件預(yù)警和檢測系統(tǒng),采用基于流量分析技術(shù)實現(xiàn)終端預(yù)判和后臺綜合檢測方式,采用先預(yù)判后深度分析,動靜結(jié)合的方式對惡意軟件進行取證分析,結(jié)合機器學(xué)習(xí)理論不斷完善評估模型,解決ios系統(tǒng)下惡意軟件特征分析難題,支持非越獄系統(tǒng)和捆綁軟件的分析。檢測原理基于流量特征分析和用戶畫像,結(jié)合木馬病毒特征庫進行綜合比對,最終生成分析報告,提供預(yù)警功能。
①ios端手機檢測單元預(yù)判檢測
通過流量采集根據(jù)用戶上網(wǎng)時間、位置結(jié)合應(yīng)用基本信息,形成用戶上網(wǎng)習(xí)慣模型,通過機器學(xué)習(xí)形成用戶流量畫像,同時統(tǒng)計出上下行流量數(shù)據(jù),回傳ip統(tǒng)計,形成流量日志。惡意軟件預(yù)判模塊根據(jù)采集到的數(shù)據(jù)和模型,一方面通過比對惡意軟件和源安裝包的特征md5值,發(fā)現(xiàn)篡改和捆綁軟件,另一方面結(jié)合用戶上網(wǎng)習(xí)慣和應(yīng)用的流量監(jiān)測,對異常流量進行預(yù)警,根據(jù)病毒木馬庫進行研判,實現(xiàn)高風(fēng)險預(yù)警,回傳惡意軟件進入后臺系統(tǒng)進行深度研判;
②服務(wù)器端檢測單元深度檢測
根據(jù)ios系統(tǒng)的終端監(jiān)測程序傳回的惡意軟件樣本進行模擬用戶手機ios越獄環(huán)境,在虛擬環(huán)境中動態(tài)運行惡意軟件,實現(xiàn)全方位的行為和流量檢測,結(jié)合反編譯技術(shù),還原惡意軟件加密解密流程,實現(xiàn)數(shù)據(jù)內(nèi)容的還原和權(quán)限特征監(jiān)測。惡意軟件特征監(jiān)測模塊通過對還原內(nèi)容和權(quán)限特征進行分析,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片、音視頻等敏感私人信息,結(jié)合病毒木馬特征庫,對惡意軟件進行風(fēng)險性評估,形成惡意軟件分析報告;
③預(yù)警模塊
通過對惡意軟件進行風(fēng)險性評估實現(xiàn)對目標(biāo)終端的及時預(yù)警,同時更新木馬病毒特征庫。
二、方法
1、ios手機端惡意軟件預(yù)判方法
a、普通惡意軟件分析,通過對用戶上網(wǎng)流量模型的刻畫,檢測出特定應(yīng)用在非正常時間頻繁回傳數(shù)據(jù)的情況,包括用戶手機鎖屏期間頻繁交互、周期性請求固定數(shù)據(jù)和上行流量大于下行流量特征,判斷是否為普通惡意軟件;
b、被注入惡意代碼正常軟件分析,有些惡意軟件通過注入捆綁方式綁定到正常應(yīng)用,這類軟件的實現(xiàn)原理對普通應(yīng)用進行注入代碼,反編譯形成普通應(yīng)用,基于普通應(yīng)用外殼進行隱蔽運行;本模塊通過目標(biāo)應(yīng)用和原始程序特征值md5比對,監(jiān)測是否是篡改應(yīng)用,然后通過比對用戶上網(wǎng)模型刻畫,監(jiān)測出特定應(yīng)用在非正常時間頻繁回傳數(shù)據(jù)的情況,主要包括比對正常應(yīng)用ip池、用戶手機鎖屏期間頻繁交互、周期性請求固定數(shù)據(jù)、上行流量大于下行流量等特征,判斷是否為被注入惡意代碼正常軟件;
c、惡意軟件異常值的判斷基于木馬病毒特征庫的,包含兩類規(guī)則,即事件類和模型類規(guī)則:
第一,事件類規(guī)則,通過對手機的上網(wǎng)時間、上網(wǎng)地點、使用的主要應(yīng)用上下行流量、交互周期、頻率、交互ip池比對,md5比對和交互數(shù)據(jù)包大小判斷是否異常;
第二,模型類規(guī)則,則是通過機器學(xué)習(xí)模塊算法判定交易是否屬惡意軟件。一般通過惡意軟件樣本數(shù)據(jù)、應(yīng)用流量數(shù)據(jù)和權(quán)限數(shù)據(jù),構(gòu)建模型進行分類問題的判斷;在模型判斷中采用鄰近算法機器學(xué)習(xí)算法進行分析,每個樣本都可以用它最接近的k個鄰居來代表;knn算法的核心思想是如果一個樣本在特征空間中的k個最相鄰的樣本中的大多數(shù)屬于某一個類別,則該樣本也屬于這個類別,并具有這個類別上樣本的特性。在knn中,通過計算對象間距離來作為各個對象之間的非相似性指標(biāo),避免了對象之間的匹配問題,使用歐氏距離或曼哈頓距離進行計算:
歐式距離:
基于knn算法該方法在確定分類決策上只依據(jù)最鄰近的一個或者幾個樣本的類別來決定待分樣本是否屬于惡意軟件的類別;
k為自然數(shù),取值2≤m≤100。
2、服務(wù)器端病毒研判方法
a、隱私內(nèi)容監(jiān)測,對ios系統(tǒng)終端模擬模塊(21)中的數(shù)據(jù)流量進行內(nèi)容還原,解析內(nèi)容比對敏感模塊,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感私人信息;
b、敏感權(quán)限監(jiān)測,采用動態(tài)監(jiān)測技術(shù),對ios系統(tǒng)終端模擬模塊(21)應(yīng)用行為和權(quán)限進行分析,記錄行為日志和權(quán)限日志,檢測是否涉及到用戶通訊錄、地理位置、短信、通話記錄、圖片和音視頻敏感權(quán)限,提交給病毒研判模型(24)進行綜合分析;
c、采用鄰近算法機器學(xué)習(xí)算法進行分析,結(jié)合隱私內(nèi)容和權(quán)限分析,以及比對病毒木馬特征庫,評估風(fēng)險值,形成惡意軟件分析報告
d、對分析結(jié)果加入到樣本分析庫,并將預(yù)警信息推送各個ios終端實現(xiàn)預(yù)警。