一种用于移动终端的入侵检测系统的制作方法

一种用于移动终端的入侵检测系统的制作方法
【技术领域】
[0001]本发明属于移动安全保护领域，更具体地，涉及一种用于移动终端的入侵检测系统。
【背景技术】
[0002]随着手机等移动设备的普及，陌生的应用越来越多，相关的安全问题也随之出现，特别是在安卓平台，为了满足用户的需求而向移动终端用户提供开放式程序接口使得恶意应用的数量也呈现井喷似的增长。因此在各种形形色色的陌生应用中检测出恶意应用显得尤为重要。鉴于目前大多数的恶意软件检测系统与方法都是近乎被动的使用匹配黑白名单的方式进行检测，所以，一种更加灵活的，主动地移动入侵检测系统，才可以更好的解决当下的状况。

【发明内容】

[0003]本发明在于提供一种用于移动终端的入侵检测方案，其基于应用的本地行为和网络行为进行综合分析，结合前期建立的可疑行为数据库，对可疑应用作出主动响应，提高系统的安全性。
[0004]为了实现上述目的，本发明提供了一种用于移动终端的入侵检测系统，所述系统采用客户端-服务器端的系统构架，所述服务器端负责通信、本地行为和网络行为的深度分析，以及数据库操作；所述客户端运行于手机等移动终端，其会在后台扫描设备以获取需要的检测信息并作初步分析，之后将可疑监测信息发送至服务器端进行进一步检测，经服务器端检测后生成结果，并将结果回传至客户端，客户端则根据结果作出对应的处理，其中:
[0005]在客户端包括有初始化模块、客户端行为分析模块、客户端数据获取模块、接口模块、响应模块以及客户端通信模块；其中，所述初始化模块，用于初始化客户端的运行环境，获取手机中的所有应用信息并启动对私密数据的监听，同时建立可疑程序集；所述客户端行为分析模块，用于追踪可疑应用对私密数据的操作行为；所述客户端通信模块，用于在发现有应用上传私密数据将该应用的本地行为上传至服务器端，并负责客户端与服务器端的通信；所述客户端数据获取模块，用于捕获该上传的网络数据包并交由服务器端的网络行为分析模块进一步分析；所述响应模块用于通知用户检测结果；
[0006]在服务器端，包括有网络溯源模块、服务器端行为分析模块、传播行为分析模块、流量分析模块、行为数据库模块；其中:所述网络溯源模块是网络端对于恶意数据源IP地址的溯源；所述服务器端行为分析模块，与客户端行为分析模块工作机制相类似，对从通信模块上传来的数据进行行为分析；所述传播行为分析模块，用于检测网络节点是否被病毒感染；所述流量分析模块，用于在接收到流量分析请求后，对该上传数据流量进行协议还原；所述行为数据库模块，用于保存正常行为数据库与异常行为数据库。
[0007]在本发明的一个实施例中，所述初始化模块具体用于，在移动端启动后，进行系统初始化，构造相关函数并对默认标记的应用信息进行污点染色并提取，之后启动对已染色的相关私密数据进行监听，并连接数据库，将监测的数据储存入数据库之中，同时建立可疑程序集，把可疑的数据流量加入到可疑程序集中进行判定。
[0008]在本发明的一个实施例中，所述客户端行为分析模块具体用于，对可疑程序集进行检测，判定其是否有上传私密数据的行为，若有，则该模块变会收集应用的本地行为，然后发送至服务端进行下一步判定；若没有，则保留其在可疑程序集中。
[0009]在本发明的一个实施例中，所述响应模块具体用于，从行为分析模块获得最终判定结果并根据结果得出异常行为的恶意等级，若恶意等级过高，则会优先强行关闭该应用再通知用户，若恶意等级较低，则直接通知用户，由用户来判定是否关闭该程序。
[0010]在本发明的一个实施例中，所述客户端还包括权限判定模块，所述权限判定模块用于提取用户手机中含有开机自动启动权限的应用，并将其显示给用户，由用户选择是否信任这些应用，然后将用户所信任的用户从可疑程序集中删除。
[0011]在本发明的一个实施例中，所述权限判定模块具体用于，当安装新的应用程序时判定应用是否自动启动，若不是自启动的应用则将该应用仍放在可疑程序集中；若为自启动应用则通知用户进行判定是否该应用是可信的，若判定为可信的，则将该应用从可疑程序集中剔除，若用户判定为不可信，则将该应用保留，通过用户的筛选会最终生成一个新的可疑程序集，等待进一步的判定。
[0012]在本发明的一个实施例中，所述数据获取模块具体用于，当网络监听线程检测到有可以的网络流量时，以抓包等方式捕获该可疑网络流量的数据报文，并在服务器端解析该可疑的数据报文，并将数据还原，与服务器端的数据库向匹配，若为数据库已知的非恶意数据，则将该可疑报文舍弃；若得出匹配结果为可疑的恶意数据，则将该数据存入数据库中，并结束这次数据捕获，返回监听线程。
[0013]在本发明的一个实施例中，所述网络溯源模块具体用于对于恶意数据源IP地址的溯源；对于通过W1-Fi网关进行恶意的数据传输场景，分析终端与外网IP的映射关系，重建W1-Fi网关的网络地址转换映射表追溯恶意数据源IP地址，结合数据及方法给出最终分析结果，再将结果发往客户端。
[0014]在本发明的一个实施例中，所述传播行为分析模块模块具体用于，将所有网络节点分为四个状态:易感染节点S，已感染节点I，和无传染性的已感染节点X，其中S状态表示节点健康，但有可能感染病毒；1状态表示节点己经感染病毒，并且有传染性；X状态表示节点感染了病毒，但没有传染性；如果一个S节点和已感染的节点I接触，那么将以概率a转变为E状态；一个E状态的节点在不接触其他节点的状态下以概率b转变为I状态；一个I状态的节点不会一直传播病毒；而我们的病毒传播分析模块则会通过随机监视节点的状态，并与网路端的数据库进行匹配以对比该节点的状态是否仍处于不存在危害的S阶段，若该节点维持在S阶段，则不会进行下一步的判定；若对比结果是S状态，则病毒传播分析模块会将流量行为进行打包并上传至数据库中进行进一步的报文分析，若再数据库中已有符合该行为的病毒数据，则将该流量数据放入网络端的数据库之中，并通知用户，若数据库中无符合该行为的病毒数据，则将该程序集投入最终可疑程序集B中。
[0015]在本发明的一个实施例中，所述服务器端还包括有关联模块，用于在消息队列中有来自于客户端的检测请求时，服务器端会进入线程，然后提取由客户端上传的应用本地行为及由对应的网络行为分别调用对应的正常行为数据库与异常行为数据库来进行分析匹配；并将本地结果集，流量分析结果集，传播模式分析结果集，以及网络服务器端匹配出来的结果集进行关联；最后将综合分析的结果返回至客户端。
[0016]相对于现有的技术方案，本发明的优点是:
[0017]本发明采用客户端-服务器端的系统构架，其结构简单且易于实现。客户端主要负责从移动设备中获取安装的应用信息并作初步的判断，将不确定的可疑应用的本地行为信息发往服务器端，并且等待接受服务器的反馈信息，最后根据反馈信息采取合适的响应措施；服务器端可以部署在W1-Fi节点下，它根据客户端上传的应用本地行为信息和已收集到的网络行为信息作出综合分析，且对于加密信息以及进行了伪装的数据可以很好地进行判定是否为恶意行为。
[0018]本发明能够及时并有效的发现并阻止恶意软件的恶意行为，提高安卓平台的安全性，并可以针对恶意行为作出主动的响应，避免用户遭到进一步的危害，同时也能让用户及时了解情况。
【附图说明】
[0019]图1为本发明用于移动终端的入侵检测系统的总体结构图；
[0020]图2为本发明用于移动终端的入侵检测系统中初始化模块工作流程图；
[0021]图3为本发