摘要:本文通过对目前三种移动互联网恶意代码监测技术的比较,选择了基于网络侧分光的实时监测方案,同时介绍了某运营商移动互联网恶意代码监测试验系统的监测结果,证明了网络侧监测方案的可行性。
关键词:移动互联网;恶意代码;监测;手机病毒;分光
1引言
移动互联网恶意代码是指在用户不知情或者未授权情况下,在移动终端系统中安装、运行以达到不正当目的或违反国家相关法律法规的可执行文件、代码模块或代码片段。当一个可运行于移动终端上的程序具有以下一种或者多种属性时,可判定为移动互联网恶意代码,主要包括恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓等行为。近年来我国移动互联网产业发展迅猛,网络用户规模不断扩大。中国互联网信息中心(CNNIC)第37次《中国互联网络发展状况统计报告》显示:截至2015年12月,中国网民规模达6.2亿,网民中使用手机上网的人群占比达90%。移动智能终端市场发展迅速,著名研究机构艾媒咨询(iiMediaResearch)发布的《2015-2016年中国智能手机市场研究报告》显示:2015年中国智能手机销量再创新高,出货量约为5.18亿部,成为全球最大的移动智能终端市场。与此同时,移动互联网应用软件产业也在飞速发展。苹果公司公布的数据显示,2015年APPStore应用商店应用程序突破200万,下载量超过800亿次,中国是下载量排名第一的国家。谷歌Android平台的GooglePlay应用商店也已有150多万个应用,2015年安卓应用的下载量达到了苹果APPStore的两倍。同时,国内还有大量的第三方应用程序商店和论坛,各应用商店对应用程序的上线监管力度也不同。随着移动互联网应用的加速普及,相关安全威胁日益凸显。一些恶意软件会乔装成正常应用软件,用户下载安装后,在不知情的情况下将遭遇恶意扣费、系统破坏、隐私窃取、远程控制等恶意行为,蒙受经济损失和信息安全威胁;更有甚者,恶意软件可以获取国家的经济、政治等涉密资料,散布谣言、传播危险信息,对信息安全监管形成严峻挑战。有关资料显示,2015年我国手机病毒总数超过261万种,同比增长100%,累计感染用户达7400万人次以上,其中手机支付类病毒感染用户达到2000万以上。为保护用户合法权益,净化网络环境,确保移动互联网行业的健康发展,移动互联网恶意代码监测和防护工作迫在眉睫。
2移动互联网恶意代码监测技术分析
移动互联网恶意代码的监测方案有三种:网站侧监测、用户终端侧监测和网络侧监测。(1)网站侧监测对各应用程序商店、论坛等网站提供的应用程序进行监测,对程序代码进行分析,从源头把关。但是,由于应用商店众多,应用程序数量庞大,软件版本更新频繁,这种方式的监测对象较为分散、投资巨大,而且各网站监管力度不同,难以做到全面监测。(2)用户终端侧监测通过在用户手机安装安全软件,对恶意代码进行监测和防护。这种方式需要用户终端安装软件,但是由于用户手机操作系统、硬件配置、软件版本不同,对软件的兼容性要求不同,而软件占用系统资源和耗电问题让用户有所顾虑,因此软件的普及存在一定难度。同时,新病毒和变种病毒层出不穷,软件的升级无法保证及时性,达不到理想效果。(3)网络侧监测电信运营商网络作为用户手机上网的必经通道,在网络侧进行恶意代码监测具有得天独厚的优势。只需在网络出口侧将数据流量镜像到监测系统,不仅可以对数据进行分析、研判,还能进行阻断并及时通知用户,既不需要用户终端安装软件,也不需要在各网站部署系统,一点接入即可实现监测需求。因此,本文主要介绍基于网络侧分光技术的移动互联网恶意代码监测系统。
3网络侧移动互联网恶意代码监测系统技术
如图1所示,网络侧移动互联网恶意代码监测系统主要包括手机恶意软件检测、手机恶意软件研判和网络侧防护等三部分。图2所示。(1)手机恶意软件检测通过不影响正常业务和网络性能的Gn口的分光采集,实时监听、收集现网手机病毒行为与特征,第一时间发现病毒和其他恶意事件。监测系统拓扑图如图2所示。恶意代码监测系统部署在移动骨干网络设备SGSN和GGSN之间,通过在Gn口分光方式将数据流量送入监测系统进行数据检测。被监测网络的链路均以旁路接入方式接入,不会增加被监测网络的交换机负荷,也不影响现网网络的稳定性和安全性。监测系统数据采集模块从网络中获得流量数据后,通过解码模块对网络数据进行协议分析、解码操作和协议层还原;数据汇聚模块对解析出来的网络数据进行重新组合汇聚,以便后续分析扫描模块进行病毒分析和扫描,获取事件和病毒样本等信息;数据管理模块则负责存储和处理扫描后的事件、样本等数据。同时,监测系统还可以解析处理移动通信GTP信令,直接定位感染恶意代码的手机号码和相关硬件信息,以利运营商为用户提供短信告知等业务支持。(2)恶意软件研判恶意代码研判系统主要采取代码特征、行为特征两种方式进行研判。1)代码特征研判是指将前端监测系统扫描后的数据与系统保存的特征知识库进行对比、分析,如果匹配则判断为恶意代码。特征知识库主要包括病毒特征库、恶意URL、手机软件黑名单等。2)行为特征研判是指将监测到的实时行为与系统预设的正常行为模型进行对比,如果发现偏差则判断为恶意行为。研判系统根据事先定义的策略对监测到的网络流量进行特征对比和关联分析,从而完成对木马、病毒、蠕虫、手机僵尸网络和攻击的识别、告警。(3)网络侧防护网络侧防护是指对被研判为恶意的代码进行处置,通过与GGSN、WAP网关、短信网关等系统的接口,对上网过程进行阻断,并及时通知用户。对于用户正在下载的恶意软件或访问的恶意网址,监测系统通过接口通知GGSN、WAP网关对上网过程进行阻断,或弹窗提示用户;对于用户终端已经感染恶意代码的情况,系统将通过短信等方式及时通知用户进行查杀、卸载。(4)方案优点1)采用并行分光方式,不改变现有网络结构,不改变数据流的方向,不影响现有系统的稳定性;2)只需在网络出口处放置采集设备,即可监测全部上网终端,覆盖面广,实时性高;3)可直接提取感染恶意程序的用户手机号码,及时通知用户。
4某运营商移动互联网恶意代码监测系统试点情况
某运营商2014年至今对网络侧移动互联网恶意代码监测系统开展试点工作,采用分光方式对Gn口部分流量进行采集、分析,实现了实时监测、自动研判、统计分析、特定病毒监测、特定用户监测等功能。相关资料见表1、2、3。由表3可见,本试验系统使某运营商基本掌握了当前移动互联网恶意代码的分布情况,为下一步恶意代码的监控、处置提供了决策支持,达到了预期目标。
5结束语
本文阐述了实施移动互联网恶意代码监测的必要性、紧迫性,通过对三种主要监测技术的对比分析,选择了适合运营商的网络侧监测方案;通过某运营商监测试点系统的统计数据,证明了该方案的可行性。
作者:蔡圣伟 刘凯 单位:中国联通山东省分公司
相关专题:企业食品召回管理制度 金属功能材料论文
