还剩3页未读,继续阅读
文本内容:
移动互联的安全问题1移动互联网恶意程序研究概述从2012年12月底,中国移动互联网用户规模达到
4.2亿人利用手机或Pad等移动终端作为上网设备,通过移动互联网下载游戏、获取天气或新闻服务、阅读电子书籍、参与社交活动逐渐成为人们的日常生活方式移动互联网在给人们带来便捷生活的同时,安全问题也随之而来据统计,移动互联网恶意程序由2005年的52个猛增到2012年的162981个移动恶意软件采用不知情订购方式消耗用户资费、窃取个人隐私(通讯录或位置信息)、实施远程监控和钓鱼欺诈行为,极大地侵害了用户的切身利益目前90%以上的用户对手机缺乏安全感移动互联网的安全状况不容乐观目前学术界与厂商的主要研究工作集中在恶意软件的识别与研判技术,希望借助手机安全软件检测并阻止智能终端上的恶意软件行为但我国终端安全软件的普及率只有
54.6%,80%以上的用户表示对移动安全问题并没有特殊的关注大量没有安全软件防护的用户暴露在恶意软件的直接威胁之下运营商在控制恶意软件的网络转播、样本采集、研判和封堵方面具有强大的优势,研究运营商适用的恶意软件防治体系和关键技术对保障移动互联网安全具有重要意义通过监控移动应用的下载源、下载渠道和终端运行环境,运营商能为用户提供更为安全的移动互联网通信环境2恶意程序检测2007年,随着移动恶意软件的爆发式增长,国内外学者对新出现的移动恶意软件进行了跟踪研究,对恶意软件的行为特征、发展趋势、研判方法和识别系统进行了大量研究参考文献[1]指此恶意软件多通过重新打包流行软件、升级恶意行为模块、恶意诱导用户下载等方式进行传播恶意软件感染用户手机后,通常会进一步利用平台漏洞获取root权限,通过用户不知情的业务订购或上传用户隐私(通讯录、用户IMEI号码)等手段实施侵害,也可能与远程控制服务器联系获取进一步侵害指令最近的研究表明,恶意软件越来越多地考虑经济因素,通过强行植入广告直接获取经济利益通常,移动恶意软件的检测研判方法可以按照静态检测和动态检测、人工检测和自动检测、基于特征规则的检测和基于统计数值的检测等方式进行分类静态检测主要包括两种方式:一种是基于签名的检测动态检测指将移动程序加载到模拟器或真机环境下,通过观察程序与Andriod平台、网络环境的交互行为判定是否是恶意程序综上所述,目前学术界的大量研究工作集中在移动恶意程序的研判方法方面,还没有从运营商角度,对恶意软件防护体系结构进行系统研究,而运营商在恶意程序的发现、研判和封堵方面具有独特的优势结合深度分组检测、日志留存、网络侧封堵和客户端技术的综合防护体系研究,对运营商保障移动互联网的安全具有重要意义3运营商恶意软件保护系统
3.1网络侧技术的应用目前业界主流的恶意软件防护架构主要有客户端技术和网络侧技术两种客户端技术通过在移动终端上安装安全软件实现防护,这种防护模式需要通过应用商店或用户举报途径搜集恶意软件样本,识别出恶意软件的特征码或特征行为,再将恶意软件签名和防护规则下发到恶意软件客户端,实现对移动用户的实时保护网络侧技术主要通过监控网络流量分析识别出网络中传播的恶意软件,并通过流控系统、DNS解析拦截技术对恶意软件的传播进行封堵从表1对网络侧和客户端侧防护技术的分析可以看出,客户端侧防护技术通过软件自动检测和用户举报获得的恶意代码样本的数量较大,但检测和上载样本会消耗大量手机计算资源和流量资源;网络侧检测不需要安装客户端安全软件,可以保护全网用户,且不消耗终端资源,但已经感染恶意软件的手机不能彻底清除恶意程序,用户手机仍然可以执行用户不知情业务订购、恶意扣费、上传隐私数据等行为,因此对用户的保护也是不全面的两种防护技术各有优势和劣势,需要将两种技术进行有机地整合,为运营商网络提供综合防护能力
3.2集中管控平台本文提出了一种网络侧与客户端联动的恶意软件防护体系,如图1所示运营商在全网各省公司的Gn端口部署监控程序,对网络中传输的Andriod、Symbian等平台应用程序的下载、传输行为进行监控在网络侧部署集中恶意软件管控平台,集成恶意软件样本搜集和研判、网络封堵和客户端服务的能力同时,应通过手机预置或合作运营等方式,在用户终端上部署客户端安全软件,执行客户端恶意软件的防护策略部署、查杀、投诉和样本上传等功能运营商通过Gn口的网络流量监控、客户端用户举报和应用商店的应用程序爬取获得软件样本,利用静态和动态检测技术进行研判,形成恶意软件黑名单和白名单签名数据库,包括恶意软件的标准名称、MD5签名、主控UR(域名、IP地址)等信息运营商通过集中管控系统在网关和DNS上实施对恶意程序的主控URL、域名和IP地址的封堵和屏蔽,阻断恶意程序的下载传播渠道运营商恶意代码集中管控平台与内部BOSS和客户服务系统进行互联,通过分析用户上网日志、投诉信息、网络流量,获得恶意软件网络行为规则及全网恶意软件下载和主控URL、恶意软件MD5签名,并将上述信息下发到客户端安全软件客户端软件利用特征库对终端软件进行扫描,检测并删除用户手机上的恶意代码;也可以在用户访问恶意URL时•,及时阻断下载行为如果终端安全软件监控到驻留用户手机上的其他软件有恶意行为,将自动上报软件样本这种网络侧与客户端联动的恶意软件防护体系可以借助云检测等技术,将恶意代码的检测计算集中在网络侧完成,极大地减轻了对用户手机资源的消耗此外,客户端安全软件作为独立于网络侧的恶意代码样本来源,扩充了恶意代码样本,能在网络侧封堵更多的恶意URL,提升运营商全网的恶意代码封堵效率网络侧恶意软件集中管控平台与运营商内部的客户服务系统和BOSS相连,可以充分利用用户访问日志对恶意软件进行精准研判4运营商的恶意软件保护核心技术
4.1恶意软件传播监测系统运营商恶意软件防护系统能否准确识别并处置恶意软件,与搜集并分析的恶意软件样本数量及行为特征有直接关系在本文的防护体系中,恶意软件样本的来源主要有3个渠道运营商网络采样、应用商店爬取和用户举报运营商可通过网络Gn口采样,获取恶意程序样本这种监控技术主要完成如下功能:获取当前活跃的疑似恶意软件样本监控系统对网络中传输的所有应用流量进行实时监控,恢复利用Web、彩信、邮件等渠道传播的应用程序样本,上报黑名单和白名单之外的未知应用程序;监控恶意软件传播事件Gn口采样检测系统可以针对常见恶意软件行为进行监控,如某网络通信使用HTTP,并在请求中包含用户的IMSI、IMEI、终端型号等信息;传播同一个手机软件文件数量超过门限阈值/天;网络数据分组包含异常特征字等如果发现上述异常行为,则对相关网络疑似安全事件进行上报,协助运营商掌握网络中的恶意软件传播情况应用软件商店样本可以通过改造并集成现有爬虫工具Scrapy或Lucene进行爬取用户举报指当用户发现可疑应用软件行为时,借助客户端安全软件的举报功能或运营商客户服务体系,报告恶意软件行为日志或主控URL地址多通道恶意软件样本与日志采集技术架构如图2所示
4.2系统维护恶意运营商恶意软件防护系统整合动态和静态研判技术对采集到的应用软件样本进行研判系统通过扫描应用程序的应用许可、系统API或监控程序短/彩信收发、连接远程URL等行为,给出研判结果运营商的研判优势在于可以结合网络日志,查找用户手机是否访问过恶意软件下载URL或主控URL、是否有泄露用户的IMSI/IMEI/终端型号等关键字信息,判断手机终端是否中毒,并通过客户服务系统及时通知用户处置若疑似样本确定为新型手机恶意软件,则提取特征码信息,将其新增到全网已知手机恶意软件库系统维护恶意软件下载URL和主控端URL库、恶意软件行为特征库和正常软件MD5签名库,逐渐补充恶意软件识别特征,提升恶意软件研判的准确率一般系统应能自动识别网络中99%以上的恶意程序,其他通过人工研判进行处置
4.3系统封堵措施恶意软件的封堵指在运营商流控系统和DNS上阻止用户访问恶意软件下载URL和主控URL,从而对运营商网络实施保护运营商将恶意URL下发到流控系统前置机上形成封堵黑名单通过DPI设备对网内及网间流量进行解析,取得用户访问的URL或域名请求后,如果命中黑名单,则由前置服务器向用户发送reset报文或DNS重置页面报文,由于正常网站返回结果或正常DNS解析结果返回较慢,会被用户主机丢弃,从而阻断恶意URL的访问
4.4云侦查技术的应用框架运营商可以通过手机预置或厂商合作的方式在用户手机上安装终端安全软件终端安全软件主要完成恶意软件特征的下载和存储,并利用特征库对手机应用程序进行扫描在本文基于云查杀技术的框架里,恶意软件全量病毒库存储在恶意软件治理云平台上,下发到用户手机上的策略只包含少量当前活跃的恶意软件MD5特征值和恶意行为的特征终端软件利用这些特征对手机应用进行扫描和监控,如果发现符合条件的应用程序,将其特征(MD5签名、本机API调用行为记录等信息、)上报到云查杀平台,云平台将借助恶意软件数据库、染毒用户日志对恶意软件进行研判,并将处置信息下发到终端软件中,实现病毒查杀这种云查杀框架减少了对手机资源的占用,并通过大范围的用户样本举报,补充了网络侧恶意软件采样研判的不足终端安全软件云查杀功能架构如图4所示5应用安全检测通过编制恶意软件防护试验系统并在某运营商现网部署,验证了本文所提出的恶意软件网络侧与客户端联动的管理技术系统包括恶意软件集中管控平台(如图5所示)和手机客户端杀毒软件(如图6所示)两部分如图所示,集中管控平台利用本文技术将网络侧Gn口捕获、应用商店爬取和手机终端举报的疑似恶意软件进行自动和人工研判后,给出安全或危险的研判结论,并下达对恶意软件URL或域名全网封堵的指令如图6所示,手机杀毒软件可配置自动更新病毒库或自动联网进行云查杀等操作,通过与云平台联网,获取恶意软件特征并对用户手机中的程序进行查杀操作系统现网部署后,有效地检测并阻止了现网高发病毒对用户的侵害,如图7所示总之,恶意软件的大规模传播给移动互联网用户和运营商带来了严重的威胁,运营商在恶意软件的采样、研判和封堵、查杀中具有很大的优势本文从运营商的角度提出了网络侧与客户端联动的恶意软件防护体系,并研究了相关实施技术,对提高运营商全网防护水平有重要意义本文所述技术尚有如下不足需要进一步研究与完善:运营商网络中恶意软件研判的准确度还不高,未来需要借助机器学习、模式分类等方法提取恶意程序的研判特征,进一步提高研判的能力;虽然可以从三大渠道获得恶意软件样本,但由于目前2G/3G网络上网速度较慢,用户习惯于借助PC下载移动互联网应用,然后安装到手机上,本文所述监控技术尚不能覆盖这种场景未来需要借助用户上网行为分析技术,发现通过这种途径传播的恶意软件随着4G网络的部署,网络传输速度的增加,需要加快病毒样本的研判速度,止匕外,由于恶意软件的时延激发特性,研判过程的耗时也越来越长,需要研究代码注入检测技术、改进沙箱技术和并发检测技术,缩短恶意软件的研判时间,适应大数量恶意软件研判的需求。