來曉陽，洪晶，杭躍斌

（1 中國移動通信集團江蘇有限公司，南京 210029；2 中國移動通信集團公司，北京 100032）

1 手機病毒傳播及工作流程

1.1 發(fā)布傳播

由于移動互聯(lián)網(wǎng)自身特點，因此手機病毒的發(fā)布傳播方式與傳統(tǒng)病差異很大，包括短信傳播、彩信傳播、偽造WAP PUSH傳播、軟件捆綁、人工安裝、ROM置入、藍牙傳播、遠程溢出、弱口令利用。

1.2 客戶端感染

病毒被安裝到手機上之后，首先需獲取系統(tǒng)控制權(quán)，達到控制手機、隱藏自身存在、對抗查殺措施等目的。主要包括以下4個主要功能：關(guān)閉殺毒軟件、多進程保護、關(guān)閉系統(tǒng)卸載功能、攔截特定代碼短信。

1.3 控制升級

大部分手機病毒會與病毒控制服務(wù)器進行通信以便接受指令執(zhí)行后續(xù)操作。該環(huán)節(jié)主要由以下幾個功能組成：上報客戶身份信息、接受控制指令、實施病毒升級。

1.4 隱私竊取和牟利

目前編寫傳播手機病毒目的主要是為了竊取隱私和牟利。手機病毒此類功能包括： 竊取身份、竊取通信記錄、竊取短彩信內(nèi)容、竊取用戶位置信息、通話竊聽、訂購數(shù)據(jù)業(yè)務(wù)、撥打IVR電話、發(fā)送垃圾短彩信、廣告推送、點擊網(wǎng)站鏈接。

2 手機病毒監(jiān)測技術(shù)的實現(xiàn)

根據(jù)手機病毒傳播規(guī)律，基于中國移動網(wǎng)絡(luò)整體架構(gòu)，建立一套完整的手機病毒監(jiān)測工作需覆蓋移動網(wǎng)絡(luò)、軟件市場、智能終端3個關(guān)鍵環(huán)節(jié)，實現(xiàn)對于手機病毒的全程監(jiān)測。

2.1 移動網(wǎng)絡(luò)病毒流量監(jiān)測

目前病毒傳播、控制、牟利的主要通道包括CMNET/CMWAP、WLAN、彩信、短信。相應(yīng)的需要對分組域核心網(wǎng)、WLAN鏈路、點對點/夢網(wǎng)短信進行監(jiān)測。在網(wǎng)絡(luò)側(cè)實施病毒監(jiān)測，是運營商開展病毒防護工作與傳統(tǒng)病毒防護工作之間最大的區(qū)別。

2.1.1 分組域核心網(wǎng)Gn鏈路手機病毒監(jiān)測

目前CMNET/CMWAP APN、彩信的流量均通過分組域核心網(wǎng)，對其監(jiān)測可同時實現(xiàn)CMNET/CMWAP APN以及彩信中手機病毒的監(jiān)測。

Gn鏈路處于GGSN/SGSN之間，采用GTP協(xié)議封裝，在該鏈路上可以監(jiān)測手機病毒特征數(shù)據(jù)報以及用戶IP地址，還能夠在GTP協(xié)議的PDP Request/Response（PDP激活/去激活）信令流程中信令流程中獲取用戶IMEI、IMSI、MSISDN、LAC、CI等一系列信息。因此通過在Gn鏈路進行手機病毒監(jiān)測是目前最為有效的網(wǎng)絡(luò)側(cè)病毒監(jiān)測手段。

為了提高對未知病毒的發(fā)現(xiàn)能力，該監(jiān)測技術(shù)還需具備未知病毒發(fā)現(xiàn)功能，通過疑似病毒行為，如病毒控制報文的特殊協(xié)議結(jié)構(gòu)、高頻次異常網(wǎng)站訪問和文件下載等病毒行為等進行監(jiān)測以發(fā)現(xiàn)未知病毒行為。

目前實用化的監(jiān)測設(shè)備已實現(xiàn)單鏈路3Gbit/s的監(jiān)測能力，能發(fā)現(xiàn)各類手機病毒、木馬軟件、地下運營商、分組域安全攻擊等安全問題400多種，可滿足目前2G/3G網(wǎng)絡(luò)以及未來4G LTE網(wǎng)絡(luò)監(jiān)測的需求。

2.1.2 WLAN上行鏈路監(jiān)測

由于智能終端流量增長迅猛，目前相當(dāng)多的運營商采取了將部分業(yè)務(wù)流量疏導(dǎo)WLAN網(wǎng)絡(luò)的做法。因此中國移動還需要具備對WLAN進行監(jiān)測的能力。

在WLAN鏈路上在監(jiān)測病毒流量的時候只能監(jiān)測到IP地址，因此監(jiān)測設(shè)備還需要對WLAN AC與RADIUS服務(wù)器之間通信內(nèi)容進行監(jiān)測已獲取IP地址對應(yīng)用戶賬號，實現(xiàn)將病毒流量直接溯源到用戶的目標(biāo)。

2.1.3 點對點短信監(jiān)測

目前手機病毒傳播經(jīng)常使用的一種手段是通過發(fā)送欺騙短信誘使用戶點擊其中的URL方式傳播。因此需過改造現(xiàn)有垃圾短信監(jiān)控系統(tǒng)可對含有異常URL的點對點消息進行監(jiān)控。

2.1.4 夢網(wǎng)短信監(jiān)測

手機病毒牟利主要手段之一惡意訂購業(yè)務(wù)，主要通過后臺發(fā)送訂購業(yè)務(wù)的夢網(wǎng)短信實現(xiàn)。通過對夢網(wǎng)短信進行監(jiān)測發(fā)現(xiàn)異常短信發(fā)送行為，可認(rèn)為用戶疑似感染手機病毒。

2.2 手機病毒分發(fā)監(jiān)測

手機病毒總是需要通過各種途徑到用戶手機上，對這些途徑進行監(jiān)測是預(yù)防手機病毒的重要手段。

2.2.1 中國移動應(yīng)用商場（Mobile Market）監(jiān)測

中國移動應(yīng)用商場是中國移動自有的手機應(yīng)用商場，需建立面向手機應(yīng)用全生命周期的、可追溯的手機病毒監(jiān)測機制，包括上線前檢查、上線后支撐以及安全問題響應(yīng)3個部分。

2.2.2 第三方應(yīng)用商店監(jiān)測

用戶還會從終端廠家/操作系統(tǒng)廠家應(yīng)用商店以及其它第三方應(yīng)用商店下載應(yīng)用。還有很多用戶是使用搜索引擎和導(dǎo)航網(wǎng)站來尋找需要下載的應(yīng)用。對此類情況，綜合采取網(wǎng)絡(luò)流量中下載行為監(jiān)測、掃描方應(yīng)用商店應(yīng)用下載路徑、網(wǎng)絡(luò)爬蟲技術(shù)主動發(fā)現(xiàn)進行應(yīng)用下載鏈接3種方式，獲取應(yīng)用下載路徑并對文件體進行病毒監(jiān)測。

2.3 手機客戶端監(jiān)測

手機感染病毒后，需手機客戶端殺毒軟件才能徹底清除。常見的監(jiān)測方式有基于特征碼的監(jiān)測方法和啟發(fā)式掃描的監(jiān)測方法。

（1）基于特征碼的監(jiān)測方法:為目前的主流手機病毒偵測方式，就是將手機里的文件通過掃描引擎與病毒庫進行特征碼匹配；

（2）啟發(fā)式掃描方法:通過分析文件信息的行為并將其與一個危險行為樣式庫進行對照判別。例如某文件試圖格式化內(nèi)存，殺毒軟件就會警告該用戶，盡管該文件也許是用戶剛剛安裝在系統(tǒng)中的一個新的格式化程序而不是病毒，接下來由用戶來判斷是否繼續(xù)進行該操作。

3 手機病毒防護技術(shù)的實現(xiàn)

3.1 網(wǎng)絡(luò)側(cè)手機病毒防護技術(shù)

在前述手機病毒/惡意軟件監(jiān)測技術(shù)的相關(guān)分析中，我們可以看到手機病毒/惡意軟件主要通過短彩信、分組域核心網(wǎng)以及WLAN進行傳播。因此網(wǎng)絡(luò)側(cè)攔截技術(shù)需要對病毒在分組域核心網(wǎng)、WLAN以及短信通道上傳播的誘騙、下載、控制信息進行攔截。主要包括以下3種技術(shù)。

（1）IP鏈路在線攔截技術(shù)：在Gi鏈路或者更高層鏈路上，在線阻斷對病毒控制通道的域名、IP地址或者URL進行攔截。該技術(shù)在病毒流量通過WLAN通道進行傳播時也同樣有效，是網(wǎng)絡(luò)側(cè)攔截最為主要的技術(shù)手段；

（2）病毒短信攔截技術(shù)：通過提取手機病毒誘騙短信關(guān)鍵字，將其傳送到垃圾短信攔截系統(tǒng)對此類含有關(guān)鍵字的短信進行攔截，阻斷病毒傳播途徑；

（3）彩信中心殺毒技術(shù)：在彩信中心上加載防病毒模塊，在彩信下發(fā)前掃描彩信消息體，發(fā)現(xiàn)彩信消息體中含有病毒則立刻停止該彩信下發(fā)。

3.2 終端側(cè)手機病毒防護技術(shù)

終端感染病毒后，一般需要通過專用手機殺毒軟件進行清除，目前主要可以提供幾種病毒防護技術(shù)。

（1）病毒清除技術(shù)：借鑒傳統(tǒng)PC病毒查殺經(jīng)驗，監(jiān)測到已知病毒后直接對病毒進行查殺；

（2）遠程刪除技術(shù)：通過控制服務(wù)器遠程控制終端測殺毒軟件卸載/刪除某些惡意軟件。

3.3 用戶主動提醒技術(shù)

對于未安裝手機殺毒軟件客戶，需要采取主動提醒技術(shù)才能有效清除病毒。主動提醒客戶采用電話外呼、短彩信提醒、WAP頁面推送等方式。

綜合網(wǎng)絡(luò)側(cè)、終端側(cè)和客戶主動提醒技術(shù)，可以覆蓋中國移動所有用戶，實現(xiàn)手機病毒全程攔截查殺。

4 中國移動手機病毒全網(wǎng)監(jiān)測與防護體系設(shè)想

根據(jù)前述內(nèi)容，我們提出了中國移動全網(wǎng)綜合監(jiān)測與防御體系的設(shè)想，由綜合管控系統(tǒng)、研判分析系統(tǒng)、現(xiàn)網(wǎng)監(jiān)測/防護系統(tǒng)、終端殺毒系統(tǒng)共同組成。

4.1 綜合管控系統(tǒng)

統(tǒng)一管理集團及各省公司的手機病毒監(jiān)測/防護系統(tǒng)，實現(xiàn)綜合監(jiān)測、綜合分析和綜合防護。同時，該系統(tǒng)維護全網(wǎng)統(tǒng)一的監(jiān)測、報警、攔截以及惡意代碼特征庫，統(tǒng)一下發(fā)到全網(wǎng)的監(jiān)測/防護系統(tǒng)。

4.2 研判分析系統(tǒng)

是通過現(xiàn)網(wǎng)監(jiān)測、用戶投訴、輿情監(jiān)測等多種方式獲取全網(wǎng)手機病毒疑似樣本，通過自動化沙箱分析技術(shù)，生成病毒特征庫。

4.3 病毒監(jiān)測系統(tǒng)

融合Gn監(jiān)測、WLAN監(jiān)測、短信監(jiān)測實現(xiàn)病毒全程監(jiān)測。通過標(biāo)準(zhǔn)化接口，從綜合管控系統(tǒng)獲取全網(wǎng)監(jiān)測特征庫。同時上報疑似感染病毒的情況。

4.4 網(wǎng)絡(luò)側(cè)防護系統(tǒng)

在Gi口設(shè)置流控設(shè)備攔截手機惡意軟件網(wǎng)絡(luò)行為，從綜合管控系統(tǒng)下載攔截特征庫，攔截相關(guān)通信地址。在垃圾短信攔截系統(tǒng)中增加病毒短信攔截功能，攔截相關(guān)短信。

4.5 終端殺毒系統(tǒng)

圖1 全網(wǎng)綜合監(jiān)測與防御體系

終端殺毒客戶端從綜合管控系統(tǒng)下載惡意代碼特征庫，實現(xiàn)對已知病毒的監(jiān)測和查殺。同時上報疑似病毒文件，實現(xiàn)手機病毒的“云查殺”。在出現(xiàn)惡性毒爆發(fā)時，允許綜合管控系統(tǒng)直接下發(fā)命令強行卸載特定的手機病毒。基于該方案的提出網(wǎng)絡(luò)側(cè)和終端側(cè)融合的手機病毒攔截清除方案目前正在逐步實現(xiàn)。為下階段實現(xiàn)面向全網(wǎng)的手機防病毒服務(wù)/業(yè)務(wù)奠定了堅實基礎(chǔ)。

5 建立手機病毒處置工作體系

對于中國移動而言，亟需建立起一套以保護客戶利益、提升客戶滿意度的病毒處置工作體系。經(jīng)過努力，目前中國移動已經(jīng)初步建起了一套手機病毒處置工作體系。該體系依托組建專業(yè)的病毒防護團隊（主要包括手機病毒分析人員、網(wǎng)絡(luò)維護人員、客戶服務(wù)人員、法律事務(wù)人員），利用部署在網(wǎng)絡(luò)上的手機病毒監(jiān)測系統(tǒng)、根據(jù)手機病毒處置工作流程，開展病毒監(jiān)測、病毒研判、病毒預(yù)警、病毒控制、應(yīng)急響應(yīng)等各項工作，以實現(xiàn)保護客戶權(quán)益，提升網(wǎng)絡(luò)質(zhì)量的目的。

5.1 病毒監(jiān)測

病毒分析人員利用網(wǎng)絡(luò)側(cè)手機防病毒監(jiān)測系統(tǒng)及終端防毒軟件，對全網(wǎng)的手機病毒感染情況進行持續(xù)監(jiān)測。實現(xiàn)對已知病毒感染監(jiān)測和疑似病毒網(wǎng)絡(luò)特征以及文件樣本采集。

同時，客戶服務(wù)人員對全網(wǎng)的手機病毒投訴處理進行分析。從海量投訴匯總批量疑似手機病毒投訴，發(fā)現(xiàn)病毒感染傳播趨勢。輿情監(jiān)測是另外一個重要的病毒監(jiān)測手段。

5.2 病毒研判

在監(jiān)測到新病毒后，對疑似樣本進行分析，獲取其網(wǎng)絡(luò)行為特征、主機行為特征以及具體工作機制。

5.3 病毒控制

根據(jù)病毒監(jiān)測結(jié)果，對病毒傳播進行阻斷，控制手機病毒在移動網(wǎng)內(nèi)的傳播。同時，通知終端廠家和殺毒軟件廠家啟動相關(guān)準(zhǔn)備工作。

5.4 病毒預(yù)警

中國移動基于網(wǎng)絡(luò)分析、輿情監(jiān)測、用戶投訴等多種渠道，能夠比較有效的對手機病毒/惡意軟件的爆發(fā)進行有效的監(jiān)測。通過各種媒體渠道，發(fā)布不同級別的病毒信息預(yù)警。如出現(xiàn)重大病毒預(yù)警，制定網(wǎng)絡(luò)側(cè)防護方案以及客服應(yīng)對方案，組織網(wǎng)絡(luò)維護人員和客戶服務(wù)人員落實應(yīng)對措施。

5.5 應(yīng)急響應(yīng)

如果出現(xiàn)重大手機病毒事件，需啟動手機病毒應(yīng)急響應(yīng)機制，通過多種手段將病毒對用戶的危害和網(wǎng)絡(luò)的影響降低到最低限度。具體包括以下幾個步驟：制定病毒封堵方案、媒體公告、客戶告知、終端升級。