羅志強，史國水，沈 軍，蘇志勝

（1.中國電信股份有限公司廣州研究院 廣州510630；2.中國電信集團公司網(wǎng)絡(luò)運行維護部 北京100010）

1 引言

近3年來，我國移動互聯(lián)網(wǎng)用戶規(guī)模呈現(xiàn)出迅猛增長態(tài)勢。根據(jù)工業(yè)和信息化部運行監(jiān)測協(xié)調(diào)局發(fā)布的最新數(shù)據(jù)，截至2013年4月，我國移動互聯(lián)網(wǎng)用戶總數(shù)達到8.08億，用戶數(shù)相比2010年4月的4.33億戶翻了一番[1]?？傮w來看，移動互聯(lián)網(wǎng)用戶規(guī)模已大于固定互聯(lián)網(wǎng)寬帶接入用戶規(guī)模，且前者保持的優(yōu)勢逐漸增大，移動互聯(lián)網(wǎng)時代已經(jīng)到來。

但是隨著移動互聯(lián)網(wǎng)用戶規(guī)模的高速增長及接入方式的多樣化，移動互聯(lián)網(wǎng)面臨的安全形勢也日益嚴峻。從網(wǎng)絡(luò)和業(yè)務(wù)平臺側(cè)看，除了接入技術(shù)不同，移動互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)在架構(gòu)上并無本質(zhì)區(qū)別，而移動網(wǎng)絡(luò)IP化、移動用戶寬帶化和移動終端智能化的趨勢，使得互聯(lián)網(wǎng)上原有的惡意程序傳播、網(wǎng)絡(luò)攻擊等傳統(tǒng)網(wǎng)絡(luò)安全威脅向移動互聯(lián)網(wǎng)快速蔓延，僅2012年，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測和網(wǎng)絡(luò)安全企業(yè)通報的移動互聯(lián)網(wǎng)惡意程序樣本就高達162 981個，較2011年增長25倍[2]。由于 移 動惡意程 序 產(chǎn)生的惡意吸費、用戶信息竊取、誘騙欺詐等惡意行為與運營商以及用戶利益的關(guān)聯(lián)度更高，移動互聯(lián)網(wǎng)安全問題已經(jīng)威脅基礎(chǔ)通信網(wǎng)絡(luò)安全、侵害用戶利益，引起國家主管部門、運營商和用戶的高度重視。

移動互聯(lián)網(wǎng)安全問題來源于“云、管、端”，即移動業(yè)務(wù)、移動承載網(wǎng)以及移動終端等多個層面。其中，移動互聯(lián)網(wǎng)業(yè)務(wù)面臨的安全威脅主要包括身份偽造[3]、非授權(quán)訪問、信息竊取等；移動終端則主要面臨移動惡意程序引發(fā)的隱私竊取、惡意消費、系統(tǒng)破壞等安全威脅；移動承載網(wǎng)除面臨非授權(quán)訪問、異常流量攻擊等傳統(tǒng)IP網(wǎng)絡(luò)非法入侵、惡意攻擊威脅之外，由于移動網(wǎng)絡(luò)有限資源共享的特點，更易遭受應(yīng)用惡意程序僵尸網(wǎng)絡(luò)、批量激活、終端掃描引發(fā)的信令風(fēng)暴乃至拒絕服務(wù)攻擊等安全威脅。

本文立足于移動互聯(lián)網(wǎng)運營商角度，重點分析移動互聯(lián)網(wǎng)承載網(wǎng)（以下簡稱“移動承載網(wǎng)”）存在的移動惡意程序、信令風(fēng)暴等安全熱點問題，研究和探討在網(wǎng)絡(luò)側(cè)防護惡意代碼和信令風(fēng)暴的安全防護技術(shù)。

2 移動惡意程序網(wǎng)絡(luò)側(cè)防護技術(shù)

傳統(tǒng)殺毒產(chǎn)品中采用的基于終端側(cè)惡意程序防護技術(shù)，目前仍在移動惡意程序的防護中使用，但受限于移動智能終端資源瓶頸及用戶安全意識不足，惡意程序防護軟件在移動終端的滲透力度不夠。隨著移動互聯(lián)網(wǎng)時代的到來，移動智能終端的用戶增長速度遠大于趨于飽和的計算機用戶增長速度，但是手機使用群體的安全防范意識遠不如計算機的使用群體，其次移動智能終端的CPU、內(nèi)存、電量等終端資源也遠不如傳統(tǒng)PC計算機，缺乏像PC實時監(jiān)控惡意程序的能力，因此惡意程序防護軟件在移動終端的滲透力度明顯不足。

由于流量資費等原因，目前移動互聯(lián)網(wǎng)手機流量遠低于傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量，因此，在移動互聯(lián)網(wǎng)的運營商網(wǎng)絡(luò)側(cè)開展惡意程序防護成為可能。如圖1所示，運營商在移動互聯(lián)網(wǎng)接入點采用分光設(shè)備實時采集數(shù)據(jù)流量，通過流量特征碼技術(shù)監(jiān)測移動互聯(lián)網(wǎng)惡意程序，利用流控設(shè)備以及與網(wǎng)絡(luò)設(shè)備（如垃圾短彩信攔截系統(tǒng)、DNS等）的聯(lián)動，通過發(fā)送TCP reset報文給網(wǎng)絡(luò)設(shè)備的方式，主動封堵攔截惡意程序的傳播途徑，對確定的惡意URL進行封堵或跳轉(zhuǎn)，最后通過終端側(cè)推送提示頁面、提示短信等方式引導(dǎo)移動互聯(lián)網(wǎng)用戶解決惡意程序。

但是，2013年初中國電信網(wǎng)絡(luò)安全實驗室對主流廠商3款移動惡意程序監(jiān)控系統(tǒng)的測試結(jié)果顯示，現(xiàn)階段基于網(wǎng)絡(luò)側(cè)的惡意程序防護技術(shù)在協(xié)議支持和報文還原等方面的實現(xiàn)上仍存在缺陷，主要體現(xiàn)在以下方面：目前主流的惡意程序監(jiān)控防治設(shè)備在分析模塊的報文重組、還原、檢測分析等功能方面只支持HTTP，不支持其他協(xié)議；設(shè)備處置模塊支持處置策略有限，只支持根據(jù)黑名單URL和移動終端進行處置，且封堵也只能針對TCP連接；同時，文件還原的處理性能直接影響惡意程序監(jiān)測效果，隨著移動互聯(lián)網(wǎng)流量的增大，大部分廠商產(chǎn)品監(jiān)測出的惡意程序數(shù)量持續(xù)下降。據(jù)測算，如果對移動互聯(lián)網(wǎng)傳輸信息進行深度檢測和安全過濾，會導(dǎo)致移動互聯(lián)網(wǎng)網(wǎng)絡(luò)信息傳輸效率下降85%[4]。

為了彌補移動互聯(lián)網(wǎng)大流量下惡意程序發(fā)現(xiàn)能力不足的情況，基于移動互聯(lián)網(wǎng)網(wǎng)絡(luò)異常流量的惡意程序防護技術(shù)是一種較好的補充技術(shù)。該技術(shù)主要是通過基于NetFlow等流量采集技術(shù)開展長期的流量監(jiān)測和統(tǒng)計分析，建立正常的流量模型和閾值，預(yù)定義惡意程序攻擊造成的異常流量范圍，當網(wǎng)絡(luò)總體流量分布超出閾值定義范圍，則判斷網(wǎng)絡(luò)中可能存在網(wǎng)絡(luò)惡意程序攻擊，再根據(jù)目的端口流量分布判斷出是哪種惡意程序。這種技術(shù)能很快發(fā)現(xiàn)大規(guī)模的移動互聯(lián)網(wǎng)蠕蟲攻擊行為，有效避免網(wǎng)絡(luò)癱瘓，但是該技術(shù)不能防御移動終端層面惡意程序，對蠕蟲只能控制傳播不能清除。

圖1 移動互聯(lián)網(wǎng)惡意程序監(jiān)控防治系統(tǒng)結(jié)構(gòu)

圖2 基于DPI+AAA聯(lián)動機制應(yīng)對移動終端對無線網(wǎng)SYN掃描攻擊的防護方案

3 移動互聯(lián)網(wǎng)信令風(fēng)暴防護技術(shù)

隨著移動用戶數(shù)量的高速增長，黑客針對移動互聯(lián)網(wǎng)的入侵掃描也逐步增多。例如，某運營商就發(fā)生過短短10 s內(nèi)有上千個3G用戶登錄同一個移動互聯(lián)網(wǎng)基站，產(chǎn)生大量信令，引發(fā)SPCF、DOCMP、DOSDU等設(shè)備出現(xiàn)最高負荷過高的問題。

為了判斷負載過高的原因，在每次設(shè)備最高負荷沖高時，筆者在BSC隨機采樣4個用戶，而這4個用戶中的媒體面報文都可以看到SYN掃描，而且4組測試均有這一現(xiàn)象無一例外，由此可以推斷SYN掃描的量級是較高的。上述分析表明，由于移動互聯(lián)網(wǎng)移動終端用戶通過對大量3G無線用戶地址段的SYN掃描攻擊，造成大量休眠用戶的同時激活，導(dǎo)致無線空口資源的負荷激增。由于移動互聯(lián)網(wǎng)無線空口資源的共享性和有限性，對于基站和BSC來說，短時大量的SYN掃描將導(dǎo)致信令風(fēng)暴，這種信令風(fēng)暴攻擊行為會嚴重影響無線網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗。

目前應(yīng)對異常流量攻擊的檢測及封堵技術(shù)手段主要有DPI系統(tǒng)、流量分析系統(tǒng)、流量清洗系統(tǒng)等技術(shù)平臺，但是這些技術(shù)只能通過發(fā)送TCP reset報文實現(xiàn)利用TCP鏈接傳播惡意程序的封堵，不能實現(xiàn)對移動終端用戶SYN掃描攻擊的封堵，在應(yīng)對移動終端對大量無線網(wǎng)地址段的SYN掃描攻擊時均有其局限性，不能有效防范SYN掃描攻擊。

為了解決現(xiàn)有技術(shù)手段不能有效防范SYN掃描攻擊的問題，建議運營商采用基于DPI+AAA聯(lián)動機制應(yīng)對移動終端對無線網(wǎng)SYN掃描攻擊的防護方案。如圖2所示，DPI通過在PI（PDSN與Internet）鏈路及AAA系統(tǒng)上聯(lián)鏈路分光，實時采集無線網(wǎng)分組域流量數(shù)據(jù)及用戶認證數(shù)據(jù)，檢測識別SYN掃描攻擊用戶及流量；當DPI系統(tǒng)監(jiān)測到SYN掃描攻擊后，與AAA系統(tǒng)聯(lián)動，發(fā)送封堵控制指令給AAA系統(tǒng)，由AAA系統(tǒng)給PDSN發(fā)送拆除PPP連接的指令，拆除用戶的PPP連接，利用AAA設(shè)備實現(xiàn)對移動終端用戶、PPP連接等的管理進行封堵控制，從而有效保護有限的無線網(wǎng)空口資源，提升移動互聯(lián)網(wǎng)網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗。

4 結(jié)束語

本文從運營商角度重點分析了移動惡意程序、信令風(fēng)暴等移動互聯(lián)網(wǎng)安全熱點問題。通過研究和探討在移動互聯(lián)網(wǎng)網(wǎng)絡(luò)側(cè)監(jiān)測和攔截移動惡意代碼的技術(shù)方案，防范了移動惡意程序引發(fā)的惡意吸費、信息竊取等損害用戶利益的行為。本文創(chuàng)新性地提出了基于DPI系統(tǒng)和AAA系統(tǒng)聯(lián)動的技術(shù)解決方案，有效解決因SYN掃描引發(fā)的移動互聯(lián)網(wǎng)信令風(fēng)暴的問題，大幅提升了移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗。

1 工業(yè)和信息化部電信研究院通信信息所數(shù)據(jù)監(jiān)測部.我國移動互聯(lián)網(wǎng)發(fā)展情況分析手機上網(wǎng)成主流 流量增長是亮點.人民郵電報,2013-5-22

2 國家互聯(lián)網(wǎng)應(yīng)急中心.2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述,2013

3 羅志強，沈軍.移動電子商務(wù)用戶溯源認證技術(shù)研究與應(yīng)用.電信科學(xué)，2009(6):7～12

4 工業(yè)和信息化部電信研究院.移動互聯(lián)網(wǎng)白皮書(2013年),2013