羅驍茜，鄭浩彬

(1 中國移動(dòng)通信集團(tuán)廣東有限公司佛山分公司, 佛山 528000；2 中國移動(dòng)通信集團(tuán)廣東有限公司, 廣州 510623）

第三代移動(dòng)通信時(shí)代，智能手機(jī)移動(dòng)業(yè)務(wù)得到廣泛發(fā)展，從傳統(tǒng)的話音、短信、彩信逐漸發(fā)展到手機(jī)上網(wǎng)、手機(jī)視頻、手機(jī)游戲、移動(dòng)商城等各種移動(dòng)互聯(lián)網(wǎng)應(yīng)用，作為最直接最貼近客戶的手機(jī)終端，客戶感知最為明顯。為了提升客戶感知，運(yùn)營商不僅關(guān)注網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)質(zhì)量的優(yōu)化，也越來越多的關(guān)注手機(jī)移動(dòng)業(yè)務(wù)的客戶感知。然而，隨著移動(dòng)互聯(lián)網(wǎng)蓬勃發(fā)展，手機(jī)病毒日漸猖狂。一方面，山寨機(jī)走低端和個(gè)性化路線吸引了大批用戶，同時(shí)其內(nèi)置后門程序在很大程度上成為吸費(fèi)工具，給運(yùn)營商和客戶帶來了負(fù)面影響。另一方面，內(nèi)置在移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件中的惡意代碼和病毒，讓客戶在不知情的情況下安裝使用軟件的同時(shí)產(chǎn)生大量話費(fèi)，增加不必要的費(fèi)用開銷。

通過隱馬爾科夫模型對病毒的惡意行為模式分類可得出啟發(fā)式行為監(jiān)測的手機(jī)病毒防治技術(shù)[1]；通過采集分析Gb口數(shù)據(jù)對病毒檢測分析來統(tǒng)計(jì)中毒用戶數(shù)等信息，可使運(yùn)營商掌握客戶中毒情況[2]；通過繪制威脅圖在安全測試的基礎(chǔ)上對手機(jī)操作系統(tǒng)安全機(jī)制缺陷等危險(xiǎn)程度進(jìn)行定量分析和評估[3]；結(jié)合A-SIRC模型給出的移動(dòng)環(huán)境下手機(jī)節(jié)點(diǎn)平均度計(jì)算方法得出藍(lán)牙手機(jī)病毒傳播模型和規(guī)律[4]；通過在網(wǎng)絡(luò)側(cè)部署手機(jī)惡意軟件封堵后自動(dòng)撥測技術(shù)來實(shí)現(xiàn)對封堵效果的驗(yàn)證[5]；文獻(xiàn)[6]剖析了手機(jī)惡意代碼主流檢測與防護(hù)技術(shù)的特點(diǎn)和算法；文獻(xiàn)[7]通過將安卓系統(tǒng)現(xiàn)存惡意軟件系統(tǒng)化、特征化分類，得出惡意軟件的安裝、觸發(fā)和變種的特點(diǎn)和規(guī)律；通過構(gòu)造行為分析模型來實(shí)現(xiàn)行為模式匹配從而有效的檢測手機(jī)病毒[8]；通過對藍(lán)牙信號覆蓋半徑、手機(jī)分布密度、初始感染率、藍(lán)牙手機(jī)群間移動(dòng)性、藍(lán)牙手機(jī)群間移動(dòng)的速度和距離等5個(gè)影響藍(lán)牙手機(jī)病毒傳播的要素進(jìn)行分析后給出控制病毒在群內(nèi)和群間傳播的相關(guān)策略[9]；通過對藍(lán)牙和短/彩信病毒傳播特性的分析建立針對病毒特性的混合擴(kuò)展防御模型。

上述文獻(xiàn)對于手機(jī)病毒的某些特征或者某種手機(jī)操作系統(tǒng)的易感染病毒的特征或者病毒檢測做出了有意義的研究。然而，在運(yùn)營商網(wǎng)絡(luò)中不同操作系統(tǒng)、不同品牌、不同接入方式和不同移動(dòng)互聯(lián)網(wǎng)應(yīng)用對手機(jī)病毒的產(chǎn)生和發(fā)作均產(chǎn)生不同程度的影響，因此現(xiàn)網(wǎng)手機(jī)病毒的研究和監(jiān)測更具有復(fù)雜性。針對現(xiàn)狀本文提出了基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)，并通過系統(tǒng)在實(shí)際網(wǎng)絡(luò)中手機(jī)內(nèi)置吸費(fèi)投訴核查與客戶關(guān)懷活動(dòng)的應(yīng)用來體現(xiàn)該系統(tǒng)的有效性和實(shí)用性。

1 基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)

基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)通過采集全網(wǎng)不同網(wǎng)元的日志、信令等網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析可主動(dòng)發(fā)現(xiàn)手機(jī)是否中毒，系統(tǒng)運(yùn)作流程如圖1所示。

1.1 系統(tǒng)硬件架構(gòu)

系統(tǒng)硬件架構(gòu)包括網(wǎng)絡(luò)數(shù)據(jù)采集和分類分析，如圖2所示。

圖1 基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)運(yùn)作流程

1.2 系統(tǒng)軟件架構(gòu)

系統(tǒng)軟件架構(gòu)如圖3所示共有4大模塊。

（1）數(shù)據(jù)源模塊主要用于采集和處理來自不同網(wǎng)元的網(wǎng)管數(shù)據(jù)等功能。

（2）病毒發(fā)布模塊主要是對監(jiān)測發(fā)現(xiàn)的病毒管理并發(fā)布。

（3）統(tǒng)計(jì)分析模塊側(cè)重在對監(jiān)測到的病毒數(shù)據(jù)統(tǒng)計(jì)各類型病毒的種類、影響程度、影響范圍等。

圖2 基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)整體硬件架構(gòu)

（4）案例追查模塊側(cè)重在對監(jiān)測到的病毒進(jìn)行分析，建立手機(jī)病毒特征庫等。

圖3 基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)軟件架構(gòu)

1.3 系統(tǒng)的特色

與傳統(tǒng)的病毒發(fā)現(xiàn)和監(jiān)測方案相比，本系統(tǒng)共包括以下3個(gè)特點(diǎn)。

（1）獨(dú)創(chuàng)提出用戶病毒行為分析偵測法。傳統(tǒng)方案借助現(xiàn)成病毒庫，對文件掃描查毒，被動(dòng)病毒追查方式；本系統(tǒng)通過GPRS/WAP/MMS/短信等多個(gè)接口的網(wǎng)絡(luò)數(shù)據(jù)，對用戶病毒行為進(jìn)行分析，在新病毒傳播、潛伏階段就能捕捉，主動(dòng)病毒追查方式。

（2）手機(jī)病毒偵查能力強(qiáng)。傳統(tǒng)方案對已掌握的舊病毒有效，新病毒偵查能力較弱，無法發(fā)現(xiàn)手機(jī)硬件后門；本系統(tǒng)舊病毒可以查殺，在新病毒傳播、潛伏環(huán)節(jié)入手，在上游環(huán)節(jié)把新病毒消滅在萌芽狀態(tài)，對手機(jī)本身的后門漏洞也能發(fā)現(xiàn)。

（3）數(shù)據(jù)來源差異。傳統(tǒng)方案主要依靠網(wǎng)絡(luò)上單點(diǎn)數(shù)據(jù)旁路進(jìn)行分析；本系統(tǒng)借助GPRS/WAP/MMS/短信等多個(gè)接口的網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)來源豐富，分析效率高。

2 基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)的應(yīng)用實(shí)例

部分廠商和業(yè)務(wù)提供商通過山寨機(jī)或者其它智能手機(jī)在出廠時(shí)設(shè)置后門軟件或者內(nèi)置軟件，達(dá)到吸費(fèi)的目的，也導(dǎo)致部分手機(jī)用戶的話費(fèi)異常增加。從2012年底開始，關(guān)于內(nèi)置軟件吸費(fèi)的投訴逐月增加，這給增值業(yè)務(wù)的客戶感知和業(yè)務(wù)發(fā)展帶來了負(fù)面影響。為了降低投訴量和提升客戶感知，我們使用手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)，針對客戶投訴進(jìn)行取證、核查，區(qū)分中毒用戶和非中毒用戶，協(xié)助業(yè)務(wù)部門對內(nèi)置軟件中毒現(xiàn)象進(jìn)行分析。

首先，我們抽樣選取了2013年5月15～31日投訴花費(fèi)異常的用戶中已中毒的用戶數(shù)分析發(fā)現(xiàn)，各類手機(jī)品牌中諾基亞和山寨機(jī)中毒用戶數(shù)所占比例最大，兩者總和幾乎占了所有中毒手機(jī)品牌的80%以上，如圖4所示。

圖4 諾基亞及山寨機(jī)中毒用戶數(shù)占比

其次，我們對內(nèi)置吸費(fèi)軟件涉及的病毒數(shù)據(jù)集共有的180余種病毒聚類分析，結(jié)果樹狀圖關(guān)鍵部分節(jié)選如圖5所示。圖中可見總體可以分為3大類，第1類包含絕大多數(shù)病毒，這部分可以認(rèn)為是沒能有效區(qū)分；第2類是“混沌機(jī)器”、“山寨機(jī)上網(wǎng)后門（wapdfw）”以及“美機(jī)扣費(fèi)魔”；第3類則是“偽軟件管家”和“山寨機(jī)酷宇平臺后門”。后兩類則具備明顯的病毒特征。由此，我們重點(diǎn)分析了后兩類病毒的特征和主要影響的手機(jī)操作系統(tǒng)。

圖5 各類病毒出現(xiàn)頻次聚類分析樹狀圖關(guān)鍵部分

“偽軟件管家”是各類手機(jī)操作系統(tǒng)中，中毒數(shù)最多的一種病毒，如圖6所示，統(tǒng)計(jì)數(shù)據(jù)表明塞班系統(tǒng)仍是現(xiàn)網(wǎng)手機(jī)操作系統(tǒng)中病毒的主要目標(biāo)，該病毒主要通過手機(jī)論壇、手機(jī)資源站、電子市場等渠道傳播。中毒后特征表現(xiàn)為手機(jī)上網(wǎng)數(shù)據(jù)流量異常增加；手機(jī)話費(fèi)無故減少，甚至出現(xiàn)欠費(fèi)停機(jī)；無法正常接收10086、106588、10668888、10086901端口下發(fā)的短信；以及其它不知情訂購扣費(fèi)業(yè)務(wù)等。通過該病毒的持續(xù)時(shí)間分析發(fā)現(xiàn)與其它病毒相比，其隱蔽性更強(qiáng)。

“美機(jī)扣費(fèi)王”主要感染安卓系統(tǒng)用戶，如圖7所示，該惡意軟件主要通過手機(jī)論壇、手機(jī)資源站、電子市場進(jìn)行傳播，誘導(dǎo)客戶下載安裝。中毒表現(xiàn)為無法正常接收短信、手機(jī)話費(fèi)無故減少，甚至出現(xiàn)欠費(fèi)停機(jī)、不知情訂購業(yè)務(wù)等。但是通過其持續(xù)時(shí)間分布分析，用戶一般能較快發(fā)現(xiàn)其存在并采取應(yīng)對措施去除病毒影響，即隱蔽性較弱。隨著安卓系統(tǒng)日趨增多，該病毒或與其相似病毒的危害有可能會(huì)越來越大，值得我們持續(xù)關(guān)注。

圖6 “偽軟件管家”病毒操作系統(tǒng)分布情況

圖7 “美機(jī)扣費(fèi)王”病毒操作系統(tǒng)分布情況

隨后我們分析了“山寨機(jī)上網(wǎng)后門（wapdfw）”和“山寨機(jī)酷宇平臺后門”，這兩種病毒主要針對的是山寨機(jī)操作系統(tǒng)，屬于出廠時(shí)不法商家通過植入后臺程序，被惡意內(nèi)置這兩種病毒之一。

在對抽樣數(shù)據(jù)進(jìn)行詳細(xì)的病毒特征和影響分析后，我們聯(lián)合業(yè)務(wù)部門通過外呼、結(jié)合營銷活動(dòng)、在營業(yè)廳設(shè)置手機(jī)加油站、殺毒先鋒業(yè)務(wù)推廣等措施開展客戶關(guān)懷活動(dòng)，引導(dǎo)客戶主動(dòng)進(jìn)行手機(jī)病毒查殺和預(yù)防，有效減少了客戶投訴量和中毒量，提升客戶感知，如圖8所示，4～12月投訴量整體呈現(xiàn)下降趨勢，投訴號碼的中毒量呈現(xiàn)明顯的下降趨勢。

圖8 投訴量和中毒量趨勢對比

3 結(jié)論及未來工作

基于網(wǎng)絡(luò)數(shù)據(jù)的手機(jī)病毒主動(dòng)監(jiān)測系統(tǒng)運(yùn)用網(wǎng)管數(shù)據(jù)采集、分析、發(fā)現(xiàn)病毒，在不斷完善病毒特征庫的基礎(chǔ)上，主動(dòng)監(jiān)測和預(yù)警。實(shí)踐表明，系統(tǒng)能為維護(hù)人員提供直觀可靠的原始資料，為提升用戶感知，增加客戶粘性和支撐市場營銷提供了重要的數(shù)據(jù)參考。隨著LTE終端和網(wǎng)絡(luò)技術(shù)的發(fā)展，手機(jī)病毒可能出現(xiàn)新情況，下一步我們將繼續(xù)關(guān)注和研究新的網(wǎng)絡(luò)環(huán)境和手機(jī)操作系統(tǒng)下可能面臨的病毒攻擊與監(jiān)測。

[1] 吳俊軍, 方明偉, 張新訪. 基于啟發(fā)式行為監(jiān)測的手機(jī)病毒防治研究[J]. 計(jì)算機(jī)工程與科學(xué), 2010,32(1):35-38.

[2] 曹利敏, 周雪松, 李斌. 基于Gb口數(shù)據(jù)的手機(jī)病毒監(jiān)測新方法[J]. 電信快報(bào),2010,(12):23-26.

[3] 唐杰, 逯全芳, 文紅. 基于圖的移動(dòng)終端系統(tǒng)安全評估[J]. 信息安全與通信保密, 2013,(5):72-75.

[4] 顧亦然, 李緒強(qiáng). 基于藍(lán)牙的手機(jī)病毒傳播模型的研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2012,(4):246-249.

[5] 常玲, 吳興耀, 杜雪濤. 手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果驗(yàn)證方法研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化, 2013,(4):62-64.

[6] 王菲飛. 淺析智能手機(jī)惡意代碼的檢測與防護(hù)技術(shù)[J]. 保密科學(xué)技術(shù), 2012,(4):57-61.

[7] Zhou Yajin, Jiang Xuxian. Dissecting Android Malware: Characterization and Evolution[C]//Proceedings of the 2012 IEEE Security and Privacy(SP). San Francisco: IEEE Press, 2012:20-23.

[8] Zhang Lei, Zhu Junmao, Tian Zhongguang, et al. Design of Mobile Phone Security System Based on Detection of Abnormal Behavior.[C]//Proceedings of the 2011 International Conference on Instrumentation,Measurement, Computer, Communication and Control. Beijing: IEEE Press, 2011: 479-482.

[9] Zhang Wenjuan, Li Zhaohui, Hu Yonghui, et al. Cluster Features of Bluetooth Mobile Phone Virus and Research on Strategies of Control &Prevention[C]//Proceedings of the 2010 International Conference on Computational Intelligence and Security (CIS). Nanning: IEEE Press,2010:474－477.