王東升 裴 培 張 第 趙 鍇 潘思宇

中國聯(lián)通研究院 北京 100048

引言

5G技術(shù)的商用和移動網(wǎng)絡(luò)應(yīng)用的普及，特別是新冠疫情于2020年初暴發(fā)以來，我國移動互聯(lián)網(wǎng)用戶及手機線上業(yè)務(wù)獲得長足發(fā)展。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)統(tǒng)計[1]，截至2021年6月，我國手機網(wǎng)民規(guī)模達(dá)10.07億，較2020年12月增加2092萬。網(wǎng)民使用手機上網(wǎng)比例達(dá)99.6%。我國十億網(wǎng)民已占全球五分之一，構(gòu)成了名符其實的全球最大數(shù)字社會。

伴隨移動互聯(lián)網(wǎng)的發(fā)展，移動互聯(lián)網(wǎng)惡意程序(也稱“手機病毒”)帶來的潛在風(fēng)險和危害也隨之增加。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計[2]，2021年上半年發(fā)現(xiàn)新增移動互聯(lián)網(wǎng)惡意程序86.6萬余個。這些手機病毒會劫持用戶手機終端導(dǎo)致個人敏感信息泄漏，會利用手機平臺漏洞導(dǎo)致手機無法正常使用，會控制手機不斷向通訊網(wǎng)絡(luò)發(fā)送垃圾信息造成網(wǎng)絡(luò)癱瘓，還會通過漏洞后門亂扣費甚至造成國家機密信息泄漏等。

作為基礎(chǔ)電信運營商，針對移動互聯(lián)網(wǎng)惡意程序的安全攻擊，可以采取以下主動安全防護(hù)措施，最大限度減輕網(wǎng)絡(luò)和移動終端遭受的損失：針對移動互聯(lián)網(wǎng)網(wǎng)絡(luò)流量和網(wǎng)內(nèi)移動用戶終端在線持續(xù)監(jiān)測處置的主動安全防護(hù)技術(shù)措施，針對移動應(yīng)用提供者的主動安全監(jiān)管措施，以及針對移動用戶終端的主動安全引導(dǎo)和支持措施等。

1 針對網(wǎng)絡(luò)流量和移動終端的主動安全防護(hù)技術(shù)措施

移動互聯(lián)網(wǎng)惡意程序可以分為八種類型：惡意扣費、信息竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為(駐留并影響用戶終端正常使用)[3]，但是從傳播特性看，移動互聯(lián)網(wǎng)惡意程序大體分為兩類：

1)從手機端與病毒服務(wù)器端通信，控制用戶手機終端，獲取不當(dāng)利益，大部分惡意程序均屬于這一類型；

2)長期駐留在用戶移動終端上，消耗手機資源，影響用戶正常使用，例如流氓行為類。

從2021年上半年統(tǒng)計結(jié)果[2]看，屬于第二類的以駐留為特征的流氓行為類惡意程序占比47.9%，持續(xù)排名第一；屬于第一類的資費消耗類、信息竊取類惡意程序占比分別為20.0%、19.2%，排名第二、第三。

針對上述惡意程序的特征，基礎(chǔ)電信運營商可以通過對企業(yè)移動互聯(lián)網(wǎng)流量和網(wǎng)內(nèi)移動用戶終端進(jìn)行持續(xù)的在線監(jiān)測、分析和處置提供主動安全防護(hù)。這兩種措施不僅可以在線監(jiān)測惡意程序并進(jìn)行在線封堵，還可以捕獲疑似惡意程序樣本進(jìn)行研判，作為升級惡意程序特征庫的依據(jù)。通過這些技術(shù)措施，絕大部分移動互聯(lián)網(wǎng)惡意程序?qū)⒌玫接行Х乐巍?/p>

1.1 針對移動互聯(lián)網(wǎng)流量的在線采集、監(jiān)測分析和處置

實現(xiàn)對移動互聯(lián)網(wǎng)流量的在線采集、監(jiān)測分析和在線處置，運營商需要建設(shè)專門的移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置系統(tǒng)，包含流量在線采集、監(jiān)測、分析、處置和管理等能力。流量在線采集、監(jiān)測、處置和管理體系如圖1所示。

圖1 流量在線采集、監(jiān)測、處置和管理體系示意圖

1.1.1 流量在線采集

在運營商3G/4G/5G以及未來移動通信網(wǎng)中，在省級移動互聯(lián)網(wǎng)的流量通道匯聚點，例如Gn、PI、S11、S1-U等接口位置，在線采集移動互聯(lián)網(wǎng)原始流量，通過深度DPI技術(shù)進(jìn)行協(xié)議解析、數(shù)據(jù)包重組和文件還原。其中5G網(wǎng)絡(luò)也會在跨省業(yè)務(wù)大區(qū)的云機房，采集匯聚分流設(shè)備上的數(shù)據(jù)[4]。

1.1.2 流量監(jiān)測

流量監(jiān)測包括對惡意程序和惡意事件的監(jiān)測分析能力。

1)惡意程序監(jiān)測分析：根據(jù)惡意程序樣本MD5特征庫、惡意程序行為特征庫、疑似惡意程序行為特征庫等，識別其中的惡意程序和疑似惡意程序，對疑似惡意程序樣本進(jìn)行捕獲并提交至安全管理平臺。惡意程序樣本應(yīng)包括原始文件名、MD5值、文件大小、程序?qū)傩苑诸惖然拘畔?nèi)容。

2)惡意事件監(jiān)測分析：依據(jù)惡意程序特征庫內(nèi)的惡意程序下載URL、惡意程序主控URL、疑似惡意程序行為篩選規(guī)則等信息內(nèi)容，對用戶訪問記錄進(jìn)行檢測和分析，識別惡意傳播和受控事件，捕獲疑似惡意程序文件并提交管理平臺進(jìn)行研判。

惡意程序及疑似惡意程序特征庫由企業(yè)自建，由安全管理平臺向各監(jiān)測處置單元下發(fā)。信息來源有CNCERT、行業(yè)或相關(guān)組織、企業(yè)內(nèi)部記錄分析提出等。

1.1.3 流量處置

流量處置是依據(jù)處置規(guī)則對流量監(jiān)測分析發(fā)現(xiàn)的網(wǎng)內(nèi)惡意程序和惡意事件進(jìn)行阻斷或重定向的能力。其技術(shù)原理是采用TCP連接和錯誤代碼實時阻斷技術(shù)，具體包括ACL包過濾、流量TCP Reset、在線攔截惡意程序域名、IP地址或URL等技術(shù)，根據(jù)手機號碼、用戶標(biāo)識(IMSI)、硬件標(biāo)識(IMEI)等信息，阻斷惡意程序傳播鏈，全面控制移動惡意程序的傳播和下載。其中流量阻斷生效后，惡意程序的控制端和下載端將無法相互訪問；流量重定向生效后，訪問惡意程序的請求將被跳轉(zhuǎn)到指定網(wǎng)頁。

流量處置規(guī)則由企業(yè)自建，由安全管理平臺向各監(jiān)測處置單元下發(fā)。信息來源包括CNCERT、行業(yè)或相關(guān)組織、企業(yè)內(nèi)部記錄分析提出等。

1.1.4 安全管理平臺

企業(yè)應(yīng)建立安全管理平臺對網(wǎng)內(nèi)移動互聯(lián)網(wǎng)惡意程序和惡意事件的監(jiān)測及處置進(jìn)行集中管理，包括以下能力。

1)接收數(shù)據(jù)：接收CNCERT下發(fā)的監(jiān)測特征庫信息和處置規(guī)則要求；企業(yè)各監(jiān)測處置節(jié)點上報的惡意程序樣本和事件數(shù)據(jù)。

2)發(fā)送數(shù)據(jù)：向CNCERT報送所監(jiān)測到的惡意程序樣本及惡意事件數(shù)據(jù)；向企業(yè)各監(jiān)測處置節(jié)點下發(fā)特征庫及處置規(guī)則更新信息。

3)展示分析：對惡意程序樣本和惡意事件信息的統(tǒng)一展現(xiàn)、告警下發(fā)、本地存儲等，對危害類型、區(qū)域分布、捕獲量、上報數(shù)量、預(yù)警等進(jìn)行分析。

1.2 針對網(wǎng)內(nèi)移動終端的在線監(jiān)測和處置

實現(xiàn)對網(wǎng)內(nèi)移動用戶終端上惡意程序的在線監(jiān)測和處置，運營商需要建設(shè)專門的面向用戶手機終端的移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置系統(tǒng)，包含用戶手機終端監(jiān)測處置模塊和運營商安全管理平臺。面向用戶手機終端的監(jiān)測處置和安全管理體系如圖2所示。

圖2 面向用戶手機終端的監(jiān)測處置和安全管理體系示意圖

1.2.1 網(wǎng)內(nèi)移動用戶終端監(jiān)測處置

運營商應(yīng)引導(dǎo)網(wǎng)內(nèi)移動用戶在移動終端上安裝由運營商提供的監(jiān)測處置模塊，獲取捕獲惡意程序和疑似惡意程序樣本、與管理平臺共享數(shù)據(jù)、手機殺毒、安全提醒等服務(wù)。

1)接收數(shù)據(jù)：接收由平臺側(cè)下發(fā)的惡意程序監(jiān)測特征庫信息，作為查殺惡意程序和捕獲疑似惡意程序樣本的依據(jù)。特征庫信息包括惡意程序樣本、惡意行為特征、疑似惡意程序行為特征等。

2)發(fā)送數(shù)據(jù)：按照特征庫規(guī)則捕獲的疑似惡意程序樣本，記錄的惡意事件信息，均需要上報給管理平臺進(jìn)行研判，作為特征庫升級的依據(jù)。

3)防護(hù)查殺：根據(jù)監(jiān)測到惡意程序，在移動終端上進(jìn)行查殺和清除，并形成查殺日志。

4)安全提醒：獲取安全管理平臺下發(fā)的惡意程序信息，提醒用戶及時進(jìn)行安全查殺。

1.2.2 安全管理平臺

運營商應(yīng)建設(shè)專門針對移動終端監(jiān)測處置的安全管理平臺，進(jìn)行集中分析和管理。

1)接收數(shù)據(jù)：接收網(wǎng)內(nèi)用戶移動終端上報的惡意程序樣本及惡意事件信息，作為進(jìn)一步研判和升級特征庫的依據(jù)；接收網(wǎng)絡(luò)側(cè)流量監(jiān)測處置管理平臺發(fā)送的特征庫信息。

2)發(fā)送數(shù)據(jù)：向網(wǎng)絡(luò)側(cè)流量監(jiān)測處置管理平臺共享所收集的惡意程序樣本和惡意事件信息，作為升級網(wǎng)絡(luò)側(cè)特征庫的信息來源；向終端監(jiān)測處置模塊下發(fā)特征庫更新信息。

3)封堵處置：通過流量側(cè)監(jiān)測處置系統(tǒng)，對終端側(cè)發(fā)現(xiàn)的惡意程序進(jìn)行全網(wǎng)封堵。

4)安全提醒：將最新的惡意程序信息，同步至終端監(jiān)測處置模塊，提醒用戶及時進(jìn)行安全查殺，實現(xiàn)網(wǎng)絡(luò)側(cè)和終端側(cè)聯(lián)動，為用戶進(jìn)行全面防護(hù)。

由于面向移動用戶終端的監(jiān)測處置安全管理平臺，需要與用戶模塊進(jìn)行網(wǎng)絡(luò)聯(lián)動，實踐中建議該平臺要單獨建設(shè)，而不能與涉及運營商核心網(wǎng)的流量側(cè)監(jiān)測處置安全管理平臺合建，而且要采取可靠的安全隔離措施，確保不影響網(wǎng)絡(luò)側(cè)平臺安全運行。

2 針對移動互聯(lián)網(wǎng)應(yīng)用的安全監(jiān)管措施

移動互聯(lián)網(wǎng)應(yīng)用開發(fā)質(zhì)量良莠不齊，用戶在移動終端使用過程中又會不斷更新版本或下載新的應(yīng)用，因此移動終端安全隱患可能在移動應(yīng)用下載的源頭就已埋下[5]。僅2021年1月，CNCERT已經(jīng)向應(yīng)用商店、個人網(wǎng)站、廣告平臺、云平臺等傳播渠道通報下架移動互聯(lián)網(wǎng)惡意程序496個[6]。

為了充分保護(hù)移動用戶不受移動惡意應(yīng)用的侵害，基礎(chǔ)電信運營商可以利用在產(chǎn)業(yè)鏈中應(yīng)用推廣和業(yè)務(wù)監(jiān)管方面的條件，以及惡意程序監(jiān)測處置的技術(shù)能力條件，配合監(jiān)管部門對移動互聯(lián)網(wǎng)應(yīng)用進(jìn)行主動的安全審計和監(jiān)管。

1)移動惡意程序傳播的源頭主要是移動應(yīng)用商店等渠道，運營商可以對新上線的移動應(yīng)用主動進(jìn)行代碼審計和漏洞掃描、引導(dǎo)開發(fā)者使用安全的開發(fā)環(huán)境、明確開發(fā)者及應(yīng)用商店的責(zé)任、對移動應(yīng)用從開發(fā)到下線的全生命周期進(jìn)行監(jiān)管。

2)配合政府監(jiān)管部門，加強通信、互聯(lián)網(wǎng)、設(shè)備提供商等領(lǐng)域的聯(lián)動和信息共享，主動提供惡意程序相關(guān)線索、證據(jù)，提升對惡意移動應(yīng)用的監(jiān)測能力和處置效率。

3)發(fā)揮企業(yè)社會責(zé)任，為舉報提供接口和獎勵，對利用惡意程序損害用戶權(quán)益的惡意程序開發(fā)商、經(jīng)銷商、提供商則提請相關(guān)部門依法進(jìn)行處理。

4)從技術(shù)、監(jiān)管等角度主動為立法機關(guān)和執(zhí)法機關(guān)修補相關(guān)法律漏洞，最大限度地壓縮惡意程序存在的空間提供全面支持。

3 針對移動終端用戶的安全引導(dǎo)和支持措施

除了移動數(shù)據(jù)網(wǎng)絡(luò)，移動用戶還會通過Wi-Fi、藍(lán)牙等方式登錄互聯(lián)網(wǎng)，因此僅靠運營商在網(wǎng)絡(luò)側(cè)采取技術(shù)手段還不能完全保障用戶手機終端安全。移動用戶自身還應(yīng)提高安全防護(hù)意識，養(yǎng)成正確的手機使用習(xí)慣，確保移動終端的使用安全[7]。

為了協(xié)助移動用戶正確使用移動終端，遠(yuǎn)離惡意程序帶來的風(fēng)險和危害，基礎(chǔ)電信運營商可以利用運營企業(yè)在通信服務(wù)中的有利條件，主動提供安全引導(dǎo)和支持服務(wù)。

1)配合政府監(jiān)管部門做好宣傳工作，發(fā)揮企業(yè)社會責(zé)任，引導(dǎo)用戶對重要信息加密、遠(yuǎn)離網(wǎng)上支付陷阱、防范病毒操控和財產(chǎn)損失等。

2)引導(dǎo)用戶養(yǎng)成正確的移動終端和移動應(yīng)用的使用習(xí)慣。

①在官方應(yīng)用商店下載和更新應(yīng)用軟件：使用經(jīng)過電子認(rèn)證服務(wù)機構(gòu)認(rèn)證簽名的應(yīng)用軟件，避免安裝未知來源，散布在論壇、非安全渠道中可能已經(jīng)被病毒二次打包后的應(yīng)用。

②慎重從第三方網(wǎng)站下載軟件：要詳細(xì)閱讀應(yīng)用軟件各項要求，分析軟件功能，確保不會對個人利益產(chǎn)生影響。

③關(guān)注應(yīng)用軟件行為：在安裝、啟動、功能調(diào)用時是否保障用戶的知情權(quán)和對信息的控制權(quán)，關(guān)注應(yīng)用軟件是否有異常行為，保留實現(xiàn)用戶需求的最小權(quán)限。

④使用安全防護(hù)軟件：對應(yīng)用進(jìn)行監(jiān)控和管理，對惡意程序權(quán)限調(diào)用預(yù)警，進(jìn)行流量監(jiān)控，對流氓軟件徹底卸載等；及時更新應(yīng)用并修復(fù)漏洞，避免被攻擊者趁虛而入。

⑤網(wǎng)上瀏覽：不要選擇記住我的用戶名和密碼，確認(rèn)在退出時清空歷史記錄和緩存內(nèi)容，啟動用戶認(rèn)證等。

3)引導(dǎo)用戶安裝專業(yè)的安全防護(hù)軟件：引導(dǎo)用戶安裝運營商提供的安全監(jiān)測處置客戶端，實現(xiàn)網(wǎng)絡(luò)側(cè)和終端側(cè)安全聯(lián)動；引導(dǎo)用戶安裝專業(yè)安全客戶端并及時進(jìn)行病毒查殺。

4)引導(dǎo)用戶不要盲目使用免費Wi-Fi：及時關(guān)閉藍(lán)牙、Wi-Fi等功能，避免掉進(jìn)攻擊者仿冒的Wi-Fi“黑網(wǎng)”陷阱，造成上網(wǎng)流量被截獲；連接公共Wi-Fi時，盡量避免支付和登錄操作，避免登錄密碼、支付密碼等敏感信息被非法竊取。

5)引導(dǎo)用戶不要隨便掃描二維碼：有些二維碼隱藏著惡意代碼，潛伏著對隱私權(quán)限訪問的請求，因此在進(jìn)行掃描之前一定要進(jìn)行安全確認(rèn)。

6)引導(dǎo)用戶不要隨意打開短信、彩信鏈接：許多手機病毒通過短信(彩信)鏈接傳播，通過點擊鏈接來誘導(dǎo)用戶點擊、安裝、運行，然后竊取用戶信息發(fā)送到指定郵箱，并接受遠(yuǎn)程控制執(zhí)行相關(guān)惡意操作。

7)引導(dǎo)用戶盡量不使用公共場合和陌生人提供的充電寶：避免由于充電寶內(nèi)被植入惡意程序而帶來的用戶存儲信息被竊取。

4 安全防護(hù)措施成效

中國聯(lián)通多年來主動采取各種移動互聯(lián)網(wǎng)惡意程序的安全防護(hù)措施，高質(zhì)量完成工信部對基礎(chǔ)電信運營商針對移動互聯(lián)網(wǎng)惡意程序安全防護(hù)的建設(shè)要求，有效提高全網(wǎng)安全防護(hù)水平，保障網(wǎng)絡(luò)和用戶終端安全運行，已經(jīng)取得良好的經(jīng)濟效益和社會效益。

1)網(wǎng)內(nèi)移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置系統(tǒng)隨4G/5G擴容，覆蓋全網(wǎng)流量，其中：監(jiān)測能力包括包檢測、流檢測、文件檢測；對異常流量實時檢測，在線抓取疑似樣本信息、支持白名單過濾、支持從郵件內(nèi)容中檢測URL地址、支持IPV6等等。處置能力包括對惡意程序傳播阻斷和重定向、受害終端異常流量阻斷；基于源IP地址、目的IP地址、源端口、目的端口、協(xié)議及其組合對流量進(jìn)行識別；黑名單功能；人工配置封堵/解封黑名單；阻斷不告警、阻斷告警等等實現(xiàn)對已知移動互聯(lián)網(wǎng)惡意程序檢測命中率99%以上。

2)為用戶提供手機安全客戶端服務(wù)，實現(xiàn)手機體檢、手機清理、手機殺毒、騷擾攔截、流量監(jiān)控、廣告攔截、信息備份、行為監(jiān)控等安全防護(hù)功能。

3)配合CNCERT安全監(jiān)管，主動報送監(jiān)測到的惡意事件和惡意樣本。

4)積極向廣大手機用戶宣傳安全防護(hù)常識，提醒在正規(guī)渠道下載手機APP、謹(jǐn)慎開啟APP權(quán)限、謹(jǐn)慎鏈接公共Wi-Fi、謹(jǐn)防釣魚網(wǎng)站、不輕易點擊陌生鏈接等等。

5 結(jié)語

基礎(chǔ)電信運營商具備基礎(chǔ)網(wǎng)絡(luò)方面的技術(shù)條件和在產(chǎn)業(yè)鏈中的業(yè)務(wù)監(jiān)管及業(yè)務(wù)運營優(yōu)勢，面向移動互聯(lián)網(wǎng)惡意程序，有能力提供基于持續(xù)在線監(jiān)測和處置的主動安全防護(hù)技術(shù)措施和監(jiān)管措施。

本文從基礎(chǔ)電信運營商的角度，全面研究分析了運營商面向移動互聯(lián)網(wǎng)惡意程序可以采用的針對移動互聯(lián)網(wǎng)網(wǎng)絡(luò)流量和網(wǎng)內(nèi)移動用戶終端的在線監(jiān)測處置技術(shù)措施、針對移動應(yīng)用提供者的安全監(jiān)管措施、針對移動用戶終端的安全引導(dǎo)和支持措施，為基礎(chǔ)電信運營商在移動互聯(lián)網(wǎng)建設(shè)、運行和服務(wù)中的安全防護(hù)措施建設(shè)提供參考思路和建議。

實現(xiàn)移動互聯(lián)網(wǎng)惡意程序安全防護(hù)，有助于保障移動互聯(lián)網(wǎng)健康、快速發(fā)展。本文分析總結(jié)的安全防護(hù)措施并不是要替代主機防護(hù)、終端防護(hù)、漏洞掃描等措施，而是可以與其相互補充，更好地保障移動互聯(lián)網(wǎng)安全建設(shè)和運行。