移動互聯(lián)網(wǎng)惡意程序監(jiān)測與分析

移動互聯(lián)網(wǎng)惡意程序監(jiān)測與分析

1建立移動互聯(lián)網(wǎng)信息安全管理手段天津通信移動互聯(lián)網(wǎng)惡意軟件監(jiān)控系統(tǒng)通過對主移動網(wǎng)絡(luò)中的gn口業(yè)務(wù)的實時采集，在流量特征和關(guān)鍵崗位監(jiān)控等重要因素上進行創(chuàng)新和應(yīng)用，對移動互聯(lián)網(wǎng)上的惡意信息進行監(jiān)測、分析和處理。它可以應(yīng)用于工業(yè)和信息化部發(fā)布移動互聯(lián)網(wǎng)惡意軟件的模型，并應(yīng)用于國家移動互聯(lián)網(wǎng)信息安全管理體系的建立。公司可以有效解決相關(guān)服務(wù)投訴，提高整體服務(wù)質(zhì)量意識，積極推動移動互聯(lián)網(wǎng)健康有序發(fā)展。2研究背景2.1天津聯(lián)通:為移動互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展保駕護航隨著移動互聯(lián)網(wǎng)應(yīng)用的日益豐富和3G、Wi-Fi網(wǎng)絡(luò)的快速發(fā)展,智能手機數(shù)量迅速增加,手機安全問題日益凸顯,已成為手機用戶關(guān)注重點。近年來,手機惡意程序數(shù)量與種類呈迅猛增長。為此,工業(yè)和信息化部于2011年發(fā)布了《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》,作為天津地區(qū)最大的全業(yè)務(wù)運營商,天津聯(lián)通認(rèn)為有責(zé)任為新機制保駕護航。3G時代是數(shù)據(jù)業(yè)務(wù)發(fā)展的時代,中國聯(lián)通要在3G時代大有作為,必須不斷優(yōu)化數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò),通過不斷提升用戶感知吸引更多的客戶。由于數(shù)據(jù)業(yè)務(wù)費用高、種類多、新業(yè)務(wù)衍生快、業(yè)務(wù)復(fù)雜等特點,導(dǎo)致用戶投訴呈上升趨勢,3G客戶數(shù)據(jù)流量問題爭議占3G業(yè)務(wù)投訴的比例達7%~10%。2.2治理用戶投訴,促進用戶體驗由于在移動互聯(lián)網(wǎng)運營中缺乏基于網(wǎng)絡(luò)側(cè)流量的惡意程序監(jiān)測手段,所以無法做到有效的科學(xué)定位與主動防控,使得天津聯(lián)通客服部門、網(wǎng)絡(luò)部門處理移動互聯(lián)網(wǎng)投訴問題的數(shù)量及復(fù)雜程度日益增加?？蛻粲龅骄W(wǎng)絡(luò)流量異常問題并向客服投訴時希望得到及時準(zhǔn)確回復(fù),使問題快速解決。滿足客戶要求對改善企業(yè)形象,樹立中國聯(lián)通品牌,切實提升客戶服務(wù)滿意度意義重大。為此迫切需要在網(wǎng)絡(luò)側(cè)實現(xiàn)基于流量的惡意程序監(jiān)測,并在公司服務(wù)前端和網(wǎng)絡(luò)后端建立信息共享機制,消除信息孤島,前后臺部門之間通過建立協(xié)作和評價機制,確保用戶投訴問題得到準(zhǔn)確回復(fù)并有效解決。惡意程序在中國聯(lián)通手機用戶上使用移動互聯(lián)網(wǎng)的示意如圖1所示。迫切需要對移動互聯(lián)網(wǎng)惡意程序進行網(wǎng)絡(luò)側(cè)實時監(jiān)測,將相關(guān)數(shù)據(jù)推送至客服前端,通過“地理化、標(biāo)準(zhǔn)化、流程可視化”的信息化系統(tǒng)支撐,提高客服前端和網(wǎng)絡(luò)后端處理客戶投訴的效率,實現(xiàn)移動網(wǎng)客戶服務(wù)對內(nèi)承諾的落地,有效地提升客戶滿意度和增強了公司資源的高效運營能力,為打造公司的管理競爭力,促進公司的可持續(xù)發(fā)展發(fā)揮重要作用。3天津移動互聯(lián)網(wǎng)惡意軟件監(jiān)控系統(tǒng)的研究和應(yīng)用3.1系統(tǒng)調(diào)度監(jiān)測系統(tǒng)在對系統(tǒng)的需求分析進行充分研究的基礎(chǔ)上,本著節(jié)約投資,充分利用現(xiàn)網(wǎng)資源,提高移動互聯(lián)網(wǎng)惡意程序監(jiān)測精度、優(yōu)化效率、安全可靠的目的,并遵循軟件工程的技術(shù)規(guī)范,系統(tǒng)的體系結(jié)構(gòu)采用了集中式的處理方式。在衛(wèi)津南路局、長途局、芥園道局、華龍道4個采集點部署Gn流量的分光、匯聚分流設(shè)備,通過光纖直驅(qū),將流量集中傳送給梅江中心站,實現(xiàn)移動PS域Gn數(shù)據(jù)接口的“一次部署、集中采集、統(tǒng)一分發(fā)”,如圖2所示。系統(tǒng)的全部設(shè)備實現(xiàn)基于現(xiàn)網(wǎng)時間服務(wù)器的NTP的統(tǒng)一網(wǎng)絡(luò)授時,保證監(jiān)測系統(tǒng)與現(xiàn)網(wǎng)運行設(shè)備時間同步。通過中心站的10GE分流匯聚設(shè)備進行Gn流量的統(tǒng)一復(fù)制與分發(fā),其中Gn流量通過一條10GE光纖接入移動互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)的智能DPI分析設(shè)備,實現(xiàn)基于應(yīng)用層DPI技術(shù)的GTP惡意流量特征檢測。通過利舊網(wǎng)絡(luò)管理中心現(xiàn)有IT設(shè)備,部署Linux平臺和MySQL數(shù)據(jù)庫,采用C++編程語言,自主開發(fā)了移動互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)軟件,確保系統(tǒng)的整體運行穩(wěn)定性和安全性,如圖3所示。3.2動態(tài)行為分析針對不同惡意軟件類型,支持對sis、sisx、jar、apk、cab、exe、ipa、cod、alx、prc、zip、rar、elf的文件格式進行病毒查殺,同時支持樣本的混淆和畸形處理,惡意程序智能引擎結(jié)構(gòu)如圖4所示。(1)靜態(tài)行為分析對導(dǎo)入的疑似樣本進行反編譯處理(針對Android、J2ME終端系統(tǒng)),根據(jù)敏感API和敏感字符串,采用代碼審計機制,輸出惡意行為點。對導(dǎo)入的疑似樣本進行反匯編處理(針對Symbian、WindowsMobile),根據(jù)敏感API和敏感字符串,輸出惡意行為點。提供圖形化的操作界面,方便分析員操作和分析。(2)動態(tài)行為分析根據(jù)疑似樣本支持的終端系統(tǒng)平臺,在對應(yīng)的沙箱(Android、J2ME)中自動安裝疑似樣本軟件,可自動在對應(yīng)的沙箱中加載運行疑似樣本軟件,并監(jiān)控其運行情況,重點監(jiān)控其網(wǎng)絡(luò)行為、短彩信行為和本地行為,以及各行為對應(yīng)的時間頻率?；谛袨槟Ｊ阶詫W(xué)習(xí)的異常檢測與防護模型如圖5所示。3.3前評估系統(tǒng)的應(yīng)用惡意程序研判模型設(shè)計主要是對預(yù)處理篩選后的疑似樣本,采用相關(guān)技術(shù)手段(如反編譯、反匯編等靜態(tài)分析技術(shù),網(wǎng)絡(luò)行為分析、短信行為分析、本地行為分析等動態(tài)分析技術(shù)),匯總前端上報的疑似樣本并去重,完成疑似樣本的入庫工作;同時根據(jù)統(tǒng)計疑似樣本的傳播頻率、傳播范圍、來源分布等信息,計算出高增長趨勢的疑似樣本列表,并跟蹤新發(fā)現(xiàn)惡意程序的增長趨勢,輸出可能的惡意行為點,并根據(jù)研判標(biāo)準(zhǔn)進行惡意軟件判定,提取特征,輸出研判報告上報通信管理局,如圖6所示。3.4系統(tǒng)的功能模塊該系統(tǒng)實現(xiàn)了對移動互聯(lián)網(wǎng)惡意程序事件的查詢、統(tǒng)計和分析,總體分為6大模塊:監(jiān)測系統(tǒng)總攬、惡意程序監(jiān)控、惡意程序統(tǒng)計查詢、報表查詢統(tǒng)計、特定對象用戶管理、系統(tǒng)管理,每個功能又分為若干子功能,如圖7所示。3.5分析模塊設(shè)計惡意程序監(jiān)測處理流程設(shè)計如圖8所示,在Gn口對分光鏈路進行流量匯集,分流至惡意軟件碼流分析模塊,碼流分析模塊對Gn口數(shù)據(jù)進行實時采集、監(jiān)測及分析,監(jiān)測結(jié)果傳輸至防護服務(wù)器進行結(jié)果統(tǒng)計、呈現(xiàn)及輸出。3.6天津移動互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)該系統(tǒng)全面監(jiān)測天津聯(lián)通移動互聯(lián)網(wǎng)終端惡意程序的行為事件發(fā)生現(xiàn)狀,并將產(chǎn)生的重大事件及時上報通信管理局;實時捕捉惡意程序行為事件,并定位存在惡意程序終端的手機號碼、惡意軟件種類;支撐一定范圍的手機終端垃圾短信投訴、屏蔽10010事件、惡意扣費和異常流量投訴;通過基于惡意程序類型和危險等級及使用操作系統(tǒng)等多維度的統(tǒng)計分析,支持對特定對象的實時監(jiān)測和預(yù)警,并提供惡意程序相關(guān)知識和處置建議等信息。2014年2月8日,“新浪天津”以《天津聯(lián)通移動互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)全國推廣》為題,刊載天津的經(jīng)驗。同時被北方網(wǎng)等多家媒體轉(zhuǎn)載。4提升經(jīng)營管理效率移動互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)是天津聯(lián)通的重點技術(shù)攻關(guān)項目,它采用多種先進的技術(shù),并充分考慮系統(tǒng)的安全性和可靠性的要求,系統(tǒng)的技術(shù)指標(biāo)達到了預(yù)期的要求,系統(tǒng)的研制成功和穩(wěn)定運行,有利地配合了工業(yè)和信息化部及中國聯(lián)通集團公司相關(guān)政策的推廣工作,成為公司內(nèi)部完善維護手段,提高前臺支撐響應(yīng)效率,對外提供優(yōu)質(zhì)服務(wù)的重要保障,極大地提升了用戶的滿意度,提高公司整體的核心競爭力,樹立天津聯(lián)通高品質(zhì)的企業(yè)形象,獲得良好的社會效益和經(jīng)濟效益。2013年3月,該系統(tǒng)正式上線,運行情況穩(wěn)定,累計監(jiān)測移動互聯(lián)網(wǎng)惡意程序事件18914429起,發(fā)現(xiàn)287種惡意程序(涵蓋隱私竊取、惡意扣費等8個類別),感染用戶226489個。有效解決移動互聯(lián)網(wǎng)流量爭議352件,縮短流量投訴平均處理時長。2013年6月,天津市通信管理局下發(fā)《關(guān)于進一步明確木馬、僵尸網(wǎng)絡(luò)及移動互聯(lián)網(wǎng)惡意程序監(jiān)測、處置機制的通知》(通信管發(fā)(2013)70號),累計上報通信管理局移動互聯(lián)網(wǎng)惡意程序病毒樣本23個。對加強移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置工作、維護用戶合法權(quán)益起到了很好的推動作用。該系統(tǒng)填補了天津聯(lián)通移動互聯(lián)網(wǎng)惡意程序監(jiān)測能力的缺失。2013年9月,天津聯(lián)通正式發(fā)布《天津聯(lián)通移動