來曉陽，洪晶，杭躍斌

（1 中國移動(dòng)通信集團(tuán)江蘇有限公司，南京 210029；2 中國移動(dòng)通信集團(tuán)公司，北京 100032）

1 手機(jī)病毒傳播及工作流程

1.1 發(fā)布傳播

由于移動(dòng)互聯(lián)網(wǎng)自身特點(diǎn)，因此手機(jī)病毒的發(fā)布傳播方式與傳統(tǒng)病差異很大，包括短信傳播、彩信傳播、偽造WAP PUSH傳播、軟件捆綁、人工安裝、ROM置入、藍(lán)牙傳播、遠(yuǎn)程溢出、弱口令利用。

1.2 客戶端感染

病毒被安裝到手機(jī)上之后，首先需獲取系統(tǒng)控制權(quán)，達(dá)到控制手機(jī)、隱藏自身存在、對(duì)抗查殺措施等目的。主要包括以下4個(gè)主要功能：關(guān)閉殺毒軟件、多進(jìn)程保護(hù)、關(guān)閉系統(tǒng)卸載功能、攔截特定代碼短信。

1.3 控制升級(jí)

大部分手機(jī)病毒會(huì)與病毒控制服務(wù)器進(jìn)行通信以便接受指令執(zhí)行后續(xù)操作。該環(huán)節(jié)主要由以下幾個(gè)功能組成：上報(bào)客戶身份信息、接受控制指令、實(shí)施病毒升級(jí)。

1.4 隱私竊取和牟利

目前編寫傳播手機(jī)病毒目的主要是為了竊取隱私和牟利。手機(jī)病毒此類功能包括： 竊取身份、竊取通信記錄、竊取短彩信內(nèi)容、竊取用戶位置信息、通話竊聽、訂購數(shù)據(jù)業(yè)務(wù)、撥打IVR電話、發(fā)送垃圾短彩信、廣告推送、點(diǎn)擊網(wǎng)站鏈接。

2 手機(jī)病毒監(jiān)測技術(shù)的實(shí)現(xiàn)

根據(jù)手機(jī)病毒傳播規(guī)律，基于中國移動(dòng)網(wǎng)絡(luò)整體架構(gòu)，建立一套完整的手機(jī)病毒監(jiān)測工作需覆蓋移動(dòng)網(wǎng)絡(luò)、軟件市場、智能終端3個(gè)關(guān)鍵環(huán)節(jié)，實(shí)現(xiàn)對(duì)于手機(jī)病毒的全程監(jiān)測。

2.1 移動(dòng)網(wǎng)絡(luò)病毒流量監(jiān)測

目前病毒傳播、控制、牟利的主要通道包括CMNET/CMWAP、WLAN、彩信、短信。相應(yīng)的需要對(duì)分組域核心網(wǎng)、WLAN鏈路、點(diǎn)對(duì)點(diǎn)/夢網(wǎng)短信進(jìn)行監(jiān)測。在網(wǎng)絡(luò)側(cè)實(shí)施病毒監(jiān)測，是運(yùn)營商開展病毒防護(hù)工作與傳統(tǒng)病毒防護(hù)工作之間最大的區(qū)別。

2.1.1 分組域核心網(wǎng)Gn鏈路手機(jī)病毒監(jiān)測

目前CMNET/CMWAP APN、彩信的流量均通過分組域核心網(wǎng)，對(duì)其監(jiān)測可同時(shí)實(shí)現(xiàn)CMNET/CMWAP APN以及彩信中手機(jī)病毒的監(jiān)測。

Gn鏈路處于GGSN/SGSN之間，采用GTP協(xié)議封裝，在該鏈路上可以監(jiān)測手機(jī)病毒特征數(shù)據(jù)報(bào)以及用戶IP地址，還能夠在GTP協(xié)議的PDP Request/Response（PDP激活/去激活）信令流程中信令流程中獲取用戶IMEI、IMSI、MSISDN、LAC、CI等一系列信息。因此通過在Gn鏈路進(jìn)行手機(jī)病毒監(jiān)測是目前最為有效的網(wǎng)絡(luò)側(cè)病毒監(jiān)測手段。

為了提高對(duì)未知病毒的發(fā)現(xiàn)能力，該監(jiān)測技術(shù)還需具備未知病毒發(fā)現(xiàn)功能，通過疑似病毒行為，如病毒控制報(bào)文的特殊協(xié)議結(jié)構(gòu)、高頻次異常網(wǎng)站訪問和文件下載等病毒行為等進(jìn)行監(jiān)測以發(fā)現(xiàn)未知病毒行為。

目前實(shí)用化的監(jiān)測設(shè)備已實(shí)現(xiàn)單鏈路3Gbit/s的監(jiān)測能力，能發(fā)現(xiàn)各類手機(jī)病毒、木馬軟件、地下運(yùn)營商、分組域安全攻擊等安全問題400多種，可滿足目前2G/3G網(wǎng)絡(luò)以及未來4G LTE網(wǎng)絡(luò)監(jiān)測的需求。

2.1.2 WLAN上行鏈路監(jiān)測

由于智能終端流量增長迅猛，目前相當(dāng)多的運(yùn)營商采取了將部分業(yè)務(wù)流量疏導(dǎo)WLAN網(wǎng)絡(luò)的做法。因此中國移動(dòng)還需要具備對(duì)WLAN進(jìn)行監(jiān)測的能力。

在WLAN鏈路上在監(jiān)測病毒流量的時(shí)候只能監(jiān)測到IP地址，因此監(jiān)測設(shè)備還需要對(duì)WLAN AC與RADIUS服務(wù)器之間通信內(nèi)容進(jìn)行監(jiān)測已獲取IP地址對(duì)應(yīng)用戶賬號(hào)，實(shí)現(xiàn)將病毒流量直接溯源到用戶的目標(biāo)。

2.1.3 點(diǎn)對(duì)點(diǎn)短信監(jiān)測

目前手機(jī)病毒傳播經(jīng)常使用的一種手段是通過發(fā)送欺騙短信誘使用戶點(diǎn)擊其中的URL方式傳播。因此需過改造現(xiàn)有垃圾短信監(jiān)控系統(tǒng)可對(duì)含有異常URL的點(diǎn)對(duì)點(diǎn)消息進(jìn)行監(jiān)控。

2.1.4 夢網(wǎng)短信監(jiān)測

手機(jī)病毒牟利主要手段之一惡意訂購業(yè)務(wù)，主要通過后臺(tái)發(fā)送訂購業(yè)務(wù)的夢網(wǎng)短信實(shí)現(xiàn)。通過對(duì)夢網(wǎng)短信進(jìn)行監(jiān)測發(fā)現(xiàn)異常短信發(fā)送行為，可認(rèn)為用戶疑似感染手機(jī)病毒。

2.2 手機(jī)病毒分發(fā)監(jiān)測

手機(jī)病毒總是需要通過各種途徑到用戶手機(jī)上，對(duì)這些途徑進(jìn)行監(jiān)測是預(yù)防手機(jī)病毒的重要手段。

2.2.1 中國移動(dòng)應(yīng)用商場（Mobile Market）監(jiān)測

中國移動(dòng)應(yīng)用商場是中國移動(dòng)自有的手機(jī)應(yīng)用商場，需建立面向手機(jī)應(yīng)用全生命周期的、可追溯的手機(jī)病毒監(jiān)測機(jī)制，包括上線前檢查、上線后支撐以及安全問題響應(yīng)3個(gè)部分。

2.2.2 第三方應(yīng)用商店監(jiān)測

用戶還會(huì)從終端廠家/操作系統(tǒng)廠家應(yīng)用商店以及其它第三方應(yīng)用商店下載應(yīng)用。還有很多用戶是使用搜索引擎和導(dǎo)航網(wǎng)站來尋找需要下載的應(yīng)用。對(duì)此類情況，綜合采取網(wǎng)絡(luò)流量中下載行為監(jiān)測、掃描方應(yīng)用商店應(yīng)用下載路徑、網(wǎng)絡(luò)爬蟲技術(shù)主動(dòng)發(fā)現(xiàn)進(jìn)行應(yīng)用下載鏈接3種方式，獲取應(yīng)用下載路徑并對(duì)文件體進(jìn)行病毒監(jiān)測。

2.3 手機(jī)客戶端監(jiān)測

手機(jī)感染病毒后，需手機(jī)客戶端殺毒軟件才能徹底清除。常見的監(jiān)測方式有基于特征碼的監(jiān)測方法和啟發(fā)式掃描的監(jiān)測方法。

（1）基于特征碼的監(jiān)測方法:為目前的主流手機(jī)病毒偵測方式，就是將手機(jī)里的文件通過掃描引擎與病毒庫進(jìn)行特征碼匹配；

（2）啟發(fā)式掃描方法:通過分析文件信息的行為并將其與一個(gè)危險(xiǎn)行為樣式庫進(jìn)行對(duì)照判別。例如某文件試圖格式化內(nèi)存，殺毒軟件就會(huì)警告該用戶，盡管該文件也許是用戶剛剛安裝在系統(tǒng)中的一個(gè)新的格式化程序而不是病毒，接下來由用戶來判斷是否繼續(xù)進(jìn)行該操作。

3 手機(jī)病毒防護(hù)技術(shù)的實(shí)現(xiàn)

3.1 網(wǎng)絡(luò)側(cè)手機(jī)病毒防護(hù)技術(shù)

在前述手機(jī)病毒/惡意軟件監(jiān)測技術(shù)的相關(guān)分析中，我們可以看到手機(jī)病毒/惡意軟件主要通過短彩信、分組域核心網(wǎng)以及WLAN進(jìn)行傳播。因此網(wǎng)絡(luò)側(cè)攔截技術(shù)需要對(duì)病毒在分組域核心網(wǎng)、WLAN以及短信通道上傳播的誘騙、下載、控制信息進(jìn)行攔截。主要包括以下3種技術(shù)。

（1）IP鏈路在線攔截技術(shù)：在Gi鏈路或者更高層鏈路上，在線阻斷對(duì)病毒控制通道的域名、IP地址或者URL進(jìn)行攔截。該技術(shù)在病毒流量通過WLAN通道進(jìn)行傳播時(shí)也同樣有效，是網(wǎng)絡(luò)側(cè)攔截最為主要的技術(shù)手段；

（2）病毒短信攔截技術(shù)：通過提取手機(jī)病毒誘騙短信關(guān)鍵字，將其傳送到垃圾短信攔截系統(tǒng)對(duì)此類含有關(guān)鍵字的短信進(jìn)行攔截，阻斷病毒傳播途徑；

（3）彩信中心殺毒技術(shù)：在彩信中心上加載防病毒模塊，在彩信下發(fā)前掃描彩信消息體，發(fā)現(xiàn)彩信消息體中含有病毒則立刻停止該彩信下發(fā)。

3.2 終端側(cè)手機(jī)病毒防護(hù)技術(shù)

終端感染病毒后，一般需要通過專用手機(jī)殺毒軟件進(jìn)行清除，目前主要可以提供幾種病毒防護(hù)技術(shù)。

（1）病毒清除技術(shù)：借鑒傳統(tǒng)PC病毒查殺經(jīng)驗(yàn)，監(jiān)測到已知病毒后直接對(duì)病毒進(jìn)行查殺；

（2）遠(yuǎn)程刪除技術(shù)：通過控制服務(wù)器遠(yuǎn)程控制終端測殺毒軟件卸載/刪除某些惡意軟件。

3.3 用戶主動(dòng)提醒技術(shù)

對(duì)于未安裝手機(jī)殺毒軟件客戶，需要采取主動(dòng)提醒技術(shù)才能有效清除病毒。主動(dòng)提醒客戶采用電話外呼、短彩信提醒、WAP頁面推送等方式。

綜合網(wǎng)絡(luò)側(cè)、終端側(cè)和客戶主動(dòng)提醒技術(shù)，可以覆蓋中國移動(dòng)所有用戶，實(shí)現(xiàn)手機(jī)病毒全程攔截查殺。

4 中國移動(dòng)手機(jī)病毒全網(wǎng)監(jiān)測與防護(hù)體系設(shè)想

根據(jù)前述內(nèi)容，我們提出了中國移動(dòng)全網(wǎng)綜合監(jiān)測與防御體系的設(shè)想，由綜合管控系統(tǒng)、研判分析系統(tǒng)、現(xiàn)網(wǎng)監(jiān)測/防護(hù)系統(tǒng)、終端殺毒系統(tǒng)共同組成。

4.1 綜合管控系統(tǒng)

統(tǒng)一管理集團(tuán)及各省公司的手機(jī)病毒監(jiān)測/防護(hù)系統(tǒng)，實(shí)現(xiàn)綜合監(jiān)測、綜合分析和綜合防護(hù)。同時(shí)，該系統(tǒng)維護(hù)全網(wǎng)統(tǒng)一的監(jiān)測、報(bào)警、攔截以及惡意代碼特征庫，統(tǒng)一下發(fā)到全網(wǎng)的監(jiān)測/防護(hù)系統(tǒng)。

4.2 研判分析系統(tǒng)

是通過現(xiàn)網(wǎng)監(jiān)測、用戶投訴、輿情監(jiān)測等多種方式獲取全網(wǎng)手機(jī)病毒疑似樣本，通過自動(dòng)化沙箱分析技術(shù)，生成病毒特征庫。

4.3 病毒監(jiān)測系統(tǒng)

融合Gn監(jiān)測、WLAN監(jiān)測、短信監(jiān)測實(shí)現(xiàn)病毒全程監(jiān)測。通過標(biāo)準(zhǔn)化接口，從綜合管控系統(tǒng)獲取全網(wǎng)監(jiān)測特征庫。同時(shí)上報(bào)疑似感染病毒的情況。

4.4 網(wǎng)絡(luò)側(cè)防護(hù)系統(tǒng)

在Gi口設(shè)置流控設(shè)備攔截手機(jī)惡意軟件網(wǎng)絡(luò)行為，從綜合管控系統(tǒng)下載攔截特征庫，攔截相關(guān)通信地址。在垃圾短信攔截系統(tǒng)中增加病毒短信攔截功能，攔截相關(guān)短信。

4.5 終端殺毒系統(tǒng)

圖1 全網(wǎng)綜合監(jiān)測與防御體系

終端殺毒客戶端從綜合管控系統(tǒng)下載惡意代碼特征庫，實(shí)現(xiàn)對(duì)已知病毒的監(jiān)測和查殺。同時(shí)上報(bào)疑似病毒文件，實(shí)現(xiàn)手機(jī)病毒的“云查殺”。在出現(xiàn)惡性毒爆發(fā)時(shí)，允許綜合管控系統(tǒng)直接下發(fā)命令強(qiáng)行卸載特定的手機(jī)病毒。基于該方案的提出網(wǎng)絡(luò)側(cè)和終端側(cè)融合的手機(jī)病毒攔截清除方案目前正在逐步實(shí)現(xiàn)。為下階段實(shí)現(xiàn)面向全網(wǎng)的手機(jī)防病毒服務(wù)/業(yè)務(wù)奠定了堅(jiān)實(shí)基礎(chǔ)。

5 建立手機(jī)病毒處置工作體系

對(duì)于中國移動(dòng)而言，亟需建立起一套以保護(hù)客戶利益、提升客戶滿意度的病毒處置工作體系。經(jīng)過努力，目前中國移動(dòng)已經(jīng)初步建起了一套手機(jī)病毒處置工作體系。該體系依托組建專業(yè)的病毒防護(hù)團(tuán)隊(duì)（主要包括手機(jī)病毒分析人員、網(wǎng)絡(luò)維護(hù)人員、客戶服務(wù)人員、法律事務(wù)人員），利用部署在網(wǎng)絡(luò)上的手機(jī)病毒監(jiān)測系統(tǒng)、根據(jù)手機(jī)病毒處置工作流程，開展病毒監(jiān)測、病毒研判、病毒預(yù)警、病毒控制、應(yīng)急響應(yīng)等各項(xiàng)工作，以實(shí)現(xiàn)保護(hù)客戶權(quán)益，提升網(wǎng)絡(luò)質(zhì)量的目的。

5.1 病毒監(jiān)測

病毒分析人員利用網(wǎng)絡(luò)側(cè)手機(jī)防病毒監(jiān)測系統(tǒng)及終端防毒軟件，對(duì)全網(wǎng)的手機(jī)病毒感染情況進(jìn)行持續(xù)監(jiān)測。實(shí)現(xiàn)對(duì)已知病毒感染監(jiān)測和疑似病毒網(wǎng)絡(luò)特征以及文件樣本采集。

同時(shí)，客戶服務(wù)人員對(duì)全網(wǎng)的手機(jī)病毒投訴處理進(jìn)行分析。從海量投訴匯總批量疑似手機(jī)病毒投訴，發(fā)現(xiàn)病毒感染傳播趨勢。輿情監(jiān)測是另外一個(gè)重要的病毒監(jiān)測手段。

5.2 病毒研判

在監(jiān)測到新病毒后，對(duì)疑似樣本進(jìn)行分析，獲取其網(wǎng)絡(luò)行為特征、主機(jī)行為特征以及具體工作機(jī)制。

5.3 病毒控制

根據(jù)病毒監(jiān)測結(jié)果，對(duì)病毒傳播進(jìn)行阻斷，控制手機(jī)病毒在移動(dòng)網(wǎng)內(nèi)的傳播。同時(shí)，通知終端廠家和殺毒軟件廠家啟動(dòng)相關(guān)準(zhǔn)備工作。

5.4 病毒預(yù)警

中國移動(dòng)基于網(wǎng)絡(luò)分析、輿情監(jiān)測、用戶投訴等多種渠道，能夠比較有效的對(duì)手機(jī)病毒/惡意軟件的爆發(fā)進(jìn)行有效的監(jiān)測。通過各種媒體渠道，發(fā)布不同級(jí)別的病毒信息預(yù)警。如出現(xiàn)重大病毒預(yù)警，制定網(wǎng)絡(luò)側(cè)防護(hù)方案以及客服應(yīng)對(duì)方案，組織網(wǎng)絡(luò)維護(hù)人員和客戶服務(wù)人員落實(shí)應(yīng)對(duì)措施。

5.5 應(yīng)急響應(yīng)

如果出現(xiàn)重大手機(jī)病毒事件，需啟動(dòng)手機(jī)病毒應(yīng)急響應(yīng)機(jī)制，通過多種手段將病毒對(duì)用戶的危害和網(wǎng)絡(luò)的影響降低到最低限度。具體包括以下幾個(gè)步驟：制定病毒封堵方案、媒體公告、客戶告知、終端升級(jí)。