羅志強(qiáng)，史國水，沈 軍，蘇志勝

（1.中國電信股份有限公司廣州研究院 廣州510630；2.中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)部 北京100010）

1 引言

近3年來，我國移動互聯(lián)網(wǎng)用戶規(guī)模呈現(xiàn)出迅猛增長態(tài)勢。根據(jù)工業(yè)和信息化部運(yùn)行監(jiān)測協(xié)調(diào)局發(fā)布的最新數(shù)據(jù)，截至2013年4月，我國移動互聯(lián)網(wǎng)用戶總數(shù)達(dá)到8.08億，用戶數(shù)相比2010年4月的4.33億戶翻了一番[1]?？傮w來看，移動互聯(lián)網(wǎng)用戶規(guī)模已大于固定互聯(lián)網(wǎng)寬帶接入用戶規(guī)模，且前者保持的優(yōu)勢逐漸增大，移動互聯(lián)網(wǎng)時代已經(jīng)到來。

但是隨著移動互聯(lián)網(wǎng)用戶規(guī)模的高速增長及接入方式的多樣化，移動互聯(lián)網(wǎng)面臨的安全形勢也日益嚴(yán)峻。從網(wǎng)絡(luò)和業(yè)務(wù)平臺側(cè)看，除了接入技術(shù)不同，移動互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)在架構(gòu)上并無本質(zhì)區(qū)別，而移動網(wǎng)絡(luò)IP化、移動用戶寬帶化和移動終端智能化的趨勢，使得互聯(lián)網(wǎng)上原有的惡意程序傳播、網(wǎng)絡(luò)攻擊等傳統(tǒng)網(wǎng)絡(luò)安全威脅向移動互聯(lián)網(wǎng)快速蔓延，僅2012年，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測和網(wǎng)絡(luò)安全企業(yè)通報的移動互聯(lián)網(wǎng)惡意程序樣本就高達(dá)162 981個，較2011年增長25倍[2]。由于 移 動惡意程 序 產(chǎn)生的惡意吸費(fèi)、用戶信息竊取、誘騙欺詐等惡意行為與運(yùn)營商以及用戶利益的關(guān)聯(lián)度更高，移動互聯(lián)網(wǎng)安全問題已經(jīng)威脅基礎(chǔ)通信網(wǎng)絡(luò)安全、侵害用戶利益，引起國家主管部門、運(yùn)營商和用戶的高度重視。

移動互聯(lián)網(wǎng)安全問題來源于“云、管、端”，即移動業(yè)務(wù)、移動承載網(wǎng)以及移動終端等多個層面。其中，移動互聯(lián)網(wǎng)業(yè)務(wù)面臨的安全威脅主要包括身份偽造[3]、非授權(quán)訪問、信息竊取等；移動終端則主要面臨移動惡意程序引發(fā)的隱私竊取、惡意消費(fèi)、系統(tǒng)破壞等安全威脅；移動承載網(wǎng)除面臨非授權(quán)訪問、異常流量攻擊等傳統(tǒng)IP網(wǎng)絡(luò)非法入侵、惡意攻擊威脅之外，由于移動網(wǎng)絡(luò)有限資源共享的特點(diǎn)，更易遭受應(yīng)用惡意程序僵尸網(wǎng)絡(luò)、批量激活、終端掃描引發(fā)的信令風(fēng)暴乃至拒絕服務(wù)攻擊等安全威脅。

本文立足于移動互聯(lián)網(wǎng)運(yùn)營商角度，重點(diǎn)分析移動互聯(lián)網(wǎng)承載網(wǎng)（以下簡稱“移動承載網(wǎng)”）存在的移動惡意程序、信令風(fēng)暴等安全熱點(diǎn)問題，研究和探討在網(wǎng)絡(luò)側(cè)防護(hù)惡意代碼和信令風(fēng)暴的安全防護(hù)技術(shù)。

2 移動惡意程序網(wǎng)絡(luò)側(cè)防護(hù)技術(shù)

傳統(tǒng)殺毒產(chǎn)品中采用的基于終端側(cè)惡意程序防護(hù)技術(shù)，目前仍在移動惡意程序的防護(hù)中使用，但受限于移動智能終端資源瓶頸及用戶安全意識不足，惡意程序防護(hù)軟件在移動終端的滲透力度不夠。隨著移動互聯(lián)網(wǎng)時代的到來，移動智能終端的用戶增長速度遠(yuǎn)大于趨于飽和的計算機(jī)用戶增長速度，但是手機(jī)使用群體的安全防范意識遠(yuǎn)不如計算機(jī)的使用群體，其次移動智能終端的CPU、內(nèi)存、電量等終端資源也遠(yuǎn)不如傳統(tǒng)PC計算機(jī)，缺乏像PC實(shí)時監(jiān)控惡意程序的能力，因此惡意程序防護(hù)軟件在移動終端的滲透力度明顯不足。

由于流量資費(fèi)等原因，目前移動互聯(lián)網(wǎng)手機(jī)流量遠(yuǎn)低于傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量，因此，在移動互聯(lián)網(wǎng)的運(yùn)營商網(wǎng)絡(luò)側(cè)開展惡意程序防護(hù)成為可能。如圖1所示，運(yùn)營商在移動互聯(lián)網(wǎng)接入點(diǎn)采用分光設(shè)備實(shí)時采集數(shù)據(jù)流量，通過流量特征碼技術(shù)監(jiān)測移動互聯(lián)網(wǎng)惡意程序，利用流控設(shè)備以及與網(wǎng)絡(luò)設(shè)備（如垃圾短彩信攔截系統(tǒng)、DNS等）的聯(lián)動，通過發(fā)送TCP reset報文給網(wǎng)絡(luò)設(shè)備的方式，主動封堵攔截惡意程序的傳播途徑，對確定的惡意URL進(jìn)行封堵或跳轉(zhuǎn)，最后通過終端側(cè)推送提示頁面、提示短信等方式引導(dǎo)移動互聯(lián)網(wǎng)用戶解決惡意程序。

但是，2013年初中國電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室對主流廠商3款移動惡意程序監(jiān)控系統(tǒng)的測試結(jié)果顯示，現(xiàn)階段基于網(wǎng)絡(luò)側(cè)的惡意程序防護(hù)技術(shù)在協(xié)議支持和報文還原等方面的實(shí)現(xiàn)上仍存在缺陷，主要體現(xiàn)在以下方面：目前主流的惡意程序監(jiān)控防治設(shè)備在分析模塊的報文重組、還原、檢測分析等功能方面只支持HTTP，不支持其他協(xié)議；設(shè)備處置模塊支持處置策略有限，只支持根據(jù)黑名單URL和移動終端進(jìn)行處置，且封堵也只能針對TCP連接；同時，文件還原的處理性能直接影響惡意程序監(jiān)測效果，隨著移動互聯(lián)網(wǎng)流量的增大，大部分廠商產(chǎn)品監(jiān)測出的惡意程序數(shù)量持續(xù)下降。據(jù)測算，如果對移動互聯(lián)網(wǎng)傳輸信息進(jìn)行深度檢測和安全過濾，會導(dǎo)致移動互聯(lián)網(wǎng)網(wǎng)絡(luò)信息傳輸效率下降85%[4]。

為了彌補(bǔ)移動互聯(lián)網(wǎng)大流量下惡意程序發(fā)現(xiàn)能力不足的情況，基于移動互聯(lián)網(wǎng)網(wǎng)絡(luò)異常流量的惡意程序防護(hù)技術(shù)是一種較好的補(bǔ)充技術(shù)。該技術(shù)主要是通過基于NetFlow等流量采集技術(shù)開展長期的流量監(jiān)測和統(tǒng)計分析，建立正常的流量模型和閾值，預(yù)定義惡意程序攻擊造成的異常流量范圍，當(dāng)網(wǎng)絡(luò)總體流量分布超出閾值定義范圍，則判斷網(wǎng)絡(luò)中可能存在網(wǎng)絡(luò)惡意程序攻擊，再根據(jù)目的端口流量分布判斷出是哪種惡意程序。這種技術(shù)能很快發(fā)現(xiàn)大規(guī)模的移動互聯(lián)網(wǎng)蠕蟲攻擊行為，有效避免網(wǎng)絡(luò)癱瘓，但是該技術(shù)不能防御移動終端層面惡意程序，對蠕蟲只能控制傳播不能清除。

圖1 移動互聯(lián)網(wǎng)惡意程序監(jiān)控防治系統(tǒng)結(jié)構(gòu)

圖2 基于DPI+AAA聯(lián)動機(jī)制應(yīng)對移動終端對無線網(wǎng)SYN掃描攻擊的防護(hù)方案

3 移動互聯(lián)網(wǎng)信令風(fēng)暴防護(hù)技術(shù)

隨著移動用戶數(shù)量的高速增長，黑客針對移動互聯(lián)網(wǎng)的入侵掃描也逐步增多。例如，某運(yùn)營商就發(fā)生過短短10 s內(nèi)有上千個3G用戶登錄同一個移動互聯(lián)網(wǎng)基站，產(chǎn)生大量信令，引發(fā)SPCF、DOCMP、DOSDU等設(shè)備出現(xiàn)最高負(fù)荷過高的問題。

為了判斷負(fù)載過高的原因，在每次設(shè)備最高負(fù)荷沖高時，筆者在BSC隨機(jī)采樣4個用戶，而這4個用戶中的媒體面報文都可以看到SYN掃描，而且4組測試均有這一現(xiàn)象無一例外，由此可以推斷SYN掃描的量級是較高的。上述分析表明，由于移動互聯(lián)網(wǎng)移動終端用戶通過對大量3G無線用戶地址段的SYN掃描攻擊，造成大量休眠用戶的同時激活，導(dǎo)致無線空口資源的負(fù)荷激增。由于移動互聯(lián)網(wǎng)無線空口資源的共享性和有限性，對于基站和BSC來說，短時大量的SYN掃描將導(dǎo)致信令風(fēng)暴，這種信令風(fēng)暴攻擊行為會嚴(yán)重影響無線網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗(yàn)。

目前應(yīng)對異常流量攻擊的檢測及封堵技術(shù)手段主要有DPI系統(tǒng)、流量分析系統(tǒng)、流量清洗系統(tǒng)等技術(shù)平臺，但是這些技術(shù)只能通過發(fā)送TCP reset報文實(shí)現(xiàn)利用TCP鏈接傳播惡意程序的封堵，不能實(shí)現(xiàn)對移動終端用戶SYN掃描攻擊的封堵，在應(yīng)對移動終端對大量無線網(wǎng)地址段的SYN掃描攻擊時均有其局限性，不能有效防范SYN掃描攻擊。

為了解決現(xiàn)有技術(shù)手段不能有效防范SYN掃描攻擊的問題，建議運(yùn)營商采用基于DPI+AAA聯(lián)動機(jī)制應(yīng)對移動終端對無線網(wǎng)SYN掃描攻擊的防護(hù)方案。如圖2所示，DPI通過在PI（PDSN與Internet）鏈路及AAA系統(tǒng)上聯(lián)鏈路分光，實(shí)時采集無線網(wǎng)分組域流量數(shù)據(jù)及用戶認(rèn)證數(shù)據(jù)，檢測識別SYN掃描攻擊用戶及流量；當(dāng)DPI系統(tǒng)監(jiān)測到SYN掃描攻擊后，與AAA系統(tǒng)聯(lián)動，發(fā)送封堵控制指令給AAA系統(tǒng)，由AAA系統(tǒng)給PDSN發(fā)送拆除PPP連接的指令，拆除用戶的PPP連接，利用AAA設(shè)備實(shí)現(xiàn)對移動終端用戶、PPP連接等的管理進(jìn)行封堵控制，從而有效保護(hù)有限的無線網(wǎng)空口資源，提升移動互聯(lián)網(wǎng)網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗(yàn)。

4 結(jié)束語

本文從運(yùn)營商角度重點(diǎn)分析了移動惡意程序、信令風(fēng)暴等移動互聯(lián)網(wǎng)安全熱點(diǎn)問題。通過研究和探討在移動互聯(lián)網(wǎng)網(wǎng)絡(luò)側(cè)監(jiān)測和攔截移動惡意代碼的技術(shù)方案，防范了移動惡意程序引發(fā)的惡意吸費(fèi)、信息竊取等損害用戶利益的行為。本文創(chuàng)新性地提出了基于DPI系統(tǒng)和AAA系統(tǒng)聯(lián)動的技術(shù)解決方案，有效解決因SYN掃描引發(fā)的移動互聯(lián)網(wǎng)信令風(fēng)暴的問題，大幅提升了移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗(yàn)。

1 工業(yè)和信息化部電信研究院通信信息所數(shù)據(jù)監(jiān)測部.我國移動互聯(lián)網(wǎng)發(fā)展情況分析手機(jī)上網(wǎng)成主流 流量增長是亮點(diǎn).人民郵電報,2013-5-22

2 國家互聯(lián)網(wǎng)應(yīng)急中心.2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述,2013

3 羅志強(qiáng)，沈軍.移動電子商務(wù)用戶溯源認(rèn)證技術(shù)研究與應(yīng)用.電信科學(xué)，2009(6):7～12

4 工業(yè)和信息化部電信研究院.移動互聯(lián)網(wǎng)白皮書(2013年),2013