常玲, 吳興耀, 杜雪濤

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

隨著移動(dòng)終端的智能化，以及移動(dòng)數(shù)據(jù)業(yè)務(wù)的快速增長(zhǎng)，移動(dòng)互聯(lián)網(wǎng)得到了快速發(fā)展。人們?cè)絹?lái)越依賴智能的手機(jī)終端實(shí)現(xiàn)各種各樣的數(shù)據(jù)業(yè)務(wù)，如瀏覽新聞、收發(fā)彩信、收發(fā)郵件、網(wǎng)上支付、聊天、游戲等。據(jù)市場(chǎng)研究公司iSuppli發(fā)表的研究報(bào)告稱，2011年全球智能手機(jī)出貨量達(dá)到4.78億部，約占全球手機(jī)市場(chǎng)份額的33%，預(yù)計(jì)到2015年，全球智能手機(jī)出貨量將達(dá)到10.3億部，約占全球市場(chǎng)份額的54%。因此，預(yù)計(jì)在未來(lái)3年，中國(guó)智能手機(jī)的銷售量將持續(xù)高速增長(zhǎng)，智能手機(jī)用戶數(shù)占比將持續(xù)增高。移動(dòng)智能終端日益普及、日趨PC化，推動(dòng)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)迅猛發(fā)展帶來(lái)機(jī)遇的同時(shí)，也帶來(lái)更高的要求和挑戰(zhàn)，將和PC終端一樣面臨巨大的安全風(fēng)險(xiǎn)。目前，移動(dòng)智能終端面臨的主要安全威脅來(lái)自手機(jī)惡意軟件。雖然通過(guò)手機(jī)惡意軟件搞惡作劇和炫耀技術(shù)依然存在，但由于手機(jī)惡意軟件的獲利較為便利，已經(jīng)逐步轉(zhuǎn)變?yōu)槔骝?qū)使。截至2011年黑色產(chǎn)業(yè)鏈年獲利已經(jīng)超過(guò)10億元。因此手機(jī)惡意軟件防治工作已經(jīng)勢(shì)在必行。

1 治理現(xiàn)狀分析

2010年起，運(yùn)營(yíng)商開(kāi)始在試點(diǎn)省公司建立手機(jī)惡意軟件監(jiān)測(cè)系統(tǒng)，開(kāi)展網(wǎng)絡(luò)側(cè)監(jiān)測(cè)，并對(duì)監(jiān)測(cè)發(fā)現(xiàn)的疑似手機(jī)惡意軟件進(jìn)行分析研判。對(duì)于影響范圍大、性質(zhì)惡劣的惡意程序事件，在上報(bào)主管部門的同時(shí)，第一時(shí)間進(jìn)行封堵、客戶告知等工作；對(duì)于涉嫌違規(guī)的合作伙伴，按照業(yè)務(wù)管理規(guī)定進(jìn)行堅(jiān)決打擊。定期向客戶發(fā)布手機(jī)惡意軟件預(yù)警信息，通過(guò)網(wǎng)站、微博等向客戶宣傳惡意軟件防范知識(shí)，提高客戶防范意識(shí)。

試點(diǎn)省公司定期向集團(tuán)公司匯報(bào)手機(jī)惡意軟件監(jiān)測(cè)情況，集團(tuán)公司在匯總后向相關(guān)省公司下發(fā)手機(jī)惡意軟件待封堵IP地址列表，完成手機(jī)惡意軟件封堵工作。

對(duì)于手機(jī)惡意軟件封堵效果的驗(yàn)證方法，傳統(tǒng)的做法是使用手機(jī)終端直接逐一撥測(cè)已封堵IP地址列表。雖然此種方法實(shí)現(xiàn)簡(jiǎn)單，無(wú)需軟件開(kāi)發(fā)工作，但是其局限性也很多，具體體現(xiàn)在如下幾個(gè)方面。

（1） 當(dāng)已封堵IP地址較多時(shí)，驗(yàn)證周期長(zhǎng)。

（2） 人工輸入IP地址，易出錯(cuò)。

（3） 撥測(cè)結(jié)果不易保存。

（4） 不易查明IP路由及封堵漏洞。

（5） 功能難以擴(kuò)展，沒(méi)有進(jìn)一步挖掘手機(jī)惡意軟件IP地址封堵列表在手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)防護(hù)工作中的擴(kuò)展應(yīng)用。

因此，本文提出了一種手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果的自動(dòng)驗(yàn)證方法。

2 封堵效果自動(dòng)驗(yàn)證方法

手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證方案大致如圖1所示，使用安裝在電腦上的手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件，經(jīng)2G/3G數(shù)據(jù)卡，自動(dòng)逐一撥測(cè)已封堵IP地址并驗(yàn)證封堵效果，對(duì)于沒(méi)有封堵成功的IP地址進(jìn)行路由追蹤，便于后期定位封堵漏洞。

圖1 手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果驗(yàn)證方法

此方案包括硬件系統(tǒng)和軟件系統(tǒng)。硬件系統(tǒng)包含PC機(jī)和2G/3G數(shù)據(jù)卡。軟件系統(tǒng)包含安裝在PC機(jī)上的手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件及其配套軟件系統(tǒng)（如數(shù)據(jù)庫(kù)、驅(qū)動(dòng)程序等）。PC機(jī)通過(guò)2G/3G數(shù)據(jù)卡接入移動(dòng)網(wǎng)絡(luò)。手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件采用單機(jī)版，有利于實(shí)現(xiàn)軟件功能的升級(jí)和維護(hù)。軟件初期的主要功能是實(shí)現(xiàn)手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵的效果驗(yàn)證及封堵漏洞的定位。隨著手機(jī)惡意軟件防治工作的深入，在獲得手機(jī)惡意軟件研判能力的基礎(chǔ)上，軟件功能可進(jìn)一步升級(jí)，能夠?qū)κ謾C(jī)惡意軟件的IP地址在用戶指定的范圍內(nèi)進(jìn)行爬取，對(duì)爬取到的網(wǎng)頁(yè)內(nèi)容進(jìn)行研判，判斷其是否包含手機(jī)惡意軟件。

手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件包含以下功能模塊，分別是導(dǎo)入模塊、自動(dòng)撥測(cè)模塊、路由追蹤模塊、爬取模塊和研判模塊。該軟件包括兩個(gè)主體流程圖：自動(dòng)撥測(cè)流程和爬取研判流程。自動(dòng)撥測(cè)流程大致如圖2所示。

圖2 手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件的自動(dòng)撥測(cè)流程

其中導(dǎo)入模塊的主要功能是將手機(jī)惡意軟件已封堵IP地址列表導(dǎo)入到軟件系統(tǒng)中，支持的導(dǎo)入列表格式應(yīng)包括Excel、txt等。自動(dòng)撥測(cè)模塊的主要功能是依次提取已封堵IP地址列表中的內(nèi)容，進(jìn)行自動(dòng)撥測(cè)。如果撥測(cè)成功，則激活路由追蹤模塊，記錄該撥測(cè)過(guò)程中的路由列表并保存到數(shù)據(jù)庫(kù)中。如果撥測(cè)不成功，則繼續(xù)撥測(cè)下一IP地址。自動(dòng)撥測(cè)某一IP地址的過(guò)程即通過(guò)軟件觸發(fā)鏈接某一IP地址，經(jīng)由2G/3G數(shù)據(jù)卡接入到移動(dòng)網(wǎng)絡(luò)，并最終鏈接到目標(biāo)IP地址的過(guò)程。路由追蹤模塊的主要功能是記錄本機(jī)成功鏈接到某一IP地址所經(jīng)過(guò)的所有路由器IP地址。

爬取研判流程如圖3所示。其中導(dǎo)入模塊的主要功能是將手機(jī)惡意軟件待爬取的IP地址列表導(dǎo)入到軟件系統(tǒng)中，支持的導(dǎo)入列表格式應(yīng)包括Excel、txt等。爬取模塊的主要功能是按照用戶選擇的范圍（例如對(duì)IP地址在上一級(jí)域名和下一級(jí)域名的范圍內(nèi)）依次對(duì)手機(jī)惡意軟件待爬取的IP地址列表中的內(nèi)容進(jìn)行主動(dòng)爬取。研判模塊的主要功能是將爬取模塊爬取到的網(wǎng)頁(yè)內(nèi)容與手機(jī)惡意軟件特征庫(kù)進(jìn)行比對(duì)，如果比對(duì)成功，則認(rèn)為此網(wǎng)頁(yè)含有手機(jī)惡意軟件，保存其URL，便于后期封堵。

圖3 手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件的爬取研判流程

手機(jī)惡意軟件網(wǎng)絡(luò)側(cè)封堵效果自動(dòng)驗(yàn)證軟件除了上述主要功能模塊以外，還可以包含工程管理模塊，完成新建工程、打開(kāi)工程、關(guān)閉工程、保存工程等功能。

與傳統(tǒng)的封堵效果驗(yàn)證方法即使用手機(jī)終端直接逐一撥測(cè)已封堵IP地址列表相比，自動(dòng)驗(yàn)證方法有如下優(yōu)點(diǎn)。

（1） 能夠查明IP鏈接的路由地址表，易于發(fā)現(xiàn)封堵漏洞。

（2） 可導(dǎo)入IP地址封堵列表，自動(dòng)完成撥測(cè)，驗(yàn)證迅速，不易出錯(cuò)，并且節(jié)省人力資源。

（3） 撥測(cè)結(jié)果易保存、易存證。

（4） 功能擴(kuò)展性強(qiáng)，便于后續(xù)對(duì)于手機(jī)惡意軟件防護(hù)能力的增強(qiáng)。

3 結(jié)束語(yǔ)

智能手機(jī)帶來(lái)了便利的業(yè)務(wù)，也帶來(lái)了潛在的危機(jī)。手機(jī)惡意軟件的出現(xiàn)和某些惡意軟件的較大范圍傳播，對(duì)普通用戶和移動(dòng)運(yùn)營(yíng)商都提出了挑戰(zhàn)。尤其是移動(dòng)運(yùn)營(yíng)商在網(wǎng)絡(luò)側(cè)的監(jiān)測(cè)與查殺工作在整個(gè)手機(jī)惡意軟件傳播過(guò)程中起著至關(guān)重要的作用。

運(yùn)營(yíng)商通過(guò)手機(jī)惡意軟件的防治工作，主動(dòng)發(fā)現(xiàn)手機(jī)惡意軟件，可以減少手機(jī)惡意軟件引發(fā)的客戶投訴，大量節(jié)省處理投訴的人力成本，并且有效清除了由于手機(jī)惡意軟件引發(fā)的網(wǎng)絡(luò)資源占用，大量節(jié)省網(wǎng)絡(luò)資源，同時(shí)也可以為整個(gè)通信行業(yè)贏得良好聲譽(yù)。

[1] 來(lái)曉陽(yáng)，時(shí)鎮(zhèn)軍. 手機(jī)病毒全流程治理方案及實(shí)現(xiàn)[J]. 電信技術(shù)，2012,(4):22-24.

[2] 來(lái)曉陽(yáng)，洪晶，杭躍斌. 手機(jī)病毒綜合治理思考[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化，2011,(10):38-41.

[3] 周虹. 手機(jī)病毒的危害及其防范[J]. 湖南廣播電視大學(xué)學(xué)報(bào)，2007,(2):64-65.

[4] 徐威，方勇，吳少華，吳毓書(shū). 手機(jī)病毒的攻擊方式和防范措施[J]. 信息與電子工程，2009,(1):66-70.