來曉陽，洪晶，杭躍斌

（1 中國移動通信集團江蘇有限公司，南京 210029；2 中國移動通信集團公司，北京 100032）

1 手機病毒傳播及工作流程

1.1 發(fā)布傳播

由于移動互聯(lián)網自身特點，因此手機病毒的發(fā)布傳播方式與傳統(tǒng)病差異很大，包括短信傳播、彩信傳播、偽造WAP PUSH傳播、軟件捆綁、人工安裝、ROM置入、藍牙傳播、遠程溢出、弱口令利用。

1.2 客戶端感染

病毒被安裝到手機上之后，首先需獲取系統(tǒng)控制權，達到控制手機、隱藏自身存在、對抗查殺措施等目的。主要包括以下4個主要功能：關閉殺毒軟件、多進程保護、關閉系統(tǒng)卸載功能、攔截特定代碼短信。

1.3 控制升級

大部分手機病毒會與病毒控制服務器進行通信以便接受指令執(zhí)行后續(xù)操作。該環(huán)節(jié)主要由以下幾個功能組成：上報客戶身份信息、接受控制指令、實施病毒升級。

1.4 隱私竊取和牟利

目前編寫傳播手機病毒目的主要是為了竊取隱私和牟利。手機病毒此類功能包括： 竊取身份、竊取通信記錄、竊取短彩信內容、竊取用戶位置信息、通話竊聽、訂購數據業(yè)務、撥打IVR電話、發(fā)送垃圾短彩信、廣告推送、點擊網站鏈接。

2 手機病毒監(jiān)測技術的實現

根據手機病毒傳播規(guī)律，基于中國移動網絡整體架構，建立一套完整的手機病毒監(jiān)測工作需覆蓋移動網絡、軟件市場、智能終端3個關鍵環(huán)節(jié)，實現對于手機病毒的全程監(jiān)測。

2.1 移動網絡病毒流量監(jiān)測

目前病毒傳播、控制、牟利的主要通道包括CMNET/CMWAP、WLAN、彩信、短信。相應的需要對分組域核心網、WLAN鏈路、點對點/夢網短信進行監(jiān)測。在網絡側實施病毒監(jiān)測，是運營商開展病毒防護工作與傳統(tǒng)病毒防護工作之間最大的區(qū)別。

2.1.1 分組域核心網Gn鏈路手機病毒監(jiān)測

目前CMNET/CMWAP APN、彩信的流量均通過分組域核心網，對其監(jiān)測可同時實現CMNET/CMWAP APN以及彩信中手機病毒的監(jiān)測。

Gn鏈路處于GGSN/SGSN之間，采用GTP協(xié)議封裝，在該鏈路上可以監(jiān)測手機病毒特征數據報以及用戶IP地址，還能夠在GTP協(xié)議的PDP Request/Response（PDP激活/去激活）信令流程中信令流程中獲取用戶IMEI、IMSI、MSISDN、LAC、CI等一系列信息。因此通過在Gn鏈路進行手機病毒監(jiān)測是目前最為有效的網絡側病毒監(jiān)測手段。

為了提高對未知病毒的發(fā)現能力，該監(jiān)測技術還需具備未知病毒發(fā)現功能，通過疑似病毒行為，如病毒控制報文的特殊協(xié)議結構、高頻次異常網站訪問和文件下載等病毒行為等進行監(jiān)測以發(fā)現未知病毒行為。

目前實用化的監(jiān)測設備已實現單鏈路3Gbit/s的監(jiān)測能力，能發(fā)現各類手機病毒、木馬軟件、地下運營商、分組域安全攻擊等安全問題400多種，可滿足目前2G/3G網絡以及未來4G LTE網絡監(jiān)測的需求。

2.1.2 WLAN上行鏈路監(jiān)測

由于智能終端流量增長迅猛，目前相當多的運營商采取了將部分業(yè)務流量疏導WLAN網絡的做法。因此中國移動還需要具備對WLAN進行監(jiān)測的能力。

在WLAN鏈路上在監(jiān)測病毒流量的時候只能監(jiān)測到IP地址，因此監(jiān)測設備還需要對WLAN AC與RADIUS服務器之間通信內容進行監(jiān)測已獲取IP地址對應用戶賬號，實現將病毒流量直接溯源到用戶的目標。

2.1.3 點對點短信監(jiān)測

目前手機病毒傳播經常使用的一種手段是通過發(fā)送欺騙短信誘使用戶點擊其中的URL方式傳播。因此需過改造現有垃圾短信監(jiān)控系統(tǒng)可對含有異常URL的點對點消息進行監(jiān)控。

2.1.4 夢網短信監(jiān)測

手機病毒牟利主要手段之一惡意訂購業(yè)務，主要通過后臺發(fā)送訂購業(yè)務的夢網短信實現。通過對夢網短信進行監(jiān)測發(fā)現異常短信發(fā)送行為，可認為用戶疑似感染手機病毒。

2.2 手機病毒分發(fā)監(jiān)測

手機病毒總是需要通過各種途徑到用戶手機上，對這些途徑進行監(jiān)測是預防手機病毒的重要手段。

2.2.1 中國移動應用商場（Mobile Market）監(jiān)測

中國移動應用商場是中國移動自有的手機應用商場，需建立面向手機應用全生命周期的、可追溯的手機病毒監(jiān)測機制，包括上線前檢查、上線后支撐以及安全問題響應3個部分。

2.2.2 第三方應用商店監(jiān)測

用戶還會從終端廠家/操作系統(tǒng)廠家應用商店以及其它第三方應用商店下載應用。還有很多用戶是使用搜索引擎和導航網站來尋找需要下載的應用。對此類情況，綜合采取網絡流量中下載行為監(jiān)測、掃描方應用商店應用下載路徑、網絡爬蟲技術主動發(fā)現進行應用下載鏈接3種方式，獲取應用下載路徑并對文件體進行病毒監(jiān)測。

2.3 手機客戶端監(jiān)測

手機感染病毒后，需手機客戶端殺毒軟件才能徹底清除。常見的監(jiān)測方式有基于特征碼的監(jiān)測方法和啟發(fā)式掃描的監(jiān)測方法。

（1）基于特征碼的監(jiān)測方法:為目前的主流手機病毒偵測方式，就是將手機里的文件通過掃描引擎與病毒庫進行特征碼匹配；

（2）啟發(fā)式掃描方法:通過分析文件信息的行為并將其與一個危險行為樣式庫進行對照判別。例如某文件試圖格式化內存，殺毒軟件就會警告該用戶，盡管該文件也許是用戶剛剛安裝在系統(tǒng)中的一個新的格式化程序而不是病毒，接下來由用戶來判斷是否繼續(xù)進行該操作。

3 手機病毒防護技術的實現

3.1 網絡側手機病毒防護技術

在前述手機病毒/惡意軟件監(jiān)測技術的相關分析中，我們可以看到手機病毒/惡意軟件主要通過短彩信、分組域核心網以及WLAN進行傳播。因此網絡側攔截技術需要對病毒在分組域核心網、WLAN以及短信通道上傳播的誘騙、下載、控制信息進行攔截。主要包括以下3種技術。

（1）IP鏈路在線攔截技術：在Gi鏈路或者更高層鏈路上，在線阻斷對病毒控制通道的域名、IP地址或者URL進行攔截。該技術在病毒流量通過WLAN通道進行傳播時也同樣有效，是網絡側攔截最為主要的技術手段；

（2）病毒短信攔截技術：通過提取手機病毒誘騙短信關鍵字，將其傳送到垃圾短信攔截系統(tǒng)對此類含有關鍵字的短信進行攔截，阻斷病毒傳播途徑；

（3）彩信中心殺毒技術：在彩信中心上加載防病毒模塊，在彩信下發(fā)前掃描彩信消息體，發(fā)現彩信消息體中含有病毒則立刻停止該彩信下發(fā)。

3.2 終端側手機病毒防護技術

終端感染病毒后，一般需要通過專用手機殺毒軟件進行清除，目前主要可以提供幾種病毒防護技術。

（1）病毒清除技術：借鑒傳統(tǒng)PC病毒查殺經驗，監(jiān)測到已知病毒后直接對病毒進行查殺；

（2）遠程刪除技術：通過控制服務器遠程控制終端測殺毒軟件卸載/刪除某些惡意軟件。

3.3 用戶主動提醒技術

對于未安裝手機殺毒軟件客戶，需要采取主動提醒技術才能有效清除病毒。主動提醒客戶采用電話外呼、短彩信提醒、WAP頁面推送等方式。

綜合網絡側、終端側和客戶主動提醒技術，可以覆蓋中國移動所有用戶，實現手機病毒全程攔截查殺。

4 中國移動手機病毒全網監(jiān)測與防護體系設想

根據前述內容，我們提出了中國移動全網綜合監(jiān)測與防御體系的設想，由綜合管控系統(tǒng)、研判分析系統(tǒng)、現網監(jiān)測/防護系統(tǒng)、終端殺毒系統(tǒng)共同組成。

4.1 綜合管控系統(tǒng)

統(tǒng)一管理集團及各省公司的手機病毒監(jiān)測/防護系統(tǒng)，實現綜合監(jiān)測、綜合分析和綜合防護。同時，該系統(tǒng)維護全網統(tǒng)一的監(jiān)測、報警、攔截以及惡意代碼特征庫，統(tǒng)一下發(fā)到全網的監(jiān)測/防護系統(tǒng)。

4.2 研判分析系統(tǒng)

是通過現網監(jiān)測、用戶投訴、輿情監(jiān)測等多種方式獲取全網手機病毒疑似樣本，通過自動化沙箱分析技術，生成病毒特征庫。

4.3 病毒監(jiān)測系統(tǒng)

融合Gn監(jiān)測、WLAN監(jiān)測、短信監(jiān)測實現病毒全程監(jiān)測。通過標準化接口，從綜合管控系統(tǒng)獲取全網監(jiān)測特征庫。同時上報疑似感染病毒的情況。

4.4 網絡側防護系統(tǒng)

在Gi口設置流控設備攔截手機惡意軟件網絡行為，從綜合管控系統(tǒng)下載攔截特征庫，攔截相關通信地址。在垃圾短信攔截系統(tǒng)中增加病毒短信攔截功能，攔截相關短信。

4.5 終端殺毒系統(tǒng)

圖1 全網綜合監(jiān)測與防御體系

終端殺毒客戶端從綜合管控系統(tǒng)下載惡意代碼特征庫，實現對已知病毒的監(jiān)測和查殺。同時上報疑似病毒文件，實現手機病毒的“云查殺”。在出現惡性毒爆發(fā)時，允許綜合管控系統(tǒng)直接下發(fā)命令強行卸載特定的手機病毒。基于該方案的提出網絡側和終端側融合的手機病毒攔截清除方案目前正在逐步實現。為下階段實現面向全網的手機防病毒服務/業(yè)務奠定了堅實基礎。

5 建立手機病毒處置工作體系

對于中國移動而言，亟需建立起一套以保護客戶利益、提升客戶滿意度的病毒處置工作體系。經過努力，目前中國移動已經初步建起了一套手機病毒處置工作體系。該體系依托組建專業(yè)的病毒防護團隊（主要包括手機病毒分析人員、網絡維護人員、客戶服務人員、法律事務人員），利用部署在網絡上的手機病毒監(jiān)測系統(tǒng)、根據手機病毒處置工作流程，開展病毒監(jiān)測、病毒研判、病毒預警、病毒控制、應急響應等各項工作，以實現保護客戶權益，提升網絡質量的目的。

5.1 病毒監(jiān)測

病毒分析人員利用網絡側手機防病毒監(jiān)測系統(tǒng)及終端防毒軟件，對全網的手機病毒感染情況進行持續(xù)監(jiān)測。實現對已知病毒感染監(jiān)測和疑似病毒網絡特征以及文件樣本采集。

同時，客戶服務人員對全網的手機病毒投訴處理進行分析。從海量投訴匯總批量疑似手機病毒投訴，發(fā)現病毒感染傳播趨勢。輿情監(jiān)測是另外一個重要的病毒監(jiān)測手段。

5.2 病毒研判

在監(jiān)測到新病毒后，對疑似樣本進行分析，獲取其網絡行為特征、主機行為特征以及具體工作機制。

5.3 病毒控制

根據病毒監(jiān)測結果，對病毒傳播進行阻斷，控制手機病毒在移動網內的傳播。同時，通知終端廠家和殺毒軟件廠家啟動相關準備工作。

5.4 病毒預警

中國移動基于網絡分析、輿情監(jiān)測、用戶投訴等多種渠道，能夠比較有效的對手機病毒/惡意軟件的爆發(fā)進行有效的監(jiān)測。通過各種媒體渠道，發(fā)布不同級別的病毒信息預警。如出現重大病毒預警，制定網絡側防護方案以及客服應對方案，組織網絡維護人員和客戶服務人員落實應對措施。

5.5 應急響應

如果出現重大手機病毒事件，需啟動手機病毒應急響應機制，通過多種手段將病毒對用戶的危害和網絡的影響降低到最低限度。具體包括以下幾個步驟：制定病毒封堵方案、媒體公告、客戶告知、終端升級。