常玲, 吴兴耀, 杜雪涛, 李友国
(1 中国移动通信集团设计院有限公司,北京 100080;2 中国移动通信集团公司, 北京 100032)
随着移动通信产业的高速发展,中国手机用户迅速增加。而近几年由于3G时代的来临,智能手机的应用也逐渐普及,智能手机类似一部小型电脑,可以浏览网页、下载软件等,于是手机病毒便通过互联网业务、彩信、短信、蓝牙等多种途径传播并且日益泛滥,据专业手机杀毒厂商统计,2010年新发现手机病毒种类超过历史总和,2011年发展势头迅猛。如果不尽快采取有效防范措施,手机病毒产生的冲击将会越来越强,给通信产业甚至整个社会带来危害。
目前国内没有对手机病毒进行明确定义,国家针对计算机病毒定义如下:
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制传染能力。由此可见,传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。
由于手机病毒运行在智能手机中,也相当于是运行在“小型计算机”上的程序,因此可以借鉴计算机病毒的定义对它进行定义和判断。手机病毒是指编制或者在手机程序中插入的破坏手机功能或者毁坏数据, 影响手机使用,并能自我传染的一组手机指令或者程序代码。
传染性:当一段手机代码或程序具备自我传播感染性则为手机病毒。传染性手机病毒的传播途径有网络下载、存储卡、恶意链接、彩信、蓝牙等。例如“短信海盗”病毒通过彩信自传播,被感染的手机会通过彩信不断向通信录中的号码发送彩信,彩信内容通常是本人的短信内容和病毒链接,当用户点击链接并安装后就会被感染并向下一用户不断传播。
非授权性:当一段手机代码或程序在未明确提示用户或未经用户许可下发生恶意行为,均为手机病毒。未经授权的恶意行为包括恶意扣费、资费消耗、浏览器劫持、系统破坏(包括破坏系统功能、消耗系统资源、制造系统垃圾、破坏常用软件功能等)、内置后门软件等。例如恶意扣费软件、卧底软件等。
控制性:若一段手机代码或程序具备外部主控端,则为手机病毒。外部主控端对被感染手机的控制命令有删除、升级、发送短信等。例如毒媒、垃圾短信发送者等。
针对性:一种手机病毒并不能感染所有的系统软件或者应用程序,其攻击方式具有较强的针对性。
隐蔽性和可触发性:有些手机病毒在感染用户手机后并不立即发作,而是隐匿于系统中,或者经过伪装的病毒程序还可能被用户当作正常的程序而运行,只有在满足其特定条件时才能够被激活,并且具有传染性和破坏能力。
由于人们在日常生活中对手机的依赖和缺乏对手机病毒的足够重视和防范措施,手机病毒影响范围日益扩大,给用户和运营商都造成极大的危害。
对用户而言,危害主要表现在个人信息泄密、经济损失和影响用户手机正常使用等方面。(1)某些手机病毒感染用户手机后可能会窃取包括通信录、短信、邮件、日常安排、各种网络账号、银行账户密码等,这些信息如果被别有用心者窃取,将会对用户造成不可估量的损失。例如短信海盗、X卧底等病毒窃取短信记录;(2)某些手机病毒感染手机后,通过短信、彩信进行病毒传播,消耗大量通信费用。例如“手机骷髅”病毒大量发送彩信,一般造成的资费损失都在200元以上。更有甚者,某些手机病毒可以在用户对手机没有任何操作的情况下,悄悄拨打国际长途或高额的付费电话,让用户承受较大的经济损失。(3)某些手机病毒会直接损害用户手机软硬件,造成手机不能正常工作,影响人们的日常生活。例如某些手机病毒可能侵占手机内存或者修改手机系统设置,某些病毒通过带有病毒程序的短信传播,只要用户查看带有病毒的短信,手机就立刻自动关机。
对运行商而言,手机病毒使网络资源被大量浪费,引起业务质量下降,造成用户网络感知差,影响企业品牌。如果手机病毒感染手机后,强制手机不断地向其所在通信网络发送垃圾信息,大量受感染的手机发送的垃圾信息就会形成大量的数据,势必导致通信网络信息堵塞和局部的手机无线分组网络资源受损,影响业务质量和用户感知。
目前手机病毒的黑色产业链正在逐步形成,不法的服务提供商与部分山寨机厂商合作,内置后门,强制用户订购业务或者盗取用户信息,垃圾广告商与手机病毒编写者勾结,利用被控终端传播广告,而手机病毒编写者又为不法的服务提供商、部分山寨机厂商提供软件工具,因此手机病毒防治工作已经势在必行。
目前手机病毒传播的主要方式有两种,一是诱骗用户点击手机病毒下载链接,使用户手机感染。另一种是通过彩信及邮件的附件进行传播,利用了彩信、邮件的业务特性。因此在PS域内有两个整治目标就是对指向手机病毒的URL、IP地址的请求进行拦截和对彩信、邮件中所含附件进行查杀,同时在CS域内控制包含手机病毒链接的短信传播。
针对以上的目标可以分别制定防治方案,例如彩信中心安装防病毒模块方案或者垃圾短信拦截系统控制恶意URL传播方案。以上方案仅能解决通过彩信或者短信传播的手机病毒,不能根本改善手机病毒的传播现状,但是可以作为补充方案。
目前移动网络现有系统的数据采集功能强大,可以有若干个数据采集点,例如Gn口或者Gi口的分光数据,各个业务系统采集到的各种数据来源,包括彩信、短信、GPRS、WAP、手机邮箱、用户终端信息、不良信息监测系统数据、垃圾短信监测系统数据等。对采集到的海量数据,可以对其进行分析、过滤,检测手机病毒传播情况,并对检测到的手机病毒进行封堵查杀。如何对采集到的数据进行分析检测,有两种方法:基于用户行为分析和基于病毒特征检测,详细介绍请见3.2节和3.3节。
因此,目前手机病毒网络侧防治方案可以分为三种类型:单纯基于用户行为分析、单纯基于病毒特征检测和基于用户行为和病毒特征检测相结合。
用户行为分析法已经在互联网业务中广泛应用。互联网用户行为分析,是指在获得网站访问量基本数据的情况下,对有关数据进行统计、分析,从中发现用户访问网站的规律,并将这些规律与网络营销策略等相结合,从而发现目前网络营销活动中可能存在的问题,并为进一步修正或重新制定网络营销策略提供依据。
互联网用户行为分析是指发现用户使用网络资源所呈现的规律,当将此种分析方法应用到移动网络的手机病毒防治工作中时,行为分析法的基础就是手机病毒软件行为,如非法订购、信息泄露等都具有共性行为特征。移动网络现有系统的数据采集功能强大,可以为二次数据挖掘提供支撑,例如Gn口的分光数据或者通过接口方式从各个业务系统采集到的各种数据来源。从采集到的数据中可以提取到的样本举例如下:(1)同类行为用户超过门限数值;(2)播的同个手机可执行文件数量超过门限数值;(3)上网数据包包含异常特征字等等。从采集数据中得到的用户信息可以用于分析感染手机病毒的受害用户行为,得到的手机病毒URL可以获得手机病毒样本,用于研判工作。
手机病毒防治方案中的行为分析主体是由于手机病毒导致的异常用户行为,因此在实际应用中可以通过手机病毒典型案例研究总结出各种异常用户行为,形成特征库。之后对网络上采集到的相关数据根据特征库进行扫描,检测出网络上手机病毒的蔓延情况。
病毒体特征检测法的原理是对已掌握的手机病毒建立手机病毒特征库,对网络上传送的文件或者数据流根据特征库进行全量、快速扫描,检测出网络上手机病毒的蔓延情况。
此种方法中需要对采集到的数据进行深度通信报文解析,以便提取出手机病毒有效特征与特征库相比对。其中深度通信报文解析涉及到DPI技术,主要是利用DPI分析技术,从二进制流内重组数据,并针对应用层协议解码进行深度检测。
病毒体特征检测法在现网中已有成功案例,例如“彩信病毒Commwarrior”的追查。首先通过彩信中心分离出彩信体中的附件文件,筛选出手机支持的特殊格式文件,然后对相关附件通过病毒特征库进行扫描,侦测出彩信病Commwarrior 蔓延情况。
手机病毒网络侧防治方案中的两种分析方法,用户行为分析法和病毒体特征检测法的对比分析如下:
(1)在三种形式病毒的发现能力方面,用户行为分析法优于病毒体特征检测法。用户行为分析法对感染手机病毒用户的异常行为进行分析,发现手机病毒感染情况,这种实现原理可以发现所以形式的手机病毒,包括病毒式、木马式和厂家内置后门式。而病毒体特征检测法主要由采集的海量数据中恶意URL下载手机病毒体对其进行分析研判,找出病毒特征码,这种实现原理不能发现厂家的内置后门。
(2)在已知未知病毒的发现能力方面,用户行为分析法优于病毒体特征检测法。用户行为分析法对感染手机病毒用户的异常行为进行分析,不同的手机病毒其感染用户的异常行为具有共同性,只要用户异常行为特征库中有此特征,即使该病毒是最新出现在移动网络中的病毒,也可以被发现。而病毒体特征检测法的病毒特征库中保存的病毒特征码则是在提取到病毒样本,并对其进行分析研判后才能得到。因此对刚开始蔓延的未知病毒不具备检测条件,只能被动等待通过投诉发现并分析。
(3)在外部病毒特征库依赖程度方面,病毒体特征检测法对外部病毒特征库的依赖程度要远高于用户行为分析法。因为在新型手机病毒层出不穷的情况下,外部安全公司难以快于运营商获取病毒的行为特征。然而在病毒体特征检测法中,完全依靠现网监测很难及时发现所有手机病毒,需要外部安全公司提供的手机病毒库进行必要的补充。
(4)在外部病毒特征库的借助程度方面,病毒体特征检测法优于用户行为分析法。因为借助外部病毒特征库资源,病毒体特征检测法可以快速检测现网病毒的蔓延情况。而用户行为分析法则需要首先对感染手机病毒用户的异常行为进行分析,建立用户异常行为特征库。
(5)在特征库的实时性方面,用户行为分析法优于病毒体特征检测法。用户行为分析法在确定某种异常用户行为是由于某种手机病毒导致后便可将其加入到用户异常行为特征库中。而病毒体特征检测法即使提取到病毒样本后,还需对其进行分析研判,提取特征码后将其加入到病毒特征库中,整个过程需要耗费较多时间。若对病毒研判能力较弱,对外部安全公司提供特征库的依赖性更强,特征库的实时性就更差。
用户行为分析法在对手机病毒的发现能力以及特征库的实时性等方面都优于病毒体特征检测法,然后病毒体特征检测法借助外部病毒特征库资源,可以快速检测现网病毒的蔓延情况。因此将病毒体特征检测法作为行为分析检测技术的辅助手段配合使用,能够起到较好的效果。
手机病毒终端侧防治方案即在用户的终端上安装能够查杀手机病毒的软件。杀毒软件中使用最为常见的是特征值杀毒法。在对某个病毒进行分析之后,提取出其不同于其它程序的代码特征,然后以此特征作为扫描程序扫描特定病毒的代码标志。特征值可以是一段连续的固定字符串,也可以是几段中间插有其它不确定字符的不连续的字符串等。由于杀毒软件需要对成千上万的病毒进行查杀,因此需要将其分成两个部分:病毒扫描引擎和病毒特征库。病毒扫描引擎负责从病毒特征库中获取病毒的特征值,使用该特征值对磁盘上的所有或部分文件进行扫描。病毒扫描引擎是不会经常改动的,杀毒软件为了查杀最新出现的病毒,病毒特征库需要及时更新。在发生重大病毒疫情时,病毒库也应该通过网络及时更新。杀毒软件也可以使用在线杀毒的方式,即病毒特征库不保存在本地手机中,而是保存在与移动互联网相连的某台服务器中,使用这种方式可以节省本地空间,并且保证病毒库及时更新。
表1 网络侧防治方案与终端侧防治方案对比
手机病毒网络侧防治方案与终端侧防治方案相比,如表1所示,运营商针对网络侧方案的可掌控范围及能力要更大,并且网络侧方案不需终端用户介入,不消耗用户侧资源,可以覆盖全网用户,病毒无法干扰网络侧防护系统的正常运行,也无法躲避防护系统的监测与拦截。
而相对来说,运营商针对终端侧方案的可掌控范围及能力要小很多,终端侧防护系统即安装杀毒软件属于单机防护,无法全网控制,因为全网用户人数众多,无法要求每位用户都能够自行安装杀毒软件,并且也不能保证每位用户都能够正确使用杀毒软件。而且杀毒软件需要消耗用户手机的资源,并且大部分都需要收费。同时,手机病毒可以通过关闭杀毒软件和改变自身文件特征等方式逃避杀毒软件的查杀。
综上所述,虽然网络侧防治方案相对于终端侧防治方案具有一定的优势,例如无需用户介入,接入网络即能得到保护,不消耗用户侧资源,可以覆盖全部中国移动移动用户,可全网统一拦截病毒,免费向用户提供病毒检测服务,病毒无法躲避检测拦截,无法干扰网络侧防治系统运行,但是网络侧防治系统最终是无法清除用户侧手机内的病毒,因此采用以网络侧为主、终端侧为辅的手机病毒防治模式更有利于解决目前中国移动面临的挑战。
通过手机病毒的防治工作,主动发现手机病毒,可以减少手机病毒引发的客户投诉,大量节省处理投诉的人力成本,并且有效清除了由于手机病毒引发的网络资源占用,大量节省网络资源,同时也可以为中国移动和整个通信行业赢得良好声誉。
智能手机带来了便利的业务,也带来了潜在的危机。手机病毒的出现和某些病毒的较大范围传播,对普通用户和移动运营商都提出了挑战。移动运营商、用户和手机制造商对产业链上的各个环节均造成了影响,各个环节之间应该相互配合,共同完成防病毒工作。尤其是移动运营商在网络侧的监测与查杀工作在整个病毒传播过程中起着至关重要的作用,终端用户的防范机制和手机制造商的自律与安全技术的提升也是不可缺少的部分。手机病毒是可防、可控、可治的,随着智能手机的广泛应用,手机病毒技术快速发展,对其的防范也必将是一项长期性的工作。
[1]徐威,方勇,吴少华,吴毓书. 手机病毒的攻击方式和防范措施[J]. 信息与电子工程,2009,(1):66-70.
[2]黄丹,桑梓勤. 移动通信网络病毒防治方案浅析[J]. 光通信研究, 2008,(2):39-40.
[3]江洁. 手机病毒的发展及对策[J]. 信息通信,2007,(3):70-72.
[4]周虹. 手机病毒的危害及其防范[J]. 湖南广播电视大学学报,2007,(2):64-65.
[5]马晓艳. 针对3G手机病毒的产业链分析[J]. 计算机安全,2008,(12):76-78.