手机恶意软件网络侧封堵效果验证方法研究

常玲, 吴兴耀, 杜雪涛

（中国移动通信集团设计院有限公司，北京 100080）

随着移动终端的智能化，以及移动数据业务的快速增长，移动互联网得到了快速发展。人们越来越依赖智能的手机终端实现各种各样的数据业务，如浏览新闻、收发彩信、收发邮件、网上支付、聊天、游戏等。据市场研究公司iSuppli发表的研究报告称，2011年全球智能手机出货量达到4.78亿部，约占全球手机市场份额的33%，预计到2015年，全球智能手机出货量将达到10.3亿部，约占全球市场份额的54%。因此，预计在未来3年，中国智能手机的销售量将持续高速增长，智能手机用户数占比将持续增高。移动智能终端日益普及、日趋PC化，推动移动互联网业务迅猛发展带来机遇的同时，也带来更高的要求和挑战，将和PC终端一样面临巨大的安全风险。目前，移动智能终端面临的主要安全威胁来自手机恶意软件。虽然通过手机恶意软件搞恶作剧和炫耀技术依然存在，但由于手机恶意软件的获利较为便利，已经逐步转变为利益驱使。截至2011年黑色产业链年获利已经超过10亿元。因此手机恶意软件防治工作已经势在必行。

1 治理现状分析

2010年起，运营商开始在试点省公司建立手机恶意软件监测系统，开展网络侧监测，并对监测发现的疑似手机恶意软件进行分析研判。对于影响范围大、性质恶劣的恶意程序事件，在上报主管部门的同时，第一时间进行封堵、客户告知等工作；对于涉嫌违规的合作伙伴，按照业务管理规定进行坚决打击。定期向客户发布手机恶意软件预警信息，通过网站、微博等向客户宣传恶意软件防范知识，提高客户防范意识。

试点省公司定期向集团公司汇报手机恶意软件监测情况，集团公司在汇总后向相关省公司下发手机恶意软件待封堵IP地址列表，完成手机恶意软件封堵工作。

对于手机恶意软件封堵效果的验证方法，传统的做法是使用手机终端直接逐一拨测已封堵IP地址列表。虽然此种方法实现简单，无需软件开发工作，但是其局限性也很多，具体体现在如下几个方面。

（1） 当已封堵IP地址较多时，验证周期长。

（2） 人工输入IP地址，易出错。

（3） 拨测结果不易保存。

（4） 不易查明IP路由及封堵漏洞。

（5） 功能难以扩展，没有进一步挖掘手机恶意软件IP地址封堵列表在手机恶意软件网络侧防护工作中的扩展应用。

因此，本文提出了一种手机恶意软件网络侧封堵效果的自动验证方法。

2 封堵效果自动验证方法

手机恶意软件网络侧封堵效果自动验证方案大致如图1所示，使用安装在电脑上的手机恶意软件网络侧封堵效果自动验证软件，经2G/3G数据卡，自动逐一拨测已封堵IP地址并验证封堵效果，对于没有封堵成功的IP地址进行路由追踪，便于后期定位封堵漏洞。

图1 手机恶意软件网络侧封堵效果验证方法

此方案包括硬件系统和软件系统。硬件系统包含PC机和2G/3G数据卡。软件系统包含安装在PC机上的手机恶意软件网络侧封堵效果自动验证软件及其配套软件系统（如数据库、驱动程序等）。PC机通过2G/3G数据卡接入移动网络。手机恶意软件网络侧封堵效果自动验证软件采用单机版，有利于实现软件功能的升级和维护。软件初期的主要功能是实现手机恶意软件网络侧封堵的效果验证及封堵漏洞的定位。随着手机恶意软件防治工作的深入，在获得手机恶意软件研判能力的基础上，软件功能可进一步升级，能够对手机恶意软件的IP地址在用户指定的范围内进行爬取，对爬取到的网页内容进行研判，判断其是否包含手机恶意软件。

手机恶意软件网络侧封堵效果自动验证软件包含以下功能模块，分别是导入模块、自动拨测模块、路由追踪模块、爬取模块和研判模块。该软件包括两个主体流程图：自动拨测流程和爬取研判流程。自动拨测流程大致如图2所示。

图2 手机恶意软件网络侧封堵效果自动验证软件的自动拨测流程

其中导入模块的主要功能是将手机恶意软件已封堵IP地址列表导入到软件系统中，支持的导入列表格式应包括Excel、txt等。自动拨测模块的主要功能是依次提取已封堵IP地址列表中的内容，进行自动拨测。如果拨测成功，则激活路由追踪模块，记录该拨测过程中的路由列表并保存到数据库中。如果拨测不成功，则继续拨测下一IP地址。自动拨测某一IP地址的过程即通过软件触发链接某一IP地址，经由2G/3G数据卡接入到移动网络，并最终链接到目标IP地址的过程。路由追踪模块的主要功能是记录本机成功链接到某一IP地址所经过的所有路由器IP地址。

爬取研判流程如图3所示。其中导入模块的主要功能是将手机恶意软件待爬取的IP地址列表导入到软件系统中，支持的导入列表格式应包括Excel、txt等。爬取模块的主要功能是按照用户选择的范围（例如对IP地址在上一级域名和下一级域名的范围内）依次对手机恶意软件待爬取的IP地址列表中的内容进行主动爬取。研判模块的主要功能是将爬取模块爬取到的网页内容与手机恶意软件特征库进行比对，如果比对成功，则认为此网页含有手机恶意软件，保存其URL，便于后期封堵。

图3 手机恶意软件网络侧封堵效果自动验证软件的爬取研判流程

手机恶意软件网络侧封堵效果自动验证软件除了上述主要功能模块以外，还可以包含工程管理模块，完成新建工程、打开工程、关闭工程、保存工程等功能。

与传统的封堵效果验证方法即使用手机终端直接逐一拨测已封堵IP地址列表相比，自动验证方法有如下优点。

（1） 能够查明IP链接的路由地址表，易于发现封堵漏洞。

（2） 可导入IP地址封堵列表，自动完成拨测，验证迅速，不易出错，并且节省人力资源。

（3） 拨测结果易保存、易存证。

（4） 功能扩展性强，便于后续对于手机恶意软件防护能力的增强。

3 结束语

智能手机带来了便利的业务，也带来了潜在的危机。手机恶意软件的出现和某些恶意软件的较大范围传播，对普通用户和移动运营商都提出了挑战。尤其是移动运营商在网络侧的监测与查杀工作在整个手机恶意软件传播过程中起着至关重要的作用。

运营商通过手机恶意软件的防治工作，主动发现手机恶意软件，可以减少手机恶意软件引发的客户投诉，大量节省处理投诉的人力成本，并且有效清除了由于手机恶意软件引发的网络资源占用，大量节省网络资源，同时也可以为整个通信行业赢得良好声誉。

[1] 来晓阳，时镇军. 手机病毒全流程治理方案及实现[J]. 电信技术，2012,(4):22-24.

[2] 来晓阳，洪晶，杭跃斌. 手机病毒综合治理思考[J]. 电信工程技术与标准化，2011,(10):38-41.

[3] 周虹. 手机病毒的危害及其防范[J]. 湖南广播电视大学学报，2007,(2):64-65.

[4] 徐威，方勇，吴少华，吴毓书. 手机病毒的攻击方式和防范措施[J]. 信息与电子工程，2009,(1):66-70.