移动互联网恶意程序主动安全防护措施研究

王东升 裴 培 张 第 赵 锴 潘思宇

中国联通研究院 北京 100048

引言

5G技术的商用和移动网络应用的普及，特别是新冠疫情于2020年初暴发以来，我国移动互联网用户及手机线上业务获得长足发展。据中国互联网络信息中心(CNNIC)统计[1]，截至2021年6月，我国手机网民规模达10.07亿，较2020年12月增加2092万。网民使用手机上网比例达99.6%。我国十亿网民已占全球五分之一，构成了名符其实的全球最大数字社会。

伴随移动互联网的发展，移动互联网恶意程序(也称“手机病毒”)带来的潜在风险和危害也随之增加。据国家互联网应急中心(CNCERT)统计[2]，2021年上半年发现新增移动互联网恶意程序86.6万余个。这些手机病毒会劫持用户手机终端导致个人敏感信息泄漏，会利用手机平台漏洞导致手机无法正常使用，会控制手机不断向通讯网络发送垃圾信息造成网络瘫痪，还会通过漏洞后门乱扣费甚至造成国家机密信息泄漏等。

作为基础电信运营商，针对移动互联网恶意程序的安全攻击，可以采取以下主动安全防护措施，最大限度减轻网络和移动终端遭受的损失：针对移动互联网网络流量和网内移动用户终端在线持续监测处置的主动安全防护技术措施，针对移动应用提供者的主动安全监管措施，以及针对移动用户终端的主动安全引导和支持措施等。

1 针对网络流量和移动终端的主动安全防护技术措施

移动互联网恶意程序可以分为八种类型：恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为(驻留并影响用户终端正常使用)[3]，但是从传播特性看，移动互联网恶意程序大体分为两类：

1)从手机端与病毒服务器端通信，控制用户手机终端，获取不当利益，大部分恶意程序均属于这一类型；

2)长期驻留在用户移动终端上，消耗手机资源，影响用户正常使用，例如流氓行为类。

从2021年上半年统计结果[2]看，属于第二类的以驻留为特征的流氓行为类恶意程序占比47.9%，持续排名第一；属于第一类的资费消耗类、信息窃取类恶意程序占比分别为20.0%、19.2%，排名第二、第三。

针对上述恶意程序的特征，基础电信运营商可以通过对企业移动互联网流量和网内移动用户终端进行持续的在线监测、分析和处置提供主动安全防护。这两种措施不仅可以在线监测恶意程序并进行在线封堵，还可以捕获疑似恶意程序样本进行研判，作为升级恶意程序特征库的依据。通过这些技术措施，绝大部分移动互联网恶意程序将得到有效防治。

1.1 针对移动互联网流量的在线采集、监测分析和处置

实现对移动互联网流量的在线采集、监测分析和在线处置，运营商需要建设专门的移动互联网恶意程序监测处置系统，包含流量在线采集、监测、分析、处置和管理等能力。流量在线采集、监测、处置和管理体系如图1所示。

图1 流量在线采集、监测、处置和管理体系示意图

1.1.1 流量在线采集

在运营商3G/4G/5G以及未来移动通信网中，在省级移动互联网的流量通道汇聚点，例如Gn、PI、S11、S1-U等接口位置，在线采集移动互联网原始流量，通过深度DPI技术进行协议解析、数据包重组和文件还原。其中5G网络也会在跨省业务大区的云机房，采集汇聚分流设备上的数据[4]。

1.1.2 流量监测

流量监测包括对恶意程序和恶意事件的监测分析能力。

1)恶意程序监测分析：根据恶意程序样本MD5特征库、恶意程序行为特征库、疑似恶意程序行为特征库等，识别其中的恶意程序和疑似恶意程序，对疑似恶意程序样本进行捕获并提交至安全管理平台。恶意程序样本应包括原始文件名、MD5值、文件大小、程序属性分类等基本信息内容。

2)恶意事件监测分析：依据恶意程序特征库内的恶意程序下载URL、恶意程序主控URL、疑似恶意程序行为筛选规则等信息内容，对用户访问记录进行检测和分析，识别恶意传播和受控事件，捕获疑似恶意程序文件并提交管理平台进行研判。

恶意程序及疑似恶意程序特征库由企业自建，由安全管理平台向各监测处置单元下发。信息来源有CNCERT、行业或相关组织、企业内部记录分析提出等。

1.1.3 流量处置

流量处置是依据处置规则对流量监测分析发现的网内恶意程序和恶意事件进行阻断或重定向的能力。其技术原理是采用TCP连接和错误代码实时阻断技术，具体包括ACL包过滤、流量TCP Reset、在线拦截恶意程序域名、IP地址或URL等技术，根据手机号码、用户标识(IMSI)、硬件标识(IMEI)等信息，阻断恶意程序传播链，全面控制移动恶意程序的传播和下载。其中流量阻断生效后，恶意程序的控制端和下载端将无法相互访问；流量重定向生效后，访问恶意程序的请求将被跳转到指定网页。

流量处置规则由企业自建，由安全管理平台向各监测处置单元下发。信息来源包括CNCERT、行业或相关组织、企业内部记录分析提出等。

1.1.4 安全管理平台

企业应建立安全管理平台对网内移动互联网恶意程序和恶意事件的监测及处置进行集中管理，包括以下能力。

1)接收数据：接收CNCERT下发的监测特征库信息和处置规则要求；企业各监测处置节点上报的恶意程序样本和事件数据。

2)发送数据：向CNCERT报送所监测到的恶意程序样本及恶意事件数据；向企业各监测处置节点下发特征库及处置规则更新信息。

3)展示分析：对恶意程序样本和恶意事件信息的统一展现、告警下发、本地存储等，对危害类型、区域分布、捕获量、上报数量、预警等进行分析。

1.2 针对网内移动终端的在线监测和处置

实现对网内移动用户终端上恶意程序的在线监测和处置，运营商需要建设专门的面向用户手机终端的移动互联网恶意程序监测处置系统，包含用户手机终端监测处置模块和运营商安全管理平台。面向用户手机终端的监测处置和安全管理体系如图2所示。

图2 面向用户手机终端的监测处置和安全管理体系示意图

1.2.1 网内移动用户终端监测处置

运营商应引导网内移动用户在移动终端上安装由运营商提供的监测处置模块，获取捕获恶意程序和疑似恶意程序样本、与管理平台共享数据、手机杀毒、安全提醒等服务。

1)接收数据：接收由平台侧下发的恶意程序监测特征库信息，作为查杀恶意程序和捕获疑似恶意程序样本的依据。特征库信息包括恶意程序样本、恶意行为特征、疑似恶意程序行为特征等。

2)发送数据：按照特征库规则捕获的疑似恶意程序样本，记录的恶意事件信息，均需要上报给管理平台进行研判，作为特征库升级的依据。

3)防护查杀：根据监测到恶意程序，在移动终端上进行查杀和清除，并形成查杀日志。

4)安全提醒：获取安全管理平台下发的恶意程序信息，提醒用户及时进行安全查杀。

1.2.2 安全管理平台

运营商应建设专门针对移动终端监测处置的安全管理平台，进行集中分析和管理。

1)接收数据：接收网内用户移动终端上报的恶意程序样本及恶意事件信息，作为进一步研判和升级特征库的依据；接收网络侧流量监测处置管理平台发送的特征库信息。

2)发送数据：向网络侧流量监测处置管理平台共享所收集的恶意程序样本和恶意事件信息，作为升级网络侧特征库的信息来源；向终端监测处置模块下发特征库更新信息。

3)封堵处置：通过流量侧监测处置系统，对终端侧发现的恶意程序进行全网封堵。

4)安全提醒：将最新的恶意程序信息，同步至终端监测处置模块，提醒用户及时进行安全查杀，实现网络侧和终端侧联动，为用户进行全面防护。

由于面向移动用户终端的监测处置安全管理平台，需要与用户模块进行网络联动，实践中建议该平台要单独建设，而不能与涉及运营商核心网的流量侧监测处置安全管理平台合建，而且要采取可靠的安全隔离措施，确保不影响网络侧平台安全运行。

2 针对移动互联网应用的安全监管措施

移动互联网应用开发质量良莠不齐，用户在移动终端使用过程中又会不断更新版本或下载新的应用，因此移动终端安全隐患可能在移动应用下载的源头就已埋下[5]。仅2021年1月，CNCERT已经向应用商店、个人网站、广告平台、云平台等传播渠道通报下架移动互联网恶意程序496个[6]。

为了充分保护移动用户不受移动恶意应用的侵害，基础电信运营商可以利用在产业链中应用推广和业务监管方面的条件，以及恶意程序监测处置的技术能力条件，配合监管部门对移动互联网应用进行主动的安全审计和监管。

1)移动恶意程序传播的源头主要是移动应用商店等渠道，运营商可以对新上线的移动应用主动进行代码审计和漏洞扫描、引导开发者使用安全的开发环境、明确开发者及应用商店的责任、对移动应用从开发到下线的全生命周期进行监管。

2)配合政府监管部门，加强通信、互联网、设备提供商等领域的联动和信息共享，主动提供恶意程序相关线索、证据，提升对恶意移动应用的监测能力和处置效率。

3)发挥企业社会责任，为举报提供接口和奖励，对利用恶意程序损害用户权益的恶意程序开发商、经销商、提供商则提请相关部门依法进行处理。

4)从技术、监管等角度主动为立法机关和执法机关修补相关法律漏洞，最大限度地压缩恶意程序存在的空间提供全面支持。

3 针对移动终端用户的安全引导和支持措施

除了移动数据网络，移动用户还会通过Wi-Fi、蓝牙等方式登录互联网，因此仅靠运营商在网络侧采取技术手段还不能完全保障用户手机终端安全。移动用户自身还应提高安全防护意识，养成正确的手机使用习惯，确保移动终端的使用安全[7]。

为了协助移动用户正确使用移动终端，远离恶意程序带来的风险和危害，基础电信运营商可以利用运营企业在通信服务中的有利条件，主动提供安全引导和支持服务。

1)配合政府监管部门做好宣传工作，发挥企业社会责任，引导用户对重要信息加密、远离网上支付陷阱、防范病毒操控和财产损失等。

2)引导用户养成正确的移动终端和移动应用的使用习惯。

①在官方应用商店下载和更新应用软件：使用经过电子认证服务机构认证签名的应用软件，避免安装未知来源，散布在论坛、非安全渠道中可能已经被病毒二次打包后的应用。

②慎重从第三方网站下载软件：要详细阅读应用软件各项要求，分析软件功能，确保不会对个人利益产生影响。

③关注应用软件行为：在安装、启动、功能调用时是否保障用户的知情权和对信息的控制权，关注应用软件是否有异常行为，保留实现用户需求的最小权限。

④使用安全防护软件：对应用进行监控和管理，对恶意程序权限调用预警，进行流量监控，对流氓软件彻底卸载等；及时更新应用并修复漏洞，避免被攻击者趁虚而入。

⑤网上浏览：不要选择记住我的用户名和密码，确认在退出时清空历史记录和缓存内容，启动用户认证等。

3)引导用户安装专业的安全防护软件：引导用户安装运营商提供的安全监测处置客户端，实现网络侧和终端侧安全联动；引导用户安装专业安全客户端并及时进行病毒查杀。

4)引导用户不要盲目使用免费Wi-Fi：及时关闭蓝牙、Wi-Fi等功能，避免掉进攻击者仿冒的Wi-Fi“黑网”陷阱，造成上网流量被截获；连接公共Wi-Fi时，尽量避免支付和登录操作，避免登录密码、支付密码等敏感信息被非法窃取。

5)引导用户不要随便扫描二维码：有些二维码隐藏着恶意代码，潜伏着对隐私权限访问的请求，因此在进行扫描之前一定要进行安全确认。

6)引导用户不要随意打开短信、彩信链接：许多手机病毒通过短信(彩信)链接传播，通过点击链接来诱导用户点击、安装、运行，然后窃取用户信息发送到指定邮箱，并接受远程控制执行相关恶意操作。

7)引导用户尽量不使用公共场合和陌生人提供的充电宝：避免由于充电宝内被植入恶意程序而带来的用户存储信息被窃取。

4 安全防护措施成效

中国联通多年来主动采取各种移动互联网恶意程序的安全防护措施，高质量完成工信部对基础电信运营商针对移动互联网恶意程序安全防护的建设要求，有效提高全网安全防护水平，保障网络和用户终端安全运行，已经取得良好的经济效益和社会效益。

1)网内移动互联网恶意程序监测处置系统随4G/5G扩容，覆盖全网流量，其中：监测能力包括包检测、流检测、文件检测；对异常流量实时检测，在线抓取疑似样本信息、支持白名单过滤、支持从邮件内容中检测URL地址、支持IPV6等等。处置能力包括对恶意程序传播阻断和重定向、受害终端异常流量阻断；基于源IP地址、目的IP地址、源端口、目的端口、协议及其组合对流量进行识别；黑名单功能；人工配置封堵/解封黑名单；阻断不告警、阻断告警等等实现对已知移动互联网恶意程序检测命中率99%以上。

2)为用户提供手机安全客户端服务，实现手机体检、手机清理、手机杀毒、骚扰拦截、流量监控、广告拦截、信息备份、行为监控等安全防护功能。

3)配合CNCERT安全监管，主动报送监测到的恶意事件和恶意样本。

4)积极向广大手机用户宣传安全防护常识，提醒在正规渠道下载手机APP、谨慎开启APP权限、谨慎链接公共Wi-Fi、谨防钓鱼网站、不轻易点击陌生链接等等。

5 结语

基础电信运营商具备基础网络方面的技术条件和在产业链中的业务监管及业务运营优势，面向移动互联网恶意程序，有能力提供基于持续在线监测和处置的主动安全防护技术措施和监管措施。

本文从基础电信运营商的角度，全面研究分析了运营商面向移动互联网恶意程序可以采用的针对移动互联网网络流量和网内移动用户终端的在线监测处置技术措施、针对移动应用提供者的安全监管措施、针对移动用户终端的安全引导和支持措施，为基础电信运营商在移动互联网建设、运行和服务中的安全防护措施建设提供参考思路和建议。

实现移动互联网恶意程序安全防护，有助于保障移动互联网健康、快速发展。本文分析总结的安全防护措施并不是要替代主机防护、终端防护、漏洞扫描等措施，而是可以与其相互补充，更好地保障移动互联网安全建设和运行。