手机防病毒工作的背景
2010年《第25次中国互联网络发展状况统计报告》指出,我国网民数量达3.84亿,其中手机网民2.33亿,占60.8%。目前中国移动用户使用的智能终端已经超过1亿部,仅江苏地区的移动智能终端用户就已超过1 000万。2010年上半年,江苏移动互联网业务流量增长了600%,数据业务占用带宽已经超过了语音业务。移动互联网已成为互联网发展不可逆转的趋势。
与此同时, 2010年,手机病毒和恶意软件突然爆发,手机报恶意订购软件出现,全国数万用户被感染,在不知情的情况下订购了业务;4月,手机骷髅病毒爆发,通过群发短彩信疯狂传播,造成用户手机欠费停机,感染用户数十万,这是国内首次出现大规模手机病毒感染事件。随后又出现短信海盗、音乐木马等一系列病毒,部分恶意软件经过不断升级,甚至发展到能获取用户通话记录、短信内容、位置信息,并对用户通话内容进行监听这样危险的程度。这些问题被报道后,造成了非常恶劣的影响。2010年,手机病毒数量已超过1000种。
目前,大量移动用户使用的是运营商提供的定制终端,在这种情况下,运营商需要与用户终端的安全密切相关。大部分手机病毒都是通过短信、彩信传播,有一些还会发送垃圾短信,恶意订购业务。这些都造成用户话费的损失,也对中国移动业务系统正常计费和企业声誉造成影响。
传统互联网的计费方式通常是按时长或包月计费,病毒流量一般来说对用户不会产生直接影响。手机上网基本按流量计费,病毒长期运行造成的流量费用无法忽视。病毒爆发时甚至会大量占用无线信道,严重影响网络质量。
移动终端带有通信录、通信记录、通信内容,进而能够标志用户位置信息,个人隐私属性非常强烈。随着移动支付、物联网的普及,移动互联网的安全更为重要。
手机安全问题泛滥一方面严重损害用户利益,另一方面造成运营商网络资源的严重浪费。手机病毒已成为移动互联网时代用户和运营商面临的共同威胁。
长期以来,病毒防护主要是通过终端侧安全防病毒软件来实现。这种方式需要占用宝贵的手机资源,可能造成兼容性问题,并且要求用户具备一定的安全知识。从目前网上智能终端的使用情况看,大部分智能终端并没有安装防病毒软件,手机病毒能够通过关闭杀毒软件、改变自身文件特征等方式逃避防毒软件的查杀。同时,在整个价值链中,运营商基本只作为一个通道存在,没有发挥出自身的技术和网络优势。现阶段迫切需要一种全新的移动互联网安全防护模式,让运营商能够成为手机安全产业链的主导,最大限度地提升移动互联网的安全防护水平。
江苏移动工作思路
江苏移动在2 0 1 0年初就敏感地意识到了手机病毒给广大移动用户带来的严重威胁,主动承担起保护用户的社会责任,发挥自身网络和技术优势,提出在网络侧实现主动手机病毒防护的方案。该方案具备一系列传统手段所没有的优势。从2010年5月起,江苏移动与国家互联网应急中心合作,在江苏地区开展了网络侧主动手机病毒检测防护的探索及研究工作。
手机病毒与一般计算机病毒的不同之处在于其感染对象和传播途径,目前感染对象主要是智能手机平台Symbian OS、Windows Mobi le、J2ME、Palm OS、Blackberry、iPhone OS等。其传播途径有以下3种。
⑴ 利 用 彩 信 M M S 传 播 。 如“Commwarrior”手机病毒通过MMS方式传播。
⑵利用短信SMS传播。通过短信传播带病毒的URL链接,诱骗用户下载手机病毒进行传播。
⑶利用GPRS网络窃取用户隐私和实现病毒变种,如手机卧底软件通过GPRS网络窃取用户的手机短信和通话记录。
这就要求系统能够还原G T P、WAP、HTTP、MMS等多个层次、多种协议的解封装,并且准确匹配其中的病毒特征。在现网大流量情况下实现实时监测,对算法的有效性和效率有非常高的要求。现有的信令监测系统、流量分析系统都无法做到这一点。
针对手机病毒的以上特点,江苏移动对手机防病毒系统进行了专门的设计,并在2010年5月部署上线。该系统覆盖南京地区,通过采集南京地区Gn口流量进行手机病毒的实时监测和防护。完整的移动互联网主动安全防护系统包括3个部分。
⑴手机病毒实时监测模块。通过在GPRS核心网上部署手机病毒监测设备以及对网络流量的深度解码,实现对手机病毒和恶意软件复杂流量特征的精准匹配,从而快速、准确地检测各类手机病毒和恶意软件。江苏移动部署的系统主要采用深度包检测机制,同时综合多个信息源,在网络协议4~7层进行深度识别,能有效识别出网络流量中核心网的僵尸网络、恶意软件、蠕虫病毒、垃圾邮件、拒绝攻击等恶意流量。为了提高对未知病毒的发现能力,该系统还具备未知手机病毒的智能发现功能,能够通过网络异常行为的深入挖掘快速捕获新出现的病毒。
⑵手机病毒拦截模块。能够提供短信/WAP提醒、实时在线拦截、彩信中心防毒3种模式的全套防毒解决方案,实现对手机病毒传播→下载→窃取数据这一流程的全面控制。
● 短信/WAP提醒方式:通过系统与短信网关接口提供的实时提醒消息,通知用户感染病毒或者刚下载的文件为恶意软件,通过推送链接方式,引导用户下载杀毒软件或者专杀工具以清除病毒,进一步引导用户订购相关病毒防护业务。
● 在线拦截方式:通过用户下载病毒或者感染病毒后向外传播信息,发送TCP Reset切断病毒下载或者直接封堵病毒下载、控制地址来阻断手机病毒。
● 彩信中心杀毒模式:系统判断并通知彩信中心该彩信为病毒,由彩信中心直接拦截该彩信。
⑶移动互联网地址溯源模块。通过Gn口信令消息中相关内容,记录私网IP地址和用户号码的对应关系,实现IP地址和用户号码的关联 。
综合以上3个模块,能比较完整地实现手机病毒实时监测和防护。
运行效果
以2011年3月为例,发现238种手机病毒(不含变种),每月检测到手机病毒事件总数600万次,感染用户数28万左右。
2010年9月,江苏移动的手机防病毒系统检测到一种新型病毒,即后来中央电视台《每周质量报告》报道的“手机僵尸”病毒。经工业和信息化部确认,该病毒被证实为“毒媒”木马。该病毒伪装成一般工具软件提供给手机用户下载使用,随后在服务器控制下实施各种破坏活动。
在中央电视台对该病毒进行专门报道后,江苏移动快速反应,按照切断病毒控制下载通道、瘫痪病毒控制机制的思路制定了封堵方案,该方案上报中国移动集团后被立即采纳并进行全网部署,取得了良好效果。根据目前监测情况分析,封堵之后,南京地区“毒媒”手机病毒感染用户数持续下降,目前较峰值已至少降低了50%,封堵效果良好。江苏省的快速响应引起了社会各界媒体广泛关注,省内10多家电台、电视台、报纸进行了专门报道,多家国家级媒体以及各大网站转载了相关报道。
江苏移动开展的防病毒工作有效地保护了广大移动用户的利益,为中国移动和整个通信行业塑造了良好的社会形象 。
社会效益和经济效益
以江苏移动智能手机用户1 000万计算,如果有5%的用户订购手机防病毒业务,按照每月3元计费,年业务收入1 800万元,随着智能手机的逐步普及,这一数字还将继续增大。如果全国推广,每年将产生2亿左右的业务收入,能够将GPRS网络上的垃圾流量降低90%,使得互联网、GPRS核心网投资节约10%左右,即每年约1 000万元,节约互联网结算费用1 000万元左右(推广到固定互联网),总效益每年4 000万元左右。同时,还能减少用户因为恶意业务订购造成的经济损失3 000万元左右,经济效益非常明显。
大幅提高手机安全防护的主动性和有效性,将安全问题控制在源头,是运营商安全防护体系的革命性变化。先于用户感知到移动互联网的各种安全威胁,有利于将安全问题对网络的冲击和对用户的影响降到最低。各类用户均能切实感受到中国移动为客户安全提供的全面保障,大大降低用户感染病毒、受到手机安全问题影响的概率。
系统创新性
江苏移动的手机防病毒系统在以下3个方面具有重要意义。
⑴ 全防护模式的革命性突破
实现了全流程的网络侧安全主动防护,能有效地保护所有网上客户,使病毒无法绕过系统的检测、拦截,让运营商在移动互联网安全产业链中占据主导地位。
⑵首次提出完整的网络侧手机病毒检测方式
在国内国际首次提出利用DPI技术实现网络侧手机病毒检测,并在现网中得到实现,系统运行效果良好,为实现主动安全防护奠定了坚实基础。
⑶首次提出全套的网络侧手机病毒拦截清除方案
首次提出了完整的手机病毒拦截、清除的方案并逐步实现,为下阶段实现面向全网的手机防病毒服务/业务奠定了坚实基础。
运营商开展手机防病毒工作的意义
这一案例充分说明了移动运营商在实施病毒防护工作中具有的天然优势,即掌握网络资源、拥有完备的技术手段。目前手机安全防护模式尚不明确,运营商应发挥更大作用。
运营商掌握着庞大的网络资源,拥有完备的安全防护手段,直接联系广大的手机用户,完全可以成为手机安全防护的主导。在政府相关部门指导下,建立集运营商、设备制造商、安全软件商、手机终端厂商在内的完整终端安全产业链。
由运营商主动建立的覆盖移动互联网整个价值链的安全防护体系,有效地保护所有网上客户,能大幅提高安全防护的主动性和有效性,将各类安全问题控制在源头,将手机病毒对网络的冲击和对用户的影响降到最低,有利于打造一个安全健康的移动互联网产业环境。
