阻擊移動互聯(lián)網(wǎng)病毒，保衛(wèi)用戶終端安全體驗

    手機病毒——病毒發(fā)展的下一個目標

    2010年4月，一條內(nèi)容為“’手機骷髏’傾情奉獻章子怡私密信息，請上http://transdin”的彩信在客戶中廣泛傳播快速泛濫�！�手機骷髏’為一款手機病毒，它偽裝成手機應(yīng)用軟件“系統(tǒng)中文語言包”誘騙客戶下載安裝之后，能夠強制客戶手機聯(lián)網(wǎng)下載特定的號碼，并自動向這些號碼及通訊錄的號碼發(fā)送彩信，然后刪除發(fā)送記錄，客戶因此被消耗大量通信費，一般都在200元以上。該病毒還會發(fā)送手機個人信息到黑客控制的服務(wù)器，造成嚴重的信息泄露。同時，收到該彩信的其他手機客戶繼續(xù)受到“手機骷髏”的威脅，使“手機骷髏”的感染量不斷地、以幾何級放大。2010年6月，央視焦點訪談曝光“手機吸費”，目標直指運營商管理失職。事實上，2010年以來，手機病毒日趨活躍，其背后是一條黑色的產(chǎn)業(yè)鏈，年收入達十億元水平。隨著3G網(wǎng)絡(luò)的推進和我國智能手機的不斷普及，手機病毒成為了病毒發(fā)展的下一個目標。

    打響手機病毒阻擊戰(zhàn)，保衛(wèi)用戶安全體驗

    手機病毒是一種破壞性程序，和計算機病毒（程序）一樣具有傳染性、破壞性。手機病毒可利用發(fā)送短信、彩信，電子郵件，瀏覽網(wǎng)站，下載鈴聲,藍牙等方式進行傳播。手機病毒可能會導(dǎo)致用戶手機死機、關(guān)機、資料被刪、向外發(fā)送垃圾郵件、撥打電話等，甚至損毀SIM卡、芯片等硬件。如今手機病毒，受到PC病毒的啟發(fā)與影響，也有所謂混合式攻擊的手法出現(xiàn)。同時，WCDMA上網(wǎng)卡的大量使用及流量型業(yè)務(wù)的快速增長，將傳統(tǒng)互聯(lián)網(wǎng)的安全問題也帶進了移動分組域，病毒等流量占用了無線及分組域的資源。

    諾基亞西門子移動互聯(lián)網(wǎng)安全解決方案——惡意軟件管控

    諾西解決方案通過對流量特征以及應(yīng)用程序內(nèi)容的監(jiān)測，實時發(fā)現(xiàn)手機病毒、惡意軟件、僵尸網(wǎng)絡(luò)主機等各類安全問題。對于檢測到的安全問題，可以通過主動切斷惡意流量、封堵惡意代碼傳播鏈接、或通過推送提示信息、發(fā)起客服呼叫等方式告知用戶并引導(dǎo)用戶安裝終端側(cè)的殺毒軟件徹底清除安全威脅。

    諾西解決方案通過海量數(shù)據(jù)分析、挖掘，提取出惡意代碼的傳播利益鏈，幫助運營商追查惡意代碼源頭，并分析利益鏈條，并作為處理證據(jù)留存。

    目前，該方案廣泛應(yīng)用中華電信、沃達豐、西班牙電信等眾多運營商網(wǎng)絡(luò)。在國內(nèi)，現(xiàn)有使用案例中單套系統(tǒng)最大監(jiān)控現(xiàn)網(wǎng)流量900Gbps以上，總存儲能力600T;此外還有在某省管控帶寬260Gbps、河北聯(lián)通IDC數(shù)據(jù)中心，總出口帶寬60Gbps,總監(jiān)控服務(wù)器愈6000臺等。

    諾西惡意軟件管控概覽

    惡意代碼檢測技術(shù)

    對于已知手機病毒：

    – 高速電信網(wǎng)線速手機病毒掃描與防護

    – 支持復(fù)雜彩信的解析和彩信病毒的高速檢測與捕獲

    對于未知手機病毒：

    – 基于網(wǎng)絡(luò)行為特征的智能未知病毒檢測技術(shù)，同時可對手機病毒的傳播進行溯源與定位。

    系統(tǒng)功能

    – 實時分析網(wǎng)絡(luò)異常流量（MMS，HTTP），樣本留存。

    – 實時分析用戶異常行為（MMS，HTTP），樣本留存。

    – 實時檢測病毒、木馬、惡意代碼和敏感詞等信息。

    – 支持掃描sis、sisx、jar、apk、cab、exe等格式安裝包。

    – 支持彩信內(nèi)容匹配以及黑、白名單設(shè)置。

    – 支持傳播者/感染者的IP及手機號信息，傳播途徑、傳播時間、病毒類型，病毒樣本等分析。

    – 支持惡意軟件URL分析、除重，訪問量排名等。

    – 支持惡意代碼利益鏈分析。

    手機病毒終端類型要求

    SymbianOS；Android；iOS；PalmOS；BlackberryOS；Windows Mobile；J2ME；

    程序包掃描支持格式要求

    SIS、SISX、EXE、JAR、APK、CAB等

    網(wǎng)絡(luò)協(xié)議支持類型

    支持GPRS網(wǎng)絡(luò)Gn、Gi口；支持GTP、GRE協(xié)議分析；支持MMS、HTTP、WAP、POP3、FTP、Telnet等協(xié)議分析；

    監(jiān)控方式

    – 旁路監(jiān)聽模式；

    – 支持用戶臨時IP與用戶手機號碼實時綁定；

    – 支持自動發(fā)現(xiàn)手機號和智能識別目標手機類型的功能；

    – 支持目標網(wǎng)站IP與URL綁定；

    – 支持目標和手機惡意代碼特征庫自動智能匹配功能；

    – 支持實時封堵設(shè)備同步URL黑名單。

    分階段戰(zhàn),保衛(wèi)用戶安全體驗

    建設(shè)一個基于用戶、時間、應(yīng)用、內(nèi)容、帶寬等元素對手機惡意軟件進行全面而靈活的策略設(shè)置，把網(wǎng)絡(luò)風險管理從“被動式響應(yīng)管理”提升為“主動式預(yù)警管理”，從“防范管理”提升為“控制管理”，把網(wǎng)絡(luò)的“通信安全”提升為“應(yīng)用安全”，把對內(nèi)容的“單純封堵”提升為“新業(yè)務(wù)類型-綠色上網(wǎng)”。

    為了實現(xiàn)真正安全的網(wǎng)絡(luò)環(huán)境，運營商需要“內(nèi)外兼修”，除了阻擋來自競爭對手的外部攻擊外，通過大力加強內(nèi)容安全平臺的建設(shè)，將外部對運營商的壓力轉(zhuǎn)換成一個創(chuàng)新業(yè)務(wù)。