《移动安全—江苏移动手机病毒防护研究与实践》由会员分享,可在线阅读,更多相关《移动安全—江苏移动手机病毒防护研究与实践(18页珍藏版)》请在金锄头文库上搜索。
1、迎接移动互联网时代的挑战迎接移动互联网时代的挑战- 江苏移动手机病毒防护研究与实践江苏移动手机病毒防护研究与实践 中国移动江苏公司中国移动江苏公司 2010年年12月月 移动互联网业务发展迅猛移动互联网业务发展迅猛 2011年1月第26次中国互联网络 发展状况统计报告 我国网民规模4.2亿,手机网民 2.77亿,占65.9%。 大约有4914万的网民只使用手机上 网 2010年全年中国移动数据业务流量 增加数倍,江苏更是超过800% 近4亿的移动宽带用户所产生的数据 流量超过了全世界46亿移动用户所产 生的语音流量。 据Gartner预计,到2013年,全球 PC保有量将达到16.2亿部,而智
2、能 手机和具备浏览器的传统手机的保有 量将达到16.9亿部。手机将超越PC 而成为人们的主要上网工具。 2009年,中国移动用户年智能终端比例在 13%15%之间,达到7500万部的规模, 2010年已经超过1亿部。 手机终端逐渐智能化 手机操作系统逐渐开放化 ?2010年3月 ,手机报恶意订购软件爆发,短短1周 之内,仅在江苏就造成8000多用户感染被扣费。 ?2010年4月,手机骷髅病毒在爆发,造成大量用户 手机欠费停机, 这也是中国手机病毒首次大规模 爆发。 ?2010年8月,出现利用分组域WAP PUSH消息传 播的手机病毒。 ?垃圾短信、手机病毒、分组域安全攻击、网络欺诈 交织在一起
3、,严重威胁用户安全。 ?截止2010年底,网络上能监测到的手机病毒超过 200种,计算变种在内超过1000种。 手机病毒快速增长手机病毒快速增长 手机病毒对运营商影响分析手机病毒对运营商影响分析 定制终端 运营商需为终端 安全负责 短彩信费用 通过短信、彩信 传播,产生用户 话费损失 恶意订购 恶意订购对梦网 业务产生负面影 响 网络流量 移动互联网流量 计费,病毒流量 费用不能忽视 客户隐私 病毒严重威胁手 机中的个人隐私 网络侧防病毒方式优势网络侧防病毒方式优势 ? 江苏公司主动承担起保护广大用户的社会责任,提出从网络侧实现主动手机病毒防护的 方案。该方案具备一系列传统手段所没有的优势。
4、? 方案一经提出,即得到工信部、省通信管理局的高度认可和全力支持。 终端防病毒方案网络侧手机防毒方案 需用户自行安装无需用户介入,接入网络即能得到保护 消耗手机处理资源,缩短待机时间不消耗任何用户侧资源 用户需具备一定安全知识不需要用户干预 只能单机防护,无法全网控制覆盖全部中国移动用户,可全网统一拦截病毒 大部分需要收费免费向用户提供病毒监测服务 病毒可通过关闭杀毒软件、改变自身文件特征来 逃避查杀 病毒无法躲避监测拦截 ,无法干扰网络侧防毒 系统运行 BSC BTS BTS GERAN Node B Node B UTRAN RNC DNS SGSNGGSN RADIUS DHCP Gn
5、/ Gp Gb 手机病毒 检测设备 ? 系统包括分光设备、手机病毒检测设备、移动互 联网地址溯源设备、手机病毒拦截设备等部分组 成,分别实现信息获取、病毒发现、用户定位、 病毒拦截功能。 ? 2010年4月,测试系统上线,覆盖南京地区,启 动测试系统上线工作 用户通信记录 业务订购流 量 僵尸网络 手机病毒 垃圾邮件 客户信息 正常网络用户僵尸网络 蠕虫病毒 手机窃听软件 恶意订购软件 移动互联网 地址溯源设备 F W 分光设备 Gi 手机病毒 拦截设备 江苏移动网络侧手机防病毒系统架构江苏移动网络侧手机防病毒系统架构 运营商网络运营商网络 GGSN SGSN Gn 内网内网 Gi GTP G
6、I/GK 彩信中心彩信中心 WAP网关网关 MM1 (http) 分光设备分光设备 短信中心短信中心 手机骷髅病毒手机骷髅病毒 3G 技术方案-手机病毒感染流程技术方案-手机病毒感染流程 手机病毒经常会伪装成短彩信或者应用软件进行传播,用户在点击查看、下载安装的 同时也感染了手机病毒。 手机病毒经常会伪装成短彩信或者应用软件进行传播,用户在点击查看、下载安装的 同时也感染了手机病毒。 运营商网络运营商网络 GGSN SGSN Gn 内网内网 Gi GTP GI/GK 彩信中心彩信中心 3G WAP网关网关 MM1 (http) 手机病毒监控平台实时监测告警手机病毒监控平台实时监测告警 分光设备
7、分光设备 病毒检测探针设备病毒检测探针设备 监控平台监控平台 CNCERT病毒库病毒库 短信中心短信中心 技术方案-手机病毒监测流程技术方案-手机病毒监测流程 通过GN口分光设备采集信令,当用户感染病毒时,手机病毒监控平台实时监测告警。通过GN口分光设备采集信令,当用户感染病毒时,手机病毒监控平台实时监测告警。 运营商网络运营商网络 GGSN SGSN Gn 内网内网 Gi GTP GI/GK 彩信中心彩信中心 3G WAP网关网关 MM1 (http) 手机病毒监控平台 分光设备 手机病毒监控平台 分光设备 病毒检测探针设备病毒检测探针设备 监控平台监控平台 CNCERT病毒库病毒库 1.网
8、络侧实施封堵 2.终端侧疏导用户 3.上报集团实施预警与应急响应 1.网络侧实施封堵 2.终端侧疏导用户 3.上报集团实施预警与应急响应 短信中心短信中心 WAP/CMPP疏导平台 预警与应急响应 网络侧封堵 网络侧封堵 用户侧引导查杀 疏导平台 预警与应急响应 网络侧封堵 网络侧封堵 用户侧引导查杀 技术方案-手机病毒清除流程技术方案-手机病毒清除流程 病毒清除目前主要为两种方式:1、针对投诉用户,由客户服务中心通过推送链接方式,引导 用户清除病毒。2、针对大规模病毒感染情况,上报集团公司部署病毒查杀方案。 病毒清除目前主要为两种方式:1、针对投诉用户,由客户服务中心通过推送链接方式,引导
9、用户清除病毒。2、针对大规模病毒感染情况,上报集团公司部署病毒查杀方案。 L5-L7: 应用层应用层 L4: 传输层传输层 L3: 网络层网络层 L2: 链路层链路层 L1: 物理层物理层 路由器路由器传统防火墙传统防火墙 TCP/IP 栈栈 NIC OSs Web 服务器服务器 Web应用应用 应用应用应用数据应用数据 HTTP 请求请求/响应响应 TCP 连接连接 IP 报文报文 Ethernet 报文报文 Bit on Wire 必须实现必须实现47 层深度检测层深度检测 基于DPI技术的GTP协议恶意流量特征检测基于DPI技术的GTP协议恶意流量特征检测 在本项目中,将综合采用商业安全
10、公司提供的恶意软件特征库和国家安全 中心提供国家级安全攻击特征库,发现尽可能多的安全问题。 运营商现有的分组域监测手段只检测1-4层的流量特征,难以发现目前应 用层上的恶意流量。而全流量DPI检测实现从4-7的深度识别,能有效地识 别出各类病毒与恶意软件。 在本项目中,将综合采用商业安全公司提供的恶意软件特征库和国家安全 中心提供国家级安全攻击特征库,发现尽可能多的安全问题。 运营商现有的分组域监测手段只检测1-4层的流量特征,难以发现目前应 用层上的恶意流量。而全流量DPI检测实现从4-7的深度识别,能有效地识 别出各类病毒与恶意软件。 工作流程工作流程 手机防病毒工作团队 ?以保障公众利益
11、为目标,建立一套包括病毒日常监测、分析、预警、封堵拦截、投诉支持、信息报送在内 的标准化手机防病毒流程体系。 ?整合中国移动集团/省公司、工信部国家互联网应急中心、中国移动终端服务基地、中国移动集团研究院资 源,实现对手机病毒的快速研判、快速拦截。 投诉支持 病毒预警 信息上报 沟通协调 病毒库同步 技术支持应急响应 应急响应 投诉支持 病毒预警 信息上报 沟通协调 病毒库同步 技术支持应急响应 应急响应 集团研究院 技术支持技术支持 ?以南京地区2月份为例:以南京地区2月份为例: ?发现病毒:210种发现病毒:210种 ? Symbian系统181种,占86%;Symbian系统181种,占
12、86%; ? Android系统11种Android系统11种 ? Windows Mobile系统16种Windows Mobile系统16种 ? 其他2种;其他2种; ?病毒传播事件:727万病毒传播事件:727万 ?感染用户数:25.6万感染用户数:25.6万 手机防病毒系统首页 病毒监测效果分析病毒监测效果分析 有效应对毒媒病毒有效应对毒媒病毒 ? 人民日报、扬子晚报 等新闻媒体专门报道我公 司相关手机防病毒研究成果 人民日报、扬子晚报 等新闻媒体专门报道我公 司相关手机防病毒研究成果 ? 省内十多家电台、电 视台专题报道,如南 京新闻台等。 省内十多家电台、电 视台专题报道,如南 京
13、新闻台等。 ? 新浪、腾讯、中国信息 产业网等国内外知名网 站也进行了相关报道。 新浪、腾讯、中国信息 产业网等国内外知名网 站也进行了相关报道。 ?2010年10月21日,我省手机防病毒系统检测到一种新 型病毒,即后来央视每周质量报告报道的“手机 僵尸”病毒,我省迅速协助中国移动集团完成病毒封 堵。 2010年10月21日,我省手机防病毒系统检测到一种新 型病毒,即后来央视每周质量报告报道的“手机 僵尸”病毒,我省迅速协助中国移动集团完成病毒封 堵。 ?封堵之后,南京地区“毒媒”手机病毒感染用户数持 续下降,10天后较峰值 封堵之后,南京地区“毒媒”手机病毒感染用户数持 续下降,10天后较峰
14、值降低80%降低80%,我省的快速响应引 起了多家媒体广泛关注。 ,我省的快速响应引 起了多家媒体广泛关注。 39713644 3747 3621 3440 3055 3135 2726 2987 2643 2525 2456 2132 2149 2160 2239 1862 2011 0 500 1000 1500 2000 2500 3000 3500 4000 4500 11/4 11/5 11/6 11/7 11/8 11/9 11/1011/1111/1211/1311/1411/1511/1611/1711/1811/1911/2011/2 用户数 毒媒感染用户趋势图 率先在移动互
15、联网上部署基于主动防御理念的病毒及安全问题监 测手段, 改变了传统依靠投诉解决用户侧安全问题的被动局面。 率先在移动互联网上部署基于主动防御理念的病毒及安全问题监 测手段, 改变了传统依靠投诉解决用户侧安全问题的被动局面。 一套系统即可解决手机病毒防护、地下运营商监测、分组域攻击监 测、第三方电信业务监控等各类移动互联网安全问题。 一套系统即可解决手机病毒防护、地下运营商监测、分组域攻击监 测、第三方电信业务监控等各类移动互联网安全问题。 实时发现各类病毒和攻击事件,直接定位到相关用户,支持在线进 行病毒/攻击拦截,具备向用户推送安全提醒信息的能力。 实时发现各类病毒和攻击事件,直接定位到相关
16、用户,支持在线进 行病毒/攻击拦截,具备向用户推送安全提醒信息的能力。 首创性 全面性 实时性 首创性 全面性 实时性 首创的移动互联网主动防护系统首创的移动互联网主动防护系统 今后手机病毒变化趋势今后手机病毒变化趋势 由于Android系统开发性和APK程序技术特点,该平台将面临严重的安全威胁, 进入2011年以后这一趋势已经非常明显。 手机病毒大量采用了现有计算机病毒经过多年发展积累的行为模式,成熟速度极 快 移动互联网的复杂性导致了手机病毒天生具有复杂的传播模式和行为模式 手机病毒开发者对封堵手段应对迅速,对网络异常了解 系统未来发展目标系统未来发展目标 垃圾短信检测系统短信中心 提供样本提供样本URL 分发监控分发监控URL 网络投诉平台WAP网关 提供样本提供样本URL 分发监控分发监控URL 手机防病毒系统手机防病毒系统 信令监测系统短信网关 提供样本提供样本URL 分发监控分发监控URL ?新一代网络协议支持:支持未来LTE网络的SAE核心网络架构 ?超高速处理能力:支持未来
