一種移動互聯網惡意程序監測分析與處置

中國電信股份有限公司江蘇分公司操作維護中心 林信達

一種移動互聯網惡意程序監測分析與處置

中國電信股份有限公司江蘇分公司操作維護中心 林信達

摘要：為了研究和分析一種移動互聯網監測與處置解決方案，實現對現網中用戶中毒情況的監測、分析、處置。通過對現網流量進行取樣，將取樣流量交由病毒特征檢測引擎進行研判，再通過接口獲取檢測引擎檢測分析結果，根據研判的結果從現網系統中分析出中毒用戶信息，通過管理后臺對中毒的事件和用戶進行各項查詢和統計，為移動互聯網的集中處置提供依據。

關鍵詞：移動互聯網；惡意程序；監測；處置

1　監測分析系統概述

1.1總體描述

移動互聯網惡意程序監測系統通過對江蘇電信的現網流量進行取樣后，將取樣流量交由病毒特征檢測引擎進行研判，再通過接口獲取檢測引擎檢測分析結果，根據研判的結果從現網系統中分析出中毒用戶信息，通過管理后臺對中毒的事件和用戶進行各項查詢和統計，為移動互聯網的集中處置提供依據。

移動互聯網監測分析系統見圖1。

1.2流量采集模塊

從PDSN（分組數據支持節點）設備PI（PDSN和Intertnet網絡的接口）口采集原始流量，然后將原始流量進行預處理，將原始流量轉換為流量特征數據，包括文件、文件散列、三元組、DNS（域名系統）、URL（統一資源定位）、HTTP（超文本傳輸協議）請求，然后將特征數據送數據交換接口模塊。

1.3數據交換接口模塊

系統先將流量采集模塊的原始數據進行處理（例如排重、格式轉換）后生成上報的樣本數據送惡意程序判別模塊。接收惡意程序特征數據，進行格式轉換，生成采樣病毒列表。

1.4惡意程序檢測接口

文件檢測接口用于文件類型的病毒分析，數據包括樣本文件（sis/sisx/apk/cab/jar/彩信附件）；DNS檢測接口，用于與特定惡意域名通信的病毒分析，按批次定期以文件形式生成（文件后綴以query結尾），文件中數據包括ID（標識符）、域名信息；HTTP檢測接口，用于以特定規則聯網的病毒分析，按批次定期以文件形式生成（文件后綴以query結尾），文件中數據包括ID、及HTTP中的字段；三元組檢測接口，用于以特定規則聯網的病毒分析，按批次定期以文件形式生成（文件后綴以query結尾），文件中數據包括ID、協議、目標地址、目標端口。

1.5惡意程序研判流程

惡意程序研判流程見圖2。

1.6惡意程序監測分析模塊

根據惡意代碼特征庫匹配現網流量，分析現網上惡意程序傳播情況，跟蹤統計感染惡意程序的用戶，將詳細的分析跟蹤數據送分析統計模塊。惡意代碼監測模塊監測現網上的惡意程序傳播和感染情況，按照周期形成原始報告文件，分析統計模塊對報告文件進行累計分析統計，形成報表文件。

2　監測分析系統實現

系統實現信息主要包括：4種接口的采樣數據的量，中毒事件數和中毒用戶數，惡意程序的危害性統計占比圖，惡意程序的top 10排名，10日內的染毒事件數和染毒用戶數的曲線圖。

3　惡意程序處置方法

3.1網絡側常規處置

在WAP（無線應用協議）側，配置惡意程序URL黑名單對惡意程序進行封堵處理。針對CTNET（中國電信互聯網）和通過WiFi（無線保真）上網的手機中毒用戶，在網絡側DNS上將惡意程序域名地址配置為127.0.0.1，使江蘇電信用戶無法訪問這些惡意程序。通過DNS能通過惡意程序域名解析為IP（網際協議）地址，如核實IP地址為省內電信地址，能對IP地址資產進一步處理。

3.2通過惡意程序處置模塊下發封堵策略

集中部署惡意程序處置模塊統一下發封堵策略，如URL、IP地址等，惡意程序處置模塊收到封堵策略后，對流量進行模擬IP包，阻斷包含惡意程序的會話，從而實現惡意代碼的阻斷。

旁路阻斷技術的實現原理見圖3。

a數據包是正常的應用服務器發送的數據包，b數據包是阻斷設備模擬發送的數據包。a數據包和b數據包誰先到達的“終端用戶”，則被認為是有效的。如果a先到達，則阻斷失敗了；如果是b先到達的，則阻斷成功，“終端用戶”和“Web服務器”之間的鏈接被斷開。所以如果發送的阻斷數據包速度慢，阻斷效果將達不到目的。旁路封堵的措施通常包括基于URL、域名或IP等幾種方式。◆