一種移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測分析與處置

中國電信股份有限公司江蘇分公司操作維護(hù)中心 林信達(dá)

一種移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測分析與處置

中國電信股份有限公司江蘇分公司操作維護(hù)中心 林信達(dá)

摘要：為了研究和分析一種移動(dòng)互聯(lián)網(wǎng)監(jiān)測與處置解決方案，實(shí)現(xiàn)對現(xiàn)網(wǎng)中用戶中毒情況的監(jiān)測、分析、處置。通過對現(xiàn)網(wǎng)流量進(jìn)行取樣，將取樣流量交由病毒特征檢測引擎進(jìn)行研判，再通過接口獲取檢測引擎檢測分析結(jié)果，根據(jù)研判的結(jié)果從現(xiàn)網(wǎng)系統(tǒng)中分析出中毒用戶信息，通過管理后臺對中毒的事件和用戶進(jìn)行各項(xiàng)查詢和統(tǒng)計(jì)，為移動(dòng)互聯(lián)網(wǎng)的集中處置提供依據(jù)。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng)；惡意程序；監(jiān)測；處置

1　監(jiān)測分析系統(tǒng)概述

1.1總體描述

移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測系統(tǒng)通過對江蘇電信的現(xiàn)網(wǎng)流量進(jìn)行取樣后，將取樣流量交由病毒特征檢測引擎進(jìn)行研判，再通過接口獲取檢測引擎檢測分析結(jié)果，根據(jù)研判的結(jié)果從現(xiàn)網(wǎng)系統(tǒng)中分析出中毒用戶信息，通過管理后臺對中毒的事件和用戶進(jìn)行各項(xiàng)查詢和統(tǒng)計(jì)，為移動(dòng)互聯(lián)網(wǎng)的集中處置提供依據(jù)。

移動(dòng)互聯(lián)網(wǎng)監(jiān)測分析系統(tǒng)見圖1。

1.2流量采集模塊

從PDSN（分組數(shù)據(jù)支持節(jié)點(diǎn)）設(shè)備PI（PDSN和Intertnet網(wǎng)絡(luò)的接口）口采集原始流量，然后將原始流量進(jìn)行預(yù)處理，將原始流量轉(zhuǎn)換為流量特征數(shù)據(jù)，包括文件、文件散列、三元組、DNS（域名系統(tǒng)）、URL（統(tǒng)一資源定位）、HTTP（超文本傳輸協(xié)議）請求，然后將特征數(shù)據(jù)送數(shù)據(jù)交換接口模塊。

1.3數(shù)據(jù)交換接口模塊

系統(tǒng)先將流量采集模塊的原始數(shù)據(jù)進(jìn)行處理（例如排重、格式轉(zhuǎn)換）后生成上報(bào)的樣本數(shù)據(jù)送惡意程序判別模塊。接收惡意程序特征數(shù)據(jù)，進(jìn)行格式轉(zhuǎn)換，生成采樣病毒列表。

1.4惡意程序檢測接口

文件檢測接口用于文件類型的病毒分析，數(shù)據(jù)包括樣本文件（sis/sisx/apk/cab/jar/彩信附件）；DNS檢測接口，用于與特定惡意域名通信的病毒分析，按批次定期以文件形式生成（文件后綴以query結(jié)尾），文件中數(shù)據(jù)包括ID（標(biāo)識符）、域名信息；HTTP檢測接口，用于以特定規(guī)則聯(lián)網(wǎng)的病毒分析，按批次定期以文件形式生成（文件后綴以query結(jié)尾），文件中數(shù)據(jù)包括ID、及HTTP中的字段；三元組檢測接口，用于以特定規(guī)則聯(lián)網(wǎng)的病毒分析，按批次定期以文件形式生成（文件后綴以query結(jié)尾），文件中數(shù)據(jù)包括ID、協(xié)議、目標(biāo)地址、目標(biāo)端口。

1.5惡意程序研判流程

惡意程序研判流程見圖2。

1.6惡意程序監(jiān)測分析模塊

根據(jù)惡意代碼特征庫匹配現(xiàn)網(wǎng)流量，分析現(xiàn)網(wǎng)上惡意程序傳播情況，跟蹤統(tǒng)計(jì)感染惡意程序的用戶，將詳細(xì)的分析跟蹤數(shù)據(jù)送分析統(tǒng)計(jì)模塊。惡意代碼監(jiān)測模塊監(jiān)測現(xiàn)網(wǎng)上的惡意程序傳播和感染情況，按照周期形成原始報(bào)告文件，分析統(tǒng)計(jì)模塊對報(bào)告文件進(jìn)行累計(jì)分析統(tǒng)計(jì)，形成報(bào)表文件。

2　監(jiān)測分析系統(tǒng)實(shí)現(xiàn)

系統(tǒng)實(shí)現(xiàn)信息主要包括：4種接口的采樣數(shù)據(jù)的量，中毒事件數(shù)和中毒用戶數(shù)，惡意程序的危害性統(tǒng)計(jì)占比圖，惡意程序的top 10排名，10日內(nèi)的染毒事件數(shù)和染毒用戶數(shù)的曲線圖。

3　惡意程序處置方法

3.1網(wǎng)絡(luò)側(cè)常規(guī)處置

在WAP（無線應(yīng)用協(xié)議）側(cè)，配置惡意程序URL黑名單對惡意程序進(jìn)行封堵處理。針對CTNET（中國電信互聯(lián)網(wǎng)）和通過WiFi（無線保真）上網(wǎng)的手機(jī)中毒用戶，在網(wǎng)絡(luò)側(cè)DNS上將惡意程序域名地址配置為127.0.0.1，使江蘇電信用戶無法訪問這些惡意程序。通過DNS能通過惡意程序域名解析為IP（網(wǎng)際協(xié)議）地址，如核實(shí)IP地址為省內(nèi)電信地址，能對IP地址資產(chǎn)進(jìn)一步處理。

3.2通過惡意程序處置模塊下發(fā)封堵策略

集中部署惡意程序處置模塊統(tǒng)一下發(fā)封堵策略，如URL、IP地址等，惡意程序處置模塊收到封堵策略后，對流量進(jìn)行模擬IP包，阻斷包含惡意程序的會(huì)話，從而實(shí)現(xiàn)惡意代碼的阻斷。

旁路阻斷技術(shù)的實(shí)現(xiàn)原理見圖3。

a數(shù)據(jù)包是正常的應(yīng)用服務(wù)器發(fā)送的數(shù)據(jù)包，b數(shù)據(jù)包是阻斷設(shè)備模擬發(fā)送的數(shù)據(jù)包。a數(shù)據(jù)包和b數(shù)據(jù)包誰先到達(dá)的“終端用戶”，則被認(rèn)為是有效的。如果a先到達(dá)，則阻斷失敗了；如果是b先到達(dá)的，則阻斷成功，“終端用戶”和“Web服務(wù)器”之間的鏈接被斷開。所以如果發(fā)送的阻斷數(shù)據(jù)包速度慢，阻斷效果將達(dá)不到目的。旁路封堵的措施通常包括基于URL、域名或IP等幾種方式?！?/p>