移動互聯網惡意程序主動安全防護措施研究

王東升 裴 培 張 第 趙 鍇 潘思宇

中國聯通研究院 北京 100048

引言

5G技術的商用和移動網絡應用的普及，特別是新冠疫情于2020年初暴發以來，我國移動互聯網用戶及手機線上業務獲得長足發展。據中國互聯網絡信息中心(CNNIC)統計[1]，截至2021年6月，我國手機網民規模達10.07億，較2020年12月增加2092萬。網民使用手機上網比例達99.6%。我國十億網民已占全球五分之一，構成了名符其實的全球最大數字社會。

伴隨移動互聯網的發展，移動互聯網惡意程序(也稱“手機病毒”)帶來的潛在風險和危害也隨之增加。據國家互聯網應急中心(CNCERT)統計[2]，2021年上半年發現新增移動互聯網惡意程序86.6萬余個。這些手機病毒會劫持用戶手機終端導致個人敏感信息泄漏，會利用手機平臺漏洞導致手機無法正常使用，會控制手機不斷向通訊網絡發送垃圾信息造成網絡癱瘓，還會通過漏洞后門亂扣費甚至造成國家機密信息泄漏等。

作為基礎電信運營商，針對移動互聯網惡意程序的安全攻擊，可以采取以下主動安全防護措施，最大限度減輕網絡和移動終端遭受的損失：針對移動互聯網網絡流量和網內移動用戶終端在線持續監測處置的主動安全防護技術措施，針對移動應用提供者的主動安全監管措施，以及針對移動用戶終端的主動安全引導和支持措施等。

1 針對網絡流量和移動終端的主動安全防護技術措施

移動互聯網惡意程序可以分為八種類型：惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為(駐留并影響用戶終端正常使用)[3]，但是從傳播特性看，移動互聯網惡意程序大體分為兩類：

1)從手機端與病毒服務器端通信，控制用戶手機終端，獲取不當利益，大部分惡意程序均屬于這一類型；

2)長期駐留在用戶移動終端上，消耗手機資源，影響用戶正常使用，例如流氓行為類。

從2021年上半年統計結果[2]看，屬于第二類的以駐留為特征的流氓行為類惡意程序占比47.9%，持續排名第一；屬于第一類的資費消耗類、信息竊取類惡意程序占比分別為20.0%、19.2%，排名第二、第三。

針對上述惡意程序的特征，基礎電信運營商可以通過對企業移動互聯網流量和網內移動用戶終端進行持續的在線監測、分析和處置提供主動安全防護。這兩種措施不僅可以在線監測惡意程序并進行在線封堵，還可以捕獲疑似惡意程序樣本進行研判，作為升級惡意程序特征庫的依據。通過這些技術措施，絕大部分移動互聯網惡意程序將得到有效防治。

1.1 針對移動互聯網流量的在線采集、監測分析和處置

實現對移動互聯網流量的在線采集、監測分析和在線處置，運營商需要建設專門的移動互聯網惡意程序監測處置系統，包含流量在線采集、監測、分析、處置和管理等能力。流量在線采集、監測、處置和管理體系如圖1所示。

圖1 流量在線采集、監測、處置和管理體系示意圖

1.1.1 流量在線采集

在運營商3G/4G/5G以及未來移動通信網中，在省級移動互聯網的流量通道匯聚點，例如Gn、PI、S11、S1-U等接口位置，在線采集移動互聯網原始流量，通過深度DPI技術進行協議解析、數據包重組和文件還原。其中5G網絡也會在跨省業務大區的云機房，采集匯聚分流設備上的數據[4]。

1.1.2 流量監測

流量監測包括對惡意程序和惡意事件的監測分析能力。

1)惡意程序監測分析：根據惡意程序樣本MD5特征庫、惡意程序行為特征庫、疑似惡意程序行為特征庫等，識別其中的惡意程序和疑似惡意程序，對疑似惡意程序樣本進行捕獲并提交至安全管理平臺。惡意程序樣本應包括原始文件名、MD5值、文件大小、程序屬性分類等基本信息內容。

2)惡意事件監測分析：依據惡意程序特征庫內的惡意程序下載URL、惡意程序主控URL、疑似惡意程序行為篩選規則等信息內容，對用戶訪問記錄進行檢測和分析，識別惡意傳播和受控事件，捕獲疑似惡意程序文件并提交管理平臺進行研判。

惡意程序及疑似惡意程序特征庫由企業自建，由安全管理平臺向各監測處置單元下發。信息來源有CNCERT、行業或相關組織、企業內部記錄分析提出等。

1.1.3 流量處置

流量處置是依據處置規則對流量監測分析發現的網內惡意程序和惡意事件進行阻斷或重定向的能力。其技術原理是采用TCP連接和錯誤代碼實時阻斷技術，具體包括ACL包過濾、流量TCP Reset、在線攔截惡意程序域名、IP地址或URL等技術，根據手機號碼、用戶標識(IMSI)、硬件標識(IMEI)等信息，阻斷惡意程序傳播鏈，全面控制移動惡意程序的傳播和下載。其中流量阻斷生效后，惡意程序的控制端和下載端將無法相互訪問；流量重定向生效后，訪問惡意程序的請求將被跳轉到指定網頁。

流量處置規則由企業自建，由安全管理平臺向各監測處置單元下發。信息來源包括CNCERT、行業或相關組織、企業內部記錄分析提出等。

1.1.4 安全管理平臺

企業應建立安全管理平臺對網內移動互聯網惡意程序和惡意事件的監測及處置進行集中管理，包括以下能力。

1)接收數據：接收CNCERT下發的監測特征庫信息和處置規則要求；企業各監測處置節點上報的惡意程序樣本和事件數據。

2)發送數據：向CNCERT報送所監測到的惡意程序樣本及惡意事件數據；向企業各監測處置節點下發特征庫及處置規則更新信息。

3)展示分析：對惡意程序樣本和惡意事件信息的統一展現、告警下發、本地存儲等，對危害類型、區域分布、捕獲量、上報數量、預警等進行分析。

1.2 針對網內移動終端的在線監測和處置

實現對網內移動用戶終端上惡意程序的在線監測和處置，運營商需要建設專門的面向用戶手機終端的移動互聯網惡意程序監測處置系統，包含用戶手機終端監測處置模塊和運營商安全管理平臺。面向用戶手機終端的監測處置和安全管理體系如圖2所示。

圖2 面向用戶手機終端的監測處置和安全管理體系示意圖

1.2.1 網內移動用戶終端監測處置

運營商應引導網內移動用戶在移動終端上安裝由運營商提供的監測處置模塊，獲取捕獲惡意程序和疑似惡意程序樣本、與管理平臺共享數據、手機殺毒、安全提醒等服務。

1)接收數據：接收由平臺側下發的惡意程序監測特征庫信息，作為查殺惡意程序和捕獲疑似惡意程序樣本的依據。特征庫信息包括惡意程序樣本、惡意行為特征、疑似惡意程序行為特征等。

2)發送數據：按照特征庫規則捕獲的疑似惡意程序樣本，記錄的惡意事件信息，均需要上報給管理平臺進行研判，作為特征庫升級的依據。

3)防護查殺：根據監測到惡意程序，在移動終端上進行查殺和清除，并形成查殺日志。

4)安全提醒：獲取安全管理平臺下發的惡意程序信息，提醒用戶及時進行安全查殺。

1.2.2 安全管理平臺

運營商應建設專門針對移動終端監測處置的安全管理平臺，進行集中分析和管理。

1)接收數據：接收網內用戶移動終端上報的惡意程序樣本及惡意事件信息，作為進一步研判和升級特征庫的依據；接收網絡側流量監測處置管理平臺發送的特征庫信息。

2)發送數據：向網絡側流量監測處置管理平臺共享所收集的惡意程序樣本和惡意事件信息，作為升級網絡側特征庫的信息來源；向終端監測處置模塊下發特征庫更新信息。

3)封堵處置：通過流量側監測處置系統，對終端側發現的惡意程序進行全網封堵。

4)安全提醒：將最新的惡意程序信息，同步至終端監測處置模塊，提醒用戶及時進行安全查殺，實現網絡側和終端側聯動，為用戶進行全面防護。

由于面向移動用戶終端的監測處置安全管理平臺，需要與用戶模塊進行網絡聯動，實踐中建議該平臺要單獨建設，而不能與涉及運營商核心網的流量側監測處置安全管理平臺合建，而且要采取可靠的安全隔離措施，確保不影響網絡側平臺安全運行。

2 針對移動互聯網應用的安全監管措施

移動互聯網應用開發質量良莠不齊，用戶在移動終端使用過程中又會不斷更新版本或下載新的應用，因此移動終端安全隱患可能在移動應用下載的源頭就已埋下[5]。僅2021年1月，CNCERT已經向應用商店、個人網站、廣告平臺、云平臺等傳播渠道通報下架移動互聯網惡意程序496個[6]。

為了充分保護移動用戶不受移動惡意應用的侵害，基礎電信運營商可以利用在產業鏈中應用推廣和業務監管方面的條件，以及惡意程序監測處置的技術能力條件，配合監管部門對移動互聯網應用進行主動的安全審計和監管。

1)移動惡意程序傳播的源頭主要是移動應用商店等渠道，運營商可以對新上線的移動應用主動進行代碼審計和漏洞掃描、引導開發者使用安全的開發環境、明確開發者及應用商店的責任、對移動應用從開發到下線的全生命周期進行監管。

2)配合政府監管部門，加強通信、互聯網、設備提供商等領域的聯動和信息共享，主動提供惡意程序相關線索、證據，提升對惡意移動應用的監測能力和處置效率。

3)發揮企業社會責任，為舉報提供接口和獎勵，對利用惡意程序損害用戶權益的惡意程序開發商、經銷商、提供商則提請相關部門依法進行處理。

4)從技術、監管等角度主動為立法機關和執法機關修補相關法律漏洞，最大限度地壓縮惡意程序存在的空間提供全面支持。

3 針對移動終端用戶的安全引導和支持措施

除了移動數據網絡，移動用戶還會通過Wi-Fi、藍牙等方式登錄互聯網，因此僅靠運營商在網絡側采取技術手段還不能完全保障用戶手機終端安全。移動用戶自身還應提高安全防護意識，養成正確的手機使用習慣，確保移動終端的使用安全[7]。

為了協助移動用戶正確使用移動終端，遠離惡意程序帶來的風險和危害，基礎電信運營商可以利用運營企業在通信服務中的有利條件，主動提供安全引導和支持服務。

1)配合政府監管部門做好宣傳工作，發揮企業社會責任，引導用戶對重要信息加密、遠離網上支付陷阱、防范病毒操控和財產損失等。

2)引導用戶養成正確的移動終端和移動應用的使用習慣。

①在官方應用商店下載和更新應用軟件：使用經過電子認證服務機構認證簽名的應用軟件，避免安裝未知來源，散布在論壇、非安全渠道中可能已經被病毒二次打包后的應用。

②慎重從第三方網站下載軟件：要詳細閱讀應用軟件各項要求，分析軟件功能，確保不會對個人利益產生影響。

③關注應用軟件行為：在安裝、啟動、功能調用時是否保障用戶的知情權和對信息的控制權，關注應用軟件是否有異常行為，保留實現用戶需求的最小權限。

④使用安全防護軟件：對應用進行監控和管理，對惡意程序權限調用預警，進行流量監控，對流氓軟件徹底卸載等；及時更新應用并修復漏洞，避免被攻擊者趁虛而入。

⑤網上瀏覽：不要選擇記住我的用戶名和密碼，確認在退出時清空歷史記錄和緩存內容，啟動用戶認證等。

3)引導用戶安裝專業的安全防護軟件：引導用戶安裝運營商提供的安全監測處置客戶端，實現網絡側和終端側安全聯動；引導用戶安裝專業安全客戶端并及時進行病毒查殺。

4)引導用戶不要盲目使用免費Wi-Fi：及時關閉藍牙、Wi-Fi等功能，避免掉進攻擊者仿冒的Wi-Fi“黑網”陷阱，造成上網流量被截獲；連接公共Wi-Fi時，盡量避免支付和登錄操作，避免登錄密碼、支付密碼等敏感信息被非法竊取。

5)引導用戶不要隨便掃描二維碼：有些二維碼隱藏著惡意代碼，潛伏著對隱私權限訪問的請求，因此在進行掃描之前一定要進行安全確認。

6)引導用戶不要隨意打開短信、彩信鏈接：許多手機病毒通過短信(彩信)鏈接傳播，通過點擊鏈接來誘導用戶點擊、安裝、運行，然后竊取用戶信息發送到指定郵箱，并接受遠程控制執行相關惡意操作。

7)引導用戶盡量不使用公共場合和陌生人提供的充電寶：避免由于充電寶內被植入惡意程序而帶來的用戶存儲信息被竊取。

4 安全防護措施成效

中國聯通多年來主動采取各種移動互聯網惡意程序的安全防護措施，高質量完成工信部對基礎電信運營商針對移動互聯網惡意程序安全防護的建設要求，有效提高全網安全防護水平，保障網絡和用戶終端安全運行，已經取得良好的經濟效益和社會效益。

1)網內移動互聯網惡意程序監測處置系統隨4G/5G擴容，覆蓋全網流量，其中：監測能力包括包檢測、流檢測、文件檢測；對異常流量實時檢測，在線抓取疑似樣本信息、支持白名單過濾、支持從郵件內容中檢測URL地址、支持IPV6等等。處置能力包括對惡意程序傳播阻斷和重定向、受害終端異常流量阻斷；基于源IP地址、目的IP地址、源端口、目的端口、協議及其組合對流量進行識別；黑名單功能；人工配置封堵/解封黑名單；阻斷不告警、阻斷告警等等實現對已知移動互聯網惡意程序檢測命中率99%以上。

2)為用戶提供手機安全客戶端服務，實現手機體檢、手機清理、手機殺毒、騷擾攔截、流量監控、廣告攔截、信息備份、行為監控等安全防護功能。

3)配合CNCERT安全監管，主動報送監測到的惡意事件和惡意樣本。

4)積極向廣大手機用戶宣傳安全防護常識，提醒在正規渠道下載手機APP、謹慎開啟APP權限、謹慎鏈接公共Wi-Fi、謹防釣魚網站、不輕易點擊陌生鏈接等等。

5 結語

基礎電信運營商具備基礎網絡方面的技術條件和在產業鏈中的業務監管及業務運營優勢，面向移動互聯網惡意程序，有能力提供基于持續在線監測和處置的主動安全防護技術措施和監管措施。

本文從基礎電信運營商的角度，全面研究分析了運營商面向移動互聯網惡意程序可以采用的針對移動互聯網網絡流量和網內移動用戶終端的在線監測處置技術措施、針對移動應用提供者的安全監管措施、針對移動用戶終端的安全引導和支持措施，為基礎電信運營商在移動互聯網建設、運行和服務中的安全防護措施建設提供參考思路和建議。

實現移動互聯網惡意程序安全防護，有助于保障移動互聯網健康、快速發展。本文分析總結的安全防護措施并不是要替代主機防護、終端防護、漏洞掃描等措施，而是可以與其相互補充，更好地保障移動互聯網安全建設和運行。