⑵利用短信SMS传播。通过短信传播带病毒的URL链接,诱骗用户下载手机病毒进行传播。
⑶利用GPRS网络窃取用户隐私和实现病毒变种,如手机卧底软件通过GPRS网络窃取用户的手机短信和通话记录。
这就要求系统能够还原G T P、WAP、HTTP、MMS等多个层次、多种协议的解封装,并且准确匹配其中的病毒特征。在现网大流量情况下实现实时监测,对算法的有效性和效率有非常高的要求。现有的信令监测系统、流量分析系统都无法做到这一点。
针对手机病毒的以上特点,江苏移动对手机防病毒系统进行了专门的设计,并在2010年5月部署上线。该系统覆盖南京地区,通过采集南京地区Gn口流量进行手机病毒的实时监测和防护。完整的移动互联网主动安全防护系统包括3个部分。
⑴手机病毒实时监测模块。通过在GPRS核心网上部署手机病毒监测设备以及对网络流量的深度解码,实现对手机病毒和恶意软件复杂流量特征的精准匹配,从而快速、准确地检测各类手机病毒和恶意软件。江苏移动部署的系统主要采用深度包检测机制,同时综合多个信息源,在网络协议4~7层进行深度识别,能有效识别出网络流量中核心网的僵尸网络、恶意软件、蠕虫病毒、垃圾邮件、拒绝攻击等恶意流量。为了提高对未知病毒的发现能力,该系统还具备未知手机病毒的智能发现功能,能够通过网络异常行为的深入挖掘快速捕获新出现的病毒。
⑵手机病毒拦截模块。能够提供短信/WAP提醒、实时在线拦截、彩信中心防毒3种模式的全套防毒解决方案,实现对手机病毒传播→下载→窃取数据这一流程的全面控制。
● 短信/WAP提醒方式:通过系统与短信网关接口提供的实时提醒消息,通知用户感染病毒或者刚下载的文件为恶意软件,通过推送链接方式,引导用户下载杀毒软件或者专杀工具以清除病毒,进一步引导用户订购相关病毒防护业务。
● 在线拦截方式:通过用户下载病毒或者感染病毒后向外传播信息,发送TCP Reset切断病毒下载或者直接封堵病毒下载、控制地址来阻断手机病毒。
● 彩信中心杀毒模式:系统判断并通知彩信中心该彩信为病毒,由彩信中心直接拦截该彩信。
⑶移动互联网地址溯源模块。通过Gn口信令消息中相关内容,记录私网IP地址和用户号码的对应关系,实现IP地址和用户号码的关联 。
综合以上3个模块,能比较完整地实现手机病毒实时监测和防护。
运行效果
以2011年3月为例,发现238种手机病毒(不含变种),每月检测到手机病毒事件总数600万次,感染用户数28万左右。
2010年9月,江苏移动的手机防病毒系统检测到一种新型病毒,即后来中央电视台《每周质量报告》报道的“手机僵尸”病毒。经工业和信息化部确认,该病毒被证实为“毒媒”木马。该病毒伪装成一般工具软件提供给手机用户下载使用,随后在服务器控制下实施各种破坏活动。
在中央电视台对该病毒进行专门报道后,江苏移动快速反应,按照切断病毒控制下载通道、瘫痪病毒控制机制的思路制定了封堵方案,该方案上报中国移动集团后被立即采纳并进行全网部署,取得了良好效果。根据目前监测情况分析,封堵之后,南京地区“毒媒”手机病毒感染用户数持续下降,目前较峰值已至少降低了50%,封堵效果良好。江苏省的快速响应引起了社会各界媒体广泛关注,省内10多家电台、电视台、报纸进行了专门报道,多家国家级媒体以及各大网站转载了相关报道。
江苏移动开展的防病毒工作有效地保护了广大移动用户的利益,为中国移动和整个通信行业塑造了良好的社会形象 。
