面向蓝牙病毒采集的移动蜜罐研究与设计.pdfVIP

面向蓝牙病毒采集的移动蜜罐研究与设计1) 柳亚鑫1’2 王峰1’2 戴帅夫1’2 诸葛建伟1’2 1北京大学计算机科学技术研究所，北京，100871 2北京大学网络与软件安全保障教育部重点实验室，北京，100871 摘要随着移动终端设备尤其是智能手机的普及，移动终端病毒正处于快速 发展的阶段。但目前移动终端病毒捕获形式单一，采集方式大都来源于受感染 个体的反馈，对病毒的分析与检测形成了制约。蓝牙病毒作为移动终端病毒的 主要传播方式，具有传输距离短、容易大规模集中爆发等特点。本文针对通过蓝 牙传播的移动终端病毒，研究并设计了主动探测识别蓝牙设备，并自动捕获蓝牙 病毒的移动蜜罐。实验表明，这是一种行之有效的病毒收集方案，有助于对移动 终端病毒的进一步研究。 关键词移动蜜罐蓝牙移动终端病毒 一、引 言 随着移动通信与嵌入式计算平台技术的迅猛发展与融合，移动终端的功能越来越强 大，业务应用日趋广泛，以智能手机为主的移动终端在人们的日常生活中已经得到了普遍 应用。据Digitimes 球手机销量中的比例将达到16％。智能手机与个人PC相比，不仅具备通信功能，还整合 了IEEES02．IIEl|、蓝牙[2]等多种传输方式，并拥有Symbian、WindowsMobile、Palm等成 熟的操作系统平台。智能手机已经具备恶意代码存活的硬件条件和软件环境。作为一种 私人物品，手机上保存着大量个人信息和隐私数据，直接与经济利益、个人信用相关。庞 大的用户规模、多样化传播途径、可造成直接经济损失等因素都使得移动终端病毒将可能 成为继PC平台恶意代码之后的又一严重安全威胁[3“]。然而目前移动终端病毒捕获形 式单一，采集方式大都来源于受感染个体的反馈，对病毒的分析与检测形成了制约。 蓝牙(bluetooth)能够提供低成本、低功耗、近距离的无线通信功能，因此在智能手机 上得到广泛应用。蓝牙病毒是智能手机中的一类恶意程序，它利用蓝牙设备达到传播自 兰首都赫尔辛基举行的世界田径锦标赛发现了Cabir病毒爆发的情况，发展至今Cabir病 6|、 毒已有30多个变种。此后又出现了多种利用蓝牙传播的手机病毒，如CommWarriorc 传输距离短、容易大规模集中爆发等特点，因此必须构建可移动的蜜罐系统在人群密集地 区进行现场捕获。本文研究并设计了能够主动探测识别蓝牙设备，并自动捕获蓝牙病毒 1)本文研究内容为教育部科技创新工程重大项目培育资金项目(编号：707001)资助；国家“863”高技术研究发展 计划资助(编号：2006AA012445)f电子信息产业发展基金资助(编号：信部：运I)。 ·867· 的移动蜜罐。实验表明，这是一种行之有效的病毒收集方案，有助于对移动终端病毒的进 一步研究。 本文第二节介绍了移动蜜罐的相关工作。第三节介绍了面向蓝牙病毒采集的移动蜜 罐系统的原理。第四节详细讨论了该系统的实现。第五节给出了实验结果。最后对移动 蜜罐的下一步工作进行了展望。 二、相关工作 采集移动终端病毒样本是提取病毒特征码并构建相应检测机制的前提条件，而目前 反病毒厂商对移动终端恶意代码的样本采集来源单一，主要依赖于从受感染个体中采样。 研究者提出了基于蜜罐技术的移动终端病毒采集方法，并进行了概念验证性的实验，以拓 展样本采集的渠道。黑客或者自动攻击软件攻陷蜜罐后在蜜罐中所安装的软件或者留下 的文件，都可以认为是可疑的甚至是恶意的。蜜罐按照其交互度的等级划分为低交互蜜 罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度[9]。低交互蜜罐一 般仅仅模拟操作系统和网络服务，其优点是配置简单、容易部署且被穿透可能性小，但黑 客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息 罐则完全提供真实的操作系统和网络服务，给予黑客真实的信息，其优点是捕获信息量 大、容易检测新的攻击工具和行为；其缺点是难以配置和维护，容易被黑客攻陷来作为新