手机病毒综合防护平台.ppt

病毒制造者 传播渠道控制者 经销渠道 病毒程序 病毒捆绑 散播病毒 用户下载，病毒爆发 将中毒手机的可用资源变卖赚钱 使用者 利用中毒手机资源，并为此付费 传播网站 恶意扣费 用户投诉 最佳拦截位置 3.1整体思路—拦截手机病毒的最佳位置 1、手机病毒传播源头发现 通过基于云计算的手机病毒恶意源分析系统7*24小时不间断分析互联网上的手机病毒恶意源和传播url； 2、手机病毒传播阻断 采用在CMWap、彩信、CMNet等网关处实时分析手机用户上网访问的URL，阻断带病毒的文件、软件和网页的下载； 3、可疑文件扫描，病毒感染监控 对垃圾彩信进行扫描，发现病毒文件 对垃圾短信中的可疑url进行分析，发现病毒传播url，监控感染手机 对不良信息系统的文件进行扫描，发现病毒文件，监控病毒感染情况 4、病毒行为分析，病毒疫情监控 对cmwap、cmnet、短信、彩信、邮件网关日志进行数据挖掘分析，发现病毒行为特征，监控病毒爆发情况 对不良信息系统的数据进行挖掘分析，发现病毒行为特征，监控病毒爆发情况 3.2病毒治理措施 可疑网站爬行系统 多引擎扫描系统 病毒样本 结果汇聚 疑似病毒样本 网站黑名单 带毒文件网址 IP黑名单 可信数据 文件更新识别、文件下载、文件缓存、扫描任务调度 网秦引擎 趋势引擎 360引擎 智能识别引擎 病毒传播源URL数据 3.2.1手机病毒传播源分析系统 建立手机病毒云安全体系 3.2.2手机病毒阻断系统 3.2.2手机病毒阻断系统工作原理 1、采用高性能FPGA芯片实现http、 wap、彩信等手机上网协议的解析 和病毒传播源的匹配功能； 2、从用户发起http请求发出，到 http响应并返回页面或文件下载完 成，需要数秒~几十秒； 3、病毒阻断设备能够在0.1秒内完 成url的检查并发出Tcp reset包，此 时通信双方的堆栈将会把这个RESET 包解释为另一端的回应，然后停止 整个通信过程，释放缓冲区并撤销 所有TCP状态信息。 阻断内容包括： 网站黑名单 URL黑名单 IP黑名单 病毒传播源号码 中毒号码 可疑文件 网秦 趋势 智能识别引擎 360 垃圾彩信系统 垃圾短信系统 不良信息系统 多引擎扫描 手机病毒样本 3.2.3可疑文件扫描系统 病毒样本 数据源 中毒号码 中毒号码行为记录 病毒传播源号码 病毒传播行为记录 垃圾彩信系统 垃圾短信系统 139邮件交互信息 wap网关log 用户终端数据库 不良信息系统 数据收集 异常数据抽取模型 恶意行为及恶意源识别模型 数据分析 可信数据 中毒号码统计 中毒号码行为统计 病毒传播源号码统计 病毒传播行为统计 统计分析 手机病毒实时分析系统 关联分析 3.2.4手机病毒行为分析系统 3.2.4工作原理图 3.3设备部署 3.3设备部署 * 手机病毒爆发危及3G发展，危害性胜过电脑病毒； 2、对用户的意义 用户信息泄密：手机病毒可窃取个人通讯录、个人信息、日程安排、各种网络帐号、银行账号和密码等个人信息。 话费丢失：利用手机病毒发送各种带有色情、非法的图片、语音彩信，造成巨额话费损失。 网络中断：强制手机不断地向外大量发送垃圾信息，达到一定程度时，势必导致通讯网络信息堵塞。大量的垃圾信息最终会让局部的手机通讯网络瘫痪。 破坏手机软、硬件：导致手机无法正常工作。 3、对运营商的意义 大大减少由于网络病毒引起的Cmwap网关、Cmnet网关、邮件网关、彩信网关和短信网关负载过重、网络瘫痪等问题；为移动用户创建安全、和谐、稳定的网络环境； 大大减少病毒利用移动无线网络进行传播、谋取利益的可能性； 降低用户投诉，提高客户满意度。 * 按照病毒特性可分为： 1、木马病毒 31% 2、僵尸病毒 1% 3、网络钓鱼 1% 4、DDOS攻击病毒 1% 5、手机蠕虫 2% 6、广告软件 22% 7、恶意程序 33% 8、其他 9% * Symbian：为了让更多的软件进入，现在Symbian基金会执行快速认证，把关没有过去严格。而只要通过基金会认证，Symbian平台上的所有软件都能有发送短信打电话的权限，这为木马侵袭带来极大的便利。并且Symbian平台的手机是用户量最大的，黑客攻击Symbian平台获利最为丰厚。 　　Android：Android开放平台是为了把更多开发能力交给开发者，但是很多权限很开放不用通过任何认证都可以进入该平台供用户下载。而Android平台连统一认证的机构都没有。由于Android势如破竹的发展，业界预测两年后该平台将