2011年全国手机病毒监测系统建设总结.docxVIP

2011年全国手机病毒监测系统建设总结 近年来，随着移动智能终端的快速普及和移动互联网的快速发展，传统的安全威胁，如互联网恶意程序传播、远程控制和网络攻击，已经开始在移动互联网上传播。严重侵犯了移动用户的合法权益，威胁到基础通信网络的安全运行。 针对手机病毒日益泛滥的局面, 在工业和信息化部的指导下, 江苏通管局从网络侧、应用侧对手机病毒的治理工作进行了积极的尝试和探索, 目前已经常态化开展手机病毒的分析、监测和处置工作, 并与各基础电信运营企业形成了良好的手机病毒处置机制, 开创了我省手机病毒治理工作的新局面。 建设手机病毒监测系统,实现用户信息共享 2011年, 江苏通管局和江苏移动合作, 在移动互联网上网通道 (GGSN GN口) 上试点建设了全国首个手机病毒监测系统。系统利用从GGSN Gn口分光出的数据源, 运用基于Gn信令的移动互联网恶意流量检测等技术对病毒特征进行匹配, 实现了对手机木马、恶意扣费程序、手机卧底程序等恶意程序事件和中毒用户的监测;通过对用户访问高频次URL和恶意程序控制端行为的监测分析, 发现最新的手机病毒样本。2011年4月, 工业和信息化部通信保障局熊四皓副局长出席手机病毒监测系统项目评审会, 对我省手机病毒监测系统的建设给予了充分的肯定。 目前, 手机病毒监测系统已覆盖江苏移动公司全省3000多万在线用户。2012年上半年, 共监测发现江苏省22, 419, 597起用户感染手机病毒事件, 平均每月有257, 546万多个手机用户感染, 占监测用户总数的5.5%。在发现中毒事件后, 运营企业对手机病毒控制端链接 (URL) 采取封堵的方式进行处置, 总体上, 手机病毒的事件数按比例呈下降趋势。 统计人员及专业人员 2011年9月份, 工业和信息化部与江苏省人民政府签订的《关于共同推进江苏省信息化发展战略合作框架协议》中明确提出“工业和信息化部支持在江苏安全分中心建设移动互联网病毒中心”。为此, 江苏通管局在江苏安全分中心成立了专门的手机病毒分析小组, 配置了专业病毒分析人员, 常态化开展手机病毒分析工作, 样本库规模不断扩大。到目前为止, 移动互联网恶意程序样本库中已收录病毒样本1253种, 其中塞班系统688种, Android系统538种, Windows Mobile系统16种, 其他11种。 在今年国家互联网应急中心开展的三次手机病毒治理专项行动中, 江苏通管局不但将手机病毒样本库中自主发现的重点手机病毒样本报送给国家互联网应急中心, 而且利用人员优势, 承担了对各基础电信运营企业、手机安全企业上报的部分样本进行人工分析比对、协助判定命名的工作, 协助国家互联网应急中心对当前危害较大的手机病毒的传播和控制渠道进行了集中打击。 加强各基础单位的协调合作 一是建立行业内工作机制。目前, 江苏通管局持续开展面向各基础电信运营企业的手机病毒事件定期通报工作, 每月对手机病毒监测系统发现的监测数据进行统计、汇总, 形成月度报告发给相关运营企业, 要求各运营企业对手机病毒控制端进行阻断, 或者采取各种方式提醒受感染用户进行处置。二是探索建立部门间的工作机制。今年年初, 江苏通管局主办了2011年江苏省互联网网络安全年会, 并在会上发起成立了有公安、安全、保密等部门以及各基础电信运营企业、技术支撑单位参加的江苏省反手机病毒联盟, 并按季度进行手机病毒情况的通报。同时尝试与公安、安全等开展手机病毒相关案件查办方面的合作。三是充分发挥技术支撑单位的支撑作用。例如, 在手机病毒样本分析方面, 江苏通管局已与多家有分析能力的单位建立了相关合作机制。 监测处置能力不足 江苏通管局通过对手机病毒深入研究及对大量手机病毒样本分析实践发现, 治理手机病毒要从终端、应用、用户、网络等各个环节开展工作。江苏通管局现有的手机病毒监测系统, 主要针对第四个元素, 在移动互联网上网通道上设立监测点, 把握了手机病毒与控制端通信的“交通要道”, 但监测点单一, 不能覆盖所有的外部环境, 故而存在对某些类型的病毒监测不到的情况。此外, 由于系统原理是针对已知病毒特征进行监测, 因此对未知病毒监测能力不足, 监测处置存在滞后性。 为解决现有系统手机病毒监测点单一的问题, 根据实际情况, 江苏通管局从手机病毒传播源入手, 建设手机应用安全检测与自动分析系统, 具备手机应用程序采集与下载、已知病毒特征扫描、静态API扫描、动态行为扫描、敏感词扫描、形成扫描报告等功能, 对手机应用商店、手机应用免费下载站的手机应用进行安全检测, 不但可以第一时间获取到手机病毒样本, 并将手机病毒特征配置到现有的监测系统中进行监测, 从而解决手机病毒监测系统监测的滞后性问题, 解决对未知病毒的发现能力不足的问题, 而且也能获取到没有控制端的手机病毒样