智能手機的惡意代碼防范研究
惡意代碼檢測層提供了判斷程序或數(shù)據(jù)是否感染了惡意代碼的方法, 備份恢復(fù)則是對其做出的響應(yīng)。而由于智能手機不會像PC 機一樣成為編制程序的工具, 手機上的應(yīng)用程序數(shù)量有限, 可以枚舉出來, 所以智能手機不需像在傳統(tǒng)計算機病毒防治領(lǐng)域那樣, 把清除病毒并恢復(fù)被感染者的功能作為首選策略, 而是把智能手機領(lǐng)域用到的應(yīng)用都備份到一個公共平臺上, 當發(fā)現(xiàn)用戶的手機中有部分對象( 例如, 應(yīng)用程序) 遭到破壞時, 采用從公共平臺下載的手段來恢復(fù)被感染對象。
可以看出備份恢復(fù)層的難點是應(yīng)用程序的枚舉。就手機目前狀態(tài)和長遠發(fā)展而言, 智能手機上的應(yīng)用還是可枚舉的。如果能夠解決應(yīng)用程序與功能模塊的枚舉問題, 那么關(guān)于備份恢復(fù)層的核心問題也就可以解決了, 以下是幾點關(guān)于此模塊的要點:
?。?1) 必須組建一個具有權(quán)威性的全球機構(gòu)來創(chuàng)建以及維護能提供數(shù)據(jù)備份與恢復(fù)服務(wù)的公共平臺, 實現(xiàn)對應(yīng)用程序集合的更新管理。
?。?2) 聯(lián)合全世界的知名手機軟件尤其是系統(tǒng)軟件企業(yè), 加入到該公共平臺建設(shè)與維護中, 保證手機功能模塊的恢復(fù)。
?。?3) 在廠商參與形式上, 既可以采取分層模式,即由該專業(yè)機構(gòu)授權(quán)參與此聯(lián)盟的下屬廠商提供相關(guān)產(chǎn)品的備份恢復(fù)服務(wù), 也可以由該專業(yè)機構(gòu)統(tǒng)一整合管理并提供。分層模式對于用戶而言較為麻煩, 而統(tǒng)一模式又容易造成單點失敗, 各有利弊。
?。?4) 在有廠商參與的同時, 也不排斥個人行為的參與, 這類似于iphONe 應(yīng)用與軟件交易平臺AppleStore的模式, 所不同的僅僅是在這里個人行為的參與需要經(jīng)過該專業(yè)機構(gòu)的嚴格審查與認證。
( 5) 而對于眾多的應(yīng)用程序與功能模塊的集合管理, 可按操作系統(tǒng)、功能或手機品牌等進行分類。
當然, 在本層中, 不僅是應(yīng)用程序的備份恢復(fù),對于用戶數(shù)據(jù), 如個人通訊錄、重要短信息等的備份也是十分必要的, 鑒于這部分僅僅只涉及數(shù)據(jù), 而并沒有涉及程序的安裝使用等, 所以可以采取與PC同步的方式完成。
2.3 實時監(jiān)控層實現(xiàn)方案
實時監(jiān)控層將監(jiān)控進出互聯(lián)網(wǎng)絡(luò)、信息服務(wù)、藍牙、紅外線等接口的進出口數(shù)據(jù), 實現(xiàn)預(yù)防惡意代碼入侵, 防止用戶信息被竊取的功能。具體內(nèi)容詳述如下:
( 1) 監(jiān)測輸入數(shù)據(jù)流。
監(jiān)測輸入流量是監(jiān)控工具的一個重要功能, 包括有害信息( 即病毒) 流入與非法行為入侵。與計算機中個人防火墻的這一功能相同, 也類似于PC 上的入侵檢測系統(tǒng)( IDS, Intrusion DetectSystem) , 尤其是其中的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS) , 因為對智能手機而言, 網(wǎng)絡(luò)流量是其最大的數(shù)據(jù)流輸入部分,NIDS 的分析方法有: 統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。
監(jiān)測流量的另一個方法是僅允許某些可信服務(wù)器發(fā)送數(shù)據(jù)流給移動用戶。這需要對服務(wù)器進行驗證并保護那些在服務(wù)器和無線網(wǎng)絡(luò)間進行的傳輸。
?。?2) 監(jiān)測輸出數(shù)據(jù)流。
為了防范木馬攻擊, 監(jiān)控工具的設(shè)計原理是監(jiān)測應(yīng)用程序的聯(lián)網(wǎng)請求, 然后, 根據(jù)應(yīng)用程序是否可信來決定是否允許數(shù)據(jù)流的流出。有些間諜程序通過把自己改為可信程序名以逃避過濾規(guī)則。所以,移動終端防火墻的限制規(guī)則應(yīng)是基于整個應(yīng)用程序的校驗和而不是僅僅根據(jù)名稱。
( 3) 黑白名單。
黑白名單可以體現(xiàn)在SIM 卡號碼、域名、Email地址等多個方面。在智能手機設(shè)備使用WWW、WAP 信箱服務(wù)時, 不必經(jīng)過對數(shù)據(jù)流監(jiān)測算法, 直接通過黑白名單決定是否允許連接請求。同樣, 黑白SIM 卡號碼是決定是否允許來自特定終端設(shè)備的數(shù)據(jù)流和服務(wù)的規(guī)則。
2.4 漏洞管理層實現(xiàn)方案
智能手機的潛在漏洞主要來自于三類: 嵌入式操作系統(tǒng)、運行時環(huán)境、應(yīng)用程序。嵌入式操作系統(tǒng)的漏洞指的是由于智能手機所采用的操作系統(tǒng)本身的脆弱性造成的漏洞。典型的操作系統(tǒng)漏洞是藍牙網(wǎng)絡(luò)連接, Cabir 病毒就是利用該漏洞進行傳播的。手機的運行時環(huán)境包括JAVA、。 NET 等運行時支持庫, 它們具有脆弱性, 也可能被用戶濫用, 從而形成運行時環(huán)境漏洞。Vxer( 病毒制造者) 可以利用這些漏洞訪問本地文件、獲取權(quán)限、開放共享等。智能手機上的應(yīng)用軟件可謂多種多樣, 它們的脆弱性也是不計其數(shù)。嵌入WML ( Wireless Markup Language) 文件的惡意腳本代碼是應(yīng)用軟件類漏洞的典型代表。
漏洞防范主要靠更新有關(guān)的軟件開發(fā)廠商的補丁程序。關(guān)于補丁發(fā)布方式, 可以參照計算機領(lǐng)域操作系統(tǒng)漏洞發(fā)布機制來制訂智能手機領(lǐng)域的漏洞發(fā)布方式。
2.5 數(shù)字免疫層實現(xiàn)方案
基于大多數(shù)惡意代碼來源于互聯(lián)網(wǎng)絡(luò)的現(xiàn)實,本文設(shè)計了一個能夠阻止來自網(wǎng)上惡意代碼入侵的原型系統(tǒng), 即智能手機數(shù)字免疫系統(tǒng)。所有面向智能手機的應(yīng)用程序( 例如手機游戲等) 、免疫信息都將被數(shù)字免疫系統(tǒng)采集。任何智能手機從任何途徑獲得應(yīng)用程序時, 都推薦使用數(shù)字免疫系統(tǒng)作為中間代理來驗證所獲得的程序的完整性。數(shù)字免疫系統(tǒng)可以有效防止寄生了惡意代碼的宿主程序入侵手機終端。對于未登記應(yīng)用程序, 該系統(tǒng)將不允許其進入手機終端。
如圖2 所示, 數(shù)字免疫基礎(chǔ)設(shè)施由免疫信息采集網(wǎng)絡(luò)、免疫信息中心、免疫信息驗證平臺3 個子系統(tǒng)組成。圖中虛線部分是手機終端獲取各種軟件的不安全途徑。數(shù)字免疫系統(tǒng)的安全數(shù)據(jù)流程如下:
圖2 數(shù)字免疫基礎(chǔ)設(shè)施結(jié)構(gòu)圖
免疫信息采集網(wǎng)絡(luò)分布于盡可能廣的范圍, 擁有盡可能多的節(jié)點, 采集應(yīng)用于智能手機各種應(yīng)用程序的免疫信息( 例如數(shù)字簽名, 名字, 版本號, 大小, 開發(fā)商, 應(yīng)用平臺等) 。免疫信息中心存放采集網(wǎng)絡(luò)采集下來的各種信息, 管理免疫信息。當手機用戶需要下載安裝軟件時, 免疫信息驗證平臺利用免疫信息中心存儲的免疫信息驗證下載的軟件是否完整( 有沒有成為惡意代碼的宿主) , 如果完整則允許安裝到用戶終端上, 如果不完整則拒絕安裝請求。
3 結(jié)束語
隨著智能手機的大眾化, 其功能與設(shè)備越來越貼近人們的生活, 而與之相關(guān)的惡意代碼正處于快速增長期。為使智能手機的惡意代碼對人們生活的影響降到最低, 建立一套完善的防范體系模型顯得尤為迫切, 手機制造商、網(wǎng)絡(luò)運營商、反病毒軟件商等正在努力構(gòu)建這一平臺, 從安全目標、安全威脅、安全機制、安全防護系統(tǒng)及安全管理等方面出發(fā)逐步實現(xiàn)對智能手機惡意代碼的立體防御。
評論