智能手機(jī)的惡意代碼防范研究

　　惡意代碼檢測(cè)層提供了判斷程序或數(shù)據(jù)是否感染了惡意代碼的方法， 備份恢復(fù)則是對(duì)其做出的響應(yīng)。而由于智能手機(jī)不會(huì)像PC 機(jī)一樣成為編制程序的工具， 手機(jī)上的應(yīng)用程序數(shù)量有限， 可以枚舉出來(lái)， 所以智能手機(jī)不需像在傳統(tǒng)計(jì)算機(jī)病毒防治領(lǐng)域那樣， 把清除病毒并恢復(fù)被感染者的功能作為首選策略， 而是把智能手機(jī)領(lǐng)域用到的應(yīng)用都備份到一個(gè)公共平臺(tái)上， 當(dāng)發(fā)現(xiàn)用戶的手機(jī)中有部分對(duì)象（ 例如， 應(yīng)用程序） 遭到破壞時(shí)， 采用從公共平臺(tái)下載的手段來(lái)恢復(fù)被感染對(duì)象。

　　可以看出備份恢復(fù)層的難點(diǎn)是應(yīng)用程序的枚舉。就手機(jī)目前狀態(tài)和長(zhǎng)遠(yuǎn)發(fā)展而言， 智能手機(jī)上的應(yīng)用還是可枚舉的。如果能夠解決應(yīng)用程序與功能模塊的枚舉問(wèn)題， 那么關(guān)于備份恢復(fù)層的核心問(wèn)題也就可以解決了， 以下是幾點(diǎn)關(guān)于此模塊的要點(diǎn)：

　　（ 1） 必須組建一個(gè)具有權(quán)威性的全球機(jī)構(gòu)來(lái)創(chuàng)建以及維護(hù)能提供數(shù)據(jù)備份與恢復(fù)服務(wù)的公共平臺(tái)， 實(shí)現(xiàn)對(duì)應(yīng)用程序集合的更新管理。

　?。?2） 聯(lián)合全世界的知名手機(jī)軟件尤其是系統(tǒng)軟件企業(yè)， 加入到該公共平臺(tái)建設(shè)與維護(hù)中， 保證手機(jī)功能模塊的恢復(fù)。

　?。?3） 在廠商參與形式上， 既可以采取分層模式，即由該專業(yè)機(jī)構(gòu)授權(quán)參與此聯(lián)盟的下屬?gòu)S商提供相關(guān)產(chǎn)品的備份恢復(fù)服務(wù)， 也可以由該專業(yè)機(jī)構(gòu)統(tǒng)一整合管理并提供。分層模式對(duì)于用戶而言較為麻煩， 而統(tǒng)一模式又容易造成單點(diǎn)失敗， 各有利弊。

　?。?4） 在有廠商參與的同時(shí)， 也不排斥個(gè)人行為的參與， 這類似于iphONe 應(yīng)用與軟件交易平臺(tái)AppleStore的模式， 所不同的僅僅是在這里個(gè)人行為的參與需要經(jīng)過(guò)該專業(yè)機(jī)構(gòu)的嚴(yán)格審查與認(rèn)證。

　?。?5） 而對(duì)于眾多的應(yīng)用程序與功能模塊的集合管理， 可按操作系統(tǒng)、功能或手機(jī)品牌等進(jìn)行分類。

　　當(dāng)然， 在本層中， 不僅是應(yīng)用程序的備份恢復(fù)，對(duì)于用戶數(shù)據(jù)， 如個(gè)人通訊錄、重要短信息等的備份也是十分必要的， 鑒于這部分僅僅只涉及數(shù)據(jù)， 而并沒(méi)有涉及程序的安裝使用等， 所以可以采取與PC同步的方式完成。

　　2.3 實(shí)時(shí)監(jiān)控層實(shí)現(xiàn)方案

　　實(shí)時(shí)監(jiān)控層將監(jiān)控進(jìn)出互聯(lián)網(wǎng)絡(luò)、信息服務(wù)、藍(lán)牙、紅外線等接口的進(jìn)出口數(shù)據(jù)， 實(shí)現(xiàn)預(yù)防惡意代碼入侵， 防止用戶信息被竊取的功能。具體內(nèi)容詳述如下：

　　（ 1） 監(jiān)測(cè)輸入數(shù)據(jù)流。

　　監(jiān)測(cè)輸入流量是監(jiān)控工具的一個(gè)重要功能， 包括有害信息（ 即病毒） 流入與非法行為入侵。與計(jì)算機(jī)中個(gè)人防火墻的這一功能相同， 也類似于PC 上的入侵檢測(cè)系統(tǒng)（ IDS， Intrusion DetectSystem） ， 尤其是其中的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS） ， 因?yàn)閷?duì)智能手機(jī)而言， 網(wǎng)絡(luò)流量是其最大的數(shù)據(jù)流輸入部分，NIDS 的分析方法有： 統(tǒng)計(jì)分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。

　　監(jiān)測(cè)流量的另一個(gè)方法是僅允許某些可信服務(wù)器發(fā)送數(shù)據(jù)流給移動(dòng)用戶。這需要對(duì)服務(wù)器進(jìn)行驗(yàn)證并保護(hù)那些在服務(wù)器和無(wú)線網(wǎng)絡(luò)間進(jìn)行的傳輸。

　?。?2） 監(jiān)測(cè)輸出數(shù)據(jù)流。

　　為了防范木馬攻擊， 監(jiān)控工具的設(shè)計(jì)原理是監(jiān)測(cè)應(yīng)用程序的聯(lián)網(wǎng)請(qǐng)求， 然后， 根據(jù)應(yīng)用程序是否可信來(lái)決定是否允許數(shù)據(jù)流的流出。有些間諜程序通過(guò)把自己改為可信程序名以逃避過(guò)濾規(guī)則。所以，移動(dòng)終端防火墻的限制規(guī)則應(yīng)是基于整個(gè)應(yīng)用程序的校驗(yàn)和而不是僅僅根據(jù)名稱。

　　（ 3） 黑白名單。

　　黑白名單可以體現(xiàn)在SIM 卡號(hào)碼、域名、Email地址等多個(gè)方面。在智能手機(jī)設(shè)備使用WWW、WAP 信箱服務(wù)時(shí)， 不必經(jīng)過(guò)對(duì)數(shù)據(jù)流監(jiān)測(cè)算法， 直接通過(guò)黑白名單決定是否允許連接請(qǐng)求。同樣， 黑白SIM 卡號(hào)碼是決定是否允許來(lái)自特定終端設(shè)備的數(shù)據(jù)流和服務(wù)的規(guī)則。

　　2.4 漏洞管理層實(shí)現(xiàn)方案

　　智能手機(jī)的潛在漏洞主要來(lái)自于三類： 嵌入式操作系統(tǒng)、運(yùn)行時(shí)環(huán)境、應(yīng)用程序。嵌入式操作系統(tǒng)的漏洞指的是由于智能手機(jī)所采用的操作系統(tǒng)本身的脆弱性造成的漏洞。典型的操作系統(tǒng)漏洞是藍(lán)牙網(wǎng)絡(luò)連接， Cabir 病毒就是利用該漏洞進(jìn)行傳播的。手機(jī)的運(yùn)行時(shí)環(huán)境包括JAVA、。 NET 等運(yùn)行時(shí)支持庫(kù)， 它們具有脆弱性， 也可能被用戶濫用， 從而形成運(yùn)行時(shí)環(huán)境漏洞。Vxer（ 病毒制造者） 可以利用這些漏洞訪問(wèn)本地文件、獲取權(quán)限、開放共享等。智能手機(jī)上的應(yīng)用軟件可謂多種多樣， 它們的脆弱性也是不計(jì)其數(shù)。嵌入WML （ Wireless Markup Language） 文件的惡意腳本代碼是應(yīng)用軟件類漏洞的典型代表。

　　漏洞防范主要靠更新有關(guān)的軟件開發(fā)廠商的補(bǔ)丁程序。關(guān)于補(bǔ)丁發(fā)布方式， 可以參照計(jì)算機(jī)領(lǐng)域操作系統(tǒng)漏洞發(fā)布機(jī)制來(lái)制訂智能手機(jī)領(lǐng)域的漏洞發(fā)布方式。

　　2.5 數(shù)字免疫層實(shí)現(xiàn)方案

　　基于大多數(shù)惡意代碼來(lái)源于互聯(lián)網(wǎng)絡(luò)的現(xiàn)實(shí)，本文設(shè)計(jì)了一個(gè)能夠阻止來(lái)自網(wǎng)上惡意代碼入侵的原型系統(tǒng)， 即智能手機(jī)數(shù)字免疫系統(tǒng)。所有面向智能手機(jī)的應(yīng)用程序（ 例如手機(jī)游戲等） 、免疫信息都將被數(shù)字免疫系統(tǒng)采集。任何智能手機(jī)從任何途徑獲得應(yīng)用程序時(shí)， 都推薦使用數(shù)字免疫系統(tǒng)作為中間代理來(lái)驗(yàn)證所獲得的程序的完整性。數(shù)字免疫系統(tǒng)可以有效防止寄生了惡意代碼的宿主程序入侵手機(jī)終端。對(duì)于未登記應(yīng)用程序， 該系統(tǒng)將不允許其進(jìn)入手機(jī)終端。

　　如圖2 所示， 數(shù)字免疫基礎(chǔ)設(shè)施由免疫信息采集網(wǎng)絡(luò)、免疫信息中心、免疫信息驗(yàn)證平臺(tái)3 個(gè)子系統(tǒng)組成。圖中虛線部分是手機(jī)終端獲取各種軟件的不安全途徑。數(shù)字免疫系統(tǒng)的安全數(shù)據(jù)流程如下：

　　圖2 數(shù)字免疫基礎(chǔ)設(shè)施結(jié)構(gòu)圖

　　免疫信息采集網(wǎng)絡(luò)分布于盡可能廣的范圍， 擁有盡可能多的節(jié)點(diǎn)， 采集應(yīng)用于智能手機(jī)各種應(yīng)用程序的免疫信息（ 例如數(shù)字簽名， 名字， 版本號(hào)， 大小， 開發(fā)商， 應(yīng)用平臺(tái)等） 。免疫信息中心存放采集網(wǎng)絡(luò)采集下來(lái)的各種信息， 管理免疫信息。當(dāng)手機(jī)用戶需要下載安裝軟件時(shí)， 免疫信息驗(yàn)證平臺(tái)利用免疫信息中心存儲(chǔ)的免疫信息驗(yàn)證下載的軟件是否完整（ 有沒(méi)有成為惡意代碼的宿主） ， 如果完整則允許安裝到用戶終端上， 如果不完整則拒絕安裝請(qǐng)求。

　　3 結(jié)束語(yǔ)

　　隨著智能手機(jī)的大眾化， 其功能與設(shè)備越來(lái)越貼近人們的生活， 而與之相關(guān)的惡意代碼正處于快速增長(zhǎng)期。為使智能手機(jī)的惡意代碼對(duì)人們生活的影響降到最低， 建立一套完善的防范體系模型顯得尤為迫切， 手機(jī)制造商、網(wǎng)絡(luò)運(yùn)營(yíng)商、反病毒軟件商等正在努力構(gòu)建這一平臺(tái)， 從安全目標(biāo)、安全威脅、安全機(jī)制、安全防護(hù)系統(tǒng)及安全管理等方面出發(fā)逐步實(shí)現(xiàn)對(duì)智能手機(jī)惡意代碼的立體防御。