智能手機(jī)的安全問題

智能手機(jī)的安全問題

一、惡意程序檢測隨著3g時代的開始，手機(jī)不再被用作通信工具。手機(jī)智能的趨勢讓人們意識到手機(jī)也是移動智能設(shè)備。用戶可以訪問本地和網(wǎng)絡(luò)信息，收集、處理和傳輸數(shù)據(jù)。由于用戶開始在智能終端中存儲大量諸如個人帳號、財務(wù)信息、照片等敏感資料,并且智能終端聯(lián)網(wǎng)的比率越來越高,智能終端平臺已經(jīng)成為信息犯罪的新目標(biāo)。與個人計算機(jī)一樣,病毒以及間諜程序等惡意軟件將成為智能終端平臺的首要安全威脅。傳統(tǒng)地查殺惡意程序的原理是檢測病毒的特征碼,通過對比病毒特征碼來檢測文件的各類屬性來確定惡意程序的方法。這種檢測方法缺點(diǎn)是不能檢測未知病毒,并且需要病毒庫的更新,這對于處理速度較慢、資源有限的終端設(shè)備來說是一個巨大的挑戰(zhàn)。因此設(shè)計一款適合智能移動終端軟件安全的殺毒軟件至關(guān)重要。二、手機(jī)病毒的分類和傳播方法(一)惡意程序攻擊一般意義上的惡意代碼可被定義為,借助不同類型的存儲設(shè)備和網(wǎng)絡(luò)設(shè)備,利用軟件漏洞在計算機(jī)之間的相互傳播,非法破壞電腦安全的惡意程序。它包括計算機(jī)病毒,蠕蟲,特洛伊木馬,它最大的特點(diǎn)是傳播廣和破壞性大。手機(jī)病毒是一種能夠感染手機(jī)操作系統(tǒng)及其他軟件,破壞軟件運(yùn)行甚至硬件系統(tǒng)的程序,大致分為一下幾大類:木馬:利用計算機(jī)程序漏洞侵入后竊取文件的程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序,一般不會直接對電腦產(chǎn)生直接危害,而是以控制電腦為主。但一個手機(jī)木馬病毒有可能對消費(fèi)者帶來沉重的經(jīng)濟(jì)損失。蠕蟲:攻擊的方式是建立一個自我復(fù)制的移動應(yīng)用。蠕蟲傳播無需用戶操作,并可通過網(wǎng)絡(luò)以附加信息和彩信的形式分發(fā)它自己的完整副本(可能有改動)。蠕蟲會消耗手機(jī)內(nèi)存或手機(jī)網(wǎng)絡(luò)帶寬,從而可能導(dǎo)致手機(jī)死機(jī)或崩潰。病毒:手機(jī)病毒是一種可以在手機(jī)平臺操作系統(tǒng)中運(yùn)行的惡意程序。與電腦中的病毒不同的是,手機(jī)病毒的攻擊除了對系統(tǒng)本身的破壞外,還可能針對手機(jī)所特有的功能及組件進(jìn)行惡意操作和破壞。(二)手機(jī)病毒的傳播手機(jī)病毒的傳播途徑有以下幾種:1.計算機(jī)隨著計算機(jī)病毒的發(fā)展,手機(jī)病毒很容易嵌入到應(yīng)用程序中,偽裝成正常程序。因此,計算機(jī)不僅是傳播的病毒的載體,更是病毒的源頭。2.手機(jī)病毒攻擊短信是手機(jī)常用的功能之一,短信中包括對數(shù)據(jù)的傳送,因此病毒程序傳送過去也就變得很普遍。手機(jī)病毒主要以“病毒短信”的方式攻擊手機(jī),使手機(jī)無法提供某些服務(wù),病毒會發(fā)出一串由怪字符組成的病毒短信。感染病毒的手機(jī)內(nèi)部資料將被惡意破壞。特別是很多人中意的彩信,在傳播時很可能將惡意程序和代碼捆綁到彩信數(shù)據(jù)中,這樣當(dāng)我們在手機(jī)上查看彩信時病毒就會在神不知鬼不覺的情況下進(jìn)入手機(jī)系統(tǒng)中,而對于傳統(tǒng)的文字短信來說由于他的格式簡單使得部分病毒無法實(shí)現(xiàn)捆綁操作。3.系統(tǒng)感染手機(jī)當(dāng)通過藍(lán)牙將手機(jī)和電腦連接到一起后,電腦中已經(jīng)存在的病毒木馬程序會借助藍(lán)牙傳輸?shù)绞謾C(jī)中,從而感染手機(jī)的操作系統(tǒng)和應(yīng)用程序。另外病毒通過藍(lán)牙或者紅外線傳播不光存在于電腦和手機(jī)之間,很多時候兩部手機(jī)之間也會通過藍(lán)牙和紅外線技術(shù)傳播病毒。例如類Cabir病毒會使感染手機(jī)不停地搜索周圍開著藍(lán)牙的目標(biāo)手機(jī),一經(jīng)發(fā)現(xiàn)就進(jìn)行傳播操作。4.計算機(jī)病毒的現(xiàn)狀一般分為兩種情況:一是手機(jī)登錄不安全網(wǎng)站。手機(jī)上網(wǎng)用戶在登錄一些BBS甚至色情網(wǎng)站或鏈接時,或者是下載一些未經(jīng)安全驗(yàn)證的手機(jī)軟件,都有可能造成病毒入侵手機(jī)。二是通過電子郵件傳播。用電子郵件傳遞,病毒也隨之找到了載體,最常見的是通過Internet交換Word格式的文檔。由于Internet使用的廣泛,其傳播速度相當(dāng)神速。電子郵件攜帶病毒、木馬及其他惡意程序,會導(dǎo)致收件者的計算機(jī)被黑客入侵。與傳統(tǒng)的計算機(jī)病毒相比,手機(jī)病毒對移動終端的攻擊則更具有危害性?，F(xiàn)在的移動終端,體積小巧,運(yùn)算能力強(qiáng)大,具有可觀的存儲空間。原先許多需要通過計算機(jī)處理的業(yè)務(wù),現(xiàn)在通過移動終端就能處理。但原本適用于計算機(jī)終端的安全防護(hù)系統(tǒng),卻大多由于系統(tǒng)軟、硬件上的差異性而無法為移動智能終端提供有效的安全防御。當(dāng)前,手機(jī)殺毒軟件中采取的病毒防治方法依然是計算機(jī)病毒的防治技術(shù),基本沒有考慮到手機(jī)的局限性。手機(jī)局限性主要表現(xiàn)在兩個方面:首先,手機(jī)硬件配置相比計算機(jī)非常低,手機(jī)殺毒軟件的處理能力極其有限;其次,手機(jī)有限的上網(wǎng)能力使得手機(jī)病毒庫的升級極其困難。因此,對于手機(jī)病毒的防治方法,不能完全套用計算機(jī)病毒防治方法,必須尋找一個適合手機(jī)自身特點(diǎn)的有效的防治技術(shù)。三、新技術(shù)帶來的問題為了提出一個良好的智能終端攻擊的解決方案,研究的計算機(jī)反病毒軟件的工作機(jī)理是很有必要的。手機(jī)病毒實(shí)質(zhì)上是一個計算機(jī)病毒,因此計算機(jī)病毒防治技術(shù)可為手機(jī)病毒防治提供借鑒。借鑒成熟的計算機(jī)殺毒技術(shù),研究一種適合智能手機(jī)的有效的病毒防治技術(shù)是比較現(xiàn)實(shí)的方案。目前,較為成熟的計算機(jī)病毒防治技術(shù)有特征碼掃描、啟發(fā)式掃描,行為監(jiān)測等。特征碼掃描方法被認(rèn)為是用于檢測已知計算機(jī)病毒的最簡單,最常用的方法。它的基本原理是分析受感染文件,總結(jié)并記錄病毒的特征碼,保存在病毒庫中。查毒時,程序從病毒庫中逐一提取出特征碼,和正在掃描的文件進(jìn)行匹配。如果某一特征碼匹配成功,就認(rèn)為該文件已經(jīng)感染了這一特征碼所代表的病毒。如果所有的特征碼均匹配不成功,就認(rèn)為文件沒有感染病毒。但該方法無法檢測未知病毒,且隨著病毒的增多,病毒特征碼檢索時間加長,和移動電話需要長時間保持連接到網(wǎng)絡(luò)和升級病毒庫,這對資源有限的移動終端,將一個很嚴(yán)峻的挑戰(zhàn)。啟發(fā)式掃描是通過分析程序的結(jié)構(gòu)和它的行為來發(fā)現(xiàn)病毒,不依賴病毒簽名。通過這種新技術(shù),病毒掃描程序可以檢測出大約70%到80%的未知病毒。檢測過程通常分為兩個階段,第一階段是發(fā)現(xiàn)程序的行為,主要檢測程序前段和后段部分,大約幾K的代碼。發(fā)現(xiàn)方法分靜態(tài)掃描和動態(tài)掃描兩種,區(qū)別主要在于是否利用CPU模擬器來檢測程序的行為。第二階段是分析發(fā)現(xiàn)的可疑行為,這一部分必須精心設(shè)計,因?yàn)橥ǔ５那闆r下,在前一階段并不能發(fā)現(xiàn)病毒的所有可疑行為,所以必須根據(jù)發(fā)現(xiàn)的部分可疑行為做出判斷,且必須保證較低的漏報和誤報率。行為監(jiān)測法利用病毒共有的特殊行為來監(jiān)測病毒。通過對病毒多年研究,人們發(fā)現(xiàn)病毒有一些比較特殊行為是病毒的共同行為,這些行為在正常程序中比較罕見。程序運(yùn)行時,監(jiān)視其行為,如果發(fā)現(xiàn)病毒行為就立即報警。行為監(jiān)測法的長處在于不僅可以發(fā)現(xiàn)已知病毒,而且可以相當(dāng)準(zhǔn)確地預(yù)報未知的多數(shù)病毒。但行為監(jiān)測法也有其短處,即可能誤報警和不能識別病毒名稱,而且實(shí)現(xiàn)起來有一定難度?，F(xiàn)今的PC上應(yīng)用的軟件方案主要應(yīng)用特征碼來幫助檢測,但如果出現(xiàn)一種新的惡意程序不包含已知特征碼,這種方法就檢測不出新惡意程序來。特征碼技術(shù)若要查殺最新病毒,要求用戶要有更新病毒數(shù)據(jù)庫定義的能力,這對本來硬件資源就有限的移動終端平臺來說幾乎無法實(shí)現(xiàn)。四、基于啟發(fā)式行為監(jiān)測的手機(jī)病毒防治系統(tǒng)架構(gòu)通過分析、比較現(xiàn)有的病毒防治技術(shù),我們認(rèn)為基于啟發(fā)式行為監(jiān)測的病毒防治方法更加適應(yīng)手機(jī)CPU處理能力低、內(nèi)存空間小的特點(diǎn)。我們可以為各類惡意程序產(chǎn)生的行為進(jìn)行分類,建立一個行為規(guī)則庫,這樣可以阻止惡意程序運(yùn)行,同時對一些可能出現(xiàn)的有類似行為的病毒變種也能產(chǎn)生很好的防御效果。啟發(fā)式分析使用基于行為規(guī)則的方法來診斷一個有潛在威脅的文件(或信息,如果是分析垃圾郵件的話)。啟發(fā)式行為分析引擎的工作是基于自身行為規(guī)則庫的,它依據(jù)行為規(guī)則檢查惡意軟件存在的可能性,當(dāng)找到一個匹配的規(guī)則,這個文件就會被標(biāo)記為可疑文件(或者潛在的惡意軟件、垃圾郵件)并進(jìn)行處理。本文將提出一個基于啟發(fā)式行為監(jiān)測的手機(jī)病毒防治系統(tǒng)原型,該系統(tǒng)體系結(jié)構(gòu)包括以下九個基本模塊:1.用戶界面:用戶與系統(tǒng)交互的界面;2.行為監(jiān)控模塊:監(jiān)控系統(tǒng)中“非友好程序”的行為,依據(jù)安全策略判斷被監(jiān)控程序的行為是否具有惡意,將具有惡意的行為上報至啟發(fā)式分析器,并調(diào)用行為阻止模塊阻止判定為病毒的程序;3.行為阻止模塊:阻止行為監(jiān)控模塊判斷的惡意程序;4.安全策略庫:存儲已定義的安全策略,由升級模塊更新;5.用戶可選安全策略:除系統(tǒng)定義的核心安全策略,用戶還可自選一部分安全策略,以滿足個性化的安全需求;6.隔離庫:隔離違反安全策略的程序,用戶決定是否刪除此程序;7.友好程序庫:存儲具有證書、已知行為安全的程序名單,用戶也可自動加入或刪除友好程序名單,行為監(jiān)控模塊監(jiān)控時就不再監(jiān)控此庫中的程序;8.升級模塊:與網(wǎng)絡(luò)連接更新安全策略和系統(tǒng)組件;9.記錄文件庫:登記系統(tǒng)中阻止的惡意行為,并向用戶通報;10.啟發(fā)式分析器:利用啟發(fā)式規(guī)則分析行為監(jiān)控模塊上報的準(zhǔn)惡意行為,判斷該程序是否為病毒,并將結(jié)果返回至行為監(jiān)控模塊。(一)應(yīng)用程序進(jìn)程的隔離這是整個系統(tǒng)的核心模塊。駐留在手機(jī)的操作系統(tǒng)層,監(jiān)測系統(tǒng)運(yùn)行的進(jìn)程。一旦發(fā)現(xiàn)違反預(yù)先定義的安全策略行為,就終止這個進(jìn)程并報告且記錄行為,并將其隔離以作進(jìn)一步處理。若應(yīng)用程序進(jìn)程在安全策略允許范圍內(nèi)則其執(zhí)行就不受影響。手機(jī)惡意程序的典型行為規(guī)則:1.經(jīng)濟(jì)損失規(guī)則1:自動連接網(wǎng)絡(luò)(造成較大流量的)2.破壞設(shè)備，使用戶無法正常工作規(guī)則8:部分功能失效規(guī)則10:自動關(guān)機(jī)規(guī)則11:頻繁自動重啟規(guī)則12:破壞手機(jī)中的資料(通訊錄、照片、圖鈴等)3.傳播信息，損害個人聲譽(yù)，影響社會產(chǎn)生不良影響傳播內(nèi)容:不良信息、色情信息、惡意信息、非法信息4.個人數(shù)據(jù)丟失規(guī)則15:竊取、泄露手機(jī)使用者的個人信息5.純化手機(jī)高效行為檢測強(qiáng)制手機(jī)不斷地向所在通訊網(wǎng)絡(luò)發(fā)送垃圾信息,導(dǎo)致信息堵塞,最終讓局部的手機(jī)通訊網(wǎng)絡(luò)癱瘓規(guī)則16:格式化手機(jī)內(nèi)存通過上面總結(jié)的行為規(guī)則庫來看,不斷完善行為規(guī)則庫不僅可以檢測出已知的病毒、木馬程序,還可以檢測出具有規(guī)則庫中程序行為的未知惡意程序或者已知惡意程序的變種。相對于特征碼這么龐大的數(shù)據(jù)庫來說,總結(jié)出的較小規(guī)模的規(guī)則庫更適合終端這種移動平臺。(二)監(jiān)控模塊的實(shí)施行為阻止模塊的主要功能是接受行為監(jiān)控模塊的阻止請求,對監(jiān)控模塊認(rèn)為具有惡意行為的進(jìn)程進(jìn)行阻止,強(qiáng)制結(jié)束此進(jìn)程,防治惡意行為對手機(jī)造成破壞。并將此惡意代碼隔離至隔離庫,讓用戶選擇對此惡意程序的處理。(三)提高誤報率，降低誤報率安全策略庫是系統(tǒng)的關(guān)鍵部分。制定良好的安全策略庫是降低誤報率、提高監(jiān)控未知惡意行為準(zhǔn)確率的關(guān)鍵所在。如果有新的惡意行為出現(xiàn),可對系統(tǒng)的安全策略庫進(jìn)行升級,最大限度保護(hù)手機(jī)安全。(四)啟動時間分析器分析了監(jiān)控到的應(yīng)用程序的惡意行為序列，并將安全對策庫中的安全策略權(quán)重結(jié)合起來。啟動時，確定應(yīng)用程序是否為病毒系統(tǒng)流程如圖所示:五、基于啟發(fā)式行為監(jiān)測的手機(jī)病毒防治方案本文在分析手機(jī)病毒種類與傳播途徑及現(xiàn)有的病毒防治方法的基礎(chǔ)上,提出了基于啟發(fā)式行為監(jiān)測的手機(jī)病毒防治技術(shù),此方法可以很好地適應(yīng)手機(jī)特