移動互聯(lián)網(wǎng)安全監(jiān)測與管控技術(shù)研究

移動互聯(lián)網(wǎng)安全監(jiān)測與管控技術(shù)研究

1移動互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀去年，中國移動互聯(lián)網(wǎng)用戶的規(guī)模已接近3億人。根據(jù)工業(yè)和信息化部運行監(jiān)測協(xié)調(diào)局發(fā)布的最新數(shù)據(jù),截至2013年4月,我國移動互聯(lián)網(wǎng)用戶總數(shù)達(dá)到8.08億,用戶數(shù)相比2010年4月的4.33億戶翻了一番但是隨著移動互聯(lián)網(wǎng)用戶規(guī)模的高速增長及接入方式的多樣化,移動互聯(lián)網(wǎng)面臨的安全形勢也日益嚴(yán)峻。從網(wǎng)絡(luò)和業(yè)務(wù)平臺側(cè)看,除了接入技術(shù)不同,移動互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)在架構(gòu)上并無本質(zhì)區(qū)別,而移動網(wǎng)絡(luò)IP化、移動用戶寬帶化和移動終端智能化的趨勢,使得互聯(lián)網(wǎng)上原有的惡意程序傳播、網(wǎng)絡(luò)攻擊等傳統(tǒng)網(wǎng)絡(luò)安全威脅向移動互聯(lián)網(wǎng)快速蔓延,僅2012年,國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測和網(wǎng)絡(luò)安全企業(yè)通報的移動互聯(lián)網(wǎng)惡意程序樣本就高達(dá)162981個,較2011年增長25倍移動互聯(lián)網(wǎng)安全問題來源于“云、管、端”,即移動業(yè)務(wù)、移動承載網(wǎng)以及移動終端等多個層面。其中,移動互聯(lián)網(wǎng)業(yè)務(wù)面臨的安全威脅主要包括身份偽造本文立足于移動互聯(lián)網(wǎng)運營商角度,重點分析移動互聯(lián)網(wǎng)承載網(wǎng)(以下簡稱“移動承載網(wǎng)”)存在的移動惡意程序、信令風(fēng)暴等安全熱點問題,研究和探討在網(wǎng)絡(luò)側(cè)防護(hù)惡意代碼和信令風(fēng)暴的安全防護(hù)技術(shù)。2網(wǎng)絡(luò)側(cè)惡意程序防護(hù)傳統(tǒng)殺毒產(chǎn)品中采用的基于終端側(cè)惡意程序防護(hù)技術(shù),目前仍在移動惡意程序的防護(hù)中使用,但受限于移動智能終端資源瓶頸及用戶安全意識不足,惡意程序防護(hù)軟件在移動終端的滲透力度不夠。隨著移動互聯(lián)網(wǎng)時代的到來,移動智能終端的用戶增長速度遠(yuǎn)大于趨于飽和的計算機用戶增長速度,但是手機使用群體的安全防范意識遠(yuǎn)不如計算機的使用群體,其次移動智能終端的CPU、內(nèi)存、電量等終端資源也遠(yuǎn)不如傳統(tǒng)PC計算機,缺乏像PC實時監(jiān)控惡意程序的能力,因此惡意程序防護(hù)軟件在移動終端的滲透力度明顯不足。由于流量資費等原因,目前移動互聯(lián)網(wǎng)手機流量遠(yuǎn)低于傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量,因此,在移動互聯(lián)網(wǎng)的運營商網(wǎng)絡(luò)側(cè)開展惡意程序防護(hù)成為可能。如圖1所示,運營商在移動互聯(lián)網(wǎng)接入點采用分光設(shè)備實時采集數(shù)據(jù)流量,通過流量特征碼技術(shù)監(jiān)測移動互聯(lián)網(wǎng)惡意程序,利用流控設(shè)備以及與網(wǎng)絡(luò)設(shè)備(如垃圾短彩信攔截系統(tǒng)、DNS等)的聯(lián)動,通過發(fā)送TCPreset報文給網(wǎng)絡(luò)設(shè)備的方式,主動封堵攔截惡意程序的傳播途徑,對確定的惡意URL進(jìn)行封堵或跳轉(zhuǎn),最后通過終端側(cè)推送提示頁面、提示短信等方式引導(dǎo)移動互聯(lián)網(wǎng)用戶解決惡意程序。但是,2013年初中國電信網(wǎng)絡(luò)安全實驗室對主流廠商3款移動惡意程序監(jiān)控系統(tǒng)的測試結(jié)果顯示,現(xiàn)階段基于網(wǎng)絡(luò)側(cè)的惡意程序防護(hù)技術(shù)在協(xié)議支持和報文還原等方面的實現(xiàn)上仍存在缺陷,主要體現(xiàn)在以下方面:目前主流的惡意程序監(jiān)控防治設(shè)備在分析模塊的報文重組、還原、檢測分析等功能方面只支持HTTP,不支持其他協(xié)議;設(shè)備處置模塊支持處置策略有限,只支持根據(jù)黑名單URL和移動終端進(jìn)行處置,且封堵也只能針對TCP連接;同時,文件還原的處理性能直接影響惡意程序監(jiān)測效果,隨著移動互聯(lián)網(wǎng)流量的增大,大部分廠商產(chǎn)品監(jiān)測出的惡意程序數(shù)量持續(xù)下降。據(jù)測算,如果對移動互聯(lián)網(wǎng)傳輸信息進(jìn)行深度檢測和安全過濾,會導(dǎo)致移動互聯(lián)網(wǎng)網(wǎng)絡(luò)信息傳輸效率下降85%為了彌補移動互聯(lián)網(wǎng)大流量下惡意程序發(fā)現(xiàn)能力不足的情況,基于移動互聯(lián)網(wǎng)網(wǎng)絡(luò)異常流量的惡意程序防護(hù)技術(shù)是一種較好的補充技術(shù)。該技術(shù)主要是通過基于NetFlow等流量采集技術(shù)開展長期的流量監(jiān)測和統(tǒng)計分析,建立正常的流量模型和閾值,預(yù)定義惡意程序攻擊造成的異常流量范圍,當(dāng)網(wǎng)絡(luò)總體流量分布超出閾值定義范圍,則判斷網(wǎng)絡(luò)中可能存在網(wǎng)絡(luò)惡意程序攻擊,再根據(jù)目的端口流量分布判斷出是哪種惡意程序。這種技術(shù)能很快發(fā)現(xiàn)大規(guī)模的移動互聯(lián)網(wǎng)蠕蟲攻擊行為,有效避免網(wǎng)絡(luò)癱瘓,但是該技術(shù)不能防御移動終端層面惡意程序,對蠕蟲只能控制傳播不能清除。3)移動互聯(lián)網(wǎng)用戶對大量syn掃描攻擊,的檢測方案隨著移動用戶數(shù)量的高速增長,黑客針對移動互聯(lián)網(wǎng)的入侵掃描也逐步增多。例如,某運營商就發(fā)生過短短10s內(nèi)有上千個3G用戶登錄同一個移動互聯(lián)網(wǎng)基站,產(chǎn)生大量信令,引發(fā)SPCF、DOCMP、DOSDU等設(shè)備出現(xiàn)最高負(fù)荷過高的問題。為了判斷負(fù)載過高的原因,在每次設(shè)備最高負(fù)荷沖高時,筆者在BSC隨機采樣4個用戶,而這4個用戶中的媒體面報文都可以看到SYN掃描,而且4組測試均有這一現(xiàn)象無一例外,由此可以推斷SYN掃描的量級是較高的。上述分析表明,由于移動互聯(lián)網(wǎng)移動終端用戶通過對大量3G無線用戶地址段的SYN掃描攻擊,造成大量休眠用戶的同時激活,導(dǎo)致無線空口資源的負(fù)荷激增。由于移動互聯(lián)網(wǎng)無線空口資源的共享性和有限性,對于基站和BSC來說,短時大量的SYN掃描將導(dǎo)致信令風(fēng)暴,這種信令風(fēng)暴攻擊行為會嚴(yán)重影響無線網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗。目前應(yīng)對異常流量攻擊的檢測及封堵技術(shù)手段主要有DPI系統(tǒng)、流量分析系統(tǒng)、流量清洗系統(tǒng)等技術(shù)平臺,但是這些技術(shù)只能通過發(fā)送TCPreset報文實現(xiàn)利用TCP鏈接傳播惡意程序的封堵,不能實現(xiàn)對移動終端用戶SYN掃描攻擊的封堵,在應(yīng)對移動終端對大量無線網(wǎng)地址段的SYN掃描攻擊時均有其局限性,不能有效防范SYN掃描攻擊。為了解決現(xiàn)有技術(shù)手段不能有效防范SYN掃描攻擊的問題,建議運營商采用基于DPI+AAA聯(lián)動機制應(yīng)對移動終端對無線網(wǎng)SYN掃描攻擊的防護(hù)方案。如圖2所示,DPI通過在PI(PDSN與Internet)鏈路及AAA系統(tǒng)上聯(lián)鏈路分光,實時采集無線網(wǎng)分組域流量數(shù)據(jù)及用戶認(rèn)證數(shù)據(jù),檢測識別SYN掃描攻擊用戶及流量;當(dāng)DPI系統(tǒng)監(jiān)測到SYN掃描攻擊后,與AAA系統(tǒng)聯(lián)動,發(fā)送封堵控制指令給AAA系統(tǒng),由AAA系統(tǒng)給PDSN發(fā)送拆除PPP連接的指令,拆除用戶的PPP連接,利用AAA設(shè)備實現(xiàn)對移動終端用戶、PPP連接等的管理進(jìn)行封堵控制,從而有效保護(hù)有限的無線網(wǎng)空口資源,提升移動互聯(lián)網(wǎng)網(wǎng)絡(luò)服務(wù)質(zhì)量及用戶體驗。4動互聯(lián)網(wǎng)網(wǎng)絡(luò)側(cè)監(jiān)測和攔截移動惡意代碼本文從運營商角度重點分析了移動惡意程序、信令風(fēng)暴等移動互聯(lián)網(wǎng)安全熱點問題。通過研究和探討在移動互聯(lián)網(wǎng)網(wǎng)