中国移动恶意代码检测与治理方案

admin

本文摘自《电信工程技术与标准化》2013年2期。作者：程璟睿 魏来 周智。作者单位：中国移动通信集团设计院有限公司 中国移动通信集团公司

随着互联网的普及，在信息安全事件中，由恶意代码攻击造成的经济损失已经位列各种攻击的首位，恶意代码攻击成为信息安全领域急需解决的问题。近年来，中国移动为保护用户权益、防范网络攻击，致力于恶意代码的检测和治理工作，已取得了一定成效。

1 中国恶意代码发展现状

1.1恶意代码特征

恶意代码一般潜伏在受害的系统中实施破坏或窃取信息，可能造成系统瘫痪或操作异常、数据文件丢失、用户和系统的隐秘信息泄露、系统资源被大量非法占用等各种危害。它的攻击行为主要包含收集信息、入侵、隐藏、攻击等几个步骤，其模型如图 1所示。

恶意代码从 20世纪 80年代发展至今主要体现出来3个基本特征：

（ 1）恶意代码日趋复杂和完善：从非常简单的，感染游戏的 Apple II病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫，恶意代码在快速传播机制和生存性技术研究取得了很大的成功。（ 2）恶意代码编制方法及发布速度更快：随着网络飞速发展， Internet成为恶意代码发布并快速蔓延的平台。（ 3）从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码：恶意代码的早期，大多数攻击行为是由病毒和受感染的可执行文件引起的。然而，近几年，利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。

1.2 恶意代码种类

近年来，比较流行的恶意代码主要有僵尸网络、蠕虫、木马程序等几种。

僵尸网络是被黑客集中控制的计算机群，其核心特点是黑客能够通过一对多的命令与控制信道操纵感染木马或僵尸程序的主机执行相同的恶意行为，如可同时对某目标网站进行分布式拒绝服务攻击，或发送大量的垃圾邮件等。

蠕虫综合了网络攻击、密码学和计算机病毒等技术，是一种无需计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。传播是蠕虫的本质，因此对蠕虫的防治主要是及时升级系统及其补丁程序，避免被蠕虫认定为可传染对象。

木马由控制端与被控制端两部分组成，木马主要通过与软件捆绑、邮件、交互脚本或网页植入、介质交换文件传染等方式进行传播和复制。伪装和远程控制是木马的本质，其防治方法主要通过安装反病毒软件及专杀工具、避免下载来历不明的软件、及时升级系统及其补丁程序。

1.3 互联网面临的挑战

据国家互联网应急中心（ CNCERT）报告显示，2012年 7月，境内感染网络病毒的终端数约为 340万个。其中，境内被木马或僵尸程序控制的主机 IP约为80万个，木马或僵尸网络控制服务器 IP总数为 29 430个。境内木马或僵尸网络控制服务器 IP数量为 22 195个，按地区分布数量排名前 3位的分别为广东省、江苏省和浙江省。境外木马或僵尸网络控制服务器 IP数量为 7 235个，主要分布于美国、日本、韩国；境内感染蠕虫的主机 IP约为 260万个，按地区分布感染数量排名前 3位的分别是广东省、江苏省、浙江省。

中国移动互联网（以下简称 CMNET）作为全球互联网的一部分，必然面临来自互联网方面恶意代码的攻击，并且随着 CMNET网络规模的迅速扩大，其面临问题的复杂性、严重性将快速达到其他运营商的水平。

但是，截至 2011年，中国移动还缺乏发现和治理互联网恶意代码的防护手段， CMNET面临大范围恶意代码造成的网络攻击威胁，随时有可能遭到大规模破坏，进行恶意代码检测与治理的工作刻不容缓。

2 中国移动恶意代码治理方案

为净化公共互联网网络环境，给用户提供健康安全的信息平台， 2012年，中国移动建设了恶意代码检测系统，初步实现对中国移动网间链路上恶意代码控制行为的检测发现功能。

当前中国移动 CMNET中，网间流量巨大，从CNCERT发布的数据上看，僵尸网络控制端在网外的比例高达 90%以上，而网内可感染僵木蠕的终端与控制端的通信基本都会通过国内和国际网间出口，因此，检测网间流量成为了中国移动治理恶意代码的当务之急。

在本期工程中，中国移动重点在北京、上海、广州3地的骨干网国内网间互联接口上部署了恶意代码检测系统，重点检测来自其他国内运营商的恶意代码攻击流量。

中国移动恶意代码检测系统使用了二级分层治理结构，实现了对恶意代码的检测、数据统计、分析、告警等功能。首先，在北京、上海、广州 3地分别设立恶意代码检测系统，对当地 CMNET骨干网互联接口的流量进行实时检测，发现恶意代码攻击流量，并产生告警信息；其次，在北京设立统一管理平台，统一收集和汇总北京、上海、广州 3个节点上报的恶意代码信息，并加以分析，形成分析报告，中国移动恶意代码检测系统二级治理架构如图 2所示。

2.1 统一管理平台

中国移动通过统一管理平台集中检测互联网网间出入口网络恶意代码流量。通过对互联网网间出入口的恶意代码检测，实施基于用户、地域、威胁的恶意代码检测，为用户解决僵尸网络、蠕虫、木马的安全威胁，并了解网络的安全使用情况，为运营业务提供安全防护的依据。

统一管理平台负责管理北京、上海、广东 3大节点，并接收 3大节点上报的恶意代码告警信息，提供数据展示和分析能力。

节点管理：统一管理平台可以通过定制的接口实现对北京、上海、广东 3大节点的管理，包括节点管理、特征库管理、检测策略管理、区域管理、保护对象管理等功能。

统计分析：统一管理平台可接收下级节点实时上报的恶意代码告警信息、系统运行数据等信息，并对各子节点上报的信息进行统计，形成全网恶意代码攻击统计分析报表。

中国移动结合市场上各恶意代码检测厂商发现能力以及中国移动网络现状，在统一平台和监测系统的部署中，同时采用了两个厂商的产品。这样，既可以满足后续网络演进的需求，又能够使两个产品的发现能力形成互补。但两厂商并存的情况也带来了一些负面影响：厂商间恶意代码特征库同步困难。各厂商都对自身的特征库设置了高级别的保密措施，这样便导致中国移动在使用不同厂商提供的恶意代码检测系统时，系统检测能力和各厂商定义的恶意代码名称很难实现全网统一。

2.2 北京、上海、广东检测系统

基于特征的扫描技术是比较有效的恶意代码防范技术，被广泛应用于反病毒引擎中。它源于模式匹配的思想，扫描程序工作之前，必须先建立恶意代码的特征文件，根据特征文件中的特征串，在扫描文件中进行匹配查找。用户通过更新特征文件更新扫描软件，查找最新的恶意代码版本。特征码扫描技术分析流程如图 3所示。

中国移动北京、上海、广东公司建设的恶意代码检测系统即采用了该技术，对中国移动骨干网恶意代码进行检测和清理。由于恶意代码具有相当的复杂性和行为不确定性，中国移动恶意代码检测系统还综合应用了多种技术，包括恶意代码监测与预警、恶意代码阻断等。

现阶段，根据北京、上海、广东 3个区域流量特征，各节点检测系统可以支持 50‰100 GB的数据检测，可正常发现其中的恶意代码，并进行告警。

恶意代码检测系统以旁路方式接入原有网络，通过分光方式获得链路全部流量。系统主要功能包括应用识别分析、恶意代码识别分析、被保护对象管理、 IP地址管理、报表呈现等功能。

中国移动目前采用了基于特征的扫描技术来检测恶意代码，其主要是依靠分析恶意代码特征码的方式检测恶意代码，这种检测技术的局限性表现在：特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取 10余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其他分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。因此，其主要的技术缺陷表现在较大的误查率和误报率。

目前，中国移动恶意代码检测与治理策略主要用来发现现网中实时恶意代码流量，并对其进行清理，属于被动防御型策略；对于僵尸、木马类攻击的控制者，缺乏有效的处理手段，难以实现从源头上遏制恶意代码的传播。

3 中国移动恶意代码治理发展方向

随着互联网迅速普及和恶意代码技术的飞速发展，恶意代码造成的破坏和影响也越来越大，无论是企业还是个人对恶意代码检测和防护的需求也与日俱增。

作为全球最大电信运营商的中国移动，面对恶意代码快速发展的趋势，将担负起相应的社会责任，可以从以下几个方面提升恶意代码检测和防护能力，为净化网络环境、保护用户隐私、降低企业运营风险贡献自身力量。

3.1建立自身恶意代码特征库

恶意代码特征库是恶意代码检测的技术核心之一，特征库是否能最大范围的涵盖已有的恶意代码，以及对恶意代码特征的描述是否准确都直接影响到恶意代码的检测能力。

作为全球最大的电信运营商，中国移动肩负着保护用户隐私和财产安全的重任，应当在恶意代码检测技术的核心领域积极开拓，拥有自身的恶意代码特征库，保证中国移动的所有用户无论何时、在何地上网，都能同等的享受到中国移动提供的信息安全服务。

中国移动要建立自身的恶意代码特征库，可以从以下两个途径着手：

（ 1）借助已公开的恶意代码特征库。现实互联网中，已有一些组织开放了其恶意代码研究成果，包括恶意代码特征库，例如 Snort特征库，而且很多企业和个人都会在发现新的恶意代码时，向公众公布其特征。中国移动可以借助这些现有的特征库，建立起自身的基础库，并逐渐加以完善。

（ 2）与恶意代码检测厂商建立合作关系。中国移动可以与恶意代码检测领域技术领先的某些厂商建立合作关系，通过购买其特征库以及相关技术培训服务的方式，迅速构建起自身的特征库以及技术人员队伍。

3.2检测方法趋于多样化

虚拟机技术是启发式探测未知病毒的反病毒技术。虚拟机技术的主要作用是能够运行一定规则的描述语言。如果能够让病毒在控制下先运行一段时间，让其自己还原其行为特征，便可以克服特征码技术只能发现已知恶意代码的缺陷，有效发现未知恶意代码。虚拟机技术实施的步骤如下：首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的 “虚拟传染 ”；其次，尽管根据病毒定义而确立的 “传染 ”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓 “感染 ”的文件确实感染的就是这个病毒或其变形。

3.3引入反制技术

对僵尸和木马的控制者来说，其传播恶意代码具有故意性，与受控者被动或不知情情况下自动传播恶意代码的性质截然不同，因此，对控制者采取的策略应该和被控制者有所区别。

中国移动恶意代码检测与治理系统属于被动防御型系统，要实现从源头遏制恶意代码的传播，必须变被动为主动，对僵尸和木马的控制者采取反制手段，避免其继续传播恶意代码。

针对僵尸和木马控制者的反制方案，可以从完善管理手段和开发反制技术两个方面入手。

管理手段方面，可以借助检测系统发现的僵尸、木马控制端主机 IP地址，请各省对中国移动互联网内主机进行清理，并对各省处理情况进行闭环管理。对于外网的控制者，可以尝试与 CNCERT和其他电信运营企业建立协作机制，协助处理系统发现的其他运营商网内的控制端主机地址。

技术反制方面，检测系统可以通过与互联网认证系统进行联动的方式，实现对僵尸和木马控制端的反制，具体过程如下：当检测系统发现僵尸和木马控制端时，对其发送告警信息，并将其 IP加入待考察名单；若在规定时限内，僵尸和木马控制端还在传播恶意代码，向其发送关闭上网功能的通知，并将其 IP从待考察名单转移至黑名单；当黑名单发生变动时，检测系统与互联网认证系统进行黑名单同步操作；互联网认证系统收到检测系统发送的黑名单后，将关闭黑名单中所列 IP的接入互联网功能。