（模式识别与智能系统专业论文）symbian手机安全管理关键技术研究.pdf

摘要 随着无线网络和移动通信技术的发展，智能手机功能日趋强大，应用越来 越广泛，在很大程度上被当作移动p c 使用。然而，它同时暴露在众多的网络安 全风险和威胁之下，遭受到病毒、木马、蠕虫等恶意程序的攻击。手机用户面临 程序被破坏，数据丢失和信息窃取等安全威胁。 为防护用户的信息和数据的安全，在手机上实现安全管理是最有效的解决 方案。恶意程序检测和文件访问控制是手机上安全管理的两个关键问题，本文在 研究s y m b i a n 手机操作系统体系结构和平台安全特性基础上，针对手机资源有限 的特点，提出了这两个问题的解决方案。 为解决手机上的恶意程序检测问题，本论文提出了“基于程序行为”的主 动检测方法。该方法依据手机恶意程序的独特行为规律所构建的规则知识库，以 及针对手机系统运营环境的特点和要求，可以有效检测出手机上的恶意程序。与 p c 机上的检测方法相比，该方法不仅能够检测手机上已知的恶意程序，还可以 检测包括变种在内的病毒、木马等未知恶意程序，而且所需要的系统资源更少， 因此具有一定的创新性。 此外，为实现手机上的文件访问安全控制，本论文提出了一种基于“文件 服务插件”的解决方法。该方法基于s y m b i a no s 平台“文件服务插件”技术， 通过为s y m b i a n 手机增加一层自定义的文件访问控制机制，从而可以实现更加安 全可靠的信息数据管理。考虑到目前手机上没有应用这种文件安全保护机制，因 此本文所提出的方法具有创新性。 在基于提出的这两个方法的基础上，本文设计了一个s y m b i a n 手机上的安 全管理平台。该平台依据s y m b i a no s 的特性和手机资源有限的特点，通过有效 检测手机恶意程序和文件访问控制，从而达到保护手机用户的信息和数据安全的 目的。 本论文同时给出了相应的实例，可以验证论文提出的这两个方法是有效的。 考虑到手机上安全管理工具尚不普及，同时手机病毒日益猖獗，因此研究 开发手机信息安全管理平台，具有十分重要和现实的意义和价值。 关键词 安全管理，智能手机，恶意程序，文件访问控制 a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n to f w i r e l e s sa n dm o b i l et e c h n o l o g i e s ，s m a r t p h o n e sh a v e m o r ea n dm o r es t r o n gf u n c t i o n sa n db e i n gw i d e l yu s e d s m a r t p h o n e sa r ei n c r e a s i n g l y b e i n gu s e di nm u c ht h es a m ew a y a sn o t e b o o kc o m p u t e r s ，p u t t i n gt h e s ed e v i c e sa tr i s k o fa t t a c k st h a ta r es i m i l 甜t ot h e i rm o b i l ep cc o u n t e r p a r t s t h em o b i l eu s e r ss u f f e r f r o ms e c u r i t yt h r e a d so fa p p l i c a t i o nd e s t r o y e d ，d a t al o s sa n di n f o r m a t i o ns t o l e n t os a f e g u a r dt h em o b i l eu s e r sd a t aa n di n f o r m a t i o n ，t h em o s te f f e c t i v ew a yi st o i m p l e m e n ts e c u r i t ym a n a g e m e n t m a l i c i o u sc o d e sd e t e c t i o na n df i l e a c c e s sc o n t r o l a r et h et w ok e yi s s u e so fs e c u r i t ym a n a g e m e n to ns m a r t p h o n e s t h i sp a p e rr e s e a r c h e s t h ea r c h i t e c t u r ea n dp l a t f o r ms e c u r i t yf e a t u r e so fs y m b i a no s ，f o c u s e so nt h em o b i l e p h o n ef e a t u r e sw i t hl i m i t e dr e s o u r c e s ，a n dp r o p o s e ss o l u t i o n sf o rt h e s et w oi s s u e s t os o l v et h ei s s u eo fd e t e c t i n gm a l i c i o u sc o d e s ，t h i sp a p e rp r o p o s eam e t h o do f d e t e c t i n gm a l i c i o u s c o d e sw h i c h “b a s e do nt h eb e h a v i o r so fa p p l i c a t i o n s ”t h e m e t h o db a s e so nt h er u l e sr e p o s i t o r yw h i c hc o n s t r u c t e do ft h ep a r t i c u l a rb e h a v i o r so f m a l i c i o u sc o d e so ns m a r t p h o n e s ，w i t ht h ep h o n es y s t e mc h a r a c t e r i s t i c sa n dt h e r e q u i r e m e n t so ft h eb u s i n e s se n v i r o n m e n t ，c a l le f f e c t i v e l yd e t e c tt h em a l i c i o u sc o d e s o ns m a r t p h o n e s c o m p a r e dw i t ht h ed e t e c t i n gm e t h o d so np c s ，t h i sm e t h o dc a nd e t e c t n o to n l yt h ek n o w nm a l i c i o u sb u ta l s ou n k n o w nm a l i c i o u sc o d e si n c l u d i n gt h e v a r i a t i o no fv i r u s ，t r o j a na n dw o r m s a n dr e q u i r e sf e w e rs y s t e mr e s o u r c e s ，t h e r e f o r e i ti sc e r t a i n l yi n n o v a t i v e o nt h es i d e ，t oi m p l e m e n tf i l ea c c e s sa n ds e c u r i t yc o n t r o lo ns m a r t p h o n e s ，t h i s p a p e rp r o p o s e sam e t h o dw h i c h b a s e do n “f i l es e r v e rp l u g i n s ”t h i sm e t h o db a s e so n t h et e c h n o l o g yo f “f i l es e r v e rp l u g - i n s ”o fs y m b i a no s ，a d d sal a y e ro fu s e r d e f i n e d f i l ea c c e s sc o n t r 0 1m e c h a n i s mf o rm o b i l e ，s oa st oi m p l e m e n tm o r es e c u r ea n dr e l i a b l e d a t aa n di n f o r m a t i o nm a n a g e m e n t c o n s i d e r i n gt h a ts u c haf i l es e c u r i t yp r o t e c t i o n m e c h a n i s mh a sn o ty e tb e e na p p l i e do nm o b i l ep h o n e s ，t h em e t h o dp r o p o s e db yt h i s p a p e ri si n n o v a t i v e b a s e do nt h e s et w om e t h o d sp r o p o s e d ，t h i sp a p e rd e s i g n sas e c u r i t ym a n a g e m e n t p l a t f o r mo ns y m b i a no sm o b i l e a c c o r d i n gt ot h ec h a r a c t e r i s t i co fs y m b i a no s a n d m o b i l ep h o n ef e a t u r e sw i t hl i m i t e dr e s o u r c e s ，t h i sp l a t f o r mc a na c h i e v et h ep u r p o s eo f p r o t e c t i n gm o b i l ep h o n eu s e r si n f o r m a t i o na n dd a t as e c u r i t y , b ye f f e c t i v em a l i c i o u s c o d e sd e t e c t i o na n df i l ea c c e s sc o n t r 0 1 4 t h ee x a m p l e sg i v e ni np a p e r , a l s oc a nv e r i f yt h e s et w om e t h o d sw h i c hp r o p o s e d i nt h i sp a p e rb ee f f e c t i v e c o n s i d e r i n gt h a ts e c u r i t ym a n a g e m e n tt o o l sa r en o tw i d e l yu s e d ，a n dm o b i l e p h o n ev i r u s e sh a v eb e c o m ei n c r e a s i n g l yr a m p a n ta tt h es a m et i m e ，r e s e a r c h e sa n d d e v e l o p si n f o r m a t i o ns e c u r i t ym a n a g e m e n tp l a t f o r mo nm o b i l ep h o n e sh a v eav e r y i m p o r t a n ta n dp r a c t i c a ls i g n i f i c a n c ea n dv a l u e k e y w o r d s 】s e c u r i t ym a n a g e m e n t ；s m a r t p h o n e ；m a l w a r e ；f i l ea c c e s sc o n t r o l 1 1手机病毒的威胁 1 概述 1 1 1 智能手机 通常，具有掌上电脑、p d a 和移动电话功能，并且使用开放操作系统的手机 称为智能手机( s m a r t p h o n e ) 。典型的智能手机有n o k i a6 6 3 0 ( s y m b i a no ss e r i e s 6 0 ) ，n o k i a9 50 0 ( s y m b i a no ss e r i e s8 0 ) ，h pl p a qp o c k e tp c ( w i n d o w sm o b i l e ) 1 】 o 随着无线网络和移动通信技术的发展，移动手机操作系统越来越流行，智能 手机功能日趋强大，应用越来越广泛。它们能够在在任何时间任何地方，快速便 捷地访问信息和提供即时的通信。根据i n s i g h t e x p r e s s 为s y m a n t e c 公司所做的一 项调查显示【z 】，智能手机用户使用他们的无线设备不仅仅为了娱乐，还用来收发 邮件、即时消息聊天、浏览网页、通过网络下载和共享文件，甚至用来核算财政 的账目。这项调查发现5 4 智能手机用户会通过手机收发机密信息的电子邮件， 超过4 0 的用户会使用手机存取他们的银行账户信息，有近三分之一的用户会在 手机上存取其信用卡的账户资料。多数的智能手机用户( 5 5 7 ) 同样在手机设 备上存储机密的私人、商业或者客户数据。智能手机逐渐的被当作移动的p c 所 使用。 然而就如同p c 计算机一样，智能手机同样暴露在众多的网络攻击和安全威 胁之下。智能手机的设计和体系结构实现是非常复杂的，它所使用的网络协议同 样如此。这些复杂性使得手机系统在实现和使用上会存在一些弱点，容易受到不 同种类的攻击。 在移动手机中存在许许多多的潜在安全威胁，例如数据在存储或者传输时可 能会被外来威胁窃取或者丢失。在使用诸如h t t p 等网络连接时会增加手机的 安全风险。手机的安全威胁包括： 1 设备丢失：如果用户丢失手机，其他人就可能存取访问存储的手机上s i m 卡、 内存卡的信息，或者从手机上的e m a i l 、短消息等获取信息。 2 未被授权的访问：即使手机没有丢失或被窃，仍然存在可能通过窃取密码、 签名，导致手机上的信息被修改或者窃取。 3 电话窃听和数据更改：恶意者试图通过截听传输电话信号的线路网络来窃听 或者更改传输信号。 4 病毒：手机可能由网络，其他设备，数据存储媒体中感染手机病毒。 5 数据丢失：手机用户自己可能不小心破坏手机上重要的数据信息。 完善的安全保证不仅仅是技术上的焦点，用户角色在安全处理中是关键的。 即使已经提供给先进的技术解决方案，用户也可能忽略。所以在考虑手机安全问 题上，用户的视觉和观点是本质。 如同p c 计算机，病毒等恶意程序是最广泛、最为基本的安全问题，对于智 能手机，病毒同样是安全威胁中最为关注的焦点。 1 1 2 手机受到病毒攻击的原因 1 移动设备市场迅速扩大 移动电话和p d a s 、智能手机是商业和工人使用领域的基本工具。由于能够 在在任何时间任何地方，快速便捷地访问信息和提供即时的通信，现在的智能手 机越来越流行u j 。 根据c a n a l y s ( 一个行销咨询公司) 的估计，同2 0 0 4 年第三季度相比， 2 0 0 5 年的第三季度，包括手持设备、无线手持设备和智能手机在内的智能移动设备的 全部增长速度超过了7 5 【4 j 。另外，i d c 预测全球移动工人数目从2 0 0 4 年6 5 亿以 上至1 j 2 0 0 9 年8 5 亿以上，代表了全世界劳动力的1 4 以上。移动工人的如此增长将 推动这些设备的需求。 这些设备渐增的普及程度的一个原因是生产力和效率的获得，尤其是对专业 人员的前进。从关注健康的工人到此领域的销售人员到这些简单的从他们的办公 室到会议室的工人，移动设备使对全体资源的全部范围的访问完全连续。访问个 人信息的能力，如日程表、e m a i l 、数据和来自于公司网络的应用程序、网页和 存储在这些紧凑设备上的商业数据，可以改善信息流动和帮助减少组织的操作费 用。 其他有助于移动设备持续增长的因素： 移动设备上使用的操作系统被设计成轻松的使用和增加的设备能力，这 些对公司用户是由吸引力的。这些特性导致移动技术的更加广泛的使用。 操作系统卖主拥有很强的开发团体和很广的第三方软件应用的投资组 合，第三方的软件应用可利用来增加他们的设备的效用。随着新的应用 的可获得，移动工人的数量和类型扩张。 日益精密复杂的移动设备的显著增长提出了一个新的边境让i t 部门防卫，尤 其是认可很多这些设备最初的设计是没有认真考虑安全问题的。伴随着对这些设 备的发展的威胁和对敏感商业数据的移动访问的增长，i t 部门需要再评估和制作 他们的安全方针和包含这些设备的指导方针。方针要求确保移动设备能被充分的 保护，使其免受恶黑客开发的损害和破环系统的意软件如病毒和其他一些恶意代 码的攻击。 包含企业数据或者实行日程表或者企业销售数据和提供对企业网络的访问 的每个设备都需要阻止可能的威胁携带者。根据运行在多种类型的移动设备上的 操作系统的分类，企业需要一个安全计划来保护重要数据，同时维持用户的生产 力。 2 流行是吸引威胁的第一要素 黑客和恶意程序作者容易被成功吸引。一个以一种流行的设备操作系统为目 标的病毒将传播更迅速，感染更多的设备和造成更多的新闻，这就是恶意软件作 者成功的证明。一个大的操作系统单文化将使更多欺骗，损害和丑行超过恶意软 件感染相关的少数的设备。例如，针对p c 桌面系统m i c r o s o f tw i n d o w s 系统的 流行是一个主要原因，它比i b m0 s 2 ，t h ea p p l em a c i n t o s h ，或者t h en o v e l l n e t w a r e 操作系统更容易受病毒的攻击。 对移动设备，s y m b i a n 操作系统在智能手机领域的占有统治地位( 见图1 ) ， 被许多手持机制造商包括n o k i a ，m o t o r o l a ，p a n a s o n i c ，s i e m e n s ，和s a m s u n g 所 使用，同时也成为很多概念性病毒选定的目标，首要的原因就是因为它是最流行 的智能手机操作系统。 o p e r a t i n gs y s t e m ： 。o 、- m a r k e ts h a r e 一 s v m b i a n8 e5 | m i c r o s o f tw i n d o w sm o b i l ef o rs m a r t p h o n e s97 | p a l ms o k ；f c e 乓且 l i n ：；x 4 4 r e s e a r c hi nm c 4 i o ni r tm )08 t o t 耐1 0 00 图1 智能手机操作系统的市场份额【3 l 移动威胁的通道可能类似于p c 威胁 类似于p c 操作系统中占统治地位的w i n d o w s ，日益流行的移动操作系统逐 渐成为恶意软件作者的目标。 考虑对p c 计算机上安全的破坏和感染的新近历史，几个风险因素说明移动 市场对新的更恶意的攻击而言，时机已经成熟了： 以移动设备为目标的概念性恶意程序已经在互联网上公布，且随着黑客 对原病毒的改善，出现了很多原始病毒的变种。例如，侵袭了使用 s y m b i a no s 的6 0 系列平台用户接口的智能手机的c a b i r 病毒，繁殖了多 种变种和给病毒提供了基本的代码，包括v l a s c o a 和d a m p i g a 。 概念性恶意程序示范了多种感染途径，包括蓝牙，多媒体彩信( m m s ) ， 和网页下载。 移动设备的确定的增长的安装基础为传播线路提供了潜在的可能性，并 且对移动设备的整个团体产生了很大的影响。 大多数智能手机设备使用s y m b i a no s 或者m i c r o s o f tw i n d o w sm o b i l e 0 s 。 许多设备因为没有安装安全软件，或者i t 部门没有为移动设备执行安全 政策而表现为容易受伤害的。 高速数据传输网络增加了感染和快速传播的可能性。 封闭的设备引起较少的安全风险 简单的可以通话和可能有个地址本的最基本的电话使用一个提前安装的执 行环境，该环境通常不处理第三方应用软件。因此，这些电话很简单且花费很低。 因为他们提供较少的感染途径，与具有自由支持第三方应用软件和可以网上冲浪 能力的设备相比，像这样“封闭”的设备很少可能暴露给恶意程序。 智能手机性能和普遍的使用增加了威胁的可能性 当以语音为中心的电话是移动设备市场的最大部分时，智能手机成为全球的 移动电话市场中发展最快速的部分。智能手机允许移动工人使用单一且集中的设 备，该设备提供个人信息管理( p i m ) 功能，移动电话和第三方应用软件。智能 手机功能上新增的w e b 浏览也开放了通过下载被感染的应用软件来传播基于 w 曲的感染的可能性。 开放的平台允许创新应用的开发和部署，创新的应用娱乐用户并且帮助提高 生产力。然而，不管设备的牌子和型号，这样的开放平台增加了相关的安全风险， 例如移动设备被感染的可能性和数据丢失。一些移动设备在没有操作系统限制就 能增加第三方软件支持，具有w e b 冲浪、同p c 传递或者同步文件、或者连接到 w i f i 网络等功能，这样的设备更加容易受到安全威胁。 图2 显示了移动设备的许多潜在的感染途径中的几个： 插入一个被感染的存储卡到设备上 同p c 计算机同步数据并上载被感染的文件 从w e b 上下载的受感染文件到智能手机上 使用w a p 推送一个有害的包含受感染的文件w e b 连接到移动设备上 从一个智能手机感染到另一个，蓝牙推送传输被感染的安装文件 图2 移动设备受到各种来源的病毒感染3 1 3 移动设备给商业增加了安全风险 当移动设备以多种方法帮助提高工人生产力的同时，这些设备也引入了必须 被考虑的安全风险。一个严重的风险是丢失或滥用来自于有安全问题的设备上的 机密信息的潜在可能性。丢失设备的代价同敏感数据丢失造成的破坏相比是微不 足道的，敏感数据的丢失可能导致法律责任，牌子的损害，减少了的消费者信任， 和财政损失一如同经历了近年来的信用卡安全破坏。 几个其他范围的风险： 如果设备丢失、被偷或者受感染，将减少生产力：用户经历停工期如果 没有他们的日程表，或者不管原因的访问文件、应用软件、或者w e b 。 增加的维护费用：移动用户能要求附加的技术支持为访问团体网络，或 者简单的帮助关于配置他们的设备以提供他们这方面需要的功能。 移动恶意软件传染：病毒、特洛伊木马、和蠕虫不仅侵袭了特殊的移动 设备，而且还侵袭了移动设备访问过的团体网络中的潜在的任何设备。 未经授权的用户导致的数据的偷窃和丢失：数据属于公司，但是移动用 户通常下载文件和信息到他们的个人移动设备上，这对竞争者或者犯罪 者而言增加了数据的弱点如果移动设备被破坏或者被偷。 4 数据通信和连接增加了攻击的可能性 移动设备，他们同公司内部的应用软件通信和交换数据，能帮助增加工人生 产力。例如，一项由g a r t n e r 所作的最近的研究发现5 5 的p d a s 在2 0 0 5 年第一 季度运输包括综合无线区域网络( w l a n ) 或者蜂窝移动能力。 知识劳动者使用移动设备因为各种类型的连通性一从建筑监督员进入变动 请求到零售工作者为了存货管理使用无线连通性。对于今天许多的工作者，这些 设备是他们唯一使用的计算平台。然而，随着移动设备移动数据和文件从到网 络和切入到己存在的应用中，由于危及敏感数据的安全和传播感染而使得风险增 加。 图3 显示的是常被移动设备使用的连通性技术。每个都代表一个潜在的安全 威胁，当为移动设备设计或评估安全解决方案时应该被考虑。 u n d e r s t a n d i n gp o t e n ta ti n f e c t i o nv e c t o r s ：m o b i l ed e v i c ec o n n e c t i v i t y ： c a t e g o r yy p ee x a m p l e l o c a is t o r a g e p h y s i o a im e d i a s dc a r d m e m o r ys t i c k p e e r - t o p e e rp e r s o n a la t e an e t w o r kl n f r a r e df i r d a ； 8 i u e t o o t h s ! m c hc a n ef a c t i v e s y n c ) l o c a a ie an e 0 q o r kl o c a la r e an e 烈 o r kp c m c i ae t h e r n e tn e w o r ke a r c ! w i r e t e s sl o c a la r e ；3n e t , v o r k8 0 2 i ，v v - f ； m o b i l en e t w o 暾 m o b i l eo p e r a t o rn e t w o r kg s m g p 灵s e o g 三 e 0 m a 2 0 c 0 e v d 0 h s d f l a 图3 提供潜在的传染途径的移动设备连通技术 移动载体网络和服务 为了理解移动设备的真正的安全威胁，要求了解他们用来通信的网络的一些 知识。与p c 机同步的p d a s 对比，智能手机是可能与个人计算机阶段性地同步 的典型的独立设备，但是主要依靠一家移动经营者的无线网络来连通。第一代移 动电话模型和智能手机相比只提供语音能力，它包括无线通讯数据连接和文本消 息能力，如短消息服务( s m s ) 和多媒体信息服务( m m s ) 。 数据传送率增加和被预计来年将显著性的跳跃。常用的2 gg p r s 数据传送 技术典型地提供3 5k b p s 下载速度，而涌现的3 g 网络，在充分地发展后可能提 供从大约4 0 0k b p s ( w c d m a u t m s ) 到2 3m b p s ( h s d p a ) 。 当数据传送率上升，通过开放远程使用企业应用的能力，企业可能帮助改进 知识劳动者生产力。例如，经常出差的知识劳动者在路途中时可以进入高速的移 动网络通过使用一些应用，如e m a i l ，企业资源计划( e r p ) ，或者人力资源管理 ( h r m ) 系统。更加快速的3 g 技术如w c d m a 、e v o d o ，和h s d p a 可能使用 户以某些移动设备访问企业应用时，使用的速度接近”有线”连接。 在这些高速数据传输改进生产力的同时，也增加了感染病毒的可能性。更高 速度的网络使得用户更加容易w e b 冲浪、使用i p 网络通信、下载和安装应用程 序。同时高速互联网连通性使恶意程序和间谍软件能够更加迅速的传播到网络 p c 机，高速移动数据网的增加被估计为智能手机潜在的传染打开了一扇门。 认证、加密，和v p n 软件：关键构建块 没有某种类型的认证和加密帮助保护数据免受未经授权的访问，移动设备是 易受攻击的。保护移动设备上安全信息的第一步便是认证，帮助确保唯一的授权 用户能访问网络。对认证的一些方法可能包括用户密码、智能卡或安全i d 卡片 上的安全证书，或与一个具体安全计划相关的关于移动设备的其他认证选择。 另一方面，加密保护传输中的数据安全，拒绝未经授权的访问存储在一个移 动设备上的数据，以及保护通过网络的数据和通信的安全。加密可以由应用程序、 信息服务、或网络完成。 为设备访问公司i t 资源，安全的远程访问应用程序也许要求虚拟专用网 ( v p n ) 软件。v p n s 提供对信息门户和应用的安全访问，并且可能使移动设备通 过互联网连接到一个公司网络。 、 移动设备安全也要求一种可以删掉信息的设备管理解决方案，或去除一个 退役的设备让它不可恢复。例如当执行委员偶然地丢失包含重要交易信息的智能 手机时，那个设备必须被抹干净。没有此能力，敏感数据可能非常迅速的公开。 1 1 3 手机病毒的发展和危害 病毒侵袭移动手机是一种相对较新的现象。牵涉到移动手机的第一次重大攻 击的一起发生在2 0 0 0 年6 月，它集中于一种特定的移动经营者上。首先攻击手 持设备的病毒也是发生在2 0 0 0 年。像l i b e r t y ，p h a g e ，和v a p o r 这样的病毒 攻击使用p a l mo s 的设备。从病毒最初的爆发以后，p a l mo s 不再遭受更进 一步的病毒攻击。但是从那以后，恶意程序开始攻击使用其它操作系统的设备。 n t td o c o m o 恶意程序攻击：在2 0 0 1 年8 月期间，n t td o c o m o si m o d e 的日本用户发现，如果他们在一个关于爱情的在线测验中，对某个问题回答“是”， 则他们的电话被发动拨打1 1 0 ( 紧急情况援助的号码) 。日本警察的电话交换机 因此陷入混乱的攻击中，使得真正的紧急求助未能及时反应。n t td o c o m o 现 在改正了这个被攻击者利用的弱点。 s y m b i a n 病毒：从2 0 0 4 年开始持续至s j 2 0 0 5 年，攻击s y m b i a no s 和微软 w i n d o w sm o b i l eo s 的病毒有了显著的增长，如图4 n 示。s y m b i a no s 特别遭 受了病毒爆发，影响了使用s y m b i a no s7 o s $ 1 1 $ 6 0 系列平台的用户接1 ：3 软件的 设备，该软件被大多数n o k i a 智能手机使用。c a b i r 攻击，发生在2 0 0 4 年6 月， 跟随其后的是各种病毒变种和变形的稳定流，包括q d i a l ，s k u l l s ， v e l a s c o ， l o c k n u t ，# 1 d a m p i g 等等病毒。 i n f a m o u sm o b i l ev i r u s e s 2 0 0 4 - 2 0 0 5 ) 图4 对流行操作系统日益增加的恶意程序攻击 c a b i r l 5 】和它的变种表现的是概念性恶意程序，它未能有效地繁殖和造成一点 真正的损伤。这些最初的病毒代表黑客社区在试验一种新技术。c a b i r 使用蓝牙 无线连接传播其本身，蓝牙传输被限制在10 米距离内。当c a b i r 被安装，它自动 地寻找附近新的蓝牙设备，试图经由寻找到的蓝牙复制病毒到别的手机上，它病 毒很快消耗手机的电池。c a b i r 病毒在世界上各地都有被发现。它还存在很多高 级的病毒变种。c a b i r 病毒如下面的图5 。 虽然c a b i r 病毒没有传播到任何重大的程度，它的变种的增长率显示出，病 毒作者在编写移动设备病毒方面变得越来越好。后来的恶意程序如 c o m m w a r r i o r 6 1 、m a n ，使用更加有效的病毒技术，特别是利用移动消息服务 ( m m s ) 传播到移动网络。 l n f e c l 辔蹙 纛8 霪 f i l 岔! e ：鼍霪馨g t 拦f 秘m e i 砖 9 0 0 01 0 0 1 一s w 笔 0 01 0 0 0 3 f _ 善弋e o ：r i b e s i 篓 l n f e c t i o n 鬟d e t e e 熏e d ： b a ：c 图5c a b i r 病毒安装文件和感染文件 另外的病毒例子是s k u l l s 8 1 ，它把应用程序图标替换成一个骷髅图标，并且 以无效的程序版本替换系统应用程序，从而使应用程序功能失效。当手机感染 s k u l l s 病毒之后，手机系统的应用程序如短信息s m s 、多媒体短信m m s 、w e b 网页浏览、摄像等功能不可再用。s k u l l s 病毒如下面图6 所示【9 1 。 i m p # c o ? g i g l l t0f s e c o r ec o r p o r a t i o n 图6s k u l l s 病毒 智能手机和移动消息恶意程序：智能手机内置的消息能力是他们成为消息蠕 虫的天生的目标。病毒可以利用电话的综合消息能力传播到其他电话上。恶意代 1 4 码可能使用电话的地址本发现新的感染目标。例如，感染了m a b i r 病毒的设备， 通过响应收到的s m s 或m m s 消息和通过m m s 发送病毒的拷贝，将试图传染 支持m m s 的其它设备。( m a b i r 病毒攻击s y m b i a no s7 o s 和$ 6 0 系列平台的 智能手机设备) 。这将打扰n p 的生产力，消耗电池，增加m m s 彩信费用，并 且能够潜在地破坏用户在朋友和企业同事之中的名誉。 自从2 0 0 4 年6 月份第一个针对智能手机的概念性病毒c a b i r 出现之后，手 机病毒迅速发展，出现了许多利用先进的病毒技术、具有多种感染传播方式的病 毒、木马、蠕虫等恶意程序。根据f s e c u r e 安全公司的统计，在2 0 0 5 年1 0 月 就出现超过1 0 0 中针对移动手机的恶意程序1 1 ；而截止到2 0 0 6 年4 月份，恶意 程序的种类已经达到2 0 0 种了】，这里面超过9 5 是针对s y m b i a n0 s 的智能 手机。这些恶意程序，包括各类病毒、木马、蠕虫等，对智能手机的安全威胁有 如下方面： 费用欺骗。恶意代码可让被感染的手机频繁自动拨号，自动发送短信、彩信， 或者做成电话代理，给手机用户带来高额的费用。 信息窃取。智能手机上存储着大量用户的信息，如日程安排、通信录等私人 信息，银行卡账号密码、电子商务交易、客户数据等商业机密信息等等。这 些信息以文件形式存储在手机上，然而手机上的数据存储是没有加密的，程 序可以直接访问数据。另外一个存在的严重风险是，当用户带着被植入恶意 代码的手机参加重要的会议时，便会造成会议窃听，带来无法估量的后果。 破坏数据的可用性。如垃圾邮件攻击手机，删除或者破坏数据，对存储设备 尤其是可移动存储卡的破坏等。 程序的可用性。这类攻击会修改手机上的应用程序，甚至是破坏手机操作系 统，从而使程序或者手机不可使用，典型的如s k u l l s 木马。 1 2国内外手机安全的相关研究 针对智能手机的安全攻击是从2 0 0 4 年6 月份才在较大范围出现的，手机上的 安全研究是一个新的领域，也将成为以后安全领域的一个焦点和热点。但是目前 国内外在这方面的研究还不多，最主要的是一些反病毒公司的安全产品和管理软 件。 1 2 1s y m a n t e cm o b i l es e c u r i t y 赛门铁克安全公司( s y m a n t e cc o r p ) 是全球信息安全领域领先的公司。为确 保个人和企业在增长的无线移动环境的网络安全，2 0 0 5 年5 月，s y m a n t e c 首次 推出将反病毒与防火墙技术整合的手机安全解决方案 z ，s y m a n t e cm o b i l es e c u r i t y 4 0 。它为移动平台提供综合的反病毒和防火墙技术，保护基于s y m b i a no s 的智能 手机不受诸如病毒、木马、蠕虫等网络入侵。 s y m a n t e cm o b i l es e c u r i t y4 0 1 1 2 的特色如下： 保护使用s y m b i a n6 0 和8 0 系列平台的智能手机，包括n o k i a ，p a n a s o n i c s a m s u n g 等其他手机制造商 一旦被安装便自动打开病毒防护，关闭易受攻击的端口 可以对单个文件、文档和应用程序进行按需扫描 自动检测和清除病毒、木马、蠕虫和演化的恶意代码 内建的防火墙监视进出的通讯，阻止可疑的连接试图 无线l i v e u p d a t e 保证软件的自动更新 在后台运行的自动防护，为s m s 、m m s 、h n 、p 和e m a i l 提供实时的恶 意代码查杀 1 2 2f s e c u r em o b i l es e c u r i t y 数据通过多种方式传输、交流，包括数据同步、可移动的存储卡、蓝牙和红 外连接，还有无线i p 连通。为完全地保护设备上的内容，本质上需要在设备上 实现软件解决方案i l “。 f s e c u r em o b i l es e c u r i t y 整合综合的反病毒和防火墙，保护移动电话的处理： 而安装在设备上的方案将保护移动设备不受任何种类的攻击，包括从试图入侵到 恶意程序。该解决方案实时、设各级别地给予无形和自动的防护，使用自定义的 防火墙规则和自动的无线防病毒更新。 f s e c u r em o b i l es e c u r i t y 特色如下： 使用自定义规则集预定义防火墙集合 v ，对设备和存储卡的透明而实时的有害内容防护 v ，通过h t t p s ( 安全h t t p ) 数据连接和s m s 短消息，从f - s e c u r e 反病 毒研究到移动终端，自动更新防病毒数据库 为终端的更新自动检测数据连接( 如g p r s ，w l a n ，u m t s ) 通过h t t p s 无线激活反病毒服务 自动更新f s e c u r em o b i l ea n t i v i r u s 客户端 数字签名的反病毒数据库和数据库更新 1 2 3 趋势科技移动安全精灵( m o b i l es e c u r i t y ) 随着智能数字移动设备数量的增长，行业分析师预计它将成为病毒编写人员 的下一个目标。趋势科技移动安全精灵为智能数字移动设备提供了各种病毒威胁 保护以及s m s 垃圾短信过滤功能。凭借移动安全解决方案，移动运营商能够使 通话时间、营业收入以及客户满意度达到最大化，并且将由病毒感染引发的客服 电话【三l 及客户流失降到最低。企业可以使用趋势科技移动安全精灵减少米白手持 设备的病毒威胁，从而保证移动用户的工作效率【1 。 趋势科技移动安全产品特点： 垃圾短信过滤功能：为防止s m s 文本信息垃圾，移动安伞精灵提供u r 灵 活的反垃圾短信选项，其中包括份发送允许者和阻止者名单以及过滤 没有发送者号码的s m s 信息的能力。 快速更新病毒特征：通过手机g p r s 或p c 进行病毒特征文件更新，移 动安全精灵可接收到更新后的病毒特征文件。 易用性：趋势科技移动安全精灵具备一个简单易用的移动手机界面，可 简化对病毒咀及s m s 垃圾短信的防护过程。 灵活的病毒扫描：趋势科技移动安全精灵对手持设备以及存储卡上的病 毒进行自动的、实时的扫描和检测。移动用户也可以启动手动扫描。 集中式管理和供应：拥有一个基于移动营运刚络的管理中心，该管理中 心专为集中管理和部署设计。管理员可使用该管理中心访问所有客户端 移动设各，并对设各进行管理、更新和自动化操作，从而免受众多威胁 的攻击。趋势科技移动安全精灵还为管理员提供可辨别移动设备操作系 统的平台、扫描引擎以及病毒特征版本的集中式报告。 1 2 4m c a f e em o b i l es e c u r i t y m c a f e e 推出易于配置的移动安全解决方案，防护不受从邮什、即时消息、 蓝牙无线局域网和网络下载进入的病毒，同时还保护敏感数据。m c a f e e 移动 安全是谦虚但是极其有效的。它用不到2 0 0 毫秒的时问检测恶意程序。当它发现 病毒时，彻底清除并防止病毒传播。保障用户的移动网络安全，让用户不再为移 动安全问题而头痛i l ”。 它的特点如下： 时刻在线的保护 y ，覆盖面广阔的保护 即时的清除 v ，敏感的移动电话威胁嗅觉 v ，快速的扫描及反应 占用空间小 咀上是四个著名的安全公司在移动安全领域推出的安全产品。从他们的产品 特点来看，其中共问的有： 提供实时的自动检测和清除包括病毒、木马、蠕虫等恶意程序 同时提供对文件、邮件、即时消息、网络连接等的防护 需要软件、病毒库更新的支持 然而，同时我们可以看出，这些公司的移动安全软件仍然存在着不足，而这 些不足有些恰恰是在移动智能手机上所需要解决的： 现有的移动安全软件都是使用特征码库技术，不能查杀末知的恶意程序。 而随着智能手机的发展，手机上的新病毒或者病毒的高级变种将会层出 不穷，越来越多 需要用户更新病毒库定义 没有实现具体的文件访问控制，当恶意程序侵入手机之后，能够很容易 的访问手机存储设各上的敏感数据、文件、信息 多数软件查杀病毒日、j 占用资源较多，处理速度慢 这些不足，需要我们进一步的研究解决。 1 3本文的选题意义 关于移动安令的主题是非常重要的。随着无线网络和移动通信技术的发展， 移动手机操作系统越来越流行，智能手机的功能更加趋向于p c 计算机，应用越 来越广泛。它们能够在在任何时间任何地方，快速便捷地访问信息和提供即时的 通信。智能手机用户使用他们的无线设备不仅仅为了娱乐，还用来收发邮件、即 时消息聊天、浏览网页、通过网