智能手机的安全问题

智能手机的安全问题

一、恶意程序检测随着3g时代的开始，手机不再被用作通信工具。手机智能的趋势让人们意识到手机也是移动智能设备。用户可以访问本地和网络信息，收集、处理和传输数据。由于用户开始在智能终端中存储大量诸如个人帐号、财务信息、照片等敏感资料,并且智能终端联网的比率越来越高,智能终端平台已经成为信息犯罪的新目标。与个人计算机一样,病毒以及间谍程序等恶意软件将成为智能终端平台的首要安全威胁。传统地查杀恶意程序的原理是检测病毒的特征码,通过对比病毒特征码来检测文件的各类属性来确定恶意程序的方法。这种检测方法缺点是不能检测未知病毒,并且需要病毒库的更新,这对于处理速度较慢、资源有限的终端设备来说是一个巨大的挑战。因此设计一款适合智能移动终端软件安全的杀毒软件至关重要。二、手机病毒的分类和传播方法(一)恶意程序攻击一般意义上的恶意代码可被定义为,借助不同类型的存储设备和网络设备,利用软件漏洞在计算机之间的相互传播,非法破坏电脑安全的恶意程序。它包括计算机病毒,蠕虫,特洛伊木马,它最大的特点是传播广和破坏性大。手机病毒是一种能够感染手机操作系统及其他软件,破坏软件运行甚至硬件系统的程序,大致分为一下几大类:木马:利用计算机程序漏洞侵入后窃取文件的程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,一般不会直接对电脑产生直接危害,而是以控制电脑为主。但一个手机木马病毒有可能对消费者带来沉重的经济损失。蠕虫:攻击的方式是建立一个自我复制的移动应用。蠕虫传播无需用户操作,并可通过网络以附加信息和彩信的形式分发它自己的完整副本(可能有改动)。蠕虫会消耗手机内存或手机网络带宽,从而可能导致手机死机或崩溃。病毒:手机病毒是一种可以在手机平台操作系统中运行的恶意程序。与电脑中的病毒不同的是,手机病毒的攻击除了对系统本身的破坏外,还可能针对手机所特有的功能及组件进行恶意操作和破坏。(二)手机病毒的传播手机病毒的传播途径有以下几种:1.计算机随着计算机病毒的发展,手机病毒很容易嵌入到应用程序中,伪装成正常程序。因此,计算机不仅是传播的病毒的载体,更是病毒的源头。2.手机病毒攻击短信是手机常用的功能之一,短信中包括对数据的传送,因此病毒程序传送过去也就变得很普遍。手机病毒主要以“病毒短信”的方式攻击手机,使手机无法提供某些服务,病毒会发出一串由怪字符组成的病毒短信。感染病毒的手机内部资料将被恶意破坏。特别是很多人中意的彩信,在传播时很可能将恶意程序和代码捆绑到彩信数据中,这样当我们在手机上查看彩信时病毒就会在神不知鬼不觉的情况下进入手机系统中,而对于传统的文字短信来说由于他的格式简单使得部分病毒无法实现捆绑操作。3.系统感染手机当通过蓝牙将手机和电脑连接到一起后,电脑中已经存在的病毒木马程序会借助蓝牙传输到手机中,从而感染手机的操作系统和应用程序。另外病毒通过蓝牙或者红外线传播不光存在于电脑和手机之间,很多时候两部手机之间也会通过蓝牙和红外线技术传播病毒。例如类Cabir病毒会使感染手机不停地搜索周围开着蓝牙的目标手机,一经发现就进行传播操作。4.计算机病毒的现状一般分为两种情况:一是手机登录不安全网站。手机上网用户在登录一些BBS甚至色情网站或链接时,或者是下载一些未经安全验证的手机软件,都有可能造成病毒入侵手机。二是通过电子邮件传播。用电子邮件传递,病毒也随之找到了载体,最常见的是通过Internet交换Word格式的文档。由于Internet使用的广泛,其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序,会导致收件者的计算机被黑客入侵。与传统的计算机病毒相比,手机病毒对移动终端的攻击则更具有危害性。现在的移动终端,体积小巧,运算能力强大,具有可观的存储空间。原先许多需要通过计算机处理的业务,现在通过移动终端就能处理。但原本适用于计算机终端的安全防护系统,却大多由于系统软、硬件上的差异性而无法为移动智能终端提供有效的安全防御。当前,手机杀毒软件中采取的病毒防治方法依然是计算机病毒的防治技术,基本没有考虑到手机的局限性。手机局限性主要表现在两个方面:首先,手机硬件配置相比计算机非常低,手机杀毒软件的处理能力极其有限;其次,手机有限的上网能力使得手机病毒库的升级极其困难。因此,对于手机病毒的防治方法,不能完全套用计算机病毒防治方法,必须寻找一个适合手机自身特点的有效的防治技术。三、新技术带来的问题为了提出一个良好的智能终端攻击的解决方案,研究的计算机反病毒软件的工作机理是很有必要的。手机病毒实质上是一个计算机病毒,因此计算机病毒防治技术可为手机病毒防治提供借鉴。借鉴成熟的计算机杀毒技术,研究一种适合智能手机的有效的病毒防治技术是比较现实的方案。目前,较为成熟的计算机病毒防治技术有特征码扫描、启发式扫描,行为监测等。特征码扫描方法被认为是用于检测已知计算机病毒的最简单,最常用的方法。它的基本原理是分析受感染文件,总结并记录病毒的特征码,保存在病毒库中。查毒时,程序从病毒库中逐一提取出特征码,和正在扫描的文件进行匹配。如果某一特征码匹配成功,就认为该文件已经感染了这一特征码所代表的病毒。如果所有的特征码均匹配不成功,就认为文件没有感染病毒。但该方法无法检测未知病毒,且随着病毒的增多,病毒特征码检索时间加长,和移动电话需要长时间保持连接到网络和升级病毒库,这对资源有限的移动终端,将一个很严峻的挑战。启发式扫描是通过分析程序的结构和它的行为来发现病毒,不依赖病毒签名。通过这种新技术,病毒扫描程序可以检测出大约70%到80%的未知病毒。检测过程通常分为两个阶段,第一阶段是发现程序的行为,主要检测程序前段和后段部分,大约几K的代码。发现方法分静态扫描和动态扫描两种,区别主要在于是否利用CPU模拟器来检测程序的行为。第二阶段是分析发现的可疑行为,这一部分必须精心设计,因为通常的情况下,在前一阶段并不能发现病毒的所有可疑行为,所以必须根据发现的部分可疑行为做出判断,且必须保证较低的漏报和误报率。行为监测法利用病毒共有的特殊行为来监测病毒。通过对病毒多年研究,人们发现病毒有一些比较特殊行为是病毒的共同行为,这些行为在正常程序中比较罕见。程序运行时,监视其行为,如果发现病毒行为就立即报警。行为监测法的长处在于不仅可以发现已知病毒,而且可以相当准确地预报未知的多数病毒。但行为监测法也有其短处,即可能误报警和不能识别病毒名称,而且实现起来有一定难度。现今的PC上应用的软件方案主要应用特征码来帮助检测,但如果出现一种新的恶意程序不包含已知特征码,这种方法就检测不出新恶意程序来。特征码技术若要查杀最新病毒,要求用户要有更新病毒数据库定义的能力,这对本来硬件资源就有限的移动终端平台来说几乎无法实现。四、基于启发式行为监测的手机病毒防治系统架构通过分析、比较现有的病毒防治技术,我们认为基于启发式行为监测的病毒防治方法更加适应手机CPU处理能力低、内存空间小的特点。我们可以为各类恶意程序产生的行为进行分类,建立一个行为规则库,这样可以阻止恶意程序运行,同时对一些可能出现的有类似行为的病毒变种也能产生很好的防御效果。启发式分析使用基于行为规则的方法来诊断一个有潜在威胁的文件(或信息,如果是分析垃圾邮件的话)。启发式行为分析引擎的工作是基于自身行为规则库的,它依据行为规则检查恶意软件存在的可能性,当找到一个匹配的规则,这个文件就会被标记为可疑文件(或者潜在的恶意软件、垃圾邮件)并进行处理。本文将提出一个基于启发式行为监测的手机病毒防治系统原型,该系统体系结构包括以下九个基本模块:1.用户界面:用户与系统交互的界面;2.行为监控模块:监控系统中“非友好程序”的行为,依据安全策略判断被监控程序的行为是否具有恶意,将具有恶意的行为上报至启发式分析器,并调用行为阻止模块阻止判定为病毒的程序;3.行为阻止模块:阻止行为监控模块判断的恶意程序;4.安全策略库:存储已定义的安全策略,由升级模块更新;5.用户可选安全策略:除系统定义的核心安全策略,用户还可自选一部分安全策略,以满足个性化的安全需求;6.隔离库:隔离违反安全策略的程序,用户决定是否删除此程序;7.友好程序库:存储具有证书、已知行为安全的程序名单,用户也可自动加入或删除友好程序名单,行为监控模块监控时就不再监控此库中的程序;8.升级模块:与网络连接更新安全策略和系统组件;9.记录文件库:登记系统中阻止的恶意行为,并向用户通报;10.启发式分析器:利用启发式规则分析行为监控模块上报的准恶意行为,判断该程序是否为病毒,并将结果返回至行为监控模块。(一)应用程序进程的隔离这是整个系统的核心模块。驻留在手机的操作系统层,监测系统运行的进程。一旦发现违反预先定义的安全策略行为,就终止这个进程并报告且记录行为,并将其隔离以作进一步处理。若应用程序进程在安全策略允许范围内则其执行就不受影响。手机恶意程序的典型行为规则:1.经济损失规则1:自动连接网络(造成较大流量的)2.破坏设备，使用户无法正常工作规则8:部分功能失效规则10:自动关机规则11:频繁自动重启规则12:破坏手机中的资料(通讯录、照片、图铃等)3.传播信息，损害个人声誉，影响社会产生不良影响传播内容:不良信息、色情信息、恶意信息、非法信息4.个人数据丢失规则15:窃取、泄露手机使用者的个人信息5.纯化手机高效行为检测强制手机不断地向所在通讯网络发送垃圾信息,导致信息堵塞,最终让局部的手机通讯网络瘫痪规则16:格式化手机内存通过上面总结的行为规则库来看,不断完善行为规则库不仅可以检测出已知的病毒、木马程序,还可以检测出具有规则库中程序行为的未知恶意程序或者已知恶意程序的变种。相对于特征码这么庞大的数据库来说,总结出的较小规模的规则库更适合终端这种移动平台。(二)监控模块的实施行为阻止模块的主要功能是接受行为监控模块的阻止请求,对监控模块认为具有恶意行为的进程进行阻止,强制结束此进程,防治恶意行为对手机造成破坏。并将此恶意代码隔离至隔离库,让用户选择对此恶意程序的处理。(三)提高误报率，降低误报率安全策略库是系统的关键部分。制定良好的安全策略库是降低误报率、提高监控未知恶意行为准确率的关键所在。如果有新的恶意行为出现,可对系统的安全策略库进行升级,最大限度保护手机安全。(四)启动时间分析器分析了监控到的应用程序的恶意行为序列，并将安全对策库中的安全策略权重结合起来。启动时，确定应用程序是否为病毒系统流程如图所示:五、基于启发式行为监测的手机病毒防治方案本文在分析手机病毒种类与传播途径及现有的病毒防治方法的基础上,提出了基于启发式行为监测的手机病毒防治技术,此方法可以很好地适应手机特