面向移動(dòng)互聯(lián)網(wǎng)終端的安全態(tài)勢(shì)感知研究

張琦 鐘求喜 龔建偉

1 國(guó)防科技大學(xué)計(jì)算機(jī)學(xué)院 湖南 410073

2 武警8621部隊(duì) 遼寧 124000

0 引言

網(wǎng)絡(luò)信息技術(shù)的發(fā)展使得網(wǎng)絡(luò)面臨著巨大威脅，網(wǎng)絡(luò)攻擊與安全防御之間形成了一場(chǎng)博弈。對(duì)安全態(tài)勢(shì)的正確、全面理解是攻擊預(yù)測(cè)與安全防御的基礎(chǔ)。但是，隨著多網(wǎng)融合技術(shù)的發(fā)展，網(wǎng)絡(luò)系統(tǒng)正朝著巨型化、復(fù)雜化的方向發(fā)展，這給安全態(tài)勢(shì)的分析帶來(lái)了巨大的挑戰(zhàn)。

1 移動(dòng)互聯(lián)網(wǎng)概及移動(dòng)終端

移動(dòng)互聯(lián)網(wǎng)的概念有狹義和廣義兩種理解。狹義上移動(dòng)互聯(lián)網(wǎng)就是所有以移動(dòng)通信網(wǎng)為互聯(lián)網(wǎng)接入點(diǎn)的網(wǎng)絡(luò)，如3G、GPRS等；廣義上定義所有以無(wú)線方式接入 Internet的都屬于移動(dòng)互聯(lián)網(wǎng)，如Wi-Fi等。廣義的定義包涵了狹義的范圍，本文研究的是狹義概念。綜合對(duì)移動(dòng)通信網(wǎng)與Internet的分析，移動(dòng)互聯(lián)網(wǎng)的特點(diǎn)有：

(1) 接入方式靈活。移動(dòng)互聯(lián)網(wǎng)采用的是無(wú)線信號(hào)接入方式，可以在任何有無(wú)線信號(hào)覆蓋的地區(qū)實(shí)現(xiàn)跨區(qū)域、全天候的聯(lián)網(wǎng)，且聯(lián)網(wǎng)方式多樣，例如 3G、CDMA、Wi-Fi、藍(lán)牙等。

(2) 業(yè)務(wù)功能豐富。移動(dòng)互聯(lián)網(wǎng)是把傳統(tǒng)的無(wú)線通信網(wǎng)與 Internet網(wǎng)相融合，原來(lái)在各自領(lǐng)域的服務(wù)都可以互相交叉使用例如IP電話、移動(dòng)支付等。

(3) 組成結(jié)構(gòu)復(fù)雜。移動(dòng)互聯(lián)網(wǎng)是一個(gè)形態(tài)功能異構(gòu)的復(fù)雜系統(tǒng)，由于網(wǎng)絡(luò)接入的靈活性，其終端覆蓋域較廣；由于業(yè)務(wù)的復(fù)雜性，面對(duì)不同的業(yè)務(wù)，其硬件組成變化較大。

2 移動(dòng)終端安全態(tài)勢(shì)指標(biāo)

對(duì)安全態(tài)勢(shì)從不同的角度有不同的理解，本文認(rèn)為安全態(tài)勢(shì)分為兩個(gè)部分：“態(tài)”和“勢(shì)”。態(tài)是靜態(tài)的概念，指的是當(dāng)前所處的安全狀態(tài)；勢(shì)是指動(dòng)態(tài)的變化，是指可能的發(fā)展趨勢(shì)。

移動(dòng)終端的安全態(tài)勢(shì)感知，首先需要獲得“態(tài)”，即設(shè)備各部分所處的狀態(tài)。參考已有的因特網(wǎng)安全態(tài)勢(shì)指標(biāo)，結(jié)合移動(dòng)終端特點(diǎn)，采用分層的思想，從物理層、邏輯層、應(yīng)用層三個(gè)層面分析，建立安全態(tài)勢(shì)模型，各層具體態(tài)勢(shì)數(shù)據(jù)有：

(1) 物理層：設(shè)備型號(hào)(DecInfo)、手機(jī)號(hào)碼(TelNum)、CPU信息 (CPUInfo)、內(nèi)存信息(MemInfo)、磁盤(pán)信息(DiscInfo)、地理位置信息(PlaceInfo)等。

(2) 邏輯層：操作系統(tǒng)信息(SysInfo)、IP地址(IPAddress)、通信協(xié)議信息(ProInfo)、端口信息(PortInfo)、服務(wù)網(wǎng)絡(luò)信息(NetInfo)等。

(3) 應(yīng)用層：應(yīng)用程序信息(AppInfo)、運(yùn)行服務(wù)信息(SerInfo)、訪問(wèn)資源信息(ResInfo)等。

根據(jù)以上的分析數(shù)據(jù)，將對(duì)移動(dòng)互聯(lián)網(wǎng)終端的安全態(tài)勢(shì)從高到底分成三級(jí)指標(biāo)，一級(jí)指標(biāo)為終端的安全性，由脆弱性、威脅性和健壯性三個(gè)二級(jí)指標(biāo)組成，每個(gè)二級(jí)指標(biāo)又細(xì)化分為若干三級(jí)指標(biāo)。

根據(jù)劃分的指標(biāo)結(jié)構(gòu)，采用面向?qū)ο蟮姆椒▽?duì)指標(biāo)進(jìn)行建模描述，把需要提取的狀態(tài)抽象成類。類圖技術(shù)是面向?qū)ο蠓椒ǖ暮诵?，他描述了類的屬性及類之間的關(guān)聯(lián)，本文將采用UML方法對(duì)類圖進(jìn)行描述。

圖中MO_Foundation是功能狀態(tài)類，MO_Threaten是威脅數(shù)據(jù)類，MO_Vulnerability是脆弱性數(shù)據(jù)類。脆弱性數(shù)據(jù)類由MO_Leak漏洞信息子類和MO_KillVirus殺毒軟件信息子類組成；威脅數(shù)據(jù)類由 MO_Decive設(shè)備資源信息子類、MO_Data數(shù)據(jù)信息子類和 MO_Server服務(wù)信息子類、MO_App應(yīng)用程序子類組成。圖中藍(lán)線表示繼承關(guān)系，紅線表示關(guān)聯(lián)關(guān)系。

3 移動(dòng)終端安全態(tài)勢(shì)感知模型

安全態(tài)勢(shì)感知包括：指標(biāo)分析、數(shù)據(jù)獲取、態(tài)勢(shì)分析和態(tài)勢(shì)展示幾個(gè)部分(如圖1)。

圖1 移動(dòng)終端安全態(tài)勢(shì)感知組成結(jié)構(gòu)

上一節(jié)已經(jīng)對(duì)移動(dòng)終端的安全性進(jìn)行了分析，并建立了安全態(tài)勢(shì)指標(biāo)，下面重點(diǎn)對(duì)態(tài)勢(shì)數(shù)據(jù)的獲取進(jìn)行研究。本文的移動(dòng)終端的安全態(tài)勢(shì)數(shù)據(jù)獲取以目前最具代表性，市場(chǎng)占有率最高的 Android移動(dòng)系統(tǒng)為研究對(duì)象。Google于 2007年發(fā)布Android平臺(tái)，最近幾年Android平臺(tái)發(fā)展快速，用戶急增。2012年Google高級(jí)副總裁Andy Rubin在其微博上公布稱，Android設(shè)備在2011年增長(zhǎng)了250%，平均每天有85萬(wàn)臺(tái)新設(shè)備被激活。

針對(duì)移動(dòng)互聯(lián)網(wǎng)特點(diǎn)，采用M/S(Mobile/Server)結(jié)構(gòu)設(shè)計(jì)移動(dòng)終端態(tài)勢(shì)感知模型，感知的工作流程為：終端開(kāi)機(jī)后Mobile端程序自動(dòng)在后臺(tái)運(yùn)行，并與Server建立通信鏈路。再?gòu)腟erver端讀取控制指令集，進(jìn)入短信監(jiān)聽(tīng)狀態(tài)，當(dāng)判斷來(lái)至Client端的短信后轉(zhuǎn)到指令模塊，進(jìn)一步對(duì)指令進(jìn)行解析和執(zhí)行，最后將獲得的數(shù)據(jù)上傳至服務(wù)器數(shù)據(jù)庫(kù)(如圖2所示)。

控制端對(duì)Mobile端對(duì)控制指令的傳輸采用SMS短信機(jī)制。Android系統(tǒng)對(duì)短信的處理是采用自身的消息/應(yīng)答機(jī)制，當(dāng)有短信息到達(dá)后會(huì)在系統(tǒng)內(nèi)發(fā)送廣播，由短信處理模塊接收廣播進(jìn)行處理。由于Android的短信廣播屬于有序廣播，其特點(diǎn)是按照接收者權(quán)限等級(jí)從高到低依次接收，所以我們可以編寫(xiě)一個(gè)短信接收者程序，將其接收權(quán)限設(shè)置高于系統(tǒng)接收短信權(quán)限，這樣自定義的短信接受者可以先于系統(tǒng)處理短信，然后運(yùn)行abortBroadcast()方法終止短信消息向其他接收者發(fā)送，最后轉(zhuǎn)入指令解析模塊和數(shù)據(jù)提取模塊。

圖2 安全數(shù)據(jù)感知流程圖

移動(dòng)終端對(duì)態(tài)勢(shì)數(shù)據(jù)的獲取有兩種方式，一種是通過(guò) API提供的接口，創(chuàng)建相關(guān)實(shí)例然后調(diào)用實(shí)例的方法獲得設(shè)備信息出了對(duì)終端數(shù)據(jù)的獲取方式；另外一種是直接調(diào)用系統(tǒng)工具，獲取信息內(nèi)容(如表1)。

表1 安全態(tài)勢(shì)數(shù)據(jù)獲取方式

移動(dòng)終端的安全態(tài)勢(shì)數(shù)據(jù)的提取是對(duì)終端安全態(tài)勢(shì)分析的第一步，數(shù)據(jù)獲取后可以進(jìn)行安全態(tài)勢(shì)分析，針對(duì)移動(dòng)終端主要的分析方式有：

(1) 利用IP地址及地理位置信息可以進(jìn)行拓?fù)湔故竞投ㄎ桓?。例如結(jié)合GIS技術(shù)將終端位置在地圖上進(jìn)行展示并實(shí)時(shí)跟蹤。

(2) 研究關(guān)聯(lián)分析規(guī)則，根據(jù)安全態(tài)勢(shì)數(shù)據(jù)的變化來(lái)判定攻擊行為。例如當(dāng)設(shè)備CPU使用率和通信量急劇增大時(shí)，通過(guò)關(guān)聯(lián)查看正在運(yùn)行的服務(wù)及數(shù)據(jù)通信協(xié)議類型可以判定是否發(fā)生DDoS攻擊。

(3) 通過(guò)統(tǒng)計(jì)圖技術(shù)對(duì)終端數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。例如可以對(duì)設(shè)備的CPU使用率、磁盤(pán)容量、帶寬等數(shù)據(jù)用折線圖形式進(jìn)行展示分析，這些數(shù)據(jù)可以作為以后相關(guān)開(kāi)發(fā)應(yīng)用的歷史數(shù)據(jù)或訓(xùn)練集數(shù)據(jù)。

4 結(jié)束語(yǔ)

移動(dòng)互聯(lián)網(wǎng)是一個(gè)新興的網(wǎng)絡(luò)結(jié)構(gòu)，本文針對(duì)移動(dòng)互聯(lián)網(wǎng)終端面臨的安全威脅，建立了移動(dòng)終端的安全態(tài)勢(shì)指標(biāo)模型，并設(shè)計(jì)了一個(gè)態(tài)勢(shì)感知框架，研究了數(shù)據(jù)的獲取技術(shù)，為以后的工作奠定了基礎(chǔ)。下一步的主要工作主要有：一是在移動(dòng)終端安全態(tài)勢(shì)指標(biāo)的基礎(chǔ)上擴(kuò)展分析整個(gè)移動(dòng)互聯(lián)網(wǎng)的安全態(tài)勢(shì)指標(biāo)；二是在獲得數(shù)據(jù)后對(duì)移動(dòng)終端及移動(dòng)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行分析評(píng)估。三是對(duì)態(tài)勢(shì)數(shù)據(jù)利用各種可視化手段進(jìn)行展示。

[1]張宏科，蘇偉.移動(dòng)互聯(lián)網(wǎng)技術(shù)[M].北京:人民郵電出版社. 2010.

[2]肖志輝.移動(dòng)互聯(lián)網(wǎng)研究綜述[D].成都:邁普通信技術(shù)股份有限公司研究院.2009.

[3]向文杰..移動(dòng)互聯(lián)網(wǎng)發(fā)展的回顧與展望[J].電信技術(shù).2009.

[4]Breaker Jacquie Beginning Java Objects [M].Wrox Press.2002.

[5]Android.發(fā)展迅猛未來(lái)空間巨大[EB/OL]http:// developer.and roid.corn/guide/201202179.html.2011/02/15.

[6]吳亞峰,索依娜.Android 核心技術(shù)詳解[M]北京:電子工業(yè)出版社.2011.

[7]Paul POCATILU.Android Application Security [D]. Informatica Economica.vol.15.no.3/2011.