APP檢測(cè)技術(shù)在移動(dòng)互聯(lián)網(wǎng)安全管控中的應(yīng)用分析

吳央

摘要：在信息化時(shí)代中，電子終端設(shè)備應(yīng)用范疇不斷拓展，為人們信息交流創(chuàng)造便利條件的同時(shí)，手機(jī)惡意程序也相應(yīng)增多。文章在概述過去應(yīng)對(duì)手機(jī)惡意程序方法不足之處基礎(chǔ)上，設(shè)計(jì)了一類可及時(shí)發(fā)現(xiàn)不確定手機(jī)惡意程序的APP檢測(cè)系統(tǒng)。該技術(shù)在互聯(lián)網(wǎng)環(huán)境中的應(yīng)用，能夠動(dòng)態(tài)化的監(jiān)控手機(jī)惡意程序，收集可疑樣本，確保已知惡意程序處理以及未知惡意程序發(fā)現(xiàn)的時(shí)效性，最終實(shí)現(xiàn)大幅度增強(qiáng)互聯(lián)網(wǎng)對(duì)惡意程序的防控能力。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng)；APP檢測(cè)技術(shù)；惡意程序；監(jiān)控與防范

中圖分類號(hào)：TP311.56；TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-9129（2018）07-0032-01

Abstract： In the information age， the application of electronic terminal equipment has been continuously expanding， creating convenience for people's information exchange， and the number of malicious mobile phone programs has also increased correspondingly. Based on the summary of the shortcomings in the past dealing with malicious methods of mobile phones， the article designed a class of APP detection system that can detect indefinite mobile phone malicious programs in time. The application of this technology in the Internet environment can dynamically monitor mobile phone malicious programs， collect suspicious samples， ensure the timeliness of known malicious program processing and the discovery of unknown malicious programs， and ultimately achieve a significant increase in the ability of the Internet to prevent and control malicious programs. .

Keywords： mobile internet； APP detection technology； malicious program； monitoring and prevention

在科學(xué)技術(shù)日新月異時(shí)代中，移動(dòng)互聯(lián)網(wǎng)獲得更大的發(fā)展空間，有逐漸將傳統(tǒng)互聯(lián)網(wǎng)取代的趨勢(shì)。但是其在發(fā)展過程中，也促使諸多網(wǎng)絡(luò)安全問題凸顯出來，以網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)安全設(shè)備帶寬吞吐能力下降以及APT（高可持續(xù)性威脅）攻擊方式為主，其均會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)安全設(shè)備的檢測(cè)機(jī)理造成影響，促使移動(dòng)互聯(lián)網(wǎng)可持續(xù)發(fā)展目標(biāo)的實(shí)現(xiàn)過程受阻。故此，積極以移動(dòng)互聯(lián)網(wǎng)為基點(diǎn)建設(shè)惡意程序檢測(cè)體系是極為必要的。

1 過去防控移動(dòng)互聯(lián)網(wǎng)惡意程序的方法

過去，防控移動(dòng)互聯(lián)網(wǎng)惡意程序的方法可以分為如下兩種類型：①于用戶端進(jìn)行防范，即采用動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)安卓 APP（應(yīng)用程序）的技術(shù)，借助對(duì) APP 行為檢測(cè)以及比較病毒庫分析結(jié)果等方式，明確惡意程序；②移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)端防范，即創(chuàng)建云計(jì)算支撐平臺(tái)，以實(shí)現(xiàn)對(duì)惡意程序的采集、類型辨識(shí)、措施推出以及管理等，以達(dá)到對(duì)惡意程序有效監(jiān)測(cè)與封堵目標(biāo)。盡管上述方法對(duì)提升網(wǎng)絡(luò)環(huán)境安全性方面體現(xiàn)一定價(jià)值，但是僅能夠?qū)σ阎獝阂獯a進(jìn)行檢測(cè)與辨識(shí)，網(wǎng)絡(luò)病毒防范的時(shí)效性與精確性不足[1]。

2 APP 檢測(cè)技術(shù)

APP 檢測(cè)技術(shù)為一種提升用戶的惡意代碼樣本檢測(cè)與相關(guān)事件獲取能力、 安全事件發(fā)生緣由追溯能力的體系。 該體系功能體現(xiàn)在如下幾方面：①對(duì)尋常惡意代碼事件的檢測(cè)與分析；②未知惡意代碼辨識(shí)以及惡意代碼初始原確定；③有關(guān)安全事件挖掘與分析等， 最終實(shí)現(xiàn)確定具有研討價(jià)值的樣本與事件。將該技術(shù)應(yīng)用到移動(dòng)互聯(lián)網(wǎng)中，等同于創(chuàng)設(shè)了一條全網(wǎng)警戒線，以拓展網(wǎng)絡(luò)病毒防范的規(guī)模與時(shí)效性，構(gòu)建大范疇監(jiān)控網(wǎng)絡(luò)病毒視圖，故此該檢測(cè)技術(shù)被視為當(dāng)下互聯(lián)網(wǎng)安全管理的重要構(gòu)成成分，以及現(xiàn)存防絡(luò)病毒防控體系的補(bǔ)充條件。

3 基于APP 檢測(cè)技術(shù)的移動(dòng)互聯(lián)網(wǎng)安全管控設(shè)計(jì)

APP 檢測(cè)技術(shù)采用分布式部署形式，在網(wǎng)絡(luò)中布設(shè)大批量的檢測(cè)捕獲探針，借用旁路鏡像的方式對(duì)網(wǎng)絡(luò)流量耗用情況進(jìn)行檢測(cè)，動(dòng)態(tài)式對(duì)網(wǎng)絡(luò)內(nèi)的惡意代碼事件進(jìn)行檢測(cè)，明確已知惡意代碼等威脅發(fā)現(xiàn)與捕獲技術(shù)性，輸送給后端管理系統(tǒng)進(jìn)行深度解析與挖掘，以明確整個(gè)網(wǎng)絡(luò)“災(zāi)情”感知與分布狀況。

本文以APP 檢測(cè)技術(shù)為基點(diǎn)設(shè)計(jì)的移動(dòng)互聯(lián)網(wǎng)安全管控體系，需分別創(chuàng)設(shè)監(jiān)控探針模塊、安全管理系統(tǒng)和深度分析系統(tǒng)，以協(xié)同構(gòu)建一個(gè) APP檢測(cè)的多級(jí)架構(gòu)系統(tǒng)。

3.1監(jiān)控探針模塊

該模塊的建設(shè)是以X86 體系為基礎(chǔ)，采用PCI-E （ 總線接口 ） 總線銜接專用的萬兆捕包卡 、FPGA（現(xiàn)場(chǎng)可編程門陣列）預(yù)處理卡與 GPU（圖形處理器）加速卡設(shè)施方式，應(yīng)對(duì)多路網(wǎng)絡(luò)流量接入問題，產(chǎn)生基礎(chǔ)硬件處理能力，借用高性能解析協(xié)議棧對(duì)網(wǎng)絡(luò)數(shù)據(jù)包處理情況。監(jiān)控探針可以采用單點(diǎn)的形式進(jìn)行部署，也可借用分布部署方式對(duì)規(guī)模相對(duì)較大的網(wǎng)絡(luò)內(nèi)部環(huán)境進(jìn)行監(jiān)測(cè)與調(diào)控。該模塊辨識(shí)傳輸文件格式的能力超強(qiáng)，并采用其內(nèi)安設(shè)的反病毒引擎，達(dá)到了對(duì)已知病毒傳輸行為動(dòng)態(tài)化監(jiān)測(cè)，也具備對(duì)惡意行為事件掃描、入侵、攻擊、植入等檢測(cè)能力[2]。

3.2安全管理模塊

該模塊能夠?qū)崿F(xiàn)對(duì)以分布式布設(shè)的超高速網(wǎng)絡(luò)病毒監(jiān)控設(shè)施統(tǒng)一管理，在管理服務(wù)器幫襯下對(duì)探針采集的數(shù)據(jù)信息進(jìn)行匯總與升級(jí)等運(yùn)營(yíng)維護(hù)管理，與此同時(shí)還具備對(duì)檢測(cè)時(shí)間以及被捕獲的可疑樣本數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與分析的功能。安全管理模塊能夠?qū)W(wǎng)絡(luò)病毒監(jiān)控設(shè)備不同模塊的分布 、管理與維保等環(huán)節(jié)，提供細(xì)致化的病毒分布情況與分類統(tǒng)計(jì)信息，對(duì)報(bào)表輸出程序發(fā)揮一定支撐作用。在安全管理模塊的協(xié)助下，自動(dòng)化維護(hù)的自適應(yīng)閉環(huán)結(jié)構(gòu)建設(shè)目標(biāo)的實(shí)現(xiàn)才會(huì)獲得更大可能，其在解析重大信息安全事件的同時(shí)，還能依照用戶實(shí)際需求，和遠(yuǎn)程反病毒分析支撐體系構(gòu)建聯(lián)動(dòng)分析模式，及時(shí)為企業(yè)相關(guān)部門傳導(dǎo)具有現(xiàn)實(shí)價(jià)值的處置信息。

3.3深度分析模塊

該模塊設(shè)計(jì)的重點(diǎn)是創(chuàng)建一個(gè)結(jié)合專家經(jīng)驗(yàn)的自動(dòng)化快速分析環(huán)境。在這一環(huán)境中，分析軟件有針對(duì)性的采用靜態(tài)分析、動(dòng)態(tài)分析等方法，對(duì)惡意代碼以及其延展出的行為方式進(jìn)行解析，發(fā)現(xiàn)并捕及隱匿在郵件、Web 頁面Flash 等文章內(nèi)的未知 0day 攻擊，對(duì)其運(yùn)轉(zhuǎn)行為方式進(jìn)行監(jiān)測(cè)與記錄，最終實(shí)現(xiàn)辨識(shí) APT 攻擊源的出處與構(gòu)成因素，以協(xié)助移動(dòng)互聯(lián)網(wǎng)安全分析人員有效實(shí)施對(duì)APT攻擊的防范措施。

4 結(jié)束語：

總之，將APP 檢測(cè)技術(shù)導(dǎo)入到移動(dòng)互聯(lián)網(wǎng)安全管控體系建設(shè)中，迎合了信息化社會(huì)中互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境多樣化發(fā)展趨勢(shì)，嘗試有效解除移動(dòng)互聯(lián)網(wǎng)中信息安全性帶來的挑戰(zhàn)，在保證國(guó)家信息安全性，社會(huì)經(jīng)濟(jì)活動(dòng)運(yùn)行有序性等方面體現(xiàn)出巨大價(jià)值，與此同時(shí)也助力于我國(guó)新興信息產(chǎn)業(yè)的可持續(xù)發(fā)展進(jìn)程。

參考文獻(xiàn)：

[1]李韶英， 李文云， 姜松，等. 移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)感知APP與DPI時(shí)間關(guān)聯(lián)技術(shù)研究[J]. 移動(dòng)通信， 2017， 41（2）：42-46.

[2]鄒建明， 丁德平， 陳小滿. 基于移動(dòng)互聯(lián)網(wǎng)氣象信息發(fā)布APP技術(shù)實(shí)現(xiàn)[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用， 2014，15（6）：111-113.