罗志强，史国水，沈 军，苏志胜

（1.中国电信股份有限公司广州研究院 广州510630；2.中国电信集团公司网络运行维护部 北京100010）

1 引言

近3年来，我国移动互联网用户规模呈现出迅猛增长态势。根据工业和信息化部运行监测协调局发布的最新数据，截至2013年4月，我国移动互联网用户总数达到8.08亿，用户数相比2010年4月的4.33亿户翻了一番[1]。总体来看，移动互联网用户规模已大于固定互联网宽带接入用户规模，且前者保持的优势逐渐增大，移动互联网时代已经到来。

但是随着移动互联网用户规模的高速增长及接入方式的多样化，移动互联网面临的安全形势也日益严峻。从网络和业务平台侧看，除了接入技术不同，移动互联网与传统互联网在架构上并无本质区别，而移动网络IP化、移动用户宽带化和移动终端智能化的趋势，使得互联网上原有的恶意程序传播、网络攻击等传统网络安全威胁向移动互联网快速蔓延，仅2012年，国家互联网应急中心监测和网络安全企业通报的移动互联网恶意程序样本就高达162 981个，较2011年增长25倍[2]。由于 移 动恶意程 序 产生的恶意吸费、用户信息窃取、诱骗欺诈等恶意行为与运营商以及用户利益的关联度更高，移动互联网安全问题已经威胁基础通信网络安全、侵害用户利益，引起国家主管部门、运营商和用户的高度重视。

移动互联网安全问题来源于“云、管、端”，即移动业务、移动承载网以及移动终端等多个层面。其中，移动互联网业务面临的安全威胁主要包括身份伪造[3]、非授权访问、信息窃取等；移动终端则主要面临移动恶意程序引发的隐私窃取、恶意消费、系统破坏等安全威胁；移动承载网除面临非授权访问、异常流量攻击等传统IP网络非法入侵、恶意攻击威胁之外，由于移动网络有限资源共享的特点，更易遭受应用恶意程序僵尸网络、批量激活、终端扫描引发的信令风暴乃至拒绝服务攻击等安全威胁。

本文立足于移动互联网运营商角度，重点分析移动互联网承载网（以下简称“移动承载网”）存在的移动恶意程序、信令风暴等安全热点问题，研究和探讨在网络侧防护恶意代码和信令风暴的安全防护技术。

2 移动恶意程序网络侧防护技术

传统杀毒产品中采用的基于终端侧恶意程序防护技术，目前仍在移动恶意程序的防护中使用，但受限于移动智能终端资源瓶颈及用户安全意识不足，恶意程序防护软件在移动终端的渗透力度不够。随着移动互联网时代的到来，移动智能终端的用户增长速度远大于趋于饱和的计算机用户增长速度，但是手机使用群体的安全防范意识远不如计算机的使用群体，其次移动智能终端的CPU、内存、电量等终端资源也远不如传统PC计算机，缺乏像PC实时监控恶意程序的能力，因此恶意程序防护软件在移动终端的渗透力度明显不足。

由于流量资费等原因，目前移动互联网手机流量远低于传统互联网的网络流量，因此，在移动互联网的运营商网络侧开展恶意程序防护成为可能。如图1所示，运营商在移动互联网接入点采用分光设备实时采集数据流量，通过流量特征码技术监测移动互联网恶意程序，利用流控设备以及与网络设备（如垃圾短彩信拦截系统、DNS等）的联动，通过发送TCP reset报文给网络设备的方式，主动封堵拦截恶意程序的传播途径，对确定的恶意URL进行封堵或跳转，最后通过终端侧推送提示页面、提示短信等方式引导移动互联网用户解决恶意程序。

但是，2013年初中国电信网络安全实验室对主流厂商3款移动恶意程序监控系统的测试结果显示，现阶段基于网络侧的恶意程序防护技术在协议支持和报文还原等方面的实现上仍存在缺陷，主要体现在以下方面：目前主流的恶意程序监控防治设备在分析模块的报文重组、还原、检测分析等功能方面只支持HTTP，不支持其他协议；设备处置模块支持处置策略有限，只支持根据黑名单URL和移动终端进行处置，且封堵也只能针对TCP连接；同时，文件还原的处理性能直接影响恶意程序监测效果，随着移动互联网流量的增大，大部分厂商产品监测出的恶意程序数量持续下降。据测算，如果对移动互联网传输信息进行深度检测和安全过滤，会导致移动互联网网络信息传输效率下降85%[4]。

为了弥补移动互联网大流量下恶意程序发现能力不足的情况，基于移动互联网网络异常流量的恶意程序防护技术是一种较好的补充技术。该技术主要是通过基于NetFlow等流量采集技术开展长期的流量监测和统计分析，建立正常的流量模型和阈值，预定义恶意程序攻击造成的异常流量范围，当网络总体流量分布超出阈值定义范围，则判断网络中可能存在网络恶意程序攻击，再根据目的端口流量分布判断出是哪种恶意程序。这种技术能很快发现大规模的移动互联网蠕虫攻击行为，有效避免网络瘫痪，但是该技术不能防御移动终端层面恶意程序，对蠕虫只能控制传播不能清除。

图1 移动互联网恶意程序监控防治系统结构

图2 基于DPI+AAA联动机制应对移动终端对无线网SYN扫描攻击的防护方案

3 移动互联网信令风暴防护技术

随着移动用户数量的高速增长，黑客针对移动互联网的入侵扫描也逐步增多。例如，某运营商就发生过短短10 s内有上千个3G用户登录同一个移动互联网基站，产生大量信令，引发SPCF、DOCMP、DOSDU等设备出现最高负荷过高的问题。

为了判断负载过高的原因，在每次设备最高负荷冲高时，笔者在BSC随机采样4个用户，而这4个用户中的媒体面报文都可以看到SYN扫描，而且4组测试均有这一现象无一例外，由此可以推断SYN扫描的量级是较高的。上述分析表明，由于移动互联网移动终端用户通过对大量3G无线用户地址段的SYN扫描攻击，造成大量休眠用户的同时激活，导致无线空口资源的负荷激增。由于移动互联网无线空口资源的共享性和有限性，对于基站和BSC来说，短时大量的SYN扫描将导致信令风暴，这种信令风暴攻击行为会严重影响无线网络服务质量及用户体验。

目前应对异常流量攻击的检测及封堵技术手段主要有DPI系统、流量分析系统、流量清洗系统等技术平台，但是这些技术只能通过发送TCP reset报文实现利用TCP链接传播恶意程序的封堵，不能实现对移动终端用户SYN扫描攻击的封堵，在应对移动终端对大量无线网地址段的SYN扫描攻击时均有其局限性，不能有效防范SYN扫描攻击。

为了解决现有技术手段不能有效防范SYN扫描攻击的问题，建议运营商采用基于DPI+AAA联动机制应对移动终端对无线网SYN扫描攻击的防护方案。如图2所示，DPI通过在PI（PDSN与Internet）链路及AAA系统上联链路分光，实时采集无线网分组域流量数据及用户认证数据，检测识别SYN扫描攻击用户及流量；当DPI系统监测到SYN扫描攻击后，与AAA系统联动，发送封堵控制指令给AAA系统，由AAA系统给PDSN发送拆除PPP连接的指令，拆除用户的PPP连接，利用AAA设备实现对移动终端用户、PPP连接等的管理进行封堵控制，从而有效保护有限的无线网空口资源，提升移动互联网网络服务质量及用户体验。

4 结束语

本文从运营商角度重点分析了移动恶意程序、信令风暴等移动互联网安全热点问题。通过研究和探讨在移动互联网网络侧监测和拦截移动恶意代码的技术方案，防范了移动恶意程序引发的恶意吸费、信息窃取等损害用户利益的行为。本文创新性地提出了基于DPI系统和AAA系统联动的技术解决方案，有效解决因SYN扫描引发的移动互联网信令风暴的问题，大幅提升了移动互联网的网络服务质量及用户体验。

1 工业和信息化部电信研究院通信信息所数据监测部.我国移动互联网发展情况分析手机上网成主流 流量增长是亮点.人民邮电报,2013-5-22

2 国家互联网应急中心.2012年我国互联网网络安全态势综述,2013

3 罗志强，沈军.移动电子商务用户溯源认证技术研究与应用.电信科学，2009(6):7～12

4 工业和信息化部电信研究院.移动互联网白皮书(2013年),2013