XX移动手机恶意软件监测系统说明材料120830

XX移动手机恶意软件监测系统
说明材料
恒安嘉新（北京）科技有限公司
2012年8月
1集团方案说明
中国移动集团手机恶意软件监测系统共包含三个功能模块，分别为手机恶意软件集中监测分析系统（CM）、疑似样本及行为汇聚代理（SCA）和恶意软件检测代理（DA）。

中国移动集团手机恶意软件监测系统采用分布式部署方式。

全网部署一套CM，SCA以省为单位部署。

DA与Gn口分光设备、Gn口数据分析系统同局址部署，可部署多套。

DA和SCA 在同局址时也可以合设。

DA及SCA与CM间通过IP专网建立端到端安全连接。

系统整体部署方式如下图：
其中：
1.CM是整个系统的数据分析中枢和数据集中展现平台。

负责提供统一的GUI管理界
面和数据展现、研判、数据分析及结果输出平台。

2.恶意软件检测代理（DA）主要是是病毒MD5/URL对比，把汇总的对比事件上报CM。

3.疑似样本及行为信息汇聚代理（SCA）主要实现对疑似的样本捕获，和可疑的URL
筛选和上报，汇总后上报给CM。

2集团方案特点
在中国移动集团手机恶意软件监测系统建设方案中：主要是目标是分析上网的URL, 捕获疑似样本和建立恶意软件库。

1.集团负责统一建设手机恶意软件集中监测分析系统（CM），省内的负责建设疑似样
本及行为汇聚代理（SCA）和恶意软件检测代理（DA）。

2.集团侧手机恶意软件集中监测分析系统（CM）提供全网统一的恶意软件样本库等特
征库，并下发到省内部署的DA/SCA负责监测和分析。

3.各省监测到的手机恶意程序及行为通过IP专网上报到集团侧CM，由CM做集中化
查询和展现。

4.集团方案目前仅选择了北京移动GGSN流量小部分流量、江苏移动GGSN小部分流量
和广东移动的GGSN小部分流量，进行试点数据采集，采取的是抽样数据采集，集
团当前主要是疑似样本的捕获和建立一个恶意软件库。

3XX移动需求
XX移动在集团功能之上，主要目标是为保证网络运营、为客服和业务支撑提供更具针对性、更为实用的功能需求，同时也能顺利与集团对接：
1.自主管理，应对投诉：建立省内自己的恶意软件监测CM管理平台，实施监测恶意
软件事件，定位存在恶意软件的用户号码，并方便对本省的恶意软件事件投诉进行
处理；
2.提高对用户感知服务，精准服务，短信疏导用户：对本省监测到存在恶意软件的
用户，进行短信公益提醒，支持自有杀毒终端的推送和下载，提高用户防范意识，普及恶意软件常识，及时建议用户清除终端恶意软件。

3.降低垃圾短彩信发送量：分析恶意软件利用移动分组域导致的用户终端隐藏性发送
的垃圾短彩信事件,并挖掘出互联网的控制URL和IP，现网对URL和IP采取网络
策略，减少垃圾短彩信发送量, 利于本省垃圾短信的集团考核，同时降低垃圾短信
给用户造成的经济损失，支持并预留从互联网短信网关获取短信话单,预留系统接
口用于定制开发接收垃圾短信过滤系统发送的带URL地址的短信信息，并将详细信
息上报给后端的功能，如支持通过FTP的方式接受相关信息。

4.不知情恶意订购监测：监测给终端用户造成强制性业务订购的恶意软件, 通过运营
支撑的分析，建议本省网络对制定的URL或IP采取策略，减少不知情业务订购投诉量,预留系统接口用于定制开发支持订购监测与分析、对于异常订购行为进行告警的功能，如支持从信令监测系统通过SQL的方式获取相关信息。

5.地下运营商监控；监测用户使用回拨呼叫软件情况，分析现网地下运营商的分布和
对移动收入的影响。

6.省内网络侧封堵：本省内配置URL封堵策略实现对移动终端恶意软件、不知情恶意
订购、垃圾短彩信及地下运营商的封堵。

7.一对一服务，运维支撑：驻场人员配置，协助移动客服中心解决关于手机恶意软件
及异常流量投诉分析，提高客服处理投诉的效率；编写月报、特例事件分析并随时听取用户最新需求，进行个性功能开发配置。

针对XX移动的需求，集团方案的局限性主要体现在：
1.集团方案功能集中抽样进行疑似样本的分析和建立恶意软件库，某些恶意软件具有
地域特色，可能发生恶意软件的遗漏，也没有监测地下运营商功能。

2.周期漫长：集团当前只是抽样选取北京、江苏和广东Gn口部分数据，省移动公司
的选取，全省的全量监测，进一步进行全国的Gn口部署DA/SCA，目前没有任何计划，甚至于北京三地的全网覆盖也没有计划。

3.数据局限性：由于采取部分省及省内部分Gn口流量分析，数据有很大的局限性，
对其它的省的实际恶意软件统计及中毒终端的统计完全不到位；
4.集团方案采用二级架构，手机恶意程序的上报、告警和展现集中在集团侧CM，各
省分公司无法及时查询和获知网内手机恶意软件的感染情况，无法及时解决客户因感染手机恶意程序导致的投诉，不能支撑安全运维服务需求；
5.集团的恶意软件封堵当前主要限于集中的国际出口，并且有很大的选择性，达不到
各省的个性化封堵需求；采取的封堵策略，不能管控第三方的出口。

6.对已存在恶意软件终端用户，没有给予相应服务，终端不能及时清除恶意软件。

7.集团方案为全国统一方案，采用标准化的模块和技术规范，可扩展性差，无法满足
XX移动后续功能扩展需求。

4过渡方案
根据中国移动集团手机恶意软件监测系统建设方案，集团负责建设全国统一的CM，选定的省负责建设各自的DA和SCA。

根据集团要求，XX移动建设的手机恶意软件监测要与集团对接，直接进行现有模块扩容和SCA的配置。

目前，江苏移动、天津移动、四川移动、宁夏移动、河北移动等多个省分公司都已经建设自己的手机恶意软件监测系统，均可顺利实现后续与集团CM对接。

XX移动安全和业务需求基于集团手机恶意软件监测系统功能，但又多于集团功能。

考虑到XX移动建设手机恶意软件监测系统的必然性，XX移动建设手机恶意软件监测系统与集团的建设方案和技术规范并不矛盾。

因此，建议XX移动根据自身需求建设手机恶意软件监测系统，后续只要把系统中的手机恶意软件监测模块通过集团定义的规范接口接入到集团侧CM即刻满足中国移动集团手机恶意软件监测系统建设方案要求，同时也能满足XX移动自身多样化的安全监控和运维支撑需求。

5总结。