面向移動互聯網終端的安全態勢感知研究

張琦 鐘求喜 龔建偉

1 國防科技大學計算機學院 湖南 410073

2 武警8621部隊 遼寧 124000

0 引言

網絡信息技術的發展使得網絡面臨著巨大威脅，網絡攻擊與安全防御之間形成了一場博弈。對安全態勢的正確、全面理解是攻擊預測與安全防御的基礎。但是，隨著多網融合技術的發展，網絡系統正朝著巨型化、復雜化的方向發展，這給安全態勢的分析帶來了巨大的挑戰。

1 移動互聯網概及移動終端

移動互聯網的概念有狹義和廣義兩種理解。狹義上移動互聯網就是所有以移動通信網為互聯網接入點的網絡，如3G、GPRS等；廣義上定義所有以無線方式接入 Internet的都屬于移動互聯網，如Wi-Fi等。廣義的定義包涵了狹義的范圍，本文研究的是狹義概念。綜合對移動通信網與Internet的分析，移動互聯網的特點有：

(1) 接入方式靈活。移動互聯網采用的是無線信號接入方式，可以在任何有無線信號覆蓋的地區實現跨區域、全天候的聯網，且聯網方式多樣，例如 3G、CDMA、Wi-Fi、藍牙等。

(2) 業務功能豐富。移動互聯網是把傳統的無線通信網與 Internet網相融合，原來在各自領域的服務都可以互相交叉使用例如IP電話、移動支付等。

(3) 組成結構復雜。移動互聯網是一個形態功能異構的復雜系統，由于網絡接入的靈活性，其終端覆蓋域較廣；由于業務的復雜性，面對不同的業務，其硬件組成變化較大。

2 移動終端安全態勢指標

對安全態勢從不同的角度有不同的理解，本文認為安全態勢分為兩個部分：“態”和“勢”。態是靜態的概念，指的是當前所處的安全狀態；勢是指動態的變化，是指可能的發展趨勢。

移動終端的安全態勢感知，首先需要獲得“態”，即設備各部分所處的狀態。參考已有的因特網安全態勢指標，結合移動終端特點，采用分層的思想，從物理層、邏輯層、應用層三個層面分析，建立安全態勢模型，各層具體態勢數據有：

(1) 物理層：設備型號(DecInfo)、手機號碼(TelNum)、CPU信息 (CPUInfo)、內存信息(MemInfo)、磁盤信息(DiscInfo)、地理位置信息(PlaceInfo)等。

(2) 邏輯層：操作系統信息(SysInfo)、IP地址(IPAddress)、通信協議信息(ProInfo)、端口信息(PortInfo)、服務網絡信息(NetInfo)等。

(3) 應用層：應用程序信息(AppInfo)、運行服務信息(SerInfo)、訪問資源信息(ResInfo)等。

根據以上的分析數據，將對移動互聯網終端的安全態勢從高到底分成三級指標，一級指標為終端的安全性，由脆弱性、威脅性和健壯性三個二級指標組成，每個二級指標又細化分為若干三級指標。

根據劃分的指標結構，采用面向對象的方法對指標進行建模描述，把需要提取的狀態抽象成類。類圖技術是面向對象方法的核心，他描述了類的屬性及類之間的關聯，本文將采用UML方法對類圖進行描述。

圖中MO_Foundation是功能狀態類，MO_Threaten是威脅數據類，MO_Vulnerability是脆弱性數據類。脆弱性數據類由MO_Leak漏洞信息子類和MO_KillVirus殺毒軟件信息子類組成；威脅數據類由 MO_Decive設備資源信息子類、MO_Data數據信息子類和 MO_Server服務信息子類、MO_App應用程序子類組成。圖中藍線表示繼承關系，紅線表示關聯關系。

3 移動終端安全態勢感知模型

安全態勢感知包括：指標分析、數據獲取、態勢分析和態勢展示幾個部分(如圖1)。

圖1 移動終端安全態勢感知組成結構

上一節已經對移動終端的安全性進行了分析，并建立了安全態勢指標，下面重點對態勢數據的獲取進行研究。本文的移動終端的安全態勢數據獲取以目前最具代表性，市場占有率最高的 Android移動系統為研究對象。Google于 2007年發布Android平臺，最近幾年Android平臺發展快速，用戶急增。2012年Google高級副總裁Andy Rubin在其微博上公布稱，Android設備在2011年增長了250%，平均每天有85萬臺新設備被激活。

針對移動互聯網特點，采用M/S(Mobile/Server)結構設計移動終端態勢感知模型，感知的工作流程為：終端開機后Mobile端程序自動在后臺運行，并與Server建立通信鏈路。再從Server端讀取控制指令集，進入短信監聽狀態，當判斷來至Client端的短信后轉到指令模塊，進一步對指令進行解析和執行，最后將獲得的數據上傳至服務器數據庫(如圖2所示)。

控制端對Mobile端對控制指令的傳輸采用SMS短信機制。Android系統對短信的處理是采用自身的消息/應答機制，當有短信息到達后會在系統內發送廣播，由短信處理模塊接收廣播進行處理。由于Android的短信廣播屬于有序廣播，其特點是按照接收者權限等級從高到低依次接收，所以我們可以編寫一個短信接收者程序，將其接收權限設置高于系統接收短信權限，這樣自定義的短信接受者可以先于系統處理短信，然后運行abortBroadcast()方法終止短信消息向其他接收者發送，最后轉入指令解析模塊和數據提取模塊。

圖2 安全數據感知流程圖

移動終端對態勢數據的獲取有兩種方式，一種是通過 API提供的接口，創建相關實例然后調用實例的方法獲得設備信息出了對終端數據的獲取方式；另外一種是直接調用系統工具，獲取信息內容(如表1)。

表1 安全態勢數據獲取方式

移動終端的安全態勢數據的提取是對終端安全態勢分析的第一步，數據獲取后可以進行安全態勢分析，針對移動終端主要的分析方式有：

(1) 利用IP地址及地理位置信息可以進行拓撲展示和定位跟蹤。例如結合GIS技術將終端位置在地圖上進行展示并實時跟蹤。

(2) 研究關聯分析規則，根據安全態勢數據的變化來判定攻擊行為。例如當設備CPU使用率和通信量急劇增大時，通過關聯查看正在運行的服務及數據通信協議類型可以判定是否發生DDoS攻擊。

(3) 通過統計圖技術對終端數據進行統計分析。例如可以對設備的CPU使用率、磁盤容量、帶寬等數據用折線圖形式進行展示分析，這些數據可以作為以后相關開發應用的歷史數據或訓練集數據。

4 結束語

移動互聯網是一個新興的網絡結構，本文針對移動互聯網終端面臨的安全威脅，建立了移動終端的安全態勢指標模型，并設計了一個態勢感知框架，研究了數據的獲取技術，為以后的工作奠定了基礎。下一步的主要工作主要有：一是在移動終端安全態勢指標的基礎上擴展分析整個移動互聯網的安全態勢指標；二是在獲得數據后對移動終端及移動網絡的安全態勢進行分析評估。三是對態勢數據利用各種可視化手段進行展示。

[1]張宏科，蘇偉.移動互聯網技術[M].北京:人民郵電出版社. 2010.

[2]肖志輝.移動互聯網研究綜述[D].成都:邁普通信技術股份有限公司研究院.2009.

[3]向文杰..移動互聯網發展的回顧與展望[J].電信技術.2009.

[4]Breaker Jacquie Beginning Java Objects [M].Wrox Press.2002.

[5]Android.發展迅猛未來空間巨大[EB/OL]http:// developer.and roid.corn/guide/201202179.html.2011/02/15.

[6]吳亞峰,索依娜.Android 核心技術詳解[M]北京:電子工業出版社.2011.

[7]Paul POCATILU.Android Application Security [D]. Informatica Economica.vol.15.no.3/2011.