智能手机的恶意代码防范研究

　　在通信技术高速发展的今天，智能手机变得越来越普及， 人们在享受智能手机强大功能的同时， 也受到来自手机恶意代码的侵扰。为有效遏制手机恶意代码的快速发展势头，相应的分析防御方法已相继提出， 各种手机杀毒软件也随之应运而生。目前主流的手机恶意代码防御方法主要参照计算机恶意代码的分析防御技术， 包括传统的恶意代码防御技术（ 如基于恶意代码特征匹配的扫描技术和启发式经验规则等） 及行为阻断技术； 主流手机杀毒产品基本能做到有效地实时扫描及监控、病毒处理和查杀、病毒库及软件更新， 其配套的通信基础设施也在逐步完善当中。

　　各种杀毒工具都是基于恶意代码的特征码实现， 在恶意代码出现到特征码被提取出的这段时间足以让恶意代码实现破坏力， 而杀毒工具对此却无能为力。尽管手机网络可以借鉴互联网的防范技术， 但由于智能手机和计算机软硬件上的本质差别，如何有效防范智能手机的恶意代码正越来越受到人们的关注。对此， 本文研究开发了智能手机恶意代码防范系统， 以实现在手机终端、网关、服务器及PC产品等层面上对智能手机恶意代码的立体防范。

　　1 智能手机恶意代码防范模型

　　针对智能手机的恶意代码问题， 本文提出了智能手机恶意代码防范模型， 并详细介绍了该模型各个层次的功能， 为智能手机恶意代码防范提供理论依据。

　　图1 是本文提出的智能手机恶意代码防范模型， 该模型以当前的计算机病毒防范为参考， 从5 个层次规划智能手机恶意代码防范模型， 其目标是为实际的智能手机恶意代码防范系统提供理论指导。

　　图1 智能手机恶意代码防范模型

　　按对智能手机的防范能力，可以把整个模型划分为恶意代码检测层、备份恢复层、实时监控层、漏洞管理层、数字免疫层等5 个层次。此外，为了支持模型5 个层次的运行，模型中还包括核心数据模块。核心数据模块包含5 个层次所要求的数据（ 例如， 恶意代码特征库、防范策略、免疫信息等）以及获得这些数据需要的支持模块（ 例如， 恶意代码分析等） 。

　　接下来，以5 个层次为序分别简要描述模型的内容。

　　1.1 恶意代码检测层

　　恶意代码检测层主要指恶意代码检测引擎， 它由两个部分组成： 特征代码库和扫描算法。组织合理的特征代码库和高效的扫描算法是恶意代码扫描引擎的两个核心部分。其具体将研究特征代码库的组织方法， 使特征代码库尽量节省空间； 提高扫描算法的执行效率， 降低扫描算法的空间复杂度， 以适应智能手机设备的特定硬件需求。

　　1.2 备份恢复层

　　在智能手机安全领域， 由于存在与计算机的重要区别， 因此， 可以用恢复技术来恢复被感染对象的功能。这些区别主要表现在： 计算机不仅运行应用程序， 而且还是程序员编制程序的工具， 因此， 时时刻刻都有新的应用程序出现在计算机中。而智能手机则完全不同， 用户不会在智能手机上编制新的应用程序。即使下载安装了其他应用， 也是非常有限（ 可枚举） 的集合。因此， 备份恢复层功能是把智能手机领域用到的应用都备份到一个公共平台上， 当发现用户的手机中有部分对象遭到破坏时， 采用从公共平台恢复的手段来恢复被感染对象。

　　1.3 实时监控层

　　实时监控层的功能是监控手机的数据出入口，起到安全预防的功能。在实际环境中， Internet 访问、短消息服务、Email 服务、信息共享（ 蓝牙、红外、PC、USB、存储卡） 、WAP、GPRS？？CDMA？？GSM 是病毒入侵智能手机的途径。实时监控工具预防恶意代码通过这些途径入侵智能手机。部署在手机上的实时监控工具将监控进出互联网络、信息服务、蓝牙、红外线等接口的数据， 实现预防恶意代码入侵， 防止用户信息被窃取的功能。

　　1.4 漏洞管理层

　　智能手机系统漏洞管理层主要有两层含义。在客户端， 表现为一个工具软件， 用于探测已知的漏洞或脆弱性， 提醒用户安全事项。另一个层次的含义是设计一个公共的协议， 让众多的手机厂商、手机软件开发商遵循。厂商可以通过该协议发布漏洞补丁， 便于用户下载安装。

　　1.5 数字免疫层

　　就传统的计算机系统安全而言， 现有的防范计算机病毒的技术都是权宜之计。尽管这些防范技术都取得了非常好的效果， 但在新病毒不断出现的情况下， 没有一劳永逸的基础架构可以解决计算机病毒防范问题。

　　本文将在数字免疫层研究在智能手机领域解决恶意代码的问题， 并采用“免疫”技术来实现智能手机领域的长远防范方法。数字免疫基础设施包含多层意思： 首先， 它不是局限于某个软件、某个系统的狭隘免疫思想（ 该方法已被证明为不可行） ， 而是着眼于所有智能手机及其相关服务领域的宏观免疫思想； 其次， 与其说它是一个系统， 还不如说它是一个基础设施， 这就预示着其建设过程将非常艰巨； 最后， 免疫的对象不是某个程序， 而是一个系统（ 智能手机） ， 这也更加贴近生物领域的免疫概念。

　　除了5 个层次之外， 核心数据模块包含5 个层次所要求的数据（ 例如， 恶意代码特征库、防范策略、免疫数字等） 以及获得这些数据需要的支持模块（ 例如， 恶意代码分析等） 。

　　恶意代码样本采集和分析技术是防范技术的前提。与计算机病毒防范类似， 如果要成功防范移动终端恶意代码， 就必须获得其样本， 分析恶意代码样本的运行机制， 从中得到防范方法。这部分的关键技术点在于： 恶意代码样本采集及特征码提取技术。

　　2 智能手机恶意代码防范系统

　　以智能手机恶意代码防范模型为指导， 本文研究开发了一个智能手机恶意代码防范系统。该系统严格按照防范模型进行构建， 系统各个层次采取的具体方案详细描述如下。

　　2.1 恶意代码检测层实现方案

　　恶意代码检测是防范已经入侵到智能手机内部的恶意代码的有效方法。与计算机病毒检测技术类似， 如果要成功检测出已经入侵到智能手机里的恶意代码， 就必须开发一个恶意代码检测引擎， 该引擎主要由两个部分构成， 它们是恶意代码特征库和扫描算法。

　　（ 1） 恶意代码特征库： 恶意代码的有效检测取决于相关特征码数据库的采集与及时更新。恶意代码通常包括引导、传染和表现3 大功能模块，特征码是从恶意代码源代码中不同位置提取的一系列字节， 检测层通过不同的提取方法和提取工具采集智能手机中最新流行的特征码， 并及时更新特征库。

　　（ 2） 扫描算法： 扫描算法的时间空间复杂度是恶意代码扫描引擎关注点。对于动态串的扫描算法有两个思路： 单模式匹配算法和多模式匹配算法。单模式匹配的经典算法有KMP（Knuth？？Morris？？Pratt ） ， QS（Quick Search） ， BM（ Boyer？？Moore） 等算法， 其中， BM算法被广泛应用于现有商业杀毒软件中。经典的多模式匹配算法是AV.Aho 提出的基于有限自动机的DFSA（ DeterminiSTic Finite StateAutomata） 算法， 该算法在匹配前对模式串集合进行预处理， 转换成树型有限自动机， 然后只需对待匹配动态串进行一次扫描即可找出所有的模式串， 其时间复杂度为O（ n） 。