面向移动互联网终端的安全态势感知研究

张琦 钟求喜 龚建伟

1 国防科技大学计算机学院 湖南 410073

2 武警8621部队 辽宁 124000

0 引言

网络信息技术的发展使得网络面临着巨大威胁，网络攻击与安全防御之间形成了一场博弈。对安全态势的正确、全面理解是攻击预测与安全防御的基础。但是，随着多网融合技术的发展，网络系统正朝着巨型化、复杂化的方向发展，这给安全态势的分析带来了巨大的挑战。

1 移动互联网概及移动终端

移动互联网的概念有狭义和广义两种理解。狭义上移动互联网就是所有以移动通信网为互联网接入点的网络，如3G、GPRS等；广义上定义所有以无线方式接入 Internet的都属于移动互联网，如Wi-Fi等。广义的定义包涵了狭义的范围，本文研究的是狭义概念。综合对移动通信网与Internet的分析，移动互联网的特点有：

(1) 接入方式灵活。移动互联网采用的是无线信号接入方式，可以在任何有无线信号覆盖的地区实现跨区域、全天候的联网，且联网方式多样，例如 3G、CDMA、Wi-Fi、蓝牙等。

(2) 业务功能丰富。移动互联网是把传统的无线通信网与 Internet网相融合，原来在各自领域的服务都可以互相交叉使用例如IP电话、移动支付等。

(3) 组成结构复杂。移动互联网是一个形态功能异构的复杂系统，由于网络接入的灵活性，其终端覆盖域较广；由于业务的复杂性，面对不同的业务，其硬件组成变化较大。

2 移动终端安全态势指标

对安全态势从不同的角度有不同的理解，本文认为安全态势分为两个部分：“态”和“势”。态是静态的概念，指的是当前所处的安全状态；势是指动态的变化，是指可能的发展趋势。

移动终端的安全态势感知，首先需要获得“态”，即设备各部分所处的状态。参考已有的因特网安全态势指标，结合移动终端特点，采用分层的思想，从物理层、逻辑层、应用层三个层面分析，建立安全态势模型，各层具体态势数据有：

(1) 物理层：设备型号(DecInfo)、手机号码(TelNum)、CPU信息 (CPUInfo)、内存信息(MemInfo)、磁盘信息(DiscInfo)、地理位置信息(PlaceInfo)等。

(2) 逻辑层：操作系统信息(SysInfo)、IP地址(IPAddress)、通信协议信息(ProInfo)、端口信息(PortInfo)、服务网络信息(NetInfo)等。

(3) 应用层：应用程序信息(AppInfo)、运行服务信息(SerInfo)、访问资源信息(ResInfo)等。

根据以上的分析数据，将对移动互联网终端的安全态势从高到底分成三级指标，一级指标为终端的安全性，由脆弱性、威胁性和健壮性三个二级指标组成，每个二级指标又细化分为若干三级指标。

根据划分的指标结构，采用面向对象的方法对指标进行建模描述，把需要提取的状态抽象成类。类图技术是面向对象方法的核心，他描述了类的属性及类之间的关联，本文将采用UML方法对类图进行描述。

图中MO_Foundation是功能状态类，MO_Threaten是威胁数据类，MO_Vulnerability是脆弱性数据类。脆弱性数据类由MO_Leak漏洞信息子类和MO_KillVirus杀毒软件信息子类组成；威胁数据类由 MO_Decive设备资源信息子类、MO_Data数据信息子类和 MO_Server服务信息子类、MO_App应用程序子类组成。图中蓝线表示继承关系，红线表示关联关系。

3 移动终端安全态势感知模型

安全态势感知包括：指标分析、数据获取、态势分析和态势展示几个部分(如图1)。

图1 移动终端安全态势感知组成结构

上一节已经对移动终端的安全性进行了分析，并建立了安全态势指标，下面重点对态势数据的获取进行研究。本文的移动终端的安全态势数据获取以目前最具代表性，市场占有率最高的 Android移动系统为研究对象。Google于 2007年发布Android平台，最近几年Android平台发展快速，用户急增。2012年Google高级副总裁Andy Rubin在其微博上公布称，Android设备在2011年增长了250%，平均每天有85万台新设备被激活。

针对移动互联网特点，采用M/S(Mobile/Server)结构设计移动终端态势感知模型，感知的工作流程为：终端开机后Mobile端程序自动在后台运行，并与Server建立通信链路。再从Server端读取控制指令集，进入短信监听状态，当判断来至Client端的短信后转到指令模块，进一步对指令进行解析和执行，最后将获得的数据上传至服务器数据库(如图2所示)。

控制端对Mobile端对控制指令的传输采用SMS短信机制。Android系统对短信的处理是采用自身的消息/应答机制，当有短信息到达后会在系统内发送广播，由短信处理模块接收广播进行处理。由于Android的短信广播属于有序广播，其特点是按照接收者权限等级从高到低依次接收，所以我们可以编写一个短信接收者程序，将其接收权限设置高于系统接收短信权限，这样自定义的短信接受者可以先于系统处理短信，然后运行abortBroadcast()方法终止短信消息向其他接收者发送，最后转入指令解析模块和数据提取模块。

图2 安全数据感知流程图

移动终端对态势数据的获取有两种方式，一种是通过 API提供的接口，创建相关实例然后调用实例的方法获得设备信息出了对终端数据的获取方式；另外一种是直接调用系统工具，获取信息内容(如表1)。

表1 安全态势数据获取方式

移动终端的安全态势数据的提取是对终端安全态势分析的第一步，数据获取后可以进行安全态势分析，针对移动终端主要的分析方式有：

(1) 利用IP地址及地理位置信息可以进行拓扑展示和定位跟踪。例如结合GIS技术将终端位置在地图上进行展示并实时跟踪。

(2) 研究关联分析规则，根据安全态势数据的变化来判定攻击行为。例如当设备CPU使用率和通信量急剧增大时，通过关联查看正在运行的服务及数据通信协议类型可以判定是否发生DDoS攻击。

(3) 通过统计图技术对终端数据进行统计分析。例如可以对设备的CPU使用率、磁盘容量、带宽等数据用折线图形式进行展示分析，这些数据可以作为以后相关开发应用的历史数据或训练集数据。

4 结束语

移动互联网是一个新兴的网络结构，本文针对移动互联网终端面临的安全威胁，建立了移动终端的安全态势指标模型，并设计了一个态势感知框架，研究了数据的获取技术，为以后的工作奠定了基础。下一步的主要工作主要有：一是在移动终端安全态势指标的基础上扩展分析整个移动互联网的安全态势指标；二是在获得数据后对移动终端及移动网络的安全态势进行分析评估。三是对态势数据利用各种可视化手段进行展示。

[1]张宏科，苏伟.移动互联网技术[M].北京:人民邮电出版社. 2010.

[2]肖志辉.移动互联网研究综述[D].成都:迈普通信技术股份有限公司研究院.2009.

[3]向文杰..移动互联网发展的回顾与展望[J].电信技术.2009.

[4]Breaker Jacquie Beginning Java Objects [M].Wrox Press.2002.

[5]Android.发展迅猛未来空间巨大[EB/OL]http:// developer.and roid.corn/guide/201202179.html.2011/02/15.

[6]吴亚峰,索依娜.Android 核心技术详解[M]北京:电子工业出版社.2011.

[7]Paul POCATILU.Android Application Security [D]. Informatica Economica.vol.15.no.3/2011.