2018广东互联网大会演讲PPT-运营商特色的移动互联网恶意程序监测与处置-广东移动.pdf 19页

'运营商特色的移动互联网恶意程序监测与处置广东移动李彬艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 Contents目录1移动互联网安全现状2广东移动治理体系3监测与处置情况4效果与挑战艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 移动互联网安全现状-形势严峻◆工信部◆移动互联网恶意程序是指运行于包括智能手机在内的具有✓《移动互联网恶意程序监测与处置机制》（工移动通信功能的移动终端之上，存在窃听用户通话、窃取用信部保[2011]545号）户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息✓工信部关于省级基础电信企业网络与信息安全、推送广告或欺诈信息、影响移动终端运行、危害互联网网工作考核要点络安全等恶意行为的计算机程序。◆省委网信办✓2017年9月，广东省委网信办、省通信管理局联合主办，由国家互联网应急中心广东分中心、广东移动等多家单位共同参演广东网络安全应急演练，提高我省网络安全应急处置能力◆省通信管理局✓关于构建广东省移动互联网恶意程序应急处置工作体系的通知（粤通业函[2016]56号）◆省互联网协会、国家互联网应急中心广东分中心、✓2016年共同发起成立广东省移动互联网应用安◆移动互联网恶意程序危害大，近年形势严峻全发展联盟，共享应用威胁信息。艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 广东移动治理体系-组织架构和高效协同高效协同、快速响应艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 广东移动治理体系-多维度侦测系统（MMDS）发展历程构建‘云.管.端’手机恶意软件防恶意软件自动化研判、主治体系，提供手机安全先锋APP，动预警数据挖掘分析2017获得公安部授予的"安全专用产品⚫能力提升，数据挖掘分析销售许可证"⚫构建防治体系⚫推出普惠式安全服务2016探索阶段，探究恶意程序为移动客户提供中毒提醒短侦测技术，搭建系统2013-20152012信、恶意网址访问提醒闪信⚫初步探索2011等免费安全服务⚫扩大监测范围⚫技术研究2010研究阶段，技术通过广东省通全量覆盖2/3/4G移动客户信管理局组织技术鉴定，结论为“国际领先”，申请一项发2018/11/4明专利艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 广东移动治理体系-多维度侦测系统（MMDS）架构异常短信数据层数据异常上网异常投数据诉数据对接多套管道系统进行异常数据采集，包括异常上网、异常短信、异常投诉等----------------------------------------------------核心专利双引擎分析技术分析层行为扫描病毒体扫描异常访问行为识别+手机病毒病毒包特征识引擎引擎别，分析疑似中毒事件和新病毒体---------------------------------------------------应用层应用平台前端系统实时研判病毒、监控最新中毒发作情况、挖掘病毒传播恶意链接，多维度展现艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 广东移动治理体系-多维度侦测系统（MMDS）功能①样本自动研判⑥用户关怀提醒反编译风险代码扫描、恶意标签属性分析，对疑似病毒样本进行静态、向高中危中毒用户、访问恶意网址用户动态及标签联合研判分析，提高效率下发提醒信息，跟踪分析病毒清除率10倍以上。②病毒监控分析⑤封堵处置管理病毒当前发作情况、病毒传六大短信封堵、域名/IP封堵管理播轨迹、变种历史关联功能③态势统计分析④恶意链接源头追踪恶意事件发作、传播的趋势统计分析及展现功能通过大数据分析传播、主控地址的网络特征，追溯恶意软件发布源头艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 广东移动治理体系-多维度侦测系统（MMDS）特色◆管道监测处置效率高✓监测效率高全网异常短信全网异常上网全网异常投诉✓处置效率高一点处置、全网生效◆终端提醒关怀覆盖广✓网络通道向终端侧下发提醒不需要依赖移动终端和APP普惠式✓广东移动官媒发布预警艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-案例1“XX神器”短信传播紧急事件案例情况：2014年8月2日凌晨2：30左右，广东监测发现广东移动监测处置方案：“XX神器”，批量传播短信内容相似度极高，1、监测告警：异常短信和异常投诉告警，监测病毒发作“某某某（通讯录姓名）看这个，http://cdn.yyupload.com/down/4279193/XXs情况；henqi.apk”一旦用户手机下载安装链接中的恶意软件，手机将自动向通讯录中的号码发送同样短2、预警通报：第一时间上报通信管理局和集团公司；信，进行发散式传播。2、网络封堵：紧急封堵传播地址，当天阻断恶意地址访问超7万次。3、短信拦截：紧急异常短信拦截，当天拦截异常传播短信90万条。4、查杀提醒：当天更新手机安全先锋病毒库，具备查杀能力，向感染客户发送提醒短信；迅速采取处置措施，全国范围病毒还在蔓延扩散时，广东移动及时切断病毒传播通道，遏制了“XX神器”在省内的进一步蔓延发作，将客户影响降到最低。艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-案例2—“彩信狂魔”群发垃圾彩信案例情况：2017年3月31日，广东移动自主监测发现一款“彩信狂广东移动监测处置方案：魔”恶意软件。恶意软件伪装成‘Googel升级’应用，1、监测告警：异常投诉告警，研判病毒样本，监测病毒终端感染后会自动发送彩信给其他客户，具有后台联网、发作情况；短短十多天时间，仅广东移动至少3.7万个用窃取隐私、消耗资费等危害。户的手机遭遇此手机恶意软件，且呈增长趋势。2、网络封堵：集团公司紧急封堵主控地址、传播地址，阻断恶意地址访问超200万次。3、彩信拦截：集团公司拦截异常彩信，拦截近10万条。4、终端提醒：向感染客户发送提醒短信4万条，协助客户清除病毒。集团公司内，广东公司最先监测到该款病毒，随后外省陆续有监测报道。2018/11/4艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-案例3—伪“校园通”病毒事件案例情况：广东移动监测处置方案：2017年寒假开学伊始，网络上针对学生家长的病毒1、监测告警：异常短信和异常上网告警，监测病毒发作情况；抬头，“家长你好，你儿子的全科学习统计数据与体2、网络封堵：紧急封堵传播地址，阻断恶意地址访问超35万次。检结果，请你下班后点击*****查看[校园通]”。3月93、短信拦截：紧急异常短信拦截，拦截异常传播短信52万条。日《羊城晚报》报道“警惕！校信通短信有你名字也4、终端提醒：通过官方公众号发布预警，先于外省和媒体报道，保别点”的新闻，温州某家长误点短信被骗7000元，累护广东移动客户的权益。计有5万用户遭受这类“校信通”诈骗短信。2月3日3月9日艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-案例4手机端流氓勒索病毒传播事件案例情况：广东移动监测处置方案：2017年5月份，全球范围内爆发的PC版的勒索病毒“永恒1、网络封堵：紧急封堵已发现传播病毒地址，阻断传播地之蓝”，影响了全球一百多个国家。随之而来手机端也出现各址访问超过5万次。类流氓勒索恶意程序，它伪装成各类外挂、神器、辅助等工具，2、终端提醒：通过官方公众号发布勒索病毒预警播报，保锁屏用户手机进行勒索，成为用户关注的安全焦点。广东移动护广东移动客户的权益。及时跟踪监控，发现型发现该类病毒变种超过21种。警惕！！艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-主控地址特征分析01特征分析山东香港四川河陕西台湾湖南5%3%3%南1%1%0%欧洲5%葡萄牙广东上海1%0%2%1%从封堵的主控来看，中国占比70%5%5%0%左右，其中浙江、江苏和北京排行美国日本9%3%乌克兰前三，分别是23%、11%和10%；江苏11%其他,29%1%海外主控占比27%，其中美国占9%。新加坡北京加拿大2%英国10%1%荷兰2%浙江1%韩国23%俄罗斯德国爱尔兰1%Tags0%2%2%澳大利亚1%1%恶意程序的主控地址大部分在国内，国内治理形势依然严峻数据来源：广东移动MMDS系统艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-中高危恶意程序感染事件统计2017-2018年每月中高危恶意程序感染事件数量感染事件数量02折线图（单位：次）1800016000（1）2017年1月-2018年9月广东移动中高14000危恶意程序感染事件总量2180万次，数量体12000仍较大，整体形势依然严峻；100008000（2）2017年10月份推出中高危感染客户短6000信提醒服务后，中高危感染事件整体成下降4000趋势，提醒效果明显。20000Tags（整体形势依然严峻，中毒短信提醒效果明显）数据来源：广东移动MMDS系统艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-恶意程序危害类型分类03危害类型（1）2017年广东移动现网发现新恶意程序样本危害类型分布，主要是资费消耗占比高达71%。恶意扣费类型恶意样本占比18%；（2）目前资费消耗类主要表现是在未授权情况下，私自频繁连接网络下载安装推广软件，频繁出现弹窗，跳出广告，消耗用户手机的流量，其中伪装色情类应用占主流。（3）恶意扣费类主要表现为用户不知情隐蔽执行，或者通过界面诱导、欺骗用户点击等手段，订购各类收费业务或使用终端支付，导致用户经济损失的，多伪装成色情应用或者热门游戏APP；Tags资费消耗类型传播占主流，同时要提防恶意扣费类危害数据来源：广东移动MMDS系统艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 监测与处置情况-感染客户地域分布统计04地域从省内不同地区的人群维度分析，珠三角洲地区、粤东地区和粤西地区受恶意软件感染的用户总量排名前三，所占比例分别为66%，14%，14%。Tags越是经济发达地区，用户移动应用使用越频繁，恶意程序感染客户数量越多数据来源：广东移动MMDS系统艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 效果与挑战-整体处置效果大数据分析：2016年为省政府提供大数据分析报告，得到省领导批示。封堵拦截：2017年至今封堵异常地址超过1万条，拦截病毒异常传播短信约60万条•月均阻断病毒主控访问量450万次、阻断恶意样本传播地址访问量87万次。关怀提醒：2017年至今发送提醒信息340万条，累计减少中高危感染用户166万。•感染客户短信提醒后94%以上客户及时进行病毒清理，总共减少中高危感染用户166万•为全省63万访问恶意网址的用户提供提醒服务超过95万次艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 效果与挑战-未来挑战威胁抗检查能力加强：恶意程序与电信诈骗结合移动客户端智能化移动恶意程序生产趋于工具自动隐私窃取恶意程序与电信随着移动端承载的个人信息越化，抗检查能力越来越强。如色诈骗手段结合，降低用户来越丰富，未来针对移动网络情软件和勒索软件等感知度，实现电信诈骗的攻击也会愈发多利用虚拟引擎等新技术躲避监控：新兴移动设备带来新的风险创建一个虚拟环境，可以在虚拟空间内任如利用物联网设备，嵌入恶意意的安装、启动和卸载APP，与外部隔离后门后形成僵尸网络发起，被恶意程序滥用，躲避监控DDOS攻击携手共进，打造智能、融合、安全的移动互联网空间艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为 THANKS2018/11/4艾媒报告商城用户176****1700专享尊重版权，严禁篡改、转售等侵权行为'