开题报告手机恶意软件防护研究.docx

开题报告手机恶意软件防护研究.docx

《开题报告手机恶意软件防护研究.docx》由会员分享，可在线阅读，更多相关《开题报告手机恶意软件防护研究.docx（7页珍藏版）》请在冰豆网上搜索。

开题报告手机恶意软件防护研究

开题报告手机恶意软件防护研究

中国移动集团级重点研发项目（含联合项目）

开题报告

一、项目编号及名称：

20—LH_60手机恶意软件防护研究

二、项目组：

项目组

承担课题名称

负责人及手机、邮箱

信息安全部（牵头单位）

手机恶意软件防护体系研究

网络部（协助单位）

手机恶意软件监测封堵技术方案研究

研究院（协助单位）

手机恶意软件全网综合监测和研判技术研究

广东公司（协助单位）

基于用户行为的手机恶意软件侦测防护技术研究

江苏公司、山东公司（协助单位）

基于Gn信令DPI分析技术手机恶意软件监测防护技术研究

三、课题背景和意义

随着智能手机的普及手机恶意软件日益泛滥据专业手机杀毒厂商统计20—年新发现手机恶意软件种类超过历史总和20—年底达到2500个发展势头迅猛。

20—年8月发现全网共有超过56万名客户手机被“手机骷髅”恶意软件控制造成客户信息泄露。

由于手机恶意软件影响范围日益扩大给用户和运营商都造成极大的危害。

对用户而言危害主要表现在个人信息泄密、经济损失和影响用户手机正常使用等方面。

例如20_年6月在北京、浙江等地出现的手机“僵尸”恶意软件感染用户量超过10万该恶意软件控制感染用户任意群发短/彩信给用户造成了很大的经济损失。

而对运营商而言手机恶意软件使网络资源被大量浪费引起业务质量下降造成用户网络感知差影响企业形象。

据不完全统计“短信魔咒”恶意软件广东省每天就产生2000多万条失败短信使得短信MO成功率下降了10%o

目前手机恶意软件的黑色产业链已经形成。

不法SP与部分山寨机合作内置后门强制用户订购业务或者盗取用户信息垃圾广告商与手机恶意软件编写者相勾结利用被控终端传播广告而手机恶意软件编写者又为不法SP、部分山寨机提供软件工具。

因此手机恶意软件防治工作迫在眉睫。

手机恶意软件防治工作可以实践企业社会责任提升企业形象、合理保护公司及客户经济利益提高客户对手机及业务使用的感知满意度有效消除手机恶意软件导致的网络资源占用净化产业链促进移动信息产业健康发展。

四、课题研究目标

本课题以研究手机恶意软件的特点、网络行为特征为基础有针对性的制定手机恶意软件防护的相关规范和技术方案同时研究手机恶意软件的监测与查杀技术；从而实现手机恶意软件防护工作自动化、规范化、流程化实现综合治理并达到全面防护手机恶意软件的目的。

五、课题研究内容

1、研究总体框架

本课题研究的总体框架包含三方面主要内容分别是手机恶意软件防护体系及规范制定、手机恶意软件研判技术研究和手机恶意软件终端侧监测及防御。

手机恶意软件防护体系及规范制定包括：

手机恶意软件防治模式、手机恶意软件预警及应急响应流程体系、手机恶意软件防护定报制度；

手机恶意软件研判技术研究包括：

手机恶意软件研判分析方法和标准、手机恶意软件特征库管理技术要求；

手机恶意软件终端侧监测及防御包括：

手机恶意软件专杀技术、手机恶意软件代码智能扫描技术。

2、难点及解决方案

本课题难点包括：

手机恶意软件现网监测及研判、手机恶意软件的网络行为分析、基于Gn信令DPI分析技术的手机恶意软件监测。

手机恶意研判技术的难点在于业界缺乏手机恶意软件的研判准则和流程研究难度大。

解决方案是依托研究院实验室网络模拟环境采用静态+动态的分析方法开展研判工作。

手机恶意软件网络行为分析的难点在于业界目前尚未将行为分析的技术引入恶意软件检测。

综合多维度分析手机恶意软件行为具有较髙的可重现性但业界尚没有统一的标准和模型。

解决方案是通过对恶意软件的网络行为进行深入研究找出其共性特征形成恶意软件网络行为判定模型。

基于该判定模型对网络侧采集的行为数据进行分析侦测发现手机恶意软件。

基于Gn信令DPI分析技术的手机恶意软件监测的难点在于恶意软件体存在于手机终端而移动网络对手机终端没有控制权因此手机恶意软件隐蔽性高监测难度大。

解决方案是通过对Gn信令采用DPI分析技术精确匹配手机恶意软件的网络行为从而实现在移动网络实时监控手机恶意软件的目的。

3、主要技术方案和关键技术

本课题的主要技术方案和关键技术包括：

手机恶意软件网络侧行为分析技术

以用户行为学为基础分析恶意订购、恶意扣费、获取用户隐私等的网络行为特征形成手机恶意软件行为特征集和判断模型。

通过部署在网络上的采集系统采集用户行为与手机恶意软件行为特征集和判断模型比对进行实时分析判断。

基于Gn信令DPI分析技术的手机恶意软件监测方案

利于支持GTP协议的DPI技术对通过分光获取的Gn信令进行解码和分析。

通过对流量特征和关键字的监测发现已知手机恶意软件、木马。

亦可通过监测异常网络行为发现未知手机恶意软件、木马。

手机恶意软件研判技术方案

制定手机恶意软件认定分析方法和标准利用端到端实验室模拟网络环境进行手机恶意软件培植与网络行为监测辅助准确调试和恶意软件研判。

采用静态+动态的自动化分析研判技术提高了研判的效率。

六、专利检索情况

1、检索与“手机病毒网络监测方案"相关的专利以“手机病毒”和“监测”为关键词未检索到相关专利。

2、检索与“手机病毒研判”相关的专利以“手机病毒”和

“研判”为关键词未检索到相关专利。

业界尚不存在成熟的手机病毒研判规则及方案未有根据手机病毒网络行为特征及代码特征研判的相关专利。

3、检索与“手机病毒综合防护体系方案”相关的专利以“手机病毒”和“防护"为关键词未检索到相关专利。

不存在综合利用手机病毒代码特征及网络特征行为查杀手机病毒的方案。

4、此外以“手机病毒”为关键词检索检索到相关专利申请如下：

“手机病毒识别方法、装置及系统"一-成都市华为赛门铁克科技有限公司该专利申请是根据软件发送端及传送过程中文件大小的差异来辨别软件是否被绑定了病毒等恶意软件与本课题研究的基于移动网络行为的手机病毒防治方案无相似之处。

“阻断手机病毒发作并传播的方法”一-上海晨兴电子科技有限公司该专利申请是在软件发送端增加软件鉴权信息防止软件传播过程中被病毒感染与本课题研究内容和方案无相似之处。

“一种基于基站的手机病毒检测和防护方法及系统”—毛兴鹏该专利申请提出了“所有手机都需要和通信基站进行通信才能进行数据/信息交换的原理，在通信基站的服务器上进行手机病毒的检测和防护”。

这种方法是在接入网进行手机病毒防护而本课题研究的手机病毒综合监控、防治方案是在核心网开展。

二者存在较大区别。

“病毒检测的方法及系统”一-中兴通讯股份有限公司该专利申请提出了以芯片实现手机病毒的检测如果确定用户数据感染病毒，则对用户数据进行拦截。

这种方法与与本课题研究的基于移动网络行为的手机病毒及恶意软件防治方案存在较大区别。

综上所述在手机病毒及恶意软件防治领域以移动通信网络为基础、通过病毒及恶意软件网络行为特征进行手机病毒及恶意软件综合防治还处于空白领域。

七、已有的研究工作积累和取得的研究成果

1、信息安全管理部在20_年已开展多项手机恶意软件专项研究并着手进行手机恶意软件预警及应急响应体系研究；

2、网络部会同计划部经过调研初步确定手机恶意软件防护技术方案；

3、研究院已开展了手机恶意软件研判的基础性研究工作；

4、广东公司研发了手机恶意软件多维度侦测系统采用“恶意软件行为分析算法”和双引擎侦测技术（恶意软件行为分析引擎+病毒体扫描引擎）在网络侧实现手机恶意软件的侦测；

5、江苏公司已完成基于Gn信令的手机恶意软件防护一期课题研究建立了手机恶意软件监测系统；

八、本课题的创新点和专利点

创新点：

通过多信息源网络行为特征分析实现未知手机恶意软件监测和认定；

利用Gn口DPI技术进行恶意代码特征精确匹配实现已知手机恶意软件的监测；

手机恶意软件网络终端一体化的云查杀方法实现“网络扫毒、本地查杀”。

专利点：

一种基于Gn信令DPI分析的手机恶意软件监测方案；

手机软件恶意代码智能扫描分析技术；

3、一种基于静态+动态综合分析的手机恶意软件研判方案

九、外部合作伙伴委托方案

无

十、预期研究产出

研究成果（研究报告、形成的软硬件平台）：

手机恶意软件防治模式研究报告、手机恶意软件预警及应急响应流程、手机恶意软件防护定报制度、手机恶意软件防治整体技术方案、手机恶意软件特征库总体技术要求、手机恶意软件追查认定及命名规范、手机恶意软件研判技术方案、基于Gn信令DPI分析的手机恶意软件监测技术方案、手机终端测的恶意软件查杀技术规范、手机软件恶意代码智能扫描分析技术方案。

标准成果（形成的企业标准及标准化组织成果）：

无

专利成果（专利申请计划）:

形成3项专利申请；

试验成果（开展的相关试验室及外场测试工作中形成的试验报告）:

无

十一、课题研究分工

单位

分工内容

研究产出

负责人

信息安全管理部

手机恶意软件应急响应体系研究、制定手机恶意软件防护定报制度、手机恶意软件防治模式研究

研究报告

网络部

手机恶意软件防治整体技术方案研究

研究报告、技术规范

研究院

手机恶意软件研判技术研究

研究报告、专利

广东公司

手机恶意软件网络侧行为分析、终端侧查杀研究

技术规范、专利

江苏公司、山东公司

基于Gn信令DPI分析的手机恶意软件监测技术研究

研究报告、专利

十二、项目研究计划进度

十三、项目关键技术决策点及完成时间计划

无。

十四、项目企业绩效贡献情况预测

项目对企业绩效贡献的量化路径图

项目特征指标（PAV）

指标名称

项目应用前指标现状值：

PAVc

项目应用1年后指标预期值：

PAVel

此项目带来的指标变动量：

APAV

彩信等GPRS流量

500Mb/s（江苏全省）

100Mb/s

-400Mb/s

客户投诉

50000/月（单一病毒广东全省）

5000/月

-45000/月

企业特征指标一网络及生产类（EAV-PS）

指标名称

项目应用前指标现状值（EAVc）

项目应用1年后指标预期值（EAVe）

此项目应用带来的指标变动量（AEAV）

客户投诉

50000/月（单一病毒广东全省）

5000/月

-45000/月

企业特征指标一市场及财务类（EAV-MF）

指标名称

项目应用前指标现状值（EAVc）

项目应用1年后指标预期值（EAVe）

此项目应用带来的指标变动量（AEAV）

节省资本支出

病毒引发的GPRS流量约为500Mb/s需要约1500载频。

按每载频10000元计1.5千万。

抑制病毒群发短彩信降低额外载频需求至100M/bs需要300载频计300万。

-1.2千万

节省营运支出

40万元/月（广东全省投诉处理人工成本）

4万元/月（广东全省投诉处理人工成本）

-36万元/月

企业绩效指标（EPV）

指标名称

项目应用前指标现状值：

EAVc

项目应用1年后指标预期值：

EAVe

此项目应用带来的指标变动量：

AEAV

营运收入

营运支出

40万元/月

4万元/月

-36万元/月

资本开支

1.5千万

300万

T.2千万