【YD通讯标准】 移动互联网恶意程序检测方法 第1部分:网络侧

ICS33.060
中华人民共和国通信行业标准
YD/T2848.1-2015
移动互联网恶意程序检测方法
第1部分：网络侧
Malware detection method of the mobile internetPart1:network side
2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3术语、定义和缩略语
3.1术语和定义
3.2缩略语·
5检测方法
5.1移动互联网流量采集：
5.2移动互联网流量分析
移动互联网恶意程序检测
YD/T2848.1-2015
YD/T2848.1-2015
《移动互联网恶意程序检测方法》分为两个部分：一第1部分：网络侧
一第2部分：终端侧
本部分为第1部分。
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、恒安嘉新（北京）科技有限公司。本标准主要起草人：云晓春、王明华、李海灵、邹潇湘、舒手敏、李志辉、何能强、陈晓光、吴田田、攀、王维晟、朱天、温森浩、赵慧、王文磊。HiiKAoiKAca
1范围
移动互联网恶意程序检测方法
第1部分：网络侧
YD/T2848.1-2015
本部分规定了移动互联网恶意程序的网络侧检测方法，提出了在网络侧对移动互联网恶意程序进行检测的技术要求。
本部分适用于移动互联网恶意程序的网络侧监测、分析和管理。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2439-2012移动互联网恶意程序描述格式3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件：3.1.1免费标准bzxz.net
移动互联网恶意程序MobileIntemetMalware在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。3.1.2
移动互联网恶意程序样本MobileInternetMalwareSamples存放移动互联网恶意代码的文件实体形态，其可以是独立的恶意代码载体文件，被感染型恶意代码感染后的文件对象，也可以是非文件载体恶意代码的文件镜像（包括但不限手引导性恶意代码的文件镜像，内存恶意代码的文件镜像）3.1.3
疑似移动互联网恶意程序SuspectedMobileInternetMalware非已确认的移动互联网恶意程序，但是程序行为或代码可能具备移动互联网恶意程序特征，需要通过研判分析从而确认是否为移动互联网恶意程序的移动互联网程序。3.2缩略语
下列缩略语适用于本文件：
Access Point Name
Cyclic Redundancy Check
File Transfer Protocol
Hyper Text Transfer ProtocolInternational MobileEquipment IdentityInternational Mobile Subscriber Identity接入点名称
循环余码校验算法
文件传输协议
超文本传输协议
国际移动电话设备识别码
国际移动用户识别码
HiiKAoNiKAca
YD/T2848.1-2015
iOperating System
Message Digest 5
Multimedia Message Service
Post Office Protocol Edition 3Security Hash Algorithml
Simple Mail Transfer ProtocolUniform Resource Locator
Wireless Application ProtocolWinMobile Windows Mobile
4概述
苹果公司开发的用于移动设备的操作系统消息摘要5
多媒体短信服务
邮局通信协议第三版
安全哈希算法1
简单邮件传输协议
统一资源定位符，这里指网址
无线应用协议
微软的用于移动设备的操作系统移动互联网的迅速发展，加速了恶意程序在移动智能终端上的传播与增长。这些恶意程序往往被用于窃取用户个人隐私信息、非法订购各类增值业务等危险活动，给用户带来经济损失和安全风险。为了有效监测和控制移动互联网恶意程序的传播，需要根据移动互联网恶意程序特征，在移动互联网的网络侧及时发现移动互联网恶意程序的传播和运行事件。移动互联网恶意程序网络侧的检测方法包括三个组成部分，即移动互联网流量采集、移动互联网流量分析和移动互联网恶意程序检测。移动互联网流量采集：对移动互联网双向数据流量进行全流量采集：一移动互联网流量分析：对采集到的移动互联网双向数据流量进行包重组、协议和会话还原：移动互联网恶意程序检测：根据移动互联网恶意程序检测规则，对移动互联网流量中的恶意程序传播和运行事件，以及恶意程序样本数据进行检测和分析5检测方法
5.1移动互联网流量采集
移动互联网流量采集通过以下方法对移动互联网双向数据流量进行采集：a）直接采集移动互联网原始双向数据流量b）通过其他流量采集系统的流量转发或牵引功能获取移动互联网原始双向数据流量移动互联网流量采集应采集移动互联网原始数据流量，不得使用经过抽样、过滤、合并或其他处理方式处理过的流量。
5.2移动互联网流量分析
移动互联网流量分析应支持对采集到的移动互联网流量进行网络协议、样本文件和网络日志数据的还原。主要包括：
a）对原始移动互联网网络流量进行信令解析和用户面数据合成：b）还原各类移动互联网通用网络协议，包括（但不限于）HTTP、WAP、MMS、SMTP、POP3、FTP等
c）还原智能手机操作系统平台（如塞班、安卓、WinMobile和iOS系统）的应用程序文件，包括（但不限于）sis、sisx、jar、apk、cab、ipa等文件格式，文件还原结果应包括原始文件名、文件MD5值、文件大小和文件体等数据；
TiiKAoNiKAca
YD/T2848.1-2015
d）还原移动互联网用户网络日志，网络日志至少包括IMSI标识、IMEI标识、源IP、源端口、目的IP、目的端口、目的URL、网络协议、APN、User-Agent、访问时间等字段。5.3移动互联网恶意程序检测
5.3.1概述
根据一定的移动互联网恶意程序检测规则，检测出移动互联网网络流量中的恶意程序传播和运行事件，并对恶意程序样本数据进行分析。移动互联网恶意程序检测方法主要包括（但不限于）：a）移动互联网恶意程序样本特征检测；b）移动互联网恶意程序传播端检测：c）移动互联网恶意程序控制端检测：d）疑似移动互联网恶意程序检测。5.3.2移动互联网恶意程序样本特征检测检测前提：已知移动互联网恶意程序样本库。本方法通过将还原的移动互联网应用程序文件与移动互联网恶意程序样本库进行特征匹配，判断下载或传播的移动互联网应用程序是否为恶意程序。移动互联网恶意程序样本检测特征通过已知移动互联网恶意程序的散列值进行特征匹配，散列值可以使用MD5、SHA1、CRC32或数字签名等。5.3.3移动互联网恶意程序传播端检测检测前提：已知移动互联网恶意程序传播端地址库。本方法通过将还原的移动互联网网络日志与移动互联网恶意程序传播端地址库进行匹配，判断网络行为是否为恶意程序下载或传播行为。移动互联网恶意程序传播端地址库字段包括已知移动互联网恶意程序所有传播或下载服务器的URL、IP、端口等信息。
5.3.4移动互联网恶意程序控制端检测检测前提：已知移动互联网恶意程序控制端地址库。移动互联网恶意程序控制端检测通过将还原的移动互联网网络日志与移动互联网恶意程序控制端地址库进行匹配，判断网络行为是否为恶意程序连接行为。移动互联网恶意程序控制端地址库字段包括已知移动互联网恶意程序所有控制端服务器的URL、IP、端口等信息。
5.3.5疑似移动互联网恶意程序检测似移动互联网恶意程序检测通过对还原的疑似网络日志和疑似文件样本进行异常分析，判断是否为疑似移动互联网恶意程序。异常分析的特征主要包括：a）检测终端网络行为是否超过正常使用频度，如短时间内频繁对特定IP或网站发起访问请求等：b）检测同类网络行为的用户是否超出正常范围，如大量用户在某段时间内发出同类网络行为：c）检测彩信附件是否包含异常URL、异常特征码或特征字：d）检测文件样本中是否包含异常特征码或特征字；e）检测发现其他异常网络行为或文件样本。iiiKAoNiKAca
YD/T2848.1-2015
疑似移动互联网恶意程序检测支持关键字、阅值等作为疑似规则项，规则项可单独设定或组合设定，疑似移动互联网恶意程序的检测方法将随着安全检测技术的发展不断补充和完善。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。