羅 佳，葉 猛，江 舟

(1.光纖通信技術(shù)和網(wǎng)絡(luò)國家重點實驗室，湖北 武漢 430074;2.武漢郵電科學(xué)研究院通信與信息系統(tǒng)，湖北 武漢 430074;3.武漢虹旭信息技術(shù)有限責(zé)任公司安全產(chǎn)品部，湖北 武漢 430074)

近幾年，隨著移動互聯(lián)網(wǎng)大眾時代的來臨，智能手機(jī)得到了廣泛普及。利用移動互聯(lián)網(wǎng)，智能手機(jī)用戶可以享受各種方便、快捷、豐富的多媒體無線業(yè)務(wù)。然而，根據(jù)“騰訊移動安全實驗室”2012年2月手機(jī)病毒報告顯示，以Android手機(jī)為代表的智能平臺，病毒數(shù)在迅速增加，感染用戶數(shù)飛速增長。僅2月份，便截獲3787個病毒，其中隱私獲取類就占24%［1］。目前解決方案主要有手機(jī)終端殺毒軟件、隱私審計平臺以及訪問權(quán)限申請警告機(jī)制［2］。

由于手機(jī)終端自身資源的限制，以病毒庫為依據(jù)的手機(jī)殺毒軟件將會耗費很大的資源。為手機(jī)軟件商店中的程序提供初審功能的審計平臺，由于細(xì)節(jié)的不公開(Apple)或完全公開(Android)，并不能保證對隱私泄露程序的檢測，更不能對依托論壇傳播的軟件進(jìn)行審計，而訪問權(quán)限申請機(jī)制則依賴于用戶的專業(yè)知識［2］。

1 系統(tǒng)模型概述

針對當(dāng)前手機(jī)隱私泄露檢測方案存在的不足，本文提出了一種在網(wǎng)絡(luò)側(cè)檢測手機(jī)用戶是否存在隱私泄露的方案。在用戶授權(quán)的情況下，實現(xiàn)主動檢測。

1.1 隱私信息定義

手機(jī)用戶隱私信息大致可以分為用戶相關(guān)及終端相關(guān)兩類。用戶相關(guān)的隱私信息主要包括通訊錄、短消息、通話記錄、銀行卡信息、郵件等。終端相關(guān)的隱私信息主要是MSISDN(手機(jī)號碼)、IMEI/ESN(電子序號，即手機(jī)唯一標(biāo)識)、IMSI(全球移動用戶識別碼，即用戶唯一標(biāo)識)、基站位置信息、地理位置信息(GPS)等。

1.2 系統(tǒng)模型

根據(jù)設(shè)計，系統(tǒng)將被部署在移動運(yùn)營商的核心網(wǎng)中，直接對用戶的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行安全檢測，系統(tǒng)模型如圖1所示。

系統(tǒng)主要由3部分組成:數(shù)據(jù)采集模塊、隱私泄露檢測模塊、系統(tǒng)數(shù)據(jù)庫。

數(shù)據(jù)采集模塊負(fù)責(zé)移動運(yùn)營商核心網(wǎng)Gn接口數(shù)據(jù)的采集。Gn接口數(shù)據(jù)包含兩種類型:信令面數(shù)據(jù)GTP－C以及用戶面數(shù)據(jù)GTP－U。根據(jù)PDP上下文的創(chuàng)建請求、應(yīng)答及更新信令，可以獲得與終端相關(guān)的隱私信息。根據(jù)Gn接口用戶面的數(shù)據(jù)，可以獲得用戶所有的上網(wǎng)數(shù)據(jù)信息。

圖1 系統(tǒng)模型

隱私泄露檢測模塊負(fù)責(zé)隱私的泄露檢測與預(yù)警。從數(shù)據(jù)采集模塊獲取到用戶信令面的數(shù)據(jù)和數(shù)據(jù)面的數(shù)據(jù)。根據(jù)預(yù)先配置的特征庫，分析用戶URL請求或下載的軟件信息，判斷是否為危險事件以實現(xiàn)預(yù)警。通過分析用戶數(shù)據(jù)面所有的上行數(shù)據(jù)，判斷是否為隱私泄露事件。

系統(tǒng)數(shù)據(jù)庫負(fù)責(zé)存儲用戶的數(shù)據(jù)信息以及特征庫配置信息。

2 系統(tǒng)設(shè)計

系統(tǒng)功能分為兩塊:危險檢測，即對用戶的行為進(jìn)行檢測，對危險行為進(jìn)行預(yù)警;泄露檢測，即檢測用戶的上傳數(shù)據(jù)是否含有隱私信息。

2.1 危險檢測

手機(jī)用戶隱私遭到泄露，大多是由于用戶下載并安裝了一些未經(jīng)授權(quán)或未明確提示用戶而侵犯用戶隱私的惡意軟件。本系統(tǒng)專門針對侵犯用戶隱私一類的惡意軟件。

危險檢測主要分為兩個部分。一是檢測惡意手機(jī)軟件下載URL鏈接，提取用戶的HTTP請求URL，根據(jù)預(yù)先配置的惡意軟件URL鏈接庫進(jìn)行模式匹配［3］，如果命中則將此行為定義為危險行為，協(xié)同運(yùn)營商網(wǎng)關(guān)阻止此條鏈接。二是檢測用戶下載的應(yīng)用軟件，由于應(yīng)用軟件的下載途徑很多，惡意軟件URL鏈接庫不可能完全覆蓋，于是預(yù)先對已知的惡意軟件利用MD5進(jìn)行簽名，同時對是否惡意進(jìn)行標(biāo)識，在獲得完整的軟件包后計算相應(yīng)的MD5簽名，對比配置信息。如若命中惡意標(biāo)識，則將此次下載URL鏈接添加到惡意軟件下載URL鏈接庫并提示用戶。若未命中任何標(biāo)識，保存此軟件交由人工檢測確定其是否惡意。

危險檢測以公共模式匹配庫作為基礎(chǔ)，所以其針對所有的授權(quán)用戶。

2.2 泄露檢測

當(dāng)用戶行為非軟件下載時，需檢測用戶的上行數(shù)據(jù)，確定是否為隱私泄露行為。由于每個用戶的隱私信息不同，同時上傳的隱私信息可能經(jīng)過加密處理，所以其處理流程較危險，檢測復(fù)雜。泄露檢測分為兩大類:已知惡意軟件泄露檢測和未知惡意軟件泄露檢測。對于用戶的上行數(shù)據(jù)，優(yōu)先進(jìn)行已知惡意軟件泄露事件檢測，未命中的情況下進(jìn)行未知惡意軟件泄露事件監(jiān)測。

已知惡意軟件泄露檢測是指依據(jù)預(yù)先配置的惡意軟件網(wǎng)絡(luò)流特征字，對用戶的上行數(shù)據(jù)進(jìn)行模式匹配，根據(jù)匹配結(jié)果判斷是否為隱私泄露行為。其中，惡意軟件網(wǎng)絡(luò)流特征字是指通過研究已定性的惡意軟件上行數(shù)據(jù)流特征，從中提取出可以唯一確定軟件身份的字符集標(biāo)識。此過程可以識別出絕大部分的已知惡意軟件流，特別是加密流。

從騰訊移動安全實驗室2012年2月手機(jī)病毒報告可以看出，惡意軟件數(shù)量的增長速度非?？?，所以惡意軟件特征庫不可能達(dá)到完全覆蓋，需要隨時更新。在不完善的情況下，當(dāng)已知惡意軟件檢測失敗時，須進(jìn)一步執(zhí)行未知惡意軟件泄露檢測，確定用戶數(shù)據(jù)中是否含有未經(jīng)授權(quán)的隱私信息。

根據(jù)用戶隱私信息的定義，未知惡意軟件泄露檢測又可以分為兩類:終端相關(guān)檢測和用戶相關(guān)檢測。終端相關(guān)的隱私信息可以通過用戶信令面數(shù)據(jù)PDP上下文獲取到。當(dāng)用戶上線或更新PDP上下文時，提取或更新用戶的終端相關(guān)隱私信息。以此為依據(jù)，檢測用戶上行數(shù)據(jù)中是否存在隱私泄露。其中用戶的地理位置信息包含兩類:GPS經(jīng)緯度及基站信息。一般惡意軟件優(yōu)先通過GPS獲取精確經(jīng)緯度，其次利用手機(jī)的基站信息通過谷歌提供的開放接口轉(zhuǎn)化為粗略的經(jīng)緯度。根據(jù)此特點，依據(jù)用戶所在基站編號提取經(jīng)緯度，降低其精度后對用戶數(shù)據(jù)進(jìn)行單模匹配，確定是否存在地理位置信息泄露。

對于用戶相關(guān)隱私信息而言，由于具有不確定性，只能通過目標(biāo)信息主動提取加以判斷。大多數(shù)情況下，用戶相關(guān)的隱私信息具有固定的結(jié)構(gòu)，惡意軟件上傳時一般直接上傳隱私信息固定結(jié)構(gòu)列表。針對此特點，本系統(tǒng)中采用正則表達(dá)式［4］提取手機(jī)號碼、銀行卡號、郵箱等信息，根據(jù)命中的數(shù)量同時結(jié)合信息相關(guān)格式特征字(通訊錄、通話記錄、郵件等)判斷隱私信息類別。

由于核心網(wǎng)數(shù)據(jù)量很大，考慮將大型正規(guī)服務(wù)應(yīng)用的IP或者HOST加入白名單，在數(shù)據(jù)采集階段直接將其過濾從而降低系統(tǒng)的負(fù)擔(dān)，提高檢測效率。

2.3 系統(tǒng)實現(xiàn)

操作系統(tǒng)選用Red Hat Enterprise Linux 5，用Oracle作為系統(tǒng)數(shù)據(jù)庫，編程語言使用C語言。根據(jù)上述系統(tǒng)的功能要求，系統(tǒng)實現(xiàn)如圖2所示。

圖2 系統(tǒng)流程圖

1)系統(tǒng)啟動時，裝載所有預(yù)先配置的模式匹配庫，待后續(xù)進(jìn)行多模匹配。

2)高速數(shù)據(jù)采集［5］，實現(xiàn)用戶信令面信息及用戶面數(shù)據(jù)的提取。

3)危險檢測，如圖3所示。

4)泄露檢測，如圖4所示。

圖3 危險檢測模塊

3 實驗

根據(jù)方案設(shè)計，相對于傳統(tǒng)的用戶側(cè)隱私泄露檢測方案，本系統(tǒng)將部署在移動運(yùn)營商核心網(wǎng)中運(yùn)行，其中系統(tǒng)的輸入數(shù)據(jù)為SGSN和GGSN之間的GTP－C/GTP－U。由于系統(tǒng)部署環(huán)境的特殊性，難以在真實的環(huán)境中進(jìn)行相關(guān)測試實驗，只能通過搭建虛擬的移動網(wǎng)絡(luò)平臺進(jìn)行實驗。

圖4 泄露檢測模

3.1 平臺搭建

從系統(tǒng)數(shù)據(jù)源的角度分析，移動網(wǎng)絡(luò)平臺有兩個關(guān)鍵的特征:1)上行數(shù)據(jù)來自移動終端;2)移動核心網(wǎng)SGSN和GGSN之間的Gn接口采用GTP協(xié)議，用戶數(shù)據(jù)使用GTP協(xié)議進(jìn)行封裝。虛擬網(wǎng)絡(luò)平臺只有實現(xiàn)這兩項關(guān)鍵特征才能算是真正意義上的移動網(wǎng)絡(luò)虛擬平臺，才能為系統(tǒng)提供有效的目標(biāo)數(shù)據(jù)源。

由于移動終端種類繁多，本實驗選擇當(dāng)前比較普及的智能安卓手機(jī)作為移動用戶終端。使用安卓模擬器Android SDK and AVD Manager在Windows XP上創(chuàng)建Android版本為 2.3.1、API Level為 9、CPU 為 ARM 的 Android虛擬機(jī)。借助固網(wǎng)能夠進(jìn)行正常的軟件下載、安裝并運(yùn)行。接下來需要解決Android虛擬機(jī)網(wǎng)絡(luò)數(shù)據(jù)的獲取和封裝。根據(jù)3GPP GTP協(xié)議規(guī)范，GTP消息有V0(R97/98版本)、V1(R99版本)以及其他版本［6］，本實驗使用GTP V1版本消息類型。按照GTP V1版本信令消息結(jié)構(gòu)構(gòu)建信令消息數(shù)據(jù)包，同時按照GTP V1版本用戶面消息結(jié)構(gòu)，借助微軟提供的WinPcap驅(qū)動獲取網(wǎng)卡原始數(shù)據(jù)包，區(qū)分上下行后對其進(jìn)行GTP用戶面數(shù)據(jù)封裝。然后將構(gòu)建的信令包和用戶面數(shù)據(jù)包發(fā)往系統(tǒng)指定套接口，完成虛擬平臺的搭建。

3.2 初始化特征數(shù)據(jù)

本系統(tǒng)涉及到的特征數(shù)據(jù)有:惡意軟件下載URL鏈接庫、惡意軟件MD5簽名庫、安全軟件MD5簽名庫、用戶相關(guān)隱私數(shù)據(jù)庫。為了保證系統(tǒng)具有預(yù)警功能，必須提前配置特征數(shù)據(jù)，具體配置字段如表1和表2所示。其中用戶相關(guān)隱私數(shù)據(jù)庫在用戶上網(wǎng)時段中臨時獲取。根據(jù)《蠶豆網(wǎng)不推薦的Android應(yīng)用》系列文章，實驗中選取20例惡意軟件及其URL下載鏈接，用于危險測試和泄漏測試，其中惡意軟件竊取項覆蓋本系統(tǒng)檢測的范圍。安全軟件選取5例大型社交網(wǎng)站官方版客戶端。

表1 URL特征字段

表2 軟件特征字段

3.3 實驗結(jié)果

完成實驗平臺的搭建以及特征數(shù)據(jù)的初始化之后，開始進(jìn)行聯(lián)機(jī)測試，檢測系統(tǒng)與虛擬機(jī)運(yùn)行于不同的PC機(jī)上。危險測試和泄漏測試如表3和表4所示。

表3 危險測試

表4 泄漏測試

實驗證明，在網(wǎng)絡(luò)側(cè)可以比較好地執(zhí)行隱私泄露預(yù)警和泄漏檢測工作。雖然系統(tǒng)可以較好地工作，但從實驗數(shù)據(jù)不難看出系統(tǒng)存在誤報、漏報等問題。由于短信、通訊錄及通話記錄同時涉及到大量手機(jī)號碼，在面對未知的上行泄漏流時，三者之間可能存在一定的誤報或漏報。對于未知的泄漏加密流，暫時還無法達(dá)到檢測目的。

4 結(jié)語

本文相對傳統(tǒng)的用戶側(cè)隱私泄露檢測方式，提出了一種在移動運(yùn)營商網(wǎng)絡(luò)側(cè)檢測隱私泄露和預(yù)警的方案。實驗證明系統(tǒng)能比較好地工作，如果結(jié)合移動運(yùn)營商的相關(guān)網(wǎng)關(guān)設(shè)備，則可以避免用戶的隱私遭到泄漏。但仍然存在一定的問題，要實現(xiàn)預(yù)警功能，系統(tǒng)對特征數(shù)據(jù)庫的依賴性較高，特別是惡意軟件加密流特征字。進(jìn)一步研究，可以利用當(dāng)前手機(jī)安全廠商提供的安全軟件設(shè)計出一套并行多路惡意軟件檢測系統(tǒng)，配合人工處理以達(dá)到豐富特征數(shù)據(jù)庫的目的。

［1］騰訊移動安全實驗室.2012年2月手機(jī)病毒報告［EB/OL］.［2012－05－30］.http://msm.qq －.com/scan/news/secure_news_detail.jsp?id=84＆from=index.

［2］M－Security Team.基于數(shù)據(jù)流染色的云隱私泄露監(jiān)測解決方案［EB/OL］.［2012－05－30］.http://contest.trendmicro.com.cn/workshow/7/平步青云－手機(jī)隱私解決方案(M－Secu－rity).pdf.

［3］朱嬌嬌，葉猛.多模式匹配及其改進(jìn)算法在協(xié)議識別中的應(yīng)用［J］.電視技術(shù)，2012，36(7):61－62.

［4］胡軍偉.正則表達(dá)式在Web信息抽取中的應(yīng)用［J］.北京信息科技大學(xué)學(xué)報，2011，26(6):87－89.

［5］張輝.高速網(wǎng)絡(luò)實時取證數(shù)據(jù)流重組技術(shù)研究［D］.武漢:華中科技大學(xué)，2008.

［6］陳飛.GPRS網(wǎng)絡(luò)GTP協(xié)議解析方法研究［J］.通信技術(shù)，2009(2):108－109.