件和已知恶意代码,仅抓取未知恶意代码。3.流量捕获
上述情况都涉及到短信服务运营权限的
问题,这就需要得到短信服务商的许可,才能在他
们的网络内部设置捕获点。如何才能摆脱这种限制,不依赖于短信服务商来设置捕获点?为此,我们提出了伪终端诱捕的解决方案,即利用诱饵
旁路捕获系统通过对网络病毒监控系统进行改造,增加了相应协议的流还原环节,设备只要
连接到交换机或者路由器的镜像口即可工作,配
置部署十分方便,对网络拓扑结构和网络运行效
率不构成任何影响。
号码进行捕获。2.伪终端诱捕方案
该方案的策略是,在移动通信服务商那里购买不同网段的手机号码,然后通过集中接收器对
四、手机恶意代码捕获体系
手机恶意代码捕获借鉴传统捕获体系的方法,同样也尝试实现源头捕获、终端捕获和流量捕获三种方式。对于通过互联网传播伪装或嵌入手机软件的恶意代码可以用传统的源头捕获方案解决。对利用夹带病毒的可下载软件进行传播的情况,我们可以用网络蜘蛛的方案,将数据报全部截获下载
这些号码收集到的消息(包括短信、彩信及其他
数据)集中处理,根据处理的结果来判定是否发现了新的恶意代码。该方案基于这样一个认同,正常情况下这些号码是不应该接收到其他用户发来的消息的(运营商的消息除外),因为这些号码不与其他
用户号码联系。如果好几个诱捕号码都收到了同样的短信或其他消息,我们有理由怀疑它是
一个通过群发功能传播的手机恶意代码或者骚扰短信。而如果其中收到了可执行的附件,或者格式异常可能造成溢出的附件,基本上可以肯定就是恶意代码。
进行启发式分析。这与传统的源捕获探测体系完
全一致,可以复用。但对于手机恶意代码的其他的传播方式,均和传统病毒有所差异,那么捕获点的设置就是手机恶意代码捕获体系要解决的首要问题。
1.捕获点设置分析
对于前文已经论述的恶意短信和彩信这两种
3.便携的蓝牙自动传输捕获器
对于通过蓝牙传播恶意代码,也是恶意代码捕获的难题,由于蓝牙是无中心短距传播,难以中间监控,因此必须有新的解决方案。根据蓝牙技术的特点,我们提出了便携的蓝牙自动传输捕获器的思路。蓝牙技术传输信息对通信双方的距离、移动
传播途径,在短信枢纽,如短信网关上设置捕获
点是非常好的选择。我们可以嵌入手机病毒启发式引擎在WAP网关内,找到新出现的病毒。网关是网络与网络之间的联系纽带,由于短信、彩信等均经过网关流转因此为实行病毒过滤带来了良
好的契机。而一旦漏洞短信和伪装成彩信的病毒
进行批量发送,也会带来网关的拥堵。如果在网关上设立一个病毒检测和过滤机制,将能够在网络的入口处直接屏蔽掉病毒程序,这样能节省大量的流量,从而具备了大规模制约病毒的机制,
速度等都有要求。根据其技术特点,要捕获恶意代码样本,就必须
设计同样带有蓝牙接口的捕获