智能手机的恶意代码防范研究

本文将在数字免疫层研究在智能手机领域解决恶意代码的问题， 并采用“免疫”技术来实现智能手机领域的长远防范方法。数字免疫基础设施包含多层意思： 首先， 它不是局限于某个软件、某个系统的狭隘免疫思想（ 该方法已被证明为不可行） ， 而是着眼于所有智能手机及其相关服务领域的宏观免疫思想； 其次， 与其说它是一个系统， 还不如说它是一个基础设施， 这就预示着其建设过程将非常艰巨； 最后， 免疫的对象不是某个程序， 而是一个系统（ 智能手机） ， 这也更加贴近生物领域的免疫概念。

　　除了5 个层次之外， 核心数据模块包含5 个层次所要求的数据（ 例如， 恶意代码特征库、防范策略、免疫数字等） 以及获得这些数据需要的支持模块（ 例如， 恶意代码分析等） 。

　　恶意代码样本采集和分析技术是防范技术的前提。与计算机病毒防范类似， 如果要成功防范移动终端恶意代码， 就必须获得其样本， 分析恶意代码样本的运行机制， 从中得到防范方法。这部分的关键技术点在于： 恶意代码样本采集及特征码提取技术。

　　2 智能手机恶意代码防范系统

　　以智能手机恶意代码防范模型为指导， 本文研究开发了一个智能手机恶意代码防范系统。该系统严格按照防范模型进行构建， 系统各个层次采取的具体方案详细描述如下。

　　2.1 恶意代码检测层实现方案

　　恶意代码检测是防范已经入侵到智能手机内部的恶意代码的有效方法。与计算机病毒检测技术类似， 如果要成功检测出已经入侵到智能手机里的恶意代码， 就必须开发一个恶意代码检测引擎， 该引擎主要由两个部分构成， 它们是恶意代码特征库和扫描算法。

　　（ 1） 恶意代码特征库： 恶意代码的有效检测取决于相关特征码数据库的采集与及时更新。恶意代码通常包括引导、传染和表现3 大功能模块，特征码是从恶意代码源代码中不同位置提取的一系列字节， 检测层通过不同的提取方法和提取工具采集智能手机中最新流行的特征码， 并及时更新特征库。

　　（ 2） 扫描算法： 扫描算法的时间空间复杂度是恶意代码扫描引擎关注点。对于动态串的扫描算法有两个思路： 单模式匹配算法和多模式匹配算法。单模式匹配的经典算法有KMP（Knuth？？Morris？？Pratt ） ， QS（Quick Search） ， BM（ Boyer？？Moore） 等算法， 其中， BM算法被广泛应用于现有商业杀毒软件中。经典的多模式匹配算法是AV.Aho 提出的基于有限自动机的DFSA（ DeterminiSTic Finite StateAutomata） 算法， 该算法在匹配前对模式串集合进行预处理， 转换成树型有限自动机， 然后只需对待匹配动态串进行一次扫描即可找出所有的模式串， 其时间复杂度为O（ n） 。

　　2.2 备份恢复层实现方案

　　恶意代码检测层提供了判断程序或数据是否感染了恶意代码的方法， 备份恢复则是对其做出的响应。而由于智能手机不会像PC 机一样成为编制程序的工具， 手机上的应用程序数量有限， 可以枚举出来， 所以智能手机不需像在传统计算机病毒防治领域那样， 把清除病毒并恢复被感染者的功能作为首选策略， 而是把智能手机领域用到的应用都备份到一个公共平台上， 当发现用户的手机中有部分对象（ 例如， 应用程序） 遭到破坏时， 采用从公共平台下载的手段来恢复被感染对象。

　　可以看出备份恢复层的难点是应用程序的枚举。就手机目前状态和长远发展而言， 智能手机上的应用还是可枚举的。如果能够解决应用程序与功能模块的枚举问题， 那么关于备份恢复层的核心问题也就可以解决了， 以下是几点关于此模块的要点：

　　（ 1） 必须组建一个具有权威性的全球机构来创建以及维护能提供数据备份与恢复服务的公共平台， 实现对应用程序集合的更新管理。

　　（ 2） 联合全世界的知名手机软件尤其是系统软件企业， 加入到该公共平台建设与维护中， 保证手机功能模块的恢复。

　　（ 3） 在厂商参与形式上， 既可以采取分层模式，即由该专业机构授权参与此联盟的下属厂商提供相关产品的备份恢复服务， 也可以由该专业机构统一整合管理并提供。分层模式对于用户而言较为麻烦， 而统一模式又容易造成单点失败， 各有利弊。

　　（ 4） 在有厂商参与的同时， 也不排斥个人行为的参与， 这类似于iphONe 应用与软件交易平台AppleStore的模式， 所不同的仅仅是在这里个人行为的参与需要经过该专业机构的严格审查与认证。

　　（ 5） 而对于众多的应用程序与功能模块的集合管理， 可按操作系统、功能或手机品牌等进行分类。

当然， 在本层中， 不仅是应用程序的备份恢复，对于用户数据， 如个人通讯录、重要短信息等的备份也是十分必要的， 鉴于这部分仅仅只涉