YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf

YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:11.1 M
标准类别:电力标准
资源ID:55095
免费资源

标准规范下载简介

YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf简介:

"YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf"是一份由中国信息通信研究院(YD/T)发布的标准文件。该标准详细规定了移动智能终端(如智能手机和平板电脑)中恶意代码的处理流程、方法和策略。恶意代码,通常指的是病毒、木马、蠕虫等威胁,可能对用户的设备安全、数据隐私和正常使用造成影响。这份指南旨在为移动智能终端的安全管理提供指导,包括如何预防、检测、分析和清除恶意代码,以及如何进行应急响应和后续的修复工作。通过遵循该指南,可以提高移动智能终端的安全防护水平。

YD/T 3483-2019 移动智能终端恶意代码处理指南.pdf部分内容预览:

YD/T 34832019

多动智能终端恶意代码处理指南

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T2848.2一2015移动互联网恶意程序检测方法第2部分:终端侧 YD/T2408一2013移动智能终端安全能力测试方法 YD/T24392012移动互联网恶意程序描述格式

JTS∕T 170-3-2012 港口建设项目安全验收评价规范3 术语、定义与缩略语

下列术语和定义适用于本文件。

移动智能终端smartmobileterminal 能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方 应用软件的移动终端。

移动智能终端smartmobileterminal

物背能终狮 够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三 件的移动终端。

移动智能终端操作系统operatingsystemofsmartmobileterminal 移动智能终端最基本的系统软件,它控制和管理移动智能终端各种硬件和软件资源,并提供应用程 序开发的接口。

移动智能终端操作系统operatingsystemofsmartmobileterminal 移动智能终端最基本的系统软件,它控制和管理移动智能终端各种硬件和软件资源,并提供应用程 序开发的接口。

恶意代码maliciouscode

恋意代码maliciouscode 在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的,或具 家相关法律法规行为的可执行文件、代码模块或代码片段。

YD/T34832019

4移动智能终端恶意代码形式及其威肋

4.1移动智能终端典型恶意代码形式

移动智能终端恶意代码是以移动智能终端为感染对象,以移动网络和计算机网络为平台,通过有线 或无线通信等方式,对移动智能终端进行攻击,从而造成移动智能终端异常的各种不良代码。 由于移动智能终端恶意代码种类繁多且数量增长迅速,无法全部列出,因而将移动智能终端典型恶 意代码列举如下。

4.1.1传统手机病毒

YD/T34832019

木马是一种特殊的移动智能终端恶意代码。其主要特征如下。 a)隐蔽性:隐蔽性主要体现在木马程序不产生图标及不出现在任务管理器中,移动智能终端用户 不易发现。 b)自启动性:木马可能潜伏在系统的启动配置文件、注册表中,随移动智能终端开机而自动运行。 c)欺骗性:木马程序经常使用与常见文件名或扩展名类似的名字,或者仿制一些不易被区分的文 件名(例如,字母1和数字1,字母0和数字0),达到欺骗性目的。 d 自动恢复功能:很多木马程序中的功能模块不是由单一文件组成且分散存储的,这些分散的文 件可以相互恢复,以提高存活能力

流氓软件指采用特殊手段频紧弹出产告窗口,危及用户隐私,严重干扰移动智能终端用户的正常工 车、数据安全和个人隐私的一类移动智能终端恶意代码。其主要特征如下。 a)强迫性安装:包括不经用户许可自动安装,不给出明显提示以欺骗用户安装,反复提示用户安 装、使用户不厌其烦而不得不安装等。 b)无法卸载:包括正常手段无法卸载、无法完全卸载、不提供卸载程序或者提供的卸载程序不能 使用等。 c)干扰正常使用:包括频繁弹出广告窗口,引导用户使用某些功能等。 d)具有恶意行为和黑客特征:包括窃取用户信息、耗费机器资源等

4.2移动智能终端典型恶意代码威胁

移动智能终端恶意代码通常具有恶意扣费, 远程控制、恶意传播、资费消耗、系统 秀骗欺诈、流氓行为等行为属性。这些行为属性不仅损害用户利益,而且威胁国家安全。

发动攻击,通过感染、劫持、篡改、删除、终止程序 导致移动智能终端整体或某些功能无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或 法业务正常运行,造成系统破坏;获得终端的控制权,在用户不知情的情况下,通过隐蔽执行、

YD/T3483=2019

进行监测、分析、通报,协调处置传播服务器、控制服务器和攻击源。 监测中心应与基础电信运营企业、恶意代码防范软件厂商、应用商店运营企业等共同协作对移动智 能终端恶意代码进行监测,监测中心应具备跨不同企业移动互联网的监测能力。 监测中心应汇总用户提交、基础电信运营企业报送、监测网络捕获和其他渠道获得的疑似恶意代码 样本,依据YD/T2439一2012进行分析、认定和命名,并且在工信部保(2011)545号《移动互联网恶 意程序监测与处置机制》第九条规定的时间内,将认定结果和处置建议反馈给相关部门。 监测中心应留存所检测和处置移动智能终端恶意代码的相关数据或资料,以备查验

5.1.2基础电信运营企业

基础电信运营企业负责报送移动智能终端恶意代码疑似样本,对监测中心认定通报的移动智能终端 恶意代码进行监测、处置和反馈,为本企业所服务的用户提供信息提示和查杀技术咨询。 基础电信运营企业应与移动智能终端恶意代码监测中心协作对移动智能终端恶意代码进行监测,基 础电信运营企业应具备覆盖本企业网内的监测处置能力。 基础电信运营企业自主捕获或从其他渠道获得疑似恶意代码样本,应于发现后进行初步分析并提出 命名建议,在工信部保(2011)545号《移动互联网恶意程序监测与处置机制》第九条规定的时间内, 将样本和分析结果报送监测中心。 基础电信运营企业应通过自有的移动智能终端恶意代码监测处置平台采取处置措施,并对本企业所 服务的用户提供信息提示和查杀技术咨询。 基础电信运营企业应留存所检测和处置移动智能终端恶意代码的相关数据或资料以备查验

5.1.3恶意代码防范软件厂商

恶意代码防范软件厂商需对恶意代码进行分析,升级恶意代码特征库以及扫描引擎等,并将恶意代 码的防范建议公布给用户。 恶意代码防范软件厂商需与移动智能终端恶意代码监测中心、基础电信运营企业协作对移动智能终 端恶意代码进行监测。恶意代码防范软件厂商应具备跨不同企业移动互联网的监测能力。 恶意代码防范软件厂商获得样本后即应组织专业人员分析该样本,分析的结果包括:该恶意代码的 制作技术、恶意代码的特征代码、恶意代码的清除方法、恶意代码的防范建议等。针对该恶意代码的防 范建议及其工作原理将通过特定的媒体发布给公众,以防止该恶意代码进一步传播。 恶意代码防范软件广商测试新恶意代码特征码的可用性后,需及时有效升级自已的恶意代码特征库 使自己的软件具有防范该种新恶意代码的能力。 必要时还需升级扫描引擎

5.1.4应用商店运营企业

YD/T34832019

移动应用商店安全监测与处置平台在接收数据后,应对数据的有效性进行验证,若符合规范终 立对数据进行相关处理并反馈结果

5.1.5互联网域名注册管理和服务机构

互联网域名注册管理机构和注册服务机构负责对恶意代码检测中心通报的由自身管理的恶意域名 进行处置。 互联网域名注册管理机构和注册服务机构应对移动互联网恶意程序控制服务器和传播服务器使用 的恶意域名进行处置。 互联网域名注册管理机构和注册服务机构应留存所监测和处置的移动互联网恶意程序相关数据或 资料以备查验。 互联网域名注册管理机构和注册服务机构应保护用户正当权益,加强用户信息保护,建立用户投诉 机制,妥善解决用户争议。

5.2移动智能终端恶意代码的检测

5.2.1检测工具和资源

b)用来分析恶意代码的软件和硬件工

YD/T34832019

1)移动智能终端和笔记本电脑:笔记本电脑可用作提供便携式工作站,用于分析数据和嗅探 包。 2)备用工作站、服务器、网络设备:可以用来在孤立的环境中测试恶意代码;为减少设备投 资,可考虑使用测试实验室中的设备,或者使用操作系统仿真软件建立虚拟实验室。 3)空白的存储介质,入光盘:用来保存和传输恶意代码样本和其他需要的文件。 4)包膜探器和协议分析仪:针对可疑的恶意代码活动,抓取数据包和分析网络流量。 5)最新的可信版本操作系统可执行分析工具:用来检测可能存在恶意代码感染的操作系统 (例如,防病毒软件、间谍软件检测和清除工具、系统管理工具、网络取证工具)。 c)用于清除恶意代码的软件工具 1)传播媒介,包括操作系统及应用程序。 2)操作系统和应用程序供应商提供的安全补丁。 3)光盘镜像软件,操作系统、应用程序、存储在辅助媒介中数据的备份镜像。

移动智能终端恶意代码具有隐蔽性和再生性强、易传播、发作快、危害严重等特点,需及时对移动 智能终端的恶意代码进行识别和判定。针对目前使用的几种常用检测方法,本标准列举如下。

基于特征码检测是指从已知恶意应用中提取若干段具有唯一性、固定性的字节代码作为特征码,形 成恶意代码特征库,通过扫描对比特征库来检测恶意代码。 基于特征码检测具有准确性高、误报率低等优点;其缺点是无法检测到未知病毒,并且需要不断维 护和更新恶意代码库。

5.2.2.2基于代码分析检测

基于代码分析检测是指在不运行代码的方式下,通过语法分析、语言结构分析和数据流分析等技未 来对程序代码进行扫描分析。这种方法利用反编译工具,通过逆尚工程等手段CJ∕T 265-2007 无负压给水设备,从而得到应用的源码、 配置文件各种资源文件等,通过分析语义和逻辑流程,还原出主要功能和流程,从而检测是否存在恶意 行为。 基于代码分析检测具有速度快、实时性要求低、低风险和高效率等优点;其缺点是对于经过自修改 或者加壳加密技术处理的恶意软件,检测率和误报率较低,

5.2.2.3基于行为监视检测

基于行为监视检测是指在严格控制的环境中(如沙盒、虚拟机、物理隔绝的主机等)执行软件的安 装和运行等操作,通过对行为状况的分析来检测软件是否具有窃取隐私、吸费、非法内容传播等恶意行 为。 基于行为监视检测能实时监控待测应用运行过程中的各种行为,并详细记录相关的操作和数据,其 监测结果更加真实、可信;缺点是对实时性的要求较高,能耗较大,并且存在危害测试环境的危险,在

YD/T3483—2019

上定程度上降低了检测结果的准确性

5.2.3.1防恶意代码能力

5.2.3.2检测和清除恶意代码能力

5.2.3.2.1检测恶意代码能力

高密度聚乙烯缠绕结构壁管材CJ∕T 165-2002D/T2848.22015中7.2

©版权声明
相关文章