通信運(yùn)營(yíng)商電子渠道系統(tǒng)平臺(tái)的安全防護(hù)研究

江蘇天智互聯(lián)科技股份有限公司 石光捷

通信運(yùn)營(yíng)商電子渠道系統(tǒng)平臺(tái)的安全防護(hù)研究

江蘇天智互聯(lián)科技股份有限公司 石光捷

國(guó)家“互聯(lián)網(wǎng)+”戰(zhàn)略推動(dòng)了移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等產(chǎn)業(yè)的高速發(fā)展，促進(jìn)了電子商務(wù)、工業(yè)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)金融健康發(fā)展，引導(dǎo)著中國(guó)互聯(lián)網(wǎng)企業(yè)拓展國(guó)際市場(chǎng)；但于此同時(shí)互聯(lián)網(wǎng)行業(yè)的高速發(fā)展也導(dǎo)致更多的互聯(lián)網(wǎng)黑客滲入其中以謀取利益，眾多互聯(lián)網(wǎng)企業(yè)在信息安全和網(wǎng)絡(luò)安全方面均面臨了較為棘手的問題。本文基于互聯(lián)網(wǎng)行業(yè)現(xiàn)狀，并結(jié)合當(dāng)移動(dòng)運(yùn)營(yíng)商領(lǐng)域，針對(duì)性的提出了該領(lǐng)域的移動(dòng)互聯(lián)網(wǎng)產(chǎn)品在信息安全方面所面臨的問題以及解決措施。

移動(dòng)互聯(lián)網(wǎng)；大數(shù)據(jù)；撞庫(kù)

0 引言

近年來，電商、網(wǎng)游及互聯(lián)網(wǎng)金融的飛速發(fā)展，催生了“黑色產(chǎn)業(yè)鏈”，由“羊毛黨”、“黃?！?、“打碼手”組成的專業(yè)化組織，通過腳本掃號(hào)撞庫(kù)、業(yè)務(wù)盜開、模擬器刷單刷券等方式獲利。他們內(nèi)部有著明確分工，嚴(yán)重破壞了正常商業(yè)活動(dòng)，侵占了數(shù)以億計(jì)的活動(dòng)資金，盜取用戶信息、損害用戶權(quán)益。而與此同時(shí)，傳統(tǒng)的安全防護(hù)措施均只側(cè)重于保障網(wǎng)絡(luò)層、主機(jī)層、WEB中間件層等互聯(lián)網(wǎng)應(yīng)用基本骨架的安全，只注重保障服務(wù)器安全，并沒有在信息安全方面加以防范，從而給不法分子盜取利益提供了可乘之機(jī)。

1 移動(dòng)運(yùn)營(yíng)商在信息安全領(lǐng)域的困境

“掌上營(yíng)業(yè)廳”是移動(dòng)運(yùn)營(yíng)商在電子渠道方面比較重要的一項(xiàng)移動(dòng)互聯(lián)網(wǎng)產(chǎn)品，因其活躍用戶眾多、承載大部分移動(dòng)公司的業(yè)務(wù)、業(yè)界知名度高、經(jīng)常開展優(yōu)惠的互聯(lián)網(wǎng)活動(dòng)等特點(diǎn)，也成了這條黑色產(chǎn)業(yè)鏈的重點(diǎn)攻擊對(duì)象。例如：“羊毛黨”通過修改手機(jī)的IMEI號(hào)、偽造網(wǎng)絡(luò)環(huán)境等手段非法套取流量；利用編寫程序或者腳本向服務(wù)器高頻次的發(fā)送請(qǐng)求，搶占系統(tǒng)資源，導(dǎo)致服務(wù)器出現(xiàn)故障；通過利用手上的手機(jī)號(hào)碼，通過窮舉或者簡(jiǎn)單密碼的方式，向服務(wù)器發(fā)起登陸驗(yàn)證（此類方式稱為“撞庫(kù)”），以此方式來獲取用戶的密碼或者其他敏感信息。類似這些攻擊手段自2016年起愈加頻繁，業(yè)務(wù)安全防護(hù)形勢(shì)嚴(yán)峻。在傳統(tǒng)安全防護(hù)措施已無法解決此類問題的同時(shí)，與此同時(shí)，業(yè)內(nèi)互聯(lián)網(wǎng)巨頭也在移動(dòng)互聯(lián)網(wǎng)產(chǎn)品信息安全領(lǐng)域有著較為突出的成績(jī)，均開始打造自己的基于業(yè)務(wù)和行為的安全防護(hù)產(chǎn)品，這類產(chǎn)品因設(shè)計(jì)初衷均從互聯(lián)網(wǎng)廠商產(chǎn)品出發(fā)，與各大平臺(tái)自身業(yè)務(wù)及系統(tǒng)架構(gòu)具有較強(qiáng)的耦合性。同時(shí)也有一些通用的應(yīng)用安全系統(tǒng)，但無法與運(yùn)營(yíng)商的產(chǎn)品和業(yè)務(wù)緊密結(jié)合，對(duì)運(yùn)營(yíng)商參考意義有限。

綜合以上情況，本課題將構(gòu)建基于生物特征的模擬器識(shí)別組件，提升電渠業(yè)務(wù)風(fēng)險(xiǎn)識(shí)別能力；創(chuàng)建設(shè)備指紋算法，提升電渠反業(yè)務(wù)欺詐能力；基于電渠業(yè)務(wù)風(fēng)險(xiǎn)的多樣化可配置動(dòng)態(tài)驗(yàn)證，提升攻擊檢測(cè)能力。

2 結(jié)合運(yùn)營(yíng)商電子渠道產(chǎn)品特征，針對(duì)性的打造安全防護(hù)系統(tǒng)

結(jié)合電子渠道承載業(yè)務(wù)特點(diǎn)，立足互聯(lián)網(wǎng)前沿的業(yè)務(wù)風(fēng)控技術(shù)，建設(shè)電子渠道業(yè)務(wù)安全態(tài)勢(shì)感知和風(fēng)險(xiǎn)防控體系，覆蓋業(yè)務(wù)攻擊事前-事中-事后全生命周期，全面提升電子渠道業(yè)務(wù)安全，保護(hù)公司資產(chǎn)和用戶權(quán)益。

業(yè)務(wù)攻擊事前加固主要體現(xiàn)在攻擊行為識(shí)別和設(shè)備模擬檢測(cè)能力，事中需要提升系統(tǒng)對(duì)于風(fēng)險(xiǎn)的實(shí)時(shí)感知以及應(yīng)對(duì)防御能力，事后需要進(jìn)行關(guān)聯(lián)分析，完善安全防護(hù)模型，本課題按照業(yè)務(wù)攻擊“事前-事中-事后”的順序研究解決方案

2.1 業(yè)務(wù)攻擊事前

(1)構(gòu)建基于生物特征的模擬器識(shí)別組件，提升風(fēng)險(xiǎn)識(shí)別能力

本課題定義了兩類組件，一類是基于瀏覽器基礎(chǔ)信息的識(shí)別組件，利用UA/cookie/加密令牌等信息識(shí)別人機(jī)行為。另一類是基于用戶操作水印的識(shí)別組件，利用前端技術(shù)設(shè)置頁(yè)面操作水印點(diǎn)與隨機(jī)埋點(diǎn)，識(shí)別異常用戶行為。

(2)創(chuàng)建設(shè)備指紋算法，提升反欺詐能力

打造安全SDK，采用多點(diǎn)存儲(chǔ)、多段校驗(yàn)技術(shù)，形成用戶設(shè)備唯一畫像，識(shí)別設(shè)備復(fù)用情況。通過系統(tǒng)數(shù)據(jù)寫入、多點(diǎn)存儲(chǔ)手段識(shí)別設(shè)備模擬器、越獄機(jī)，對(duì)系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)提前感知，有效提升反欺詐能力。

2.2 業(yè)務(wù)攻擊事中

(1)打造安全態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)全量業(yè)務(wù)異動(dòng)實(shí)時(shí)預(yù)警

利用大數(shù)據(jù)存儲(chǔ)與計(jì)算技術(shù)，通過機(jī)器學(xué)習(xí)算法，如：時(shí)間序列分析、聚類算法、變點(diǎn)檢測(cè)、動(dòng)態(tài)閾值、均值漂移算法等人工智能算法，不斷進(jìn)行算法訓(xùn)練，提升算法精準(zhǔn)度，實(shí)現(xiàn)對(duì)業(yè)務(wù)異常、行為異常、撞庫(kù)異常感知的全量監(jiān)控與實(shí)時(shí)預(yù)警。

(2)基于風(fēng)險(xiǎn)的多樣化可配置動(dòng)態(tài)驗(yàn)證，提升攻擊檢測(cè)能力

打造智能驗(yàn)證碼系統(tǒng)，形式上通過數(shù)字、字母、中文、中文選字、基于生物特征的滑動(dòng)驗(yàn)證碼、短信驗(yàn)證碼等展示，策略上通過難度自動(dòng)調(diào)整、驗(yàn)證碼動(dòng)態(tài)配置提升驗(yàn)證碼反識(shí)別能力。

2.3 業(yè)務(wù)攻擊事后

搭建風(fēng)險(xiǎn)學(xué)習(xí)引擎，實(shí)現(xiàn)異動(dòng)特征模型庫(kù)閉環(huán)管理：

利用spark MLlib、python數(shù)據(jù)挖掘算法包等機(jī)器學(xué)習(xí)算法模型，利用聚類算法/GBDT/RNN/ARIMA/Holt winters等算法實(shí)現(xiàn)刷卡刷單模型、撞庫(kù)識(shí)別模型、養(yǎng)卡用戶模型、用戶越權(quán)模型、用戶身份盜用模型。

3 電子渠道業(yè)務(wù)安全防護(hù)技術(shù)實(shí)現(xiàn)方案

(1)構(gòu)建基于生物特征的模擬器識(shí)別組件，提升風(fēng)險(xiǎn)識(shí)別能力瀏覽器人機(jī)識(shí)別：

瀏覽器人機(jī)識(shí)別技術(shù)主要通過對(duì)JS的混淆和JS加密的手段，將正常請(qǐng)求加密再post到后端，后端服務(wù)器通過解密識(shí)別用戶的操作，如果無法正常解密則判定為非法請(qǐng)求，對(duì)號(hào)碼或者來源IP進(jìn)行過濾，并加上相應(yīng)的威脅標(biāo)簽存入異常用戶模型中。

操作水?。?/p>

主要使用在有前后關(guān)聯(lián)的特定的流程下，為了標(biāo)識(shí)一個(gè)請(qǐng)求是否正常，通過在此請(qǐng)求的前一個(gè)步驟中增加用戶的操作痕跡（在此稱為操作水?。到y(tǒng)在下一個(gè)步驟中判斷是否有此水印，如果有，標(biāo)識(shí)用戶的請(qǐng)求合理，如果沒有則是非正常請(qǐng)求。

以登陸場(chǎng)景為例，用戶登陸的時(shí)候需要在文本框中輸入手機(jī)號(hào)碼或者密碼，或者用戶需要點(diǎn)擊登陸按鈕才能實(shí)現(xiàn)登陸，在用戶執(zhí)行以上操作的時(shí)候系統(tǒng)在當(dāng)前用戶會(huì)話的cookie中增加內(nèi)容，可以是時(shí)間戳，當(dāng)用戶登陸的時(shí)候系統(tǒng)判斷當(dāng)前會(huì)話的cookie中是否存在此時(shí)間戳的值，如果不存在，可能此登陸請(qǐng)求是惡意用戶使用人為程序進(jìn)行攻擊導(dǎo)致，通過采集此會(huì)話的身份屬性，可以是號(hào)碼或者IP，并存入異常用戶模型中，達(dá)到一定的數(shù)量后對(duì)用戶提供驗(yàn)證登記的操作。

(2)創(chuàng)建設(shè)備指紋算法，提升反欺詐能力

App設(shè)備指紋是App應(yīng)用結(jié)合SDK在應(yīng)用程序首次安裝的時(shí)候通過SDK采集當(dāng)前環(huán)境的參數(shù)信息，通過對(duì)各項(xiàng)參數(shù)進(jìn)行hash和加密，最終形成的一個(gè)字符串，作為登錄用戶的唯一識(shí)別標(biāo)識(shí)。

為保證設(shè)備指紋的有效性，指紋生成后會(huì)在本地經(jīng)過多點(diǎn)存儲(chǔ)，并通過SDK的存儲(chǔ)監(jiān)聽服務(wù)進(jìn)行監(jiān)聽，如發(fā)現(xiàn)有存儲(chǔ)點(diǎn)的指紋信息被惡意刪除后會(huì)在其他點(diǎn)進(jìn)行復(fù)制存儲(chǔ)。

指紋在用戶登陸的時(shí)候會(huì)在服務(wù)器端保存，并在后續(xù)的操作中作為用戶身份識(shí)別的一種標(biāo)示符。

(3)打造安全驗(yàn)證系統(tǒng)，實(shí)現(xiàn)驗(yàn)證等級(jí)只能升級(jí)

和傳統(tǒng)驗(yàn)證碼相比，智能驗(yàn)證碼不僅提供了多種驗(yàn)證樣式，更是能夠做到智能升級(jí)，即用戶一次驗(yàn)證失敗的情況下系統(tǒng)會(huì)自動(dòng)提高驗(yàn)證的復(fù)雜度，防止黑客通過惡意打碼、猜測(cè)的方式來破解驗(yàn)證碼；同時(shí)驗(yàn)證碼的檢驗(yàn)也會(huì)介入安全驗(yàn)證服務(wù)系統(tǒng)，通過大數(shù)據(jù)實(shí)時(shí)計(jì)算的方式識(shí)別當(dāng)前用戶行為是否正常；

驗(yàn)證碼業(yè)務(wù)控制器用來處理具體的驗(yàn)證碼生成業(yè)務(wù)；調(diào)用驗(yàn)證碼類型匹配器返回具體驗(yàn)證碼類型的生成器，如果為空則返回失敗。如果是字符型并調(diào)用驗(yàn)證碼難度分配器，而后得到具體的驗(yàn)證碼生成器實(shí)現(xiàn)類，生成對(duì)應(yīng)驗(yàn)證碼。驗(yàn)證碼分配器適用于字符型驗(yàn)證碼生成器，根據(jù)后臺(tái)配置各種級(jí)別允許的錯(cuò)誤次數(shù)自動(dòng)遞增識(shí)別難度。（字母＋數(shù)字、中文、運(yùn)算）其第一種為默認(rèn)值，可以配置指定字符串。

4 電子渠道業(yè)務(wù)安全防護(hù)在運(yùn)營(yíng)商行業(yè)的影響力

有數(shù)據(jù)表明，2016年移動(dòng)運(yùn)營(yíng)商在電子渠道的移動(dòng)互聯(lián)網(wǎng)產(chǎn)品與“羊毛黨”多次開展攻防戰(zhàn)，在流量盜刷都業(yè)務(wù)盜開方面都遭到了不小的損失，同時(shí)，2016年在服務(wù)器攻擊次數(shù)方面較前一年增長(zhǎng)了36%。業(yè)務(wù)安全防護(hù)系統(tǒng)上線后，各項(xiàng)系統(tǒng)攻擊攔截成功率達(dá)80%，減少因業(yè)務(wù)盜開造成的用戶損失，保障用戶權(quán)益，避免“羊毛黨”搶占營(yíng)銷資源，有效提升用戶參與線上營(yíng)銷活動(dòng)的成功率，改善用戶使用感知。

綜上所述，通信運(yùn)營(yíng)商電子渠道業(yè)務(wù)安全防護(hù)系統(tǒng)的建設(shè)存在較為重要的意義，在解決掉內(nèi)部系統(tǒng)安全問題的同時(shí)，又能提升用戶服務(wù)品質(zhì)、提高用戶滿意度，更加有效推動(dòng)電子渠道在互聯(lián)網(wǎng)化時(shí)代服務(wù)質(zhì)量的優(yōu)化。

[1]中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心．中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016)[R]．2016年3月18日．

[2]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心．2016年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[R]．2016年4月19日．

[3]陳彬．“互聯(lián)網(wǎng)+”時(shí)代主動(dòng)安全防御系統(tǒng)構(gòu)建研究[J]．信息安全與技術(shù),2017(1):38-39．

[4]吳翰清．白帽子講Web安全[M]．北京:電子工業(yè)出版社,2014,5．

[5]鐘晨鳴,徐少培編．Web前端黑客技術(shù)揭秘[M]．北京:電子工業(yè)出版社,2013,1．

石光捷（1968—），男，碩士，現(xiàn)供職于江蘇天智互聯(lián)科技股份有限公司。