IPV6環(huán)境下的APP動態(tài)安全防護(hù)

摘要：移動互聯(lián)網(wǎng)已經(jīng)成為企業(yè)快速發(fā)展的重要渠道，但同時也給黑灰產(chǎn)業(yè)帶來了可乘之機(jī)。依靠龐大的IPv6地址庫和海量的設(shè)備資源，黑灰產(chǎn)業(yè)鏈變得越發(fā)成熟，對相關(guān)企業(yè)造成巨大的經(jīng)濟(jì)和名譽(yù)損失。安徽移動在長期配合“斷卡”行動過程中深刻認(rèn)識到，構(gòu)建基于IPv6環(huán)境下的移動APP動態(tài)防護(hù)能力是成功對抗灰黑產(chǎn)的關(guān)鍵措施。通過創(chuàng)新的動態(tài)技術(shù)，可以增加入侵違規(guī)的門檻，防止黑灰產(chǎn)的破壞。同時，利用大數(shù)據(jù)分析快速發(fā)現(xiàn)用戶違規(guī)行為和“薅羊毛”等異常行為，及時消除潛在問題。這樣，企業(yè)就能將問題消滅在萌芽中，并減少經(jīng)濟(jì)和聲譽(yù)的損失。

關(guān)鍵詞：移動安全；自動化攻擊；動態(tài)安全

一、應(yīng)用需求

隨著移動互聯(lián)網(wǎng)的高度發(fā)展和普及，越來越多的企業(yè)將業(yè)務(wù)從PC端遷移到移動端。但也面臨著更復(fù)雜和多元化的網(wǎng)絡(luò)安全問題。企業(yè)不僅需要關(guān)注移動端和服務(wù)器端的應(yīng)用安全，還需要保護(hù)業(yè)務(wù)和數(shù)據(jù)不受非法訪問，以及通過技術(shù)和運(yùn)營手段避免各種不良影響。尤其是在IPv6的網(wǎng)絡(luò)環(huán)境下，攻擊者可以利用加密環(huán)境、大量IP資源和變換攻擊方式等方式繞過系統(tǒng)的防護(hù)，增加了防護(hù)的難度。當(dāng)前移動應(yīng)用業(yè)務(wù)面臨的威脅包括傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本，以及APP客戶端逆向和調(diào)試等問題。此外，還存在非法第三方APP請求、中間人攻擊、API接口濫用、密碼破解、批量注冊、虛假交易、爬蟲，以及利用外掛程序或群控設(shè)備進(jìn)行欺詐等業(yè)務(wù)安全隱患。

移動設(shè)備的風(fēng)險越發(fā)嚴(yán)峻。根據(jù)數(shù)據(jù)顯示，2021年共發(fā)現(xiàn)了17.59萬款黑灰產(chǎn)定制型工具，其中手機(jī)端工具占比56.5%，達(dá)到9.93萬款，未來還有上升的趨勢。攻擊源主要集中在移動業(yè)務(wù)中，特別是以IPv6地址為主，因此需要增強(qiáng)對IPv6地址攻擊的檢測和對抗能力。

在2021年監(jiān)控到的黑灰產(chǎn)定制型工具的攻擊場景中，賬號安全占比51.48%，營銷作弊占比21.7%，這兩項合計超過70%。這對企業(yè)的經(jīng)濟(jì)和聲譽(yù)造成了巨大的影響，因此賬號安全和營銷安全的保護(hù)不容忽視。此外，還需要關(guān)注虛擬定位攻擊的識別和防護(hù)需求。核心業(yè)務(wù)中常常存在區(qū)域限制，例如開卡業(yè)務(wù)或其他推廣業(yè)務(wù)。黑灰產(chǎn)業(yè)鏈通過推出虛擬定位工具，通過修改定位信息來進(jìn)行業(yè)務(wù)攻擊。這種風(fēng)險在App業(yè)務(wù)中也很常見，因此需要加強(qiáng)對虛擬定位攻擊的識別和防護(hù)措施。

二、APP動態(tài)安全防護(hù)解決方案

（一）方案架構(gòu)

APP動態(tài)防護(hù)全面支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境，適用于各種類型的APP，包括Hybrid APP、Native APP和Hybrid Web。它采用端、管、云一體化的動態(tài)安全防護(hù)體系，為移動業(yè)務(wù)提供創(chuàng)新的安全解決方案。在APP客戶端方面，通過SDK實現(xiàn)了APP完整性檢查，并為每個終端生成唯一的設(shè)備指紋。借助動態(tài)驗證和動態(tài)令牌技術(shù)，實現(xiàn)了人機(jī)識別和安全通信，確保與服務(wù)器端的數(shù)據(jù)安全交互。這包括移動端采集數(shù)據(jù)與服務(wù)器端策略數(shù)據(jù)的安全交互。在傳輸過程中，雙向認(rèn)證可以實現(xiàn)客戶端與服務(wù)器之間的安全通信，并基于動態(tài)混淆和動態(tài)封裝技術(shù)實現(xiàn)雙向數(shù)據(jù)加密。通過建立可信的客戶端和可信通信管道，確保了云端服務(wù)器的安全。同時，采用智能WAF和Bot防護(hù)技術(shù)，能夠檢測和防護(hù)已知和未知的攻擊。云端集成了SDK采集的各種類型數(shù)據(jù)，并形成格式化的數(shù)據(jù)。這些數(shù)據(jù)作為業(yè)務(wù)威脅分析模型的數(shù)據(jù)源，包括但不限于惡意訂購模型、撞庫模型、異常開卡模型和機(jī)器注冊模型等。分析模型生成與業(yè)務(wù)真實環(huán)境相關(guān)的風(fēng)險數(shù)據(jù)，例如異常IP、指紋和賬號信息，作為與黑產(chǎn)對抗的依據(jù)。

（二）設(shè)計思路

雖然IPv6在增強(qiáng)網(wǎng)絡(luò)的安全性方面起到了一定作用，但它并不能解決移動終端和應(yīng)用層面上的漏洞和攻擊問題。盡管IPv6提供了海量的地址資源，并且地址復(fù)雜性增加了安全策略制定和網(wǎng)絡(luò)安全監(jiān)管的挑戰(zhàn)，但這也使得防守方更加被動。

本方案以“動態(tài)安全”技術(shù)為核心，通過對APP服務(wù)器響應(yīng)數(shù)據(jù)及APP請求內(nèi)容的持續(xù)動態(tài)變換，實現(xiàn)面向H5頁面和APP的主動防御。該方案能夠有效甄別各類已知及未知自動化攻擊，防止非法客戶端和仿冒正常請求，為各類APP、H5及混合業(yè)務(wù)提供強(qiáng)大的安全防護(hù)能力，從而保障用戶數(shù)據(jù)安全、防止黑產(chǎn)對線上業(yè)務(wù)造成破壞與交易欺詐，并確保業(yè)務(wù)的穩(wěn)定運(yùn)行。該方案是APP端到端防護(hù)系統(tǒng)，全面覆蓋了對客戶端、數(shù)據(jù)傳輸和服務(wù)器端的威脅防控。通過動態(tài)變換APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請求內(nèi)容，該方案能夠有效解決移動應(yīng)用面臨的各類應(yīng)用及業(yè)務(wù)安全威脅，實現(xiàn)了端到端全流程一體化的防護(hù)。

①異常終端識別：SDK實現(xiàn)前置風(fēng)險采集，結(jié)合服務(wù)器端異常分析模型有效識別風(fēng)險設(shè)備。

②異常賬號識別：SDK采集賬號信息，結(jié)合賬號業(yè)務(wù)請求記錄與終端風(fēng)險判斷賬號是否異常。

③異常業(yè)務(wù)行為識別：通過采集業(yè)務(wù)關(guān)鍵數(shù)據(jù)，進(jìn)行會話聚合分析，識別異常業(yè)務(wù)辦理行為。

④異常情報輸出：基于模型識別出來的異常賬號、異常終端設(shè)備指紋與風(fēng)險IP可輸出給業(yè)務(wù)系統(tǒng)或第三方平臺。

（三）業(yè)務(wù)流程

通過模型技術(shù)與AI技術(shù)對SDK采集數(shù)據(jù)與流量數(shù)據(jù)進(jìn)行深入分析，其中模型技術(shù)涵蓋OWASP 21種業(yè)務(wù)威脅模型，可透視實體行為與風(fēng)險。

采用SDK數(shù)據(jù)采集技術(shù)，生成唯一不變的設(shè)備指紋，基于這種前置技術(shù)實現(xiàn)終端設(shè)備的風(fēng)險感知，采集的數(shù)據(jù)經(jīng)過服務(wù)端模型與AI分析后，前置策略，由SDK執(zhí)行。

三、方案能力及創(chuàng)新點

（一）方案能力

1.防范APP終端安全風(fēng)險

防止非法APP終端訪問：防止攻擊者通過APP非法終端對業(yè)務(wù)發(fā)起訪問，縮小攻擊面。

防止APP內(nèi)容篡改：防止對APP進(jìn)行調(diào)試、篡改、二次打包等行為。

2.防止APP數(shù)據(jù)泄露

防接口破解：防止分析業(yè)務(wù)邏輯后對敏感接口發(fā)起自動化攻擊。

防數(shù)據(jù)遍歷：防止利用邏輯缺陷，利用自動化工具獲取用戶數(shù)據(jù)。

防惡意爬蟲：防止程序抓取或API濫用，大量獲取用戶或業(yè)務(wù)數(shù)據(jù)。

3.保護(hù)賬號安全

防暴力破解：防止對登錄接口發(fā)起暴力破解攻擊。

防撞庫攻擊：防止利用“社工庫”，通過自動化工具發(fā)起撞庫攻擊。

防短信轟炸：防止濫用短信接口，批量或指定手機(jī)號發(fā)送垃圾短信。

4.防止交易欺詐

防虛假交易：防止攻擊者使用外掛程序進(jìn)行批量虛假業(yè)務(wù)操作。

防交易篡改：防止攻擊者通過中間人攻擊等方式，篡改交易數(shù)據(jù)。

防惡意薅羊毛：防止“羊毛黨”批量注冊賬號，套取活動優(yōu)惠盈利。

（二）解決的實際問題

①實現(xiàn)基于IPv6環(huán)境支撐的APP動態(tài)安全防護(hù)，提升應(yīng)用對安全漏洞和未知攻擊的防護(hù)能力。

②提供端到端的數(shù)據(jù)動態(tài)混淆，防護(hù)敏感數(shù)據(jù)泄漏，防止欺詐行為。

③發(fā)現(xiàn)異常終端：為終端設(shè)備生成唯一的指紋，識別模擬器、rooted的安卓設(shè)備、越獄的蘋果設(shè)備，識別安裝有改機(jī)工具、黑客框架、IP代理工具等風(fēng)險工具的設(shè)備。

④識別異常賬號：針對登錄、注冊等業(yè)務(wù)進(jìn)行人機(jī)識別，判斷是否存在機(jī)器登錄、機(jī)器注冊等行為，基于AI技術(shù)對賬號行為進(jìn)行分析，發(fā)現(xiàn)撞庫、暴力破解、賬號盜用等行為。

⑤感知異常業(yè)務(wù)行為：對關(guān)鍵業(yè)務(wù)的用戶操作行為、設(shè)備環(huán)境信息進(jìn)行采集和分析，進(jìn)行會話聚合分析，基于自動化威脅分析模型發(fā)現(xiàn)異常業(yè)務(wù)辦理行為。

⑥提升黑產(chǎn)對抗防護(hù)能力，尤其是IPv6環(huán)境下攻擊識別和對抗響應(yīng)能力，實現(xiàn)安全風(fēng)險識別前置，感知終端安全風(fēng)險，輔助業(yè)務(wù)決策，避免經(jīng)濟(jì)損失與信譽(yù)風(fēng)險。

（三）創(chuàng)新點

創(chuàng)新點1：安全防護(hù)擺脫了對IP地址的依賴

由于IPv6地址數(shù)量非常龐大，每個IP設(shè)備都可以分配到全球通用的網(wǎng)絡(luò)地址，攻擊者可以利用海量的IP和設(shè)備資源進(jìn)行攻擊。傳統(tǒng)的基于IP黑名單的對抗機(jī)制面臨著許多挑戰(zhàn)，例如需要維護(hù)龐大的地址庫，消耗大量的計算資源，而攻擊者仍然可以輕易地變換IP地址來繞過防護(hù)。因此，防守方常常處于被動狀態(tài)。本項目以“動態(tài)安全”技術(shù)為核心，解決了這些問題。系統(tǒng)采用動態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識別技術(shù)，通過數(shù)百個特征條件組合對攻擊者進(jìn)行鎖定。不再僅依賴IP進(jìn)行對抗，系統(tǒng)可以基于其他維度的特征來識別和鎖定攻擊者，無論攻擊者使用IPv4還是IPv6地址。這樣的方法提高了防守效率，使攻擊者更難以繞過防護(hù)措施。

創(chuàng)新點2：加強(qiáng)IPv6加密環(huán)境下的攻擊識別能力

在IPv6中，強(qiáng)制使用IPsec旨在增強(qiáng)網(wǎng)絡(luò)通信的安全性。然而，當(dāng)所有流量都被加密時，反而增加了檢測惡意攻擊的難度。因為攻擊請求也會隱藏在加密流量中，而那些依賴于檢測有效載荷的傳統(tǒng)安全設(shè)備（如防火墻、入侵防御系統(tǒng)、WAF等）將受到影響。與此相反，動態(tài)防護(hù)技術(shù)不依賴于檢測有效載荷，而是通過動態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識別技術(shù)來識別攻擊者。即使在加密環(huán)境中，動態(tài)防護(hù)技術(shù)仍然能夠有效地識別攻擊請求，彌補(bǔ)了傳統(tǒng)防護(hù)技術(shù)在IPv6環(huán)境下無法有效檢測的缺陷。

創(chuàng)新點3：實現(xiàn)了被動防御到主動防御的轉(zhuǎn)變

通過對APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請求內(nèi)容等進(jìn)行持續(xù)動態(tài)變換，可以實現(xiàn)面向H5頁面和APP的主動防御，有效甄別各類已知和未知的自動化攻擊，包括非法客戶端和仿冒正常請求等。這種方法為各類APP、H5和混合業(yè)務(wù)提供了強(qiáng)大的安全防護(hù)能力，從而防止黑產(chǎn)行為對線上業(yè)務(wù)造成破壞和交易欺詐。同時，它也能保障用戶數(shù)據(jù)安全并確保業(yè)務(wù)的穩(wěn)定運(yùn)行，有效解決移動應(yīng)用面臨的各類應(yīng)用和業(yè)務(wù)安全威脅。

四、應(yīng)用實踐

本方案已在安徽移動實踐過，成功地對APP應(yīng)用和H5頁面進(jìn)行了防護(hù)。它能夠?qū)崿F(xiàn)在IPv6環(huán)境下對移動應(yīng)用進(jìn)行攻擊檢測和防護(hù)。在實施該方案后，省內(nèi)的掌廳APP促銷活動達(dá)到了預(yù)期效果，并成功地攔截了活動期間的自動化攻擊行為，使得正常用戶能夠享受到促銷活動的福利。同時，該方案還有效地防止了攻擊者利用自動化撞庫攻擊來盜取用戶賬號，保護(hù)了用戶的隱私和財產(chǎn)安全。此外，該方案還能夠節(jié)省服務(wù)器的系統(tǒng)資源和運(yùn)維成本。該方案具有廣泛的適用范圍，可以應(yīng)用于公眾互聯(lián)網(wǎng)、政務(wù)、金融、能源、交通、制造、醫(yī)療和教育等各個行業(yè)。它的部署過程簡單快捷，系統(tǒng)改造的復(fù)雜度也相對較低，安全策略的配置也十分簡單。系統(tǒng)采用反向代理方式進(jìn)行部署，并利用負(fù)載均衡設(shè)備實現(xiàn)了高可用性和流量分發(fā)。因此，該方案可以快速推廣并在其他行業(yè)中得到廣泛應(yīng)用。

（一）經(jīng)濟(jì)效益

本項目計劃投入150萬元，旨在對安徽省各類APP應(yīng)用和H5應(yīng)用（包括移動惠生活等）進(jìn)行防護(hù)。通過這樣的防護(hù)，能夠保護(hù)1500萬用戶的數(shù)據(jù)安全，確保省內(nèi)APP應(yīng)用促銷活動能夠順利達(dá)到預(yù)期效果，并避免惡意攻擊帶來的負(fù)面影響和損失。通過攔截業(yè)務(wù)賬號的機(jī)器注冊、撞庫、暴力破解、違規(guī)辦理等違規(guī)行為，能夠確保業(yè)務(wù)的合規(guī)辦理，防止渠道虛假數(shù)據(jù)套取傭金，讓正常用戶真正享受到促銷活動的實際優(yōu)惠。這個項目不僅能夠降低市場營銷費(fèi)用，預(yù)計每年可節(jié)約約250萬元，還能夠降低由惡意攻擊引起的經(jīng)濟(jì)損失和系統(tǒng)運(yùn)維成本，預(yù)計每年可節(jié)約約80萬元。同時，通過加強(qiáng)移動應(yīng)用安全建設(shè)，能夠降低企業(yè)商譽(yù)損失的風(fēng)險，贏得更廣大用戶的信任，增強(qiáng)安徽移動的競爭力，并促進(jìn)企業(yè)業(yè)務(wù)的增長。

（二）社會效益

本方案是一次在IPv6環(huán)境下成功探索和應(yīng)用新興領(lǐng)域網(wǎng)絡(luò)創(chuàng)新安全技術(shù)的實踐。該方案是為了滿足《關(guān)于開展IPv6技術(shù)創(chuàng)新和融合應(yīng)用試點工作的通知》的要求，實現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施的IPv6安全升級改造，并提高應(yīng)用在IPv6環(huán)境下面對黑產(chǎn)的對抗能力。通過該方案，能夠有效保護(hù)用戶敏感信息和財產(chǎn)安全，通過對渠道賬號開卡流程的管控，確保號碼資源的公平和公正，同時減少電信詐騙事件的發(fā)生，維護(hù)廣大消費(fèi)者的通信權(quán)益，防止網(wǎng)絡(luò)欺詐行為的發(fā)生，維護(hù)良好的互聯(lián)網(wǎng)生態(tài)環(huán)境。這個方案對于運(yùn)營商和各行業(yè)來說，具有借鑒和參考的價值。

五、結(jié)束語

APP動態(tài)安全防護(hù)技術(shù)不僅能夠在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下完美兼容，而且能夠顯著提升對已知和未知攻擊的檢測和處置能力。通過引入模塊化安全組件，該技術(shù)實現(xiàn)了APP端到端的動態(tài)安全通訊，有效防止了數(shù)據(jù)偽造、篡改、API濫用等攻擊行為。通過客戶端環(huán)境和行為數(shù)據(jù)的多維度分析和判斷，它能夠提高攻擊的檢測準(zhǔn)確度，增加對威脅的可見性，并能夠更精準(zhǔn)地打擊攻擊者。此外，它還能有效防御攻擊者采用加密、IP變換和改變攻擊方式等手段繞過系統(tǒng)防護(hù)的行為。

作者單位：王歡 中國移動通信集團(tuán)安徽有限公司

參? 考? 文? 獻(xiàn)

[1]郭星華，梁浩，王玲玲.基于擬態(tài)安全的網(wǎng)絡(luò)信息體系內(nèi)生安全思考與實踐[J].指揮信息系統(tǒng)與技術(shù)，2021，12（06）：33-38.

[2]中國社會科學(xué)網(wǎng).實現(xiàn)碳達(dá)峰碳中和的中國方案[EB/OL].（ 2021-11-26）[2022-07-10].http：//www.cssn.cn/zx/202111/t20211126_5377245.shtml

[3] Wang Xinran， Kohno T， Blakley B .Polymorphism as a defense

for automated attack of websites [EB/OL]. 2014.