摘要：移動(dòng)互聯(lián)網(wǎng)已經(jīng)成為企業(yè)快速發(fā)展的重要渠道，但同時(shí)也給黑灰產(chǎn)業(yè)帶來(lái)了可乘之機(jī)。依靠龐大的IPv6地址庫(kù)和海量的設(shè)備資源，黑灰產(chǎn)業(yè)鏈變得越發(fā)成熟，對(duì)相關(guān)企業(yè)造成巨大的經(jīng)濟(jì)和名譽(yù)損失。安徽移動(dòng)在長(zhǎng)期配合“斷卡”行動(dòng)過(guò)程中深刻認(rèn)識(shí)到，構(gòu)建基于IPv6環(huán)境下的移動(dòng)APP動(dòng)態(tài)防護(hù)能力是成功對(duì)抗灰黑產(chǎn)的關(guān)鍵措施。通過(guò)創(chuàng)新的動(dòng)態(tài)技術(shù)，可以增加入侵違規(guī)的門(mén)檻，防止黑灰產(chǎn)的破壞。同時(shí)，利用大數(shù)據(jù)分析快速發(fā)現(xiàn)用戶(hù)違規(guī)行為和“薅羊毛”等異常行為，及時(shí)消除潛在問(wèn)題。這樣，企業(yè)就能將問(wèn)題消滅在萌芽中，并減少經(jīng)濟(jì)和聲譽(yù)的損失。

關(guān)鍵詞：移動(dòng)安全；自動(dòng)化攻擊；動(dòng)態(tài)安全

一、應(yīng)用需求

隨著移動(dòng)互聯(lián)網(wǎng)的高度發(fā)展和普及，越來(lái)越多的企業(yè)將業(yè)務(wù)從PC端遷移到移動(dòng)端。但也面臨著更復(fù)雜和多元化的網(wǎng)絡(luò)安全問(wèn)題。企業(yè)不僅需要關(guān)注移動(dòng)端和服務(wù)器端的應(yīng)用安全，還需要保護(hù)業(yè)務(wù)和數(shù)據(jù)不受非法訪(fǎng)問(wèn)，以及通過(guò)技術(shù)和運(yùn)營(yíng)手段避免各種不良影響。尤其是在IPv6的網(wǎng)絡(luò)環(huán)境下，攻擊者可以利用加密環(huán)境、大量IP資源和變換攻擊方式等方式繞過(guò)系統(tǒng)的防護(hù)，增加了防護(hù)的難度。當(dāng)前移動(dòng)應(yīng)用業(yè)務(wù)面臨的威脅包括傳統(tǒng)的漏洞掃描、注入攻擊、跨站腳本，以及APP客戶(hù)端逆向和調(diào)試等問(wèn)題。此外，還存在非法第三方APP請(qǐng)求、中間人攻擊、API接口濫用、密碼破解、批量注冊(cè)、虛假交易、爬蟲(chóng)，以及利用外掛程序或群控設(shè)備進(jìn)行欺詐等業(yè)務(wù)安全隱患。

移動(dòng)設(shè)備的風(fēng)險(xiǎn)越發(fā)嚴(yán)峻。根據(jù)數(shù)據(jù)顯示，2021年共發(fā)現(xiàn)了17.59萬(wàn)款黑灰產(chǎn)定制型工具，其中手機(jī)端工具占比56.5%，達(dá)到9.93萬(wàn)款，未來(lái)還有上升的趨勢(shì)。攻擊源主要集中在移動(dòng)業(yè)務(wù)中，特別是以IPv6地址為主，因此需要增強(qiáng)對(duì)IPv6地址攻擊的檢測(cè)和對(duì)抗能力。

在2021年監(jiān)控到的黑灰產(chǎn)定制型工具的攻擊場(chǎng)景中，賬號(hào)安全占比51.48%，營(yíng)銷(xiāo)作弊占比21.7%，這兩項(xiàng)合計(jì)超過(guò)70%。這對(duì)企業(yè)的經(jīng)濟(jì)和聲譽(yù)造成了巨大的影響，因此賬號(hào)安全和營(yíng)銷(xiāo)安全的保護(hù)不容忽視。此外，還需要關(guān)注虛擬定位攻擊的識(shí)別和防護(hù)需求。核心業(yè)務(wù)中常常存在區(qū)域限制，例如開(kāi)卡業(yè)務(wù)或其他推廣業(yè)務(wù)。黑灰產(chǎn)業(yè)鏈通過(guò)推出虛擬定位工具，通過(guò)修改定位信息來(lái)進(jìn)行業(yè)務(wù)攻擊。這種風(fēng)險(xiǎn)在App業(yè)務(wù)中也很常見(jiàn)，因此需要加強(qiáng)對(duì)虛擬定位攻擊的識(shí)別和防護(hù)措施。

二、APP動(dòng)態(tài)安全防護(hù)解決方案

（一）方案架構(gòu)

APP動(dòng)態(tài)防護(hù)全面支持IPv4和IPv6網(wǎng)絡(luò)環(huán)境，適用于各種類(lèi)型的APP，包括Hybrid APP、Native APP和Hybrid Web。它采用端、管、云一體化的動(dòng)態(tài)安全防護(hù)體系，為移動(dòng)業(yè)務(wù)提供創(chuàng)新的安全解決方案。在APP客戶(hù)端方面，通過(guò)SDK實(shí)現(xiàn)了APP完整性檢查，并為每個(gè)終端生成唯一的設(shè)備指紋。借助動(dòng)態(tài)驗(yàn)證和動(dòng)態(tài)令牌技術(shù)，實(shí)現(xiàn)了人機(jī)識(shí)別和安全通信，確保與服務(wù)器端的數(shù)據(jù)安全交互。這包括移動(dòng)端采集數(shù)據(jù)與服務(wù)器端策略數(shù)據(jù)的安全交互。在傳輸過(guò)程中，雙向認(rèn)證可以實(shí)現(xiàn)客戶(hù)端與服務(wù)器之間的安全通信，并基于動(dòng)態(tài)混淆和動(dòng)態(tài)封裝技術(shù)實(shí)現(xiàn)雙向數(shù)據(jù)加密。通過(guò)建立可信的客戶(hù)端和可信通信管道，確保了云端服務(wù)器的安全。同時(shí)，采用智能WAF和Bot防護(hù)技術(shù)，能夠檢測(cè)和防護(hù)已知和未知的攻擊。云端集成了SDK采集的各種類(lèi)型數(shù)據(jù)，并形成格式化的數(shù)據(jù)。這些數(shù)據(jù)作為業(yè)務(wù)威脅分析模型的數(shù)據(jù)源，包括但不限于惡意訂購(gòu)模型、撞庫(kù)模型、異常開(kāi)卡模型和機(jī)器注冊(cè)模型等。分析模型生成與業(yè)務(wù)真實(shí)環(huán)境相關(guān)的風(fēng)險(xiǎn)數(shù)據(jù)，例如異常IP、指紋和賬號(hào)信息，作為與黑產(chǎn)對(duì)抗的依據(jù)。

（二）設(shè)計(jì)思路

雖然IPv6在增強(qiáng)網(wǎng)絡(luò)的安全性方面起到了一定作用，但它并不能解決移動(dòng)終端和應(yīng)用層面上的漏洞和攻擊問(wèn)題。盡管IPv6提供了海量的地址資源，并且地址復(fù)雜性增加了安全策略制定和網(wǎng)絡(luò)安全監(jiān)管的挑戰(zhàn)，但這也使得防守方更加被動(dòng)。

本方案以“動(dòng)態(tài)安全”技術(shù)為核心，通過(guò)對(duì)APP服務(wù)器響應(yīng)數(shù)據(jù)及APP請(qǐng)求內(nèi)容的持續(xù)動(dòng)態(tài)變換，實(shí)現(xiàn)面向H5頁(yè)面和APP的主動(dòng)防御。該方案能夠有效甄別各類(lèi)已知及未知自動(dòng)化攻擊，防止非法客戶(hù)端和仿冒正常請(qǐng)求，為各類(lèi)APP、H5及混合業(yè)務(wù)提供強(qiáng)大的安全防護(hù)能力，從而保障用戶(hù)數(shù)據(jù)安全、防止黑產(chǎn)對(duì)線(xiàn)上業(yè)務(wù)造成破壞與交易欺詐，并確保業(yè)務(wù)的穩(wěn)定運(yùn)行。該方案是APP端到端防護(hù)系統(tǒng)，全面覆蓋了對(duì)客戶(hù)端、數(shù)據(jù)傳輸和服務(wù)器端的威脅防控。通過(guò)動(dòng)態(tài)變換APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請(qǐng)求內(nèi)容，該方案能夠有效解決移動(dòng)應(yīng)用面臨的各類(lèi)應(yīng)用及業(yè)務(wù)安全威脅，實(shí)現(xiàn)了端到端全流程一體化的防護(hù)。

①異常終端識(shí)別：SDK實(shí)現(xiàn)前置風(fēng)險(xiǎn)采集，結(jié)合服務(wù)器端異常分析模型有效識(shí)別風(fēng)險(xiǎn)設(shè)備。

②異常賬號(hào)識(shí)別：SDK采集賬號(hào)信息，結(jié)合賬號(hào)業(yè)務(wù)請(qǐng)求記錄與終端風(fēng)險(xiǎn)判斷賬號(hào)是否異常。

③異常業(yè)務(wù)行為識(shí)別：通過(guò)采集業(yè)務(wù)關(guān)鍵數(shù)據(jù)，進(jìn)行會(huì)話(huà)聚合分析，識(shí)別異常業(yè)務(wù)辦理行為。

④異常情報(bào)輸出：基于模型識(shí)別出來(lái)的異常賬號(hào)、異常終端設(shè)備指紋與風(fēng)險(xiǎn)IP可輸出給業(yè)務(wù)系統(tǒng)或第三方平臺(tái)。

（三）業(yè)務(wù)流程

通過(guò)模型技術(shù)與AI技術(shù)對(duì)SDK采集數(shù)據(jù)與流量數(shù)據(jù)進(jìn)行深入分析，其中模型技術(shù)涵蓋OWASP 21種業(yè)務(wù)威脅模型，可透視實(shí)體行為與風(fēng)險(xiǎn)。

采用SDK數(shù)據(jù)采集技術(shù)，生成唯一不變的設(shè)備指紋，基于這種前置技術(shù)實(shí)現(xiàn)終端設(shè)備的風(fēng)險(xiǎn)感知，采集的數(shù)據(jù)經(jīng)過(guò)服務(wù)端模型與AI分析后，前置策略，由SDK執(zhí)行。

三、方案能力及創(chuàng)新點(diǎn)

（一）方案能力

1.防范APP終端安全風(fēng)險(xiǎn)

防止非法APP終端訪(fǎng)問(wèn)：防止攻擊者通過(guò)APP非法終端對(duì)業(yè)務(wù)發(fā)起訪(fǎng)問(wèn)，縮小攻擊面。

防止APP內(nèi)容篡改：防止對(duì)APP進(jìn)行調(diào)試、篡改、二次打包等行為。

2.防止APP數(shù)據(jù)泄露

防接口破解：防止分析業(yè)務(wù)邏輯后對(duì)敏感接口發(fā)起自動(dòng)化攻擊。

防數(shù)據(jù)遍歷：防止利用邏輯缺陷，利用自動(dòng)化工具獲取用戶(hù)數(shù)據(jù)。

防惡意爬蟲(chóng)：防止程序抓取或API濫用，大量獲取用戶(hù)或業(yè)務(wù)數(shù)據(jù)。

3.保護(hù)賬號(hào)安全

防暴力破解：防止對(duì)登錄接口發(fā)起暴力破解攻擊。

防撞庫(kù)攻擊：防止利用“社工庫(kù)”，通過(guò)自動(dòng)化工具發(fā)起撞庫(kù)攻擊。

防短信轟炸：防止濫用短信接口，批量或指定手機(jī)號(hào)發(fā)送垃圾短信。

4.防止交易欺詐

防虛假交易：防止攻擊者使用外掛程序進(jìn)行批量虛假業(yè)務(wù)操作。

防交易篡改：防止攻擊者通過(guò)中間人攻擊等方式，篡改交易數(shù)據(jù)。

防惡意薅羊毛：防止“羊毛黨”批量注冊(cè)賬號(hào)，套取活動(dòng)優(yōu)惠盈利。

（二）解決的實(shí)際問(wèn)題

①實(shí)現(xiàn)基于IPv6環(huán)境支撐的APP動(dòng)態(tài)安全防護(hù)，提升應(yīng)用對(duì)安全漏洞和未知攻擊的防護(hù)能力。

②提供端到端的數(shù)據(jù)動(dòng)態(tài)混淆，防護(hù)敏感數(shù)據(jù)泄漏，防止欺詐行為。

③發(fā)現(xiàn)異常終端：為終端設(shè)備生成唯一的指紋，識(shí)別模擬器、rooted的安卓設(shè)備、越獄的蘋(píng)果設(shè)備，識(shí)別安裝有改機(jī)工具、黑客框架、IP代理工具等風(fēng)險(xiǎn)工具的設(shè)備。

④識(shí)別異常賬號(hào)：針對(duì)登錄、注冊(cè)等業(yè)務(wù)進(jìn)行人機(jī)識(shí)別，判斷是否存在機(jī)器登錄、機(jī)器注冊(cè)等行為，基于AI技術(shù)對(duì)賬號(hào)行為進(jìn)行分析，發(fā)現(xiàn)撞庫(kù)、暴力破解、賬號(hào)盜用等行為。

⑤感知異常業(yè)務(wù)行為：對(duì)關(guān)鍵業(yè)務(wù)的用戶(hù)操作行為、設(shè)備環(huán)境信息進(jìn)行采集和分析，進(jìn)行會(huì)話(huà)聚合分析，基于自動(dòng)化威脅分析模型發(fā)現(xiàn)異常業(yè)務(wù)辦理行為。

⑥提升黑產(chǎn)對(duì)抗防護(hù)能力，尤其是IPv6環(huán)境下攻擊識(shí)別和對(duì)抗響應(yīng)能力，實(shí)現(xiàn)安全風(fēng)險(xiǎn)識(shí)別前置，感知終端安全風(fēng)險(xiǎn)，輔助業(yè)務(wù)決策，避免經(jīng)濟(jì)損失與信譽(yù)風(fēng)險(xiǎn)。

（三）創(chuàng)新點(diǎn)

創(chuàng)新點(diǎn)1：安全防護(hù)擺脫了對(duì)IP地址的依賴(lài)

由于IPv6地址數(shù)量非常龐大，每個(gè)IP設(shè)備都可以分配到全球通用的網(wǎng)絡(luò)地址，攻擊者可以利用海量的IP和設(shè)備資源進(jìn)行攻擊。傳統(tǒng)的基于IP黑名單的對(duì)抗機(jī)制面臨著許多挑戰(zhàn)，例如需要維護(hù)龐大的地址庫(kù)，消耗大量的計(jì)算資源，而攻擊者仍然可以輕易地變換IP地址來(lái)繞過(guò)防護(hù)。因此，防守方常常處于被動(dòng)狀態(tài)。本項(xiàng)目以“動(dòng)態(tài)安全”技術(shù)為核心，解決了這些問(wèn)題。系統(tǒng)采用動(dòng)態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識(shí)別技術(shù)，通過(guò)數(shù)百個(gè)特征條件組合對(duì)攻擊者進(jìn)行鎖定。不再僅依賴(lài)IP進(jìn)行對(duì)抗，系統(tǒng)可以基于其他維度的特征來(lái)識(shí)別和鎖定攻擊者，無(wú)論攻擊者使用IPv4還是IPv6地址。這樣的方法提高了防守效率，使攻擊者更難以繞過(guò)防護(hù)措施。

創(chuàng)新點(diǎn)2：加強(qiáng)IPv6加密環(huán)境下的攻擊識(shí)別能力

在IPv6中，強(qiáng)制使用IPsec旨在增強(qiáng)網(wǎng)絡(luò)通信的安全性。然而，當(dāng)所有流量都被加密時(shí)，反而增加了檢測(cè)惡意攻擊的難度。因?yàn)楣粽?qǐng)求也會(huì)隱藏在加密流量中，而那些依賴(lài)于檢測(cè)有效載荷的傳統(tǒng)安全設(shè)備（如防火墻、入侵防御系統(tǒng)、WAF等）將受到影響。與此相反，動(dòng)態(tài)防護(hù)技術(shù)不依賴(lài)于檢測(cè)有效載荷，而是通過(guò)動(dòng)態(tài)令牌、設(shè)備指紋、終端環(huán)境和行為識(shí)別技術(shù)來(lái)識(shí)別攻擊者。即使在加密環(huán)境中，動(dòng)態(tài)防護(hù)技術(shù)仍然能夠有效地識(shí)別攻擊請(qǐng)求，彌補(bǔ)了傳統(tǒng)防護(hù)技術(shù)在IPv6環(huán)境下無(wú)法有效檢測(cè)的缺陷。

創(chuàng)新點(diǎn)3：實(shí)現(xiàn)了被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變

通過(guò)對(duì)APP服務(wù)器響應(yīng)數(shù)據(jù)和APP請(qǐng)求內(nèi)容等進(jìn)行持續(xù)動(dòng)態(tài)變換，可以實(shí)現(xiàn)面向H5頁(yè)面和APP的主動(dòng)防御，有效甄別各類(lèi)已知和未知的自動(dòng)化攻擊，包括非法客戶(hù)端和仿冒正常請(qǐng)求等。這種方法為各類(lèi)APP、H5和混合業(yè)務(wù)提供了強(qiáng)大的安全防護(hù)能力，從而防止黑產(chǎn)行為對(duì)線(xiàn)上業(yè)務(wù)造成破壞和交易欺詐。同時(shí)，它也能保障用戶(hù)數(shù)據(jù)安全并確保業(yè)務(wù)的穩(wěn)定運(yùn)行，有效解決移動(dòng)應(yīng)用面臨的各類(lèi)應(yīng)用和業(yè)務(wù)安全威脅。

四、應(yīng)用實(shí)踐

本方案已在安徽移動(dòng)實(shí)踐過(guò)，成功地對(duì)APP應(yīng)用和H5頁(yè)面進(jìn)行了防護(hù)。它能夠?qū)崿F(xiàn)在IPv6環(huán)境下對(duì)移動(dòng)應(yīng)用進(jìn)行攻擊檢測(cè)和防護(hù)。在實(shí)施該方案后，省內(nèi)的掌廳APP促銷(xiāo)活動(dòng)達(dá)到了預(yù)期效果，并成功地?cái)r截了活動(dòng)期間的自動(dòng)化攻擊行為，使得正常用戶(hù)能夠享受到促銷(xiāo)活動(dòng)的福利。同時(shí)，該方案還有效地防止了攻擊者利用自動(dòng)化撞庫(kù)攻擊來(lái)盜取用戶(hù)賬號(hào)，保護(hù)了用戶(hù)的隱私和財(cái)產(chǎn)安全。此外，該方案還能夠節(jié)省服務(wù)器的系統(tǒng)資源和運(yùn)維成本。該方案具有廣泛的適用范圍，可以應(yīng)用于公眾互聯(lián)網(wǎng)、政務(wù)、金融、能源、交通、制造、醫(yī)療和教育等各個(gè)行業(yè)。它的部署過(guò)程簡(jiǎn)單快捷，系統(tǒng)改造的復(fù)雜度也相對(duì)較低，安全策略的配置也十分簡(jiǎn)單。系統(tǒng)采用反向代理方式進(jìn)行部署，并利用負(fù)載均衡設(shè)備實(shí)現(xiàn)了高可用性和流量分發(fā)。因此，該方案可以快速推廣并在其他行業(yè)中得到廣泛應(yīng)用。

（一）經(jīng)濟(jì)效益

本項(xiàng)目計(jì)劃投入150萬(wàn)元，旨在對(duì)安徽省各類(lèi)APP應(yīng)用和H5應(yīng)用（包括移動(dòng)惠生活等）進(jìn)行防護(hù)。通過(guò)這樣的防護(hù)，能夠保護(hù)1500萬(wàn)用戶(hù)的數(shù)據(jù)安全，確保省內(nèi)APP應(yīng)用促銷(xiāo)活動(dòng)能夠順利達(dá)到預(yù)期效果，并避免惡意攻擊帶來(lái)的負(fù)面影響和損失。通過(guò)攔截業(yè)務(wù)賬號(hào)的機(jī)器注冊(cè)、撞庫(kù)、暴力破解、違規(guī)辦理等違規(guī)行為，能夠確保業(yè)務(wù)的合規(guī)辦理，防止渠道虛假數(shù)據(jù)套取傭金，讓正常用戶(hù)真正享受到促銷(xiāo)活動(dòng)的實(shí)際優(yōu)惠。這個(gè)項(xiàng)目不僅能夠降低市場(chǎng)營(yíng)銷(xiāo)費(fèi)用，預(yù)計(jì)每年可節(jié)約約250萬(wàn)元，還能夠降低由惡意攻擊引起的經(jīng)濟(jì)損失和系統(tǒng)運(yùn)維成本，預(yù)計(jì)每年可節(jié)約約80萬(wàn)元。同時(shí)，通過(guò)加強(qiáng)移動(dòng)應(yīng)用安全建設(shè)，能夠降低企業(yè)商譽(yù)損失的風(fēng)險(xiǎn)，贏得更廣大用戶(hù)的信任，增強(qiáng)安徽移動(dòng)的競(jìng)爭(zhēng)力，并促進(jìn)企業(yè)業(yè)務(wù)的增長(zhǎng)。

（二）社會(huì)效益

本方案是一次在IPv6環(huán)境下成功探索和應(yīng)用新興領(lǐng)域網(wǎng)絡(luò)創(chuàng)新安全技術(shù)的實(shí)踐。該方案是為了滿(mǎn)足《關(guān)于開(kāi)展IPv6技術(shù)創(chuàng)新和融合應(yīng)用試點(diǎn)工作的通知》的要求，實(shí)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施的IPv6安全升級(jí)改造，并提高應(yīng)用在IPv6環(huán)境下面對(duì)黑產(chǎn)的對(duì)抗能力。通過(guò)該方案，能夠有效保護(hù)用戶(hù)敏感信息和財(cái)產(chǎn)安全，通過(guò)對(duì)渠道賬號(hào)開(kāi)卡流程的管控，確保號(hào)碼資源的公平和公正，同時(shí)減少電信詐騙事件的發(fā)生，維護(hù)廣大消費(fèi)者的通信權(quán)益，防止網(wǎng)絡(luò)欺詐行為的發(fā)生，維護(hù)良好的互聯(lián)網(wǎng)生態(tài)環(huán)境。這個(gè)方案對(duì)于運(yùn)營(yíng)商和各行業(yè)來(lái)說(shuō)，具有借鑒和參考的價(jià)值。

五、結(jié)束語(yǔ)

APP動(dòng)態(tài)安全防護(hù)技術(shù)不僅能夠在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下完美兼容，而且能夠顯著提升對(duì)已知和未知攻擊的檢測(cè)和處置能力。通過(guò)引入模塊化安全組件，該技術(shù)實(shí)現(xiàn)了APP端到端的動(dòng)態(tài)安全通訊，有效防止了數(shù)據(jù)偽造、篡改、API濫用等攻擊行為。通過(guò)客戶(hù)端環(huán)境和行為數(shù)據(jù)的多維度分析和判斷，它能夠提高攻擊的檢測(cè)準(zhǔn)確度，增加對(duì)威脅的可見(jiàn)性，并能夠更精準(zhǔn)地打擊攻擊者。此外，它還能有效防御攻擊者采用加密、IP變換和改變攻擊方式等手段繞過(guò)系統(tǒng)防護(hù)的行為。

作者單位：王歡 中國(guó)移動(dòng)通信集團(tuán)安徽有限公司

參? 考? 文? 獻(xiàn)

[1]郭星華，梁浩，王玲玲.基于擬態(tài)安全的網(wǎng)絡(luò)信息體系內(nèi)生安全思考與實(shí)踐[J].指揮信息系統(tǒng)與技術(shù)，2021，12（06）：33-38.

[2]中國(guó)社會(huì)科學(xué)網(wǎng).實(shí)現(xiàn)碳達(dá)峰碳中和的中國(guó)方案[EB/OL].（ 2021-11-26）[2022-07-10].http：//www.cssn.cn/zx/202111/t20211126_5377245.shtml

[3] Wang Xinran， Kohno T， Blakley B .Polymorphism as a defense

for automated attack of websites [EB/OL]. 2014.