通信運營商電子渠道系統平臺的安全防護研究

江蘇天智互聯科技股份有限公司 石光捷

通信運營商電子渠道系統平臺的安全防護研究

江蘇天智互聯科技股份有限公司 石光捷

國家“互聯網+”戰略推動了移動互聯網、云計算、大數據、物聯網等產業的高速發展，促進了電子商務、工業互聯網和互聯網金融健康發展，引導著中國互聯網企業拓展國際市場；但于此同時互聯網行業的高速發展也導致更多的互聯網黑客滲入其中以謀取利益，眾多互聯網企業在信息安全和網絡安全方面均面臨了較為棘手的問題。本文基于互聯網行業現狀，并結合當移動運營商領域，針對性的提出了該領域的移動互聯網產品在信息安全方面所面臨的問題以及解決措施。

移動互聯網；大數據；撞庫

0 引言

近年來，電商、網游及互聯網金融的飛速發展，催生了“黑色產業鏈”，由“羊毛黨”、“黃牛”、“打碼手”組成的專業化組織，通過腳本掃號撞庫、業務盜開、模擬器刷單刷券等方式獲利。他們內部有著明確分工，嚴重破壞了正常商業活動，侵占了數以億計的活動資金，盜取用戶信息、損害用戶權益。而與此同時，傳統的安全防護措施均只側重于保障網絡層、主機層、WEB中間件層等互聯網應用基本骨架的安全，只注重保障服務器安全，并沒有在信息安全方面加以防范，從而給不法分子盜取利益提供了可乘之機。

1 移動運營商在信息安全領域的困境

“掌上營業廳”是移動運營商在電子渠道方面比較重要的一項移動互聯網產品，因其活躍用戶眾多、承載大部分移動公司的業務、業界知名度高、經常開展優惠的互聯網活動等特點，也成了這條黑色產業鏈的重點攻擊對象。例如：“羊毛黨”通過修改手機的IMEI號、偽造網絡環境等手段非法套取流量；利用編寫程序或者腳本向服務器高頻次的發送請求，搶占系統資源，導致服務器出現故障；通過利用手上的手機號碼，通過窮舉或者簡單密碼的方式，向服務器發起登陸驗證（此類方式稱為“撞庫”），以此方式來獲取用戶的密碼或者其他敏感信息。類似這些攻擊手段自2016年起愈加頻繁，業務安全防護形勢嚴峻。在傳統安全防護措施已無法解決此類問題的同時，與此同時，業內互聯網巨頭也在移動互聯網產品信息安全領域有著較為突出的成績，均開始打造自己的基于業務和行為的安全防護產品，這類產品因設計初衷均從互聯網廠商產品出發，與各大平臺自身業務及系統架構具有較強的耦合性。同時也有一些通用的應用安全系統，但無法與運營商的產品和業務緊密結合，對運營商參考意義有限。

綜合以上情況，本課題將構建基于生物特征的模擬器識別組件，提升電渠業務風險識別能力；創建設備指紋算法，提升電渠反業務欺詐能力；基于電渠業務風險的多樣化可配置動態驗證，提升攻擊檢測能力。

2 結合運營商電子渠道產品特征，針對性的打造安全防護系統

結合電子渠道承載業務特點，立足互聯網前沿的業務風控技術，建設電子渠道業務安全態勢感知和風險防控體系，覆蓋業務攻擊事前-事中-事后全生命周期，全面提升電子渠道業務安全，保護公司資產和用戶權益。

業務攻擊事前加固主要體現在攻擊行為識別和設備模擬檢測能力，事中需要提升系統對于風險的實時感知以及應對防御能力，事后需要進行關聯分析，完善安全防護模型，本課題按照業務攻擊“事前-事中-事后”的順序研究解決方案

2.1 業務攻擊事前

(1)構建基于生物特征的模擬器識別組件，提升風險識別能力

本課題定義了兩類組件，一類是基于瀏覽器基礎信息的識別組件，利用UA/cookie/加密令牌等信息識別人機行為。另一類是基于用戶操作水印的識別組件，利用前端技術設置頁面操作水印點與隨機埋點，識別異常用戶行為。

(2)創建設備指紋算法，提升反欺詐能力

打造安全SDK，采用多點存儲、多段校驗技術，形成用戶設備唯一畫像，識別設備復用情況。通過系統數據寫入、多點存儲手段識別設備模擬器、越獄機，對系統業務風險提前感知，有效提升反欺詐能力。

2.2 業務攻擊事中

(1)打造安全態勢感知系統，實現全量業務異動實時預警

利用大數據存儲與計算技術，通過機器學習算法，如：時間序列分析、聚類算法、變點檢測、動態閾值、均值漂移算法等人工智能算法，不斷進行算法訓練，提升算法精準度，實現對業務異常、行為異常、撞庫異常感知的全量監控與實時預警。

(2)基于風險的多樣化可配置動態驗證，提升攻擊檢測能力

打造智能驗證碼系統，形式上通過數字、字母、中文、中文選字、基于生物特征的滑動驗證碼、短信驗證碼等展示，策略上通過難度自動調整、驗證碼動態配置提升驗證碼反識別能力。

2.3 業務攻擊事后

搭建風險學習引擎，實現異動特征模型庫閉環管理：

利用spark MLlib、python數據挖掘算法包等機器學習算法模型，利用聚類算法/GBDT/RNN/ARIMA/Holt winters等算法實現刷卡刷單模型、撞庫識別模型、養卡用戶模型、用戶越權模型、用戶身份盜用模型。

3 電子渠道業務安全防護技術實現方案

(1)構建基于生物特征的模擬器識別組件，提升風險識別能力瀏覽器人機識別：

瀏覽器人機識別技術主要通過對JS的混淆和JS加密的手段，將正常請求加密再post到后端，后端服務器通過解密識別用戶的操作，如果無法正常解密則判定為非法請求，對號碼或者來源IP進行過濾，并加上相應的威脅標簽存入異常用戶模型中。

操作水印：

主要使用在有前后關聯的特定的流程下，為了標識一個請求是否正常，通過在此請求的前一個步驟中增加用戶的操作痕跡（在此稱為操作水印），系統在下一個步驟中判斷是否有此水印，如果有，標識用戶的請求合理，如果沒有則是非正常請求。

以登陸場景為例，用戶登陸的時候需要在文本框中輸入手機號碼或者密碼，或者用戶需要點擊登陸按鈕才能實現登陸，在用戶執行以上操作的時候系統在當前用戶會話的cookie中增加內容，可以是時間戳，當用戶登陸的時候系統判斷當前會話的cookie中是否存在此時間戳的值，如果不存在，可能此登陸請求是惡意用戶使用人為程序進行攻擊導致，通過采集此會話的身份屬性，可以是號碼或者IP，并存入異常用戶模型中，達到一定的數量后對用戶提供驗證登記的操作。

(2)創建設備指紋算法，提升反欺詐能力

App設備指紋是App應用結合SDK在應用程序首次安裝的時候通過SDK采集當前環境的參數信息，通過對各項參數進行hash和加密，最終形成的一個字符串，作為登錄用戶的唯一識別標識。

為保證設備指紋的有效性，指紋生成后會在本地經過多點存儲，并通過SDK的存儲監聽服務進行監聽，如發現有存儲點的指紋信息被惡意刪除后會在其他點進行復制存儲。

指紋在用戶登陸的時候會在服務器端保存，并在后續的操作中作為用戶身份識別的一種標示符。

(3)打造安全驗證系統，實現驗證等級只能升級

和傳統驗證碼相比，智能驗證碼不僅提供了多種驗證樣式，更是能夠做到智能升級，即用戶一次驗證失敗的情況下系統會自動提高驗證的復雜度，防止黑客通過惡意打碼、猜測的方式來破解驗證碼；同時驗證碼的檢驗也會介入安全驗證服務系統，通過大數據實時計算的方式識別當前用戶行為是否正常；

驗證碼業務控制器用來處理具體的驗證碼生成業務；調用驗證碼類型匹配器返回具體驗證碼類型的生成器，如果為空則返回失敗。如果是字符型并調用驗證碼難度分配器，而后得到具體的驗證碼生成器實現類，生成對應驗證碼。驗證碼分配器適用于字符型驗證碼生成器，根據后臺配置各種級別允許的錯誤次數自動遞增識別難度。（字母＋數字、中文、運算）其第一種為默認值，可以配置指定字符串。

4 電子渠道業務安全防護在運營商行業的影響力

有數據表明，2016年移動運營商在電子渠道的移動互聯網產品與“羊毛黨”多次開展攻防戰，在流量盜刷都業務盜開方面都遭到了不小的損失，同時，2016年在服務器攻擊次數方面較前一年增長了36%。業務安全防護系統上線后，各項系統攻擊攔截成功率達80%，減少因業務盜開造成的用戶損失，保障用戶權益，避免“羊毛黨”搶占營銷資源，有效提升用戶參與線上營銷活動的成功率，改善用戶使用感知。

綜上所述，通信運營商電子渠道業務安全防護系統的建設存在較為重要的意義，在解決掉內部系統安全問題的同時，又能提升用戶服務品質、提高用戶滿意度，更加有效推動電子渠道在互聯網化時代服務質量的優化。

[1]中國互聯網協會、國家互聯網應急中心．中國互聯網站發展狀況及其安全報告(2016)[R]．2016年3月18日．

[2]國家互聯網應急中心．2016年我國互聯網網絡安全態勢綜述[R]．2016年4月19日．

[3]陳彬．“互聯網+”時代主動安全防御系統構建研究[J]．信息安全與技術,2017(1):38-39．

[4]吳翰清．白帽子講Web安全[M]．北京:電子工業出版社,2014,5．

[5]鐘晨鳴,徐少培編．Web前端黑客技術揭秘[M]．北京:電子工業出版社,2013,1．

石光捷（1968—），男，碩士，現供職于江蘇天智互聯科技股份有限公司。