案例名稱

面向金融行業的移動應用安全風險監測案例

案例簡介

本項目通過在移動應用中植入威脅情報探針并結合網絡鏡像流量方式，利用應用運行過程中設備、系統、應用、行為四個維度數據，將其與設備的關鍵因子關聯生成唯一的移動設備指紋；對手機銀行等應用資產進行資產臺賬梳理；結合服務端大數據分析平臺的各種模型規則分析，實時監測移動應用各種運行態攻擊，對終端環境風險、敏感數據風險、攻擊行為風險等進行有效的監測、預警和溯源；通過事前定制的各類安全控制策略，能夠在第一時間處理各類安全攻擊行為,同時提供威脅數據查詢能力和推送情報接口，支持接入相關系統，使安全情報信息形成閉環。項目覆蓋安卓、iOS、Web/H5、公眾號、小程序，可有效偵測模擬器、刷機改機、root越獄、劫持注入等涉詐風險。

創新技術/模式應用

一、基于端到端關聯的安全風險監測

圖一 基于端到端關聯的安全風險監測

端到端指是將客戶端側的風險情報和服務端側的風險情報相結合，形成“風險訪問環境+風險訪問行為”更為完整的風險情報鏈條，充分收集資產訪問終端和服務端資產的安全風險情報數據并進行關聯，結合多維度的數據準確還原具體的攻擊場景。通過實時流量風險分析與實時終端風險分析引擎，實現毫秒級檢測攻擊行為；準實時關聯分析秒級判定綜合一個設備多個維度信息，進行更深層次的設備風險判定；結合服務端大數據分析平臺的離線團伙關聯分析深度挖掘作案團伙，批量輸出團伙作案信息。同時，可進一步挖掘設備、黑產團伙、風險涉案主體等之間的關聯關系，形成知識圖譜，對精準、有效打擊涉賭涉詐產業鏈具有重大意義。

二、基于空間轉換的多維特征匹配指紋查詢技術

圖二 基于空間轉換的多維特征匹配指紋查詢技術

移動設備特征以字符串或者字符串數組為主，核心計算任務是字符串比較，其核心在于將基于字符串的多維特征空間轉換成基于整型的弱等價空間，通過哈希算法實現字符串特征空間到整型特征空間的映射，在進行搜索時，首先在弱等價整型特征空間進行搜索，如果搜索結果為空值或單值，則直接返回；否則對該子空間對應的原始空間進行搜索，基于此項技術，可以實現海量多維度數據向量的高效搜索。

三、基于BPE特征分類的API資產識別技術

圖三 基于BPE特征分類的API資產識別技術

本技術主要通過三步進行API資產的精準識別：第一步是BPE特征的提取，利用BPE算法將URL字符串分解為更小詞匯單元，相比僅使用字符級特征，提供更豐富的特征表示；第二步是海量的詞匯訓練BPE算法，采用公開WIKI數據集訓練BPE算法，它能夠處理未見過的詞匯，同時會將未知的詞拆分為已知的較小詞匯單元，進而提高對新數據的泛化能力，特別是對于長尾詞匯和罕見詞語；第三步是實時API資產發現，利用BPE算法生成的特征來訓練XGBoost模型，并將其應用URL槽位識別任務，從而實現API資產實時發現。

項目效果評估

一、基于端到端關聯的安全風險監測

通過端到端的風險監測模式，形成更為完整的安全攻擊鏈條，解決了偏重于某個單維度風險數據的安全監測，以及在安全監測場景中安全攻擊決策證據不夠、溯源深度不夠等痛點問題。

新監測模式取得以下優勢：其一，風險發現更全。從設備前端風險、用戶/設備/IP訪問行為風險層面全面監測風險，有效發現人臉繞過、脫離原生應用刷接口、屏幕共享詐騙等近年來典型攻擊場景。其二，攻防閉環對抗能力更強。新監測模式能夠有效發現探針剝離、探針數據造假、偽造原生應用刷接口等黑灰產試圖繞過防護的行為。

二、基于空間轉換的多維特征匹配指紋查詢技術

隨著手機操作系統的不斷演進，設備特征向量的選取也會不斷發生變化，因此設備特征向量相似度的高效比較，或者在海量數據中基于相似度的設備特征向量的快速搜索，成為解決設備指紋問題的關鍵技術，基于空間轉換的多維特征匹配指紋查詢技術能很好的解決這一問題。

在相同的測試場景下，并發請求數為10，總請求數為100萬，舊技術采用直接進行設備特征向量的逐項匹配，新技術采用基于空間轉換的多維特征匹配。通過對比可知，新技術使得每個請求的處理耗時從0.97毫秒降低到了0.31毫秒，由此可見新技術在海量數據中能夠完成快速搜索性能更加優異。

三、基于BPE特征分類的API資產識別技術

本技術解決了如何自動識別HTTP請求中URL中參數，將API資產識別中，完成資產高效合并的問題。

首先收集訓練樣本數據采用三類：其一是正樣本，隨機串，數據量100萬；其二是負樣本，維基百科詞匯，數據量2800萬；其三是測試樣本，脫敏數據，數據量為50萬。接下來，進行特征構建。然后，訓練樣正負樣本的比例，最理想的情況是正樣本與負樣本的分布遵循線上URL里面隨機串與非隨機串的比例暫定為1:7。最后，得到模型訓練和評估結果是：準確率是99.11%, 召回率是98%，新技術相比較于基于閾值的方式，召回率提升12%，準確率提高23%。綜述，新技術具有較好的準確率與召回率，為快速精準發現API資產提供算法支持。

項目牽頭人

李北川 郵儲銀行軟件研發中心副處長

項目團隊成員

田猛、段向歡、張國崢、董卉、韓碩、黃一飛、侯曉晨

責任編輯：王煊