项目背景及目标

移动金融作为银行业务系统中非常重要的一部分，正面临着来自移动平台的各种安全威胁，人民银行、行业监管部门也在诸多技术规范文件中提出了对移动客户端安全的监管要求。人们考虑如何抵御这些移动端安全威胁时发现，传统静态安全解决方案仅能告诉客户入侵攻击结果，对过程却不得而知。移动客户端迫切需要同时结合多种先进的安全防护和监控手段来解决所面临的安全问题，以有效帮助用户加强应用安全防护，建立交易事前、事中、事后控制体系，包括事前风险预防和监测，事中风险防控及事后风险处理与分析，来满足移动终端应用的安全保护需求，保障客户金融安全。此外，若将业务数据作为战略性资产予以分析利用，用海量数据支撑决策和分析，能够利用大数据的一些技术实现对复杂用户行为的识别，使精准营销推动业务更符合用户预期。因此，需建立移动应用态势感知能力，以数据驱动安全，提升业务水平，能够全面掌控移动应用运行过程的安全态势和运行状况。

项目方案

“移动应用安全态势感知平台”通过对移动终端环境威胁、终端应用威胁、终端程序运行数据进行采集、存储、计算、深入挖掘和关联分析，向用户提供实时的威胁情报和威胁预警，同时可对已知威胁进行溯源追踪，精准定位威胁源头，对潜在威胁进行有效防御。

1、在安全监控方面，能够监控移动应用在运行过程中出现的各类安全事件、安全威胁、安全风险等，对攻击手段、攻击目标等进行威胁分析，对攻击应用、版本、设备等信息进行威胁管控，对攻击地域、攻击系统、攻击时间分布等进行威胁统计。能够从技术源头阻断薅羊毛、未授权渗透测试、虚假签到等各类黑/灰产攻击和欺诈行为。

2、在运行监测方面，能够全面监控移动应用运行过程，统计活跃度、新增设备、地域分布情况、系统分布情况、版本分布情况等，能够采集应用运行过程中出现的各类崩溃信息，统计崩溃类型、崩溃率、崩溃影响用户范围等。 同时采用可视化技术手段，形成终端威胁的综合态势图，借助态势可视化为安全管理人员提供辅助决策信息。

3、用户偏好感知方面，围绕用户行为进行分析，能够提供丰富的数据信息，让决策人员对产品所切入的市场判断更准确，让市场推广人员精细化评估渠道质量，让产品设计人员准确获悉用户行为路径转化、产品改版优良等对产品的影响几何，让运营人员做精准营销并且评估营销结果。通过各方面实现业务增长，增强获客及营销能力。

系统整体架构分成三层：

1、底层是态势感知SDK, 进行环境安全检测（手机端SDK集成和云端病毒库、应用库深度扫描对终端运行环境进行检测）、攻击监测（不间断的攻击监测，拦截二次打包、界面劫持、so注入、dex注入等攻击手段）、程序运行监测(对海量终端的程序运行状况进行监测分析)。

2、中间层是数据分析处理系统，主要负责对应用数据进行备案检测，签名分析，病毒分析，静态分析，动态分析，内容关键字匹配，溯源分析，仿冒分析，专题分析，对检测结果进行存储，生成检测报告。

3、上层是功能模块与用户入口，主要分为用户界面、系统功能模块、对外系统接口管理等。用户界面包括根据不同用户类型提供接口管理，以及提供各类与其他系统集成接口。

态势感知通过集成SDK在APP中，针对移动终端目前面临的主要安全威胁，提供全方位安全检测功能，从终端环境检测、攻击监测和程序运行监测等多个角度入手检测移动终端可能面临的各类安全威胁，能够对病毒、木马等进行有效拦截和控制。

大数据处理和存储中心通过对从集成有态势感知SDK的移动终端设备上采集到的设备基本信息、应用基本信息、程序运行信息以及运行环境、攻击行为等威胁信息进行深度挖掘、存储及关联分析，提取出威胁感知平台所需要的特征信息。

威胁感知平台利用可视化的技术手段，将感知到的攻击行为进行实时动态化的展示和汇总统计展示，对集成有态势感知SDK的应用运行环境、程序运行信息和攻击行为等进行追踪，并对安全威胁进行实时告警。针对业务功能的点击量统计，业务功能的点击量分流统计、业务功能的点击量趋势统计、驻留页面的时长统计、程序运行时长、感知设备分布感知进行有效输出。

创新点

A. 技术创新：

“移动应用安全态势感知平台”实现基于移动安全应用源代码敏感行为识别的应用安全性分析方法，从技术上来看，创新点主要有：

1、机器学习算法。移动安全威胁的识别将UI文本和敏感API关联通过逆向工具获取源代码；构造敏感行为的集合；提取UI文本；敏感行为数据处理及特征值选取；构造训练集及安全性分析。

2、相似度算法。通过计算各个恶意应用之间的关联性，及时发现恶意应用变种，有效提高了检测平台对恶意应用识别的准确率。

3、动态感知技术。应用动态感知技术能够及时发现各种针对移动应用的攻击威胁与异常，能够全天候、全方位感知移动网络安全态势。

4、设备指纹技术。通过获取上网设备的软件、硬件、行为等多项属性信息生成全球***的设备ID，为每一个入网设备提供了虚拟空间的“身份证”， 在态势感知中引入设备指纹作为参考项，有助于精准识别设备上所有用户的操作轨迹，从而检测终端环境安全。

5、动静双引擎检测技术。基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎的移动软件检测方法构建大数据安全应用仓库。

B. 模式创新：

本项目“移动应用安全态势感知平台”，可供江苏省范围内的各农商行应用程序接入，并进行实时检测和监控，增加平台大数据信息，填补了在移动安全领域大数据研究的空白，可为其他金融机构借鉴。

技术实现特点

（1）可扩展的海量移动APP爬取、存储及分析。

（2）基于深度学习的动静双引擎检测技术。

（3）基于人工智能的威胁预警与态势感知。主要包括：a.强大的全网检测能力；b.全面的检测分析能力；c.数据挖掘与展示能力；d.安全威胁预警能力。

（4）设备指纹技术。

项目过程管理

项目各阶段的实施周期

本项目周期为1年，起止时间：2018年6月—2019年4月，采用日报\周报形式管理（见附件材料）。项目实施期限及工作内容如下表：

运营情况

该系统目前于沭阳农商行试点运行。

随着IT平台向纵深拓展，科技安全问题随之而来，基层法人基础安全设施薄弱，安全人才未经实战演练，安全系统建设同质低效。多个网内单位APP上线后因安全事故而下线，投入重资化为泡影响，已签约客户不断投诉。

今年以来，沭阳农商行致力IT架构转型，基础资源实现了由容器和私有云混架构，建成了关系型数据与分布式相结合的数据平台，应用由单向输出型向客户交互式转型。

在此背景下，省联社推出移动应用安全态势感平台，为基层法人提供网内信息安全基础服务。选取沭阳农商行试点运行，在实际应用中共预警571次，阻断了红色攻击18次。

本项目主要服务内容有：移动态感SDK集成、APP安全加固、APP安全监测。本系统的优势主要体现在：

一是部署落地快捷。项目组人员经验丰富架构成熟，3天即完成了全系列APP集成加固工作，并纳入省联社信息科技部安全中心监测，节省了基层法人的时间和资金成本，仅此一项为沭阳农商行节省安全成本达60万元，上线时间提前3个月。

二是预警覆盖广泛。预警模型建立在AI算法，对前中后流程跟踪，不仅能够对已知攻击类型进行分类，而且能够感知判断新型恶意攻击行为。

三是分类策略精准。预警分为红黄蓝，用户可以根据自身情况，定制处置策略，红色预警可融断访问链路。

四是态势感知灵敏。预警自动处理集成攻击的类型及分布的物理区域，对集团作案可快速提供线索，锁定目标。

项目成效

有效提高移动网络安全及预警的应用水平，提高省联社移动网络信息安全保障水平。采集准确移动威胁数据为科技安全管理部门提供属地化的移动互联网安全全景视图，保障省联社和下属农商行的移动APP安全性，及时发现并防止漏洞等威胁扩散，避免各农商行及客户损失。净化移动网络空间，具有良好的社会效益。

同时针对支付技术的完善，移动社交、消费表现出常态化，以行为分析、用户画像、精准营销等技术，在移动金融服务快速增长、确保在激烈的市场竞争中将处于优势地位，将数据作为战略性资产予以分析利用，提升了业务拓展能力。

经验总结

本项目“移动应用安全态势感知平台”采用网络安全行业的服务模式，可广泛使用于银行，防范自动化攻击、薅羊毛等风险。

通过建立移动威胁态势感知系统，获取精准的数据详情，展示事件全过程。安全人员等可根据数据详情内容进行威胁原因分析、定位威胁源。包括全过程的客户端威胁事件监控、可持续自适应的终端环境安全检测、可视化埋点与多维数据统计、实时守护进程与场景定制化策略等。

同时，建立移动威胁态势感知系统，可有效提高省联社安全水平，为开发团队在威胁预测、版本升级、风险项目解决等多方面提供了数据化的支撑，能有效帮助安全人员、运维人员及开发人员等*****时间了解到自身APP的威胁程度，从而*****时间找到解决方案。通过云服务以接口方式，可供省内农商行接入，从移动安全源头、传播路径和监管角度等方面，共建和分享移动安全技术成果，从单点防御到产业链协作。

此外，围绕用户行为进行分析，能够提供丰富的数据信息，让决策人员对产品所切入的市场判断更准确，让市场推广人员精细化评估渠道质量，让产品设计人员准确获悉用户行为路径转化、产品改版优良等对产品的影响几何，让运营人员做精准营销并且评估营销结果。通过各方面实现业务增长，增强获客及营销能力

所以，该项目具有较强的推广性。

本文由2018年度农村金融科技创新优秀案例评选组委会授权发表，转载请注明出处和本文链接。