基于多維度數(shù)據(jù)分析的移動威脅感知平臺建設(shè)

計晨曉+霍旺+包森成

【摘要】 隨著信息技術(shù)的發(fā)展，移動App應(yīng)用鑒于其便捷、快速、高效的特點，已成為人們的工作、學(xué)習(xí)以及日常生活中不可或缺的重要組成部分。但隨著國內(nèi)外網(wǎng)絡(luò)安全形勢不斷復(fù)雜化，以及缺乏對移動應(yīng)用擁有針對性的安全管理平臺，造成針對移動應(yīng)用攻擊事件接連頻發(fā)。本文將對基于D-S模型的移動應(yīng)用的威脅感知平臺進行相關(guān)介紹，該平臺對移動應(yīng)用APP的安全威脅源進行精準探知，定位移動端風(fēng)險并進行分析與控制，它彌補了傳統(tǒng)安全管理模式中存在的漏洞，是一種創(chuàng)新而高效的移動端應(yīng)用APP精準安全管理平臺。

【關(guān)鍵字】 D-S 威脅感知平臺 威脅精準探知 風(fēng)險分析與控制

Construction of Mobile Threat-Awareness Platform Based on Multi-Dimensional Data Analysis（China Mobile communication group Zhejiang Co.， Ltd.，Zhejiang、310000）

Abstract：Information Technology is now experiencing an unprecedented rapid development， due to its nature of being convenient， efficient and as the core of information technology， mobile application inevitably has become an indispensable part of peoples daily work and study life. However， on account of its technological immaturity， and lack of a mobile applications targeted security management platform， have resulted in a significant number of user privacy leaks， corporate financial lost， and damaged interests， and have caused an incalculable impact on our society.This paper will introduce the D-S Model-based Threat-Awareness Platform of Mobile Application. By data mining and analyzing the mobile terminal threat， this security platform not only provides users with relevant threat intelligence information but also indicates the source of the threat with accurate positioning and control.All in all， Threat-Awareness platform is an innovative and efficient mobile security management platform that can close the loopholes which traditional security management architectures have failed to do so.

KEY words： D-S MODEL， Threat-Awareness Platform， Precise Threat Detection， Risk Analysis and Management.

一、背景和意義

隨著移動互聯(lián)網(wǎng)時代的到來，浙江省移動公司CRM系統(tǒng)的移動APP辦公模式正在逐漸取代傳統(tǒng)柜臺式服務(wù)模式，該模式極大的提升了業(yè)務(wù)人員的辦公效率和展業(yè)效率。但是隨著國際、國內(nèi)移動應(yīng)用環(huán)境的不斷復(fù)雜化，移動APP應(yīng)用的攻擊事件呈快速增長趨勢。針對CRM系統(tǒng)移動APP自身業(yè)務(wù)層面的違規(guī)操作和攻擊事件始終未曾停止過，雖然APP在最初設(shè)計中已經(jīng)進行了一定的安全防護措施，但依然存在諸多異常數(shù)據(jù)無法精準判定，主要表現(xiàn)在：同一UUID對應(yīng)多個員工賬號，賬號存在跨區(qū)域業(yè)務(wù)辦理；業(yè)務(wù)辦理過程中提交的數(shù)據(jù)不完整，存在某些字段為空的違規(guī)數(shù)據(jù)形式；部分賬號在同一時間進行業(yè)務(wù)辦理，同一賬號會在一次操作中進行多次業(yè)務(wù)辦理，存在多賬號辦理業(yè)務(wù)時間間隔相同等等。從后臺數(shù)據(jù)中雖然可以確定存在異常信息，但是缺乏專業(yè)的分析系統(tǒng)和分析人員，導(dǎo)致無法定位異常信息的來源和攻擊形式。

我公司曾經(jīng)對異常數(shù)據(jù)進行排查，發(fā)現(xiàn)大部分緣由是一些員工或者代理公司進行違規(guī)操作而造成。信安部結(jié)合相關(guān)業(yè)務(wù)部門通過明察暗訪確實發(fā)現(xiàn)下屬員工和代理公司存在通過手機模擬器軟件進行批量業(yè)務(wù)操作的行為，也發(fā)現(xiàn)代理公司購買外掛、位置造假等軟件進行違規(guī)業(yè)務(wù)辦理操作，甚至還有部分員工非法購買個人信息進行批量性的黑卡辦理操作從中謀取暴利。以上行為不僅影響了公司業(yè)務(wù)系統(tǒng)的正常運行，而且黑卡流入社會為電信欺詐提供了賴以生存的沃土，不但影響移動公司的形象，也對人民群眾的生命財產(chǎn)安全造成嚴重威脅。

同時G20峰會的召開，保證峰會期間移動CRM系統(tǒng)的安全運行至關(guān)重要。

二、項目特點及主要技術(shù)功能介紹

針對日益復(fù)雜和難以界定（比如：批量注冊、刷單）的移動平臺攻擊，依靠單一技術(shù)或簡單規(guī)則來發(fā)現(xiàn)阻斷攻擊己經(jīng)不可能實現(xiàn)，防御的最佳策略是及早發(fā)現(xiàn)并實時響應(yīng)。通過在移動平臺上多維度多層次采集數(shù)據(jù)，構(gòu)建基于多維度取證和響應(yīng)同時交互進行的防御架構(gòu)，不僅可以提高取證分析追溯能力，還能更好的彌合主動取證和快速響應(yīng)之間的安全間隙。充分考慮時間跨度，提出一種狀態(tài)加響應(yīng)的證據(jù)鏈取證方法，對這種證據(jù)鏈進行有效保存和深度挖掘，從而更好的解決一些持久的入侵取證分析。利用D-S證據(jù)理論對取證數(shù)據(jù)進行有效處理，更加有利于進行精準的預(yù)測和高效的決策。通過構(gòu)建與浙江移動業(yè)務(wù)強關(guān)聯(lián)的威脅檢測模型，盡可能早的發(fā)現(xiàn)潛在的安全威脅并迅速采取響應(yīng)，將類似黑卡、信息偽造等復(fù)雜攻擊帶來的損失減小到最低甚至阻止其發(fā)生。

2.1基于終端多維度多級的信息采集

終端多維度多級信息采集采用“采集器”和“傳感器”相結(jié)合的信息采集模式，采集器實時將數(shù)據(jù)上報傳感器，并由服務(wù)器集群進行快速的數(shù)據(jù)分析，進行可疑行為的判斷與定位。利用終端多維度數(shù)據(jù)采集主動發(fā)現(xiàn)可疑行為并迅速采取應(yīng)急響應(yīng)是更早發(fā)現(xiàn)威脅的最佳途徑，該途徑還可以將威脅的影響大幅度減小。由于移動市場的復(fù)雜化，終端的多樣化，確保每個終端進行有效的取證和響應(yīng)存在很大的難度。終端取證采用多維度終端取證和響應(yīng)相結(jié)合可以盡可能的構(gòu)建及時的安全分析及響應(yīng)體系。

在預(yù)防和檢測移動威脅方面，通過不同安全分析模塊對數(shù)據(jù)進行分析和處理，從而可以快速的發(fā)現(xiàn)威脅事件。由于采用取證加響應(yīng)的模式收集證據(jù)，使得證據(jù)鏈在時間上有一定的跨度，從而保證在長時間持續(xù)性的進行分析和保護。

在攻擊證據(jù)追蹤方面，基于層次化的證據(jù)鏈收集方式（對C&C流量分析），有利于還原攻擊場景，定位威脅源位置。各級的證據(jù)數(shù)據(jù)庫提供了大量的生動的證據(jù)鏈，短時間內(nèi)只需在對不同時期，不同位置的證據(jù)鏈進行關(guān)聯(lián)分析，就可以快速確定威脅形式?；陂L時間的證據(jù)鏈匯總和采用先進的算法，可以還原攻擊的每個細節(jié)。

2.2證據(jù)鏈模型

證據(jù)鏈是由取證狀態(tài)和響應(yīng)動作共同構(gòu)成，能夠有助于更好的還原整個攻擊的完整過程。同時，取證狀態(tài)和響應(yīng)動作相互配合，可以最大限度的將攻擊的危害減小到最小。終端取證可以發(fā)現(xiàn)如可疑的應(yīng)用操作、可疑應(yīng)用權(quán)限、可疑的系統(tǒng)調(diào)用等值得注意的變化。響應(yīng)動作可以采?。簶?biāo)記可疑目標(biāo)為不信任、進一步審計、生成攻擊記錄、進一步篩查可疑文件、迅速定位可疑狀態(tài)來源、可阻止運行。終端取證和終端響應(yīng)相互配合，相互聯(lián)動是形成證據(jù)鏈的根本。

證據(jù)鏈的形成過程主要是依據(jù)終端取證和響應(yīng)發(fā)生的時間節(jié)點作為依據(jù)，充分考慮運用證據(jù)鏈在恢復(fù)攻擊場景時的作用（如圖1所示）。對于終端取證每發(fā)現(xiàn)到一個可疑改變時做出詳細的時間記錄，可以更好在以后的有關(guān)證據(jù)的整合、最新攻擊的查找定位中起到很好的作用。對于響應(yīng)的時間記錄可以有助于分析哪些響應(yīng)更加有效和有針對性。

證據(jù)鏈的分析主要是依據(jù)取證和響應(yīng)的時間跨度進行分析，同時也是發(fā)生在每一級端點的分布式分析。如果取證發(fā)現(xiàn)的最新的可疑行為與系統(tǒng)已存在文件之間有關(guān)聯(lián)時，可以通過這個已存在文件的加載時間，在防御系統(tǒng)中查詢這一時間段的己經(jīng)發(fā)現(xiàn)并存儲的攻擊證據(jù)鏈，能夠更加精確定位到威脅的來源并迅速采取相應(yīng)的措施。同時通過一些指標(biāo)的分析確定系統(tǒng)所處的安全環(huán)境和防御的有效性。

同時，取證的證據(jù)還包括：不同攻擊的安裝模塊、技術(shù)細節(jié)和認證形式，分析它們之間的聯(lián)系和相關(guān)性等信息，尤其是通過對認證形式的分析找出可疑的事件。C &C通信的細節(jié)也是取證的關(guān)鍵，可以判斷出攻擊端的通信網(wǎng)絡(luò)模式（WiFi， 4G） ，使用的終端類型，終端系統(tǒng)版本等信息。

2.3 D-S綜合決策模型

D-S綜合決策模型是對不斷收集到的證據(jù)鏈，通過一定的規(guī)則和函數(shù)高效的利用取證和響應(yīng)信息，并將診斷對象對安全運行狀態(tài)變化的敏感程度設(shè)置為閾值；得到的可疑威脅特征構(gòu)成識別診斷對象安全狀態(tài)的證據(jù)。利用D-S證據(jù)理論構(gòu)建證據(jù)融合診斷決策模型對所獲取的證據(jù)進行處理，從而達到對這些證據(jù)鏈進行融合處理與分析的目的；最終通過對比事先商定并可以不斷改進的診斷策略規(guī)則和可調(diào)整的閾值得出診斷結(jié)論。

2.3.1基于證據(jù)鏈的決策步驟

利用三級端點取證和響應(yīng)系統(tǒng)，可以獲得大量的信息，基于D-S的證據(jù)理論可以更好的將這些信息進行有效的利用。結(jié)合D-S證據(jù)理論決策融合的基本過程和威脅感知的信息融合結(jié)構(gòu)，可以得到D-S證據(jù)理論信息融合威脅診斷方法的步驟（如圖2所示）：

1）確定攻擊威脅空間在查閱目標(biāo)保護端點上的各類審計信息的基礎(chǔ)上，統(tǒng)計曾經(jīng)發(fā)現(xiàn)過的攻擊的具體活動方式和前期威脅特征（比如訪問終端變化，權(quán)限的更改，關(guān)鍵系統(tǒng)資源的非法訪問等等）；然后把這些前期特征和實施方式歸納為若干個典型的威脅類型（刷單、信息造假等）；最后，由這些典型的攻擊威脅類型構(gòu)成“攻擊威脅空間”。

2）確定攻擊威脅空間，利用三級端點取證和響應(yīng)系統(tǒng)當(dāng)前獲取的證據(jù)鏈信息，首先，結(jié)合一定的規(guī)則將證據(jù)鏈拆分成孤立的威脅特征，形成“攻擊威脅空間”中的各種威脅特征并關(guān)聯(lián)到已經(jīng)知道的攻擊方式。然后進一步結(jié)合審計系統(tǒng)細化攻擊特征構(gòu)造各種“攻擊威脅特征子集”，同時形成“攻擊威脅空間”。

3）選擇證據(jù)體利用攻擊威脅特征子集，結(jié)合識別框架中各種攻擊的特點，從不同側(cè)面構(gòu)造能夠識別“診斷對象信息系統(tǒng)”安全狀態(tài)的證據(jù)體。證據(jù)體的選擇主要追溯攻擊源頭，為查找攻擊規(guī)律提供便利。這些證據(jù)體主要是三級端點取證和響應(yīng)系統(tǒng)獲取經(jīng)過處理的證據(jù)鏈，歷史數(shù)據(jù)等。

4）確定出各證據(jù)的基本可信度，并分配在深入分析各證據(jù)與識別框架中各命題對應(yīng)關(guān)系的基礎(chǔ)上，結(jié)合具體的安全管理策略，安全管理策略和相關(guān)參數(shù)可以不斷優(yōu)化和動態(tài)調(diào)整。綜合采用多種確定證據(jù)可信度的方法如專家打分法、概率統(tǒng)計法等，計算出各個證據(jù)對識別框架中各命題的支持程度。

5）分別計算各證據(jù)的信度函數(shù)和真度函數(shù)利用各證據(jù)體的基本可信度分配計算出各命題的信度區(qū)間，對于己經(jīng)發(fā)現(xiàn)的運用次數(shù)較多的證據(jù)體可信度數(shù)值自然比較高。

6）得出診斷結(jié)論是根據(jù)攻擊影響的范圍和被攻擊目標(biāo)的重要程度等因素綜合考慮，制定一套診斷決策規(guī)則，利用診斷決策規(guī)則對命題的融合度區(qū)間進行分析，得出診斷結(jié)論的具體內(nèi)容和詳細程度 。

2.3.2分層式信息關(guān)聯(lián)

根據(jù)融合體系的結(jié)構(gòu)及算法，最終設(shè)計出分層式信息融合決策程序模塊，主要包括單獨證據(jù)體作用下的信度空間計算模塊、證據(jù)體聯(lián)合作用下的信度空間計算模塊、決策模塊（如圖3所示）。在單獨證據(jù)體模塊中主要包含：多級證據(jù)體分析結(jié)果信度空間，歷史數(shù)據(jù)證據(jù)體信度空間和專家經(jīng)驗證據(jù)體信度空間。其中多級證據(jù)鏈分析結(jié)果可信度空間是有每一級端點取證和響應(yīng)最新提交的證據(jù)鏈，這些都是在歷史證據(jù)體空間無法找到的攻擊威脅征兆。歷史數(shù)據(jù)證據(jù)體信度空間包含了每級證據(jù)鏈數(shù)據(jù)庫中的已知的攻擊威脅征兆，專家經(jīng)驗證據(jù)體就是識別框架。

首先，求出單個證據(jù)體作用下的基本可信分配度mi（Fj）和信度空間[[Beli，Pli]；然后，根據(jù)D-S證據(jù)理論的合成規(guī)則和單個證據(jù)體作用下的基本可信分配度mi（Fj）和信度空間[[Beli，Pli]計算多個證據(jù)體聯(lián)合作用下的基本可信分配度m（巧）和信度空間[Be1，P1}。最后，決策模塊可以根據(jù)適當(dāng)?shù)臎Q策規(guī)則給出系統(tǒng)安全狀態(tài)的結(jié)果。

三、平臺建設(shè)整體架構(gòu)及實施

3.1數(shù)據(jù)收集、威脅分析、策略保護三位一體

建設(shè)以“數(shù)據(jù)收集、威脅分析、策略保護”三位一體的移動威脅感知平臺。平臺采用C/S架構(gòu)，通過嵌入探針的方式對終端數(shù)據(jù)進行收集與歸類分析，同時采用后臺數(shù)據(jù)共享機制將業(yè)務(wù)日志數(shù)據(jù)共享到感知平臺；根據(jù)特定分析規(guī)則以及各類社工庫進行異常數(shù)據(jù)分析和比對，并對異常數(shù)據(jù)進行統(tǒng)計、分類展示以及攻擊詳情描述，使管理者通過圖像展示即可知曉攻擊者采用的攻擊方式以及攻擊源頭；通過感知平臺中的管控中心對分析出的攻擊行為進行業(yè)務(wù)層面的策略保護，提升業(yè)務(wù)操作的合理性。

圖4為由數(shù)據(jù)收集、威脅分析、策略保護模塊組成的移動威脅感知系統(tǒng)架構(gòu)示意圖。

3.2后臺數(shù)據(jù)采集架構(gòu)

后臺數(shù)據(jù)采集和處理架構(gòu)主要分為數(shù)據(jù)源、預(yù)處理層、邏輯處理層以及持久層四大方面。移動威脅系統(tǒng)通過探針方式將Agent中的報文信息傳輸?shù)筋A(yù)處理層進行排隊處理。預(yù)處理層的主要作用是報文的加解密以及完整性檢查，同時也可針對數(shù)據(jù)負載狀況進行橫行增加，預(yù)處理層有多個消息隊列，將不同的報文合理分配到不同的消息隊列中，方便后續(xù)邏輯處理層處理數(shù)據(jù)；邏輯處理層采用Stom邏輯處理集群和離線分析及數(shù)據(jù)顯示。Stom主要處理實時數(shù)據(jù)，其由supervisor和worker組成，worker主要負責(zé)完成計算任務(wù)，supervisor主要負責(zé)管理和分配worker。離線分析系統(tǒng)主要負責(zé)非實時業(yè)務(wù)，例如統(tǒng)計、數(shù)據(jù)挖掘等業(yè)務(wù)，并進行數(shù)據(jù)顯示。持久層由數(shù)據(jù)庫和日志系統(tǒng)組成，主要目是進行數(shù)據(jù)的存儲和日志的管理，并通過業(yè)務(wù)服務(wù)進行策略相應(yīng)業(yè)務(wù)。

圖5是數(shù)據(jù)采集及處理流程示意圖。

3.3威脅感知平臺助陣G20峰會

為了保證G20峰會期間CRM業(yè)務(wù)系統(tǒng)運行的安全，梆梆安全協(xié)助我公司在G20峰會前期完成了威脅感知平臺的構(gòu)建，以及嵌入探針的CRM 移動APP在全省業(yè)務(wù)員辦公終端的推廣安裝。通過探針可實時收集CRM終端上報的可疑數(shù)據(jù)并對數(shù)據(jù)進行事前分析和歸類；通過關(guān)聯(lián)分析已經(jīng)明確發(fā)現(xiàn)業(yè)務(wù)操作中存在設(shè)備復(fù)用、模擬器攻擊、位置欺詐等攻擊行為并進行事中告警。在事后威脅感知平臺采用圖形化展示的方式對告警信息、攻擊信息、攻擊路徑以及策略相應(yīng)進行了詳細描述。為CRM移動 APP在峰會期間的安全運行提供了有力保障，完善的告警信息也為業(yè)務(wù)部門分析業(yè)務(wù)操作中存在的異常數(shù)據(jù)提供了依據(jù)，并為問題的快速定位以及針對性解決奠定了基礎(chǔ)。

圖6是G20峰會實行的全面威脅感知布控圖。

四、主要創(chuàng)新點

威脅感知平臺基于D-S綜合決策模型進行設(shè)計，實現(xiàn)攻擊威脅的精準識別，提高了診斷系統(tǒng)對威脅類型和攻擊類型的分類識別能力，其主要優(yōu)勢如下：

1）可以解決單一證據(jù)體進行診斷難以得出診斷結(jié)論的問題。通過多維度分析，觀察加載在端點上各個功能，審計終端系統(tǒng)中的可疑動作獲得不同種類的證據(jù)體。對不同種類的證據(jù)體綜合分析更容易得出結(jié)論。

2）在多種證據(jù)的融合作用下，信度區(qū)間范圍和證據(jù)的不確定度會明顯減小。表明這種模型能夠更加準確的找出潛在的攻擊威脅，并且更加精確的分析威脅的相關(guān)特征。

3）隨著證據(jù)鏈的數(shù)量和證據(jù)體種類的增多，診斷結(jié)論的可信度值隨之增大。表明隨著取證和響應(yīng)系統(tǒng)的持續(xù)運行，這種診斷的準確度和可靠性也越來越高。

威脅感知平臺在CRM 移動APP中已經(jīng)實現(xiàn)全省推廣，通過威脅感知系統(tǒng)的數(shù)據(jù)收集與分析，精準定位移動應(yīng)用業(yè)務(wù)層面問題，該方式在沿海地區(qū)乃至全國都是首次嘗試。該平臺的建立彌補了傳統(tǒng)網(wǎng)絡(luò)管控平臺缺乏移動應(yīng)用數(shù)據(jù)分析的不足。從數(shù)據(jù)分析角度來說問題定位精準、事件描述清楚、策略響應(yīng)精確；從實現(xiàn)效果角度來說事件數(shù)據(jù)展示簡潔明了，完全符合平臺建設(shè)需求。

五、實際應(yīng)用效果總結(jié)

從8月12日上線至今移動威脅感知平臺已經(jīng)在我省移動營業(yè)廳全面推廣使用，終端使用量超過4萬臺，累計發(fā)現(xiàn)異常事件上萬例。成功的保障了G20峰會期間我公司CRM系統(tǒng)的正常運行，同時也保障了營業(yè)客戶數(shù)據(jù)和業(yè)務(wù)流程的安全，也為我們今后采用新技術(shù)彌補傳統(tǒng)技術(shù)和管理模式存在的漏洞打下良好開端。

5.1提升了威脅預(yù)知能力以及極大縮短了處理問題時間

通過構(gòu)建移動威脅感知平臺對CRM移動 APP中存在的違規(guī)操作進行合理分類和匯總，采用關(guān)聯(lián)分析的方式確定攻擊模式和攻擊源信息。攻擊事件的定位、分析、解決時間周期由原來的“天”變成了現(xiàn)階段的“分鐘”，時間處理周期縮短了5倍以上。重大事件的定位縮短到了半個小時以內(nèi)，極大提升了業(yè)務(wù)安全防護能力的速度和精度。

5.2符合業(yè)務(wù)建設(shè)目標(biāo)

構(gòu)建移動威脅感知平臺的主要目的是對CRM移動APP業(yè)務(wù)辦理中存在的違規(guī)行為和安全事件時進行精準定位和分析，迅速確定攻擊形式和攻擊源。

圖7為近期針對CRM 移動APP在業(yè)務(wù)辦理中的異常數(shù)據(jù)的匯總與分析，攻擊類型主要集中在設(shè)備復(fù)用、位置欺詐和模擬器。設(shè)備復(fù)用事件主要來源是業(yè)務(wù)人員在進行業(yè)務(wù)操作時隨意修改手機硬件信息如MAC、IMSI、UUID等；位置欺詐事件主要來源是業(yè)務(wù)人員通過定位軟件隨意修改地理位置；模擬器事件主要來源是業(yè)務(wù)人員通過手機模擬器軟件進行電腦自動化操作。

省公司通過平臺中策略保護的方式對特定的攻擊事件進行策略控制。策略生效后，凡使用在模擬器上的CRM移動APP將會被強制退出。策略設(shè)定后平臺維護人員明顯觀察到業(yè)務(wù)人員通過模擬器操作CRM移動APP的非法行為直線下降。（圖8為策略設(shè)定，圖9為策略響應(yīng)）

從感知平臺的數(shù)據(jù)分析與運行效果來看，平臺能完成對異常業(yè)務(wù)數(shù)據(jù)的分析和定位，使字符形式的異常數(shù)據(jù)通過圖表格式直觀的展現(xiàn)在平臺維護人員面前。