案例名称

面向金融行业的移动应用安全风险监测案例

案例简介

本项目通过在移动应用中植入威胁情报探针并结合网络镜像流量方式，利用应用运行过程中设备、系统、应用、行为四个维度数据，将其与设备的关键因子关联生成唯一的移动设备指纹；对手机银行等应用资产进行资产台账梳理；结合服务端大数据分析平台的各种模型规则分析，实时监测移动应用各种运行态攻击，对终端环境风险、敏感数据风险、攻击行为风险等进行有效的监测、预警和溯源；通过事前定制的各类安全控制策略，能够在第一时间处理各类安全攻击行为,同时提供威胁数据查询能力和推送情报接口，支持接入相关系统，使安全情报信息形成闭环。项目覆盖安卓、iOS、Web/H5、公众号、小程序，可有效侦测模拟器、刷机改机、root越狱、劫持注入等涉诈风险。

创新技术/模式应用

一、基于端到端关联的安全风险监测

图一 基于端到端关联的安全风险监测

端到端指是将客户端侧的风险情报和服务端侧的风险情报相结合，形成“风险访问环境+风险访问行为”更为完整的风险情报链条，充分收集资产访问终端和服务端资产的安全风险情报数据并进行关联，结合多维度的数据准确还原具体的攻击场景。通过实时流量风险分析与实时终端风险分析引擎，实现毫秒级检测攻击行为；准实时关联分析秒级判定综合一个设备多个维度信息，进行更深层次的设备风险判定；结合服务端大数据分析平台的离线团伙关联分析深度挖掘作案团伙，批量输出团伙作案信息。同时，可进一步挖掘设备、黑产团伙、风险涉案主体等之间的关联关系，形成知识图谱，对精准、有效打击涉赌涉诈产业链具有重大意义。

二、基于空间转换的多维特征匹配指纹查询技术

图二 基于空间转换的多维特征匹配指纹查询技术

移动设备特征以字符串或者字符串数组为主，核心计算任务是字符串比较，其核心在于将基于字符串的多维特征空间转换成基于整型的弱等价空间，通过哈希算法实现字符串特征空间到整型特征空间的映射，在进行搜索时，首先在弱等价整型特征空间进行搜索，如果搜索结果为空值或单值，则直接返回；否则对该子空间对应的原始空间进行搜索，基于此项技术，可以实现海量多维度数据向量的高效搜索。

三、基于BPE特征分类的API资产识别技术

图三 基于BPE特征分类的API资产识别技术

本技术主要通过三步进行API资产的精准识别：第一步是BPE特征的提取，利用BPE算法将URL字符串分解为更小词汇单元，相比仅使用字符级特征，提供更丰富的特征表示；第二步是海量的词汇训练BPE算法，采用公开WIKI数据集训练BPE算法，它能够处理未见过的词汇，同时会将未知的词拆分为已知的较小词汇单元，进而提高对新数据的泛化能力，特别是对于长尾词汇和罕见词语；第三步是实时API资产发现，利用BPE算法生成的特征来训练XGBoost模型，并将其应用URL槽位识别任务，从而实现API资产实时发现。

项目效果评估

一、基于端到端关联的安全风险监测

通过端到端的风险监测模式，形成更为完整的安全攻击链条，解决了偏重于某个单维度风险数据的安全监测，以及在安全监测场景中安全攻击决策证据不够、溯源深度不够等痛点问题。

新监测模式取得以下优势：其一，风险发现更全。从设备前端风险、用户/设备/IP访问行为风险层面全面监测风险，有效发现人脸绕过、脱离原生应用刷接口、屏幕共享诈骗等近年来典型攻击场景。其二，攻防闭环对抗能力更强。新监测模式能够有效发现探针剥离、探针数据造假、伪造原生应用刷接口等黑灰产试图绕过防护的行为。

二、基于空间转换的多维特征匹配指纹查询技术

随着手机操作系统的不断演进，设备特征向量的选取也会不断发生变化，因此设备特征向量相似度的高效比较，或者在海量数据中基于相似度的设备特征向量的快速搜索，成为解决设备指纹问题的关键技术，基于空间转换的多维特征匹配指纹查询技术能很好的解决这一问题。

在相同的测试场景下，并发请求数为10，总请求数为100万，旧技术采用直接进行设备特征向量的逐项匹配，新技术采用基于空间转换的多维特征匹配。通过对比可知，新技术使得每个请求的处理耗时从0.97毫秒降低到了0.31毫秒，由此可见新技术在海量数据中能够完成快速搜索性能更加优异。

三、基于BPE特征分类的API资产识别技术

本技术解决了如何自动识别HTTP请求中URL中参数，将API资产识别中，完成资产高效合并的问题。

首先收集训练样本数据采用三类：其一是正样本，随机串，数据量100万；其二是负样本，维基百科词汇，数据量2800万；其三是测试样本，脱敏数据，数据量为50万。接下来，进行特征构建。然后，训练样正负样本的比例，最理想的情况是正样本与负样本的分布遵循线上URL里面随机串与非随机串的比例暂定为1:7。最后，得到模型训练和评估结果是：准确率是99.11%, 召回率是98%，新技术相比较于基于阈值的方式，召回率提升12%，准确率提高23%。综述，新技术具有较好的准确率与召回率，为快速精准发现API资产提供算法支持。

项目牵头人

李北川 邮储银行软件研发中心副处长

项目团队成员

田猛、段向欢、张国峥、董卉、韩硕、黄一飞、侯晓晨

责任编辑：王煊