基于軟探針的智能機頂盒安全監測方案

黃 超

（北京歌華有線電視網絡股份有限公司，北京 100007）

1 研究背景

廣電與新技術的融合日益深化，正從高清化、網絡化、互動化向超清化、智能化、IP化、移動化升級，以互聯網、物聯網、大數據、云計算、人工智能為代表的信息技術正加速與廣播電視融合。有線電視不能再簡單定義為通過專用有線廣播網絡提供電視服務，除了有線電視服務，還包括IP視頻點播、互聯網接入、云服務和應用、智能家居、智慧社區、5G通信服務、大數據服務等。在此過程中，各類智能機頂盒的使用越來越普及，豐富的功能、便捷的業務開發模式，已使其經成為廣電、電信運營商及互聯網視頻服務提供商的首選終端設備。

目前，國內智能機頂盒普遍采用智能操作系統（安卓或者TVOS）。智能操作系統最大特點便是開放性、兼容性，擁有豐富的可選應用軟件，滿足用戶個性化和多樣化使用需求，用戶可以簡單便捷地完成應用軟件的安裝、更新和卸載操作[1]。對海量的可選應用軟件在安裝前完成詳細安全性篩查變得非常困難，安裝這些應用軟件也可能將安全隱患引入智能機頂盒[2]。安裝非法應用軟件、隱匿訪問非法網站、非法獲取用戶數據等安全問題，將使智能機頂盒面臨著巨大的安全挑戰。

2 智能機頂盒安全問題現狀

作為用戶側終端設備，智能機頂盒的業務涉及音視頻內容展示、多媒體應用、軟件游戲、網絡接入等多個方面，其安全性直接關乎業務運營和用戶數據的安全，同時也是廣播電視安全播出的重要一環。

智能機頂盒大致可以劃分為硬件層、系統層、用戶數據層、應用層。硬件層一般包括主芯片、內存、Flash、網絡模塊、回傳通道、視音頻輸出、電源、主板、紅外藍牙接收模塊等；系統層主要是指智能操作系統；應用層一般包含直播、時移、回看、點播、網頁類交互應用和各類下載安裝APK智能應用。如圖1所示。

圖1 智能機頂盒一般層級結構

常見的智能機頂盒安全威脅來自以下幾個方面。

（1）安卓智能操作系統漏洞導致的安全風險。由于安卓智能操作系統平臺各層級大量復用不同代碼，經常出現各類漏洞，如應用反編譯漏洞實現軟件破解并插入惡意代碼；利用數據的存儲與傳輸漏洞竊取敏感信息，篡改配置文件等。有些開發者會利用系統漏洞有目的地引用一些木馬或留有后門，還有些開發者因水平有限導致開發的應用本身就存在安全漏洞。

（2）第三方應用軟件導致的安全風險。除了運營商為機頂盒管理預制的軟件，用戶一般還會自行選擇安裝大量應用軟件，部分軟件可能存在安全漏洞或被嵌入木馬。通過應用商店安裝第三方應用軟件是一種通用手段，由于各個應用商店的技術水平和監管水平不一致，也沒有統一安全標準，有可能讓存在安全隱患的應用軟件進入智能電視應用商店。

（3）機頂盒服務端口異常導致的安全風險。機頂盒設備在正常的業務端口和管理端口外，可能會由于疏忽開放了一些不必要的存在安全隱患的服務端口，比如，TELNET端口、ADB端口、SSH端口等。

以上這些風險可能帶來的危害有：通過應用軟件非正當渠道獲取非法內容；第三方應用攜帶木馬病毒；竊取用戶的個人信息；遠程操控智能機頂盒；破壞智能機頂盒的軟件或硬件系統；用戶私有數據丟失。

因此，運營商在智能機頂盒研發之初就需要從硬件、系統、軟件應用、網絡等多個層面設計不同的安全防護策略，比如，機頂盒硬件安全性設計、軟件啟動安全校驗、升級軟件下載安裝校驗、應用軟件安裝簽名校驗、網絡接入身份認證等。除了安全防護策略，智能機頂盒還應建立有效的終端安全監測手段，以防漏網之魚，能夠在線監控智能機頂盒的安全狀態，一旦出現終端安全風險，能夠快速發現并及時處理。

3 基于機頂盒軟探針的終端安全監測與防護

3.1 監測系統架構

機頂盒軟探針軟件系統主要包括云端軟探針監測平臺和軟探針終端軟件兩部分。云端軟探針監測平臺包括業務探測層、接口適配層、系統應用層、系統展現層，通過指定通信協議（如TR069等）完成對其所轄范圍的機頂盒軟探針終端軟件進行配置管理、告警和QoS/QoE數據采集等，并將其所轄范圍內的QoS/QoE匯總數據上傳給平臺的控制管理中心，做進一步的匯總關聯和統計分析處理。云端軟探針監測平臺實現對軟探針的統一管理，對關鍵KPI數據進行采集和關聯分析，快速定位故障，并自動生成各種統計報表。

圖2 監測系統架構圖

軟探針終端軟件是一種安裝在智能機頂盒上的APK軟件，其中包含的軟探針安全軟件模塊可以根據安全監測的需要，對進出機頂盒網口的所有IP流量進行被動監測和抓包，自動識別視頻與網絡數據，并對其進行各項參數統計，定期將這些統計參數通過指定通信協議（如TR069等）上報到云端軟探針監測平臺的數據采集服務器。機頂盒軟探針安全模塊采集的數據主要來源于智能機頂盒底層播放器、網路接口和智能操作系統。通過實時抓取和分析網絡報文，獲取所有網絡環境數據；通過機頂盒系統提供的相關接口，采集系統內存、CPU、網絡連接方式等機頂盒系統數據；通過平臺主動下發網絡診斷任務，采集相應的任務執行結果，即網絡探測數據，按監測平臺需求對網絡環境數據、機頂盒系統數據和網絡探測數據進行預處理后上報到監測平臺，為定位智能機頂盒安全問題提供可靠依據。

圖3 采集模式示意圖

3.2 安全監測與防護功能

機頂盒安全監測和防護目前通過機頂盒集成各個安全模塊實現的主要功能包括：IP地址掃描、系統端口掃描、APK應用程序掃描、機頂盒遠程重啟或待機。

圖4 智能機頂盒集成安全軟件模塊示意圖

（1）IP地址掃描。自動對機頂盒訪問的所有網絡IP地址進行監測，對疑似非法公網IP地址進行告警上報。機頂盒軟探針基于PCAP庫捕獲網絡全量抓包數據、根據通信協議棧逐層解析Ethernet/IP/TCP，構建TCP流。然后依據協議端口確認當前流類型，如RTSP流、HLS流和EPG數據流等。與此同時，判定當前流的服務器側IP地址是否屬于“非法訪問IP地址”，如果屬于，則推送“非法訪問IP地址”告警給云平臺端軟探針監測平臺，由平臺根據預置策略進行相應處理。監測平臺“合法訪問IP地址”白名單配置一般可包括視頻CDN服務IP地址段、運營商自己云平臺各類應用、EPG服務器IP地址段等。

（2）系統端口掃描。對終端操作系統開放的端口進行掃描，對非法應用偵聽端口及進程進行告警。如果智能機頂盒內運行了非法軟件程序，那么非法軟件程序具備在任意時間點接收外部請求指令并執行相應非法操作的能力，此時設備就容易被挾持成為肉雞，形成巨大安全隱患。機頂盒軟探針長時間偵聽（LISTENING）智能機頂盒端口，基于Linux網絡指令可獲得系統偵聽的TCP端口和進程PID。基于進程查看指令可獲得活躍進程名稱（APK包名、后臺業務服務進程名）和PID的映射關系。將上述兩種數據進行關聯匯總可獲得到“APK+偵聽端口”的列表。軟探針可以根據監管策略，周期性地將該映射列表推送給監測平臺。

監測平臺已經根據預先提供的安全信息，生成APK和端口白名單。在收到“APK+偵聽端口”列表后，檢測平臺可以通過白名單逐一核對，判定異常APK偵聽告警。

（3）APK應用掃描。對機頂盒所有的APK應用進行掃描，對惡意或非法APK應用進行卸載。機頂盒軟探針基于進程查看指令獲得正在運行的后臺服務和APK名稱，基于Package（包）管理模塊接口獲得已安裝APK包列表。監測平臺采集已運行和已安裝的APK列表，基于預先設置的APK白名單進行檢查核對，當遇到未知APK時，觸發非法APK安裝和運行告警。

如果需要緊急卸載非法APK，監測平臺可通過加密指令通道下發APK卸載指令，完成非法APK的卸載工作。

（4）機頂盒遠程重啟或待機。針對法通過APK遠程管控等簡單措施停止非法軟件運行的情況，通過軟探針實現遠程機頂盒強制重啟或待機。當智能機頂盒出現無法通過APK遠程管控等簡單措施停止非法軟件運行的情況，管理員無法通過遠程控制關閉該非法后臺程序的顯示和運行時，可以通過軟終端前端監測平臺下發機頂盒重啟或者待機指令。

3.3 運行模式

上述軟探針在智能機頂盒后臺運行，不影響機頂盒的正常功能，CPU負載不超過5%（雙核1.5 GHz），內存消耗不超過總大小的5%（RAM 1 GB）；系統支持7×24小時持續運行，運行過程中CPU、RAM不會明顯增加。監測平臺可靈活設置軟探針的運行模式，包括以下三種模式。

（1）不上報模式。在該模式下軟探針不進行數據統計，不向平臺上傳監測數據，因此基本不會占用機頂盒CPU、內存和網絡資源。此時仍然接收模式狀態跟蹤信息，在平臺恢復采集模式后，可再次進行數據采集。

（2）日常采集模式。此模式主要用于預防性監測和維護，通過對所有軟探針上報的指標進行統計匯總，可發現潛在安全問題；在該模式下，軟探針每隔5分鐘（可配置）將告警和故障事件上傳到監測平臺，或者事件觸發實時上報。

（3）故障排查模式。此模式主要用于對某一特定用戶的故障排查和精準定位；在該模式下，軟探針每隔30秒（可配置）將當前網絡指標、告警和故障事件、上傳到監測平臺。該模式下，運維人員打開排查頁面后，可以查看到機頂盒當前顯示畫面并可以下發遠程遙控指令進行操作。畫面會跟隨操作進行切換，與用戶家庭觀看到的畫面保持一致。

4 結束語

隨著數字家庭概念的發展和推廣，智能機頂盒已經成為家庭中不可或缺的終端產品，未來還可能演變為家庭客廳的核心智能控制單元，除了可以實現視頻傳輸功能，也能夠向家庭中所有的智能設備提供一條集成的、綜合的通道，為各種其他智能設備提供服務，家庭智能機頂盒的重要性在不斷加強。隨著智能終端智能化、IP化升級，互聯網、大數據、云計算、人工智能為代表的信息技術正加速與廣播電視現有的智能機頂盒融合，廣電的智能機頂盒已經不再是安全避風港。機頂盒在設計、研發、運營之初就必須在安全方面多加考慮，為智能機頂盒滿足各類網絡應用場景做好充分的安全準備，加強運營安全管理，做到可用、可管、可控。本文闡述的基于機頂盒軟探針軟件系統，是實現智能機頂盒等智能終端產品安全監測和管理的有效手段之一，能夠在一定程度上有效防范和處理智能機頂盒的一些安全問題。■