IPV6環境下的APP動態安全防護

摘要：移動互聯網已經成為企業快速發展的重要渠道，但同時也給黑灰產業帶來了可乘之機。依靠龐大的IPv6地址庫和海量的設備資源，黑灰產業鏈變得越發成熟，對相關企業造成巨大的經濟和名譽損失。安徽移動在長期配合“斷卡”行動過程中深刻認識到，構建基于IPv6環境下的移動APP動態防護能力是成功對抗灰黑產的關鍵措施。通過創新的動態技術，可以增加入侵違規的門檻，防止黑灰產的破壞。同時，利用大數據分析快速發現用戶違規行為和“薅羊毛”等異常行為，及時消除潛在問題。這樣，企業就能將問題消滅在萌芽中，并減少經濟和聲譽的損失。

關鍵詞：移動安全；自動化攻擊；動態安全

一、應用需求

隨著移動互聯網的高度發展和普及，越來越多的企業將業務從PC端遷移到移動端。但也面臨著更復雜和多元化的網絡安全問題。企業不僅需要關注移動端和服務器端的應用安全，還需要保護業務和數據不受非法訪問，以及通過技術和運營手段避免各種不良影響。尤其是在IPv6的網絡環境下，攻擊者可以利用加密環境、大量IP資源和變換攻擊方式等方式繞過系統的防護，增加了防護的難度。當前移動應用業務面臨的威脅包括傳統的漏洞掃描、注入攻擊、跨站腳本，以及APP客戶端逆向和調試等問題。此外，還存在非法第三方APP請求、中間人攻擊、API接口濫用、密碼破解、批量注冊、虛假交易、爬蟲，以及利用外掛程序或群控設備進行欺詐等業務安全隱患。

移動設備的風險越發嚴峻。根據數據顯示，2021年共發現了17.59萬款黑灰產定制型工具，其中手機端工具占比56.5%，達到9.93萬款，未來還有上升的趨勢。攻擊源主要集中在移動業務中，特別是以IPv6地址為主，因此需要增強對IPv6地址攻擊的檢測和對抗能力。

在2021年監控到的黑灰產定制型工具的攻擊場景中，賬號安全占比51.48%，營銷作弊占比21.7%，這兩項合計超過70%。這對企業的經濟和聲譽造成了巨大的影響，因此賬號安全和營銷安全的保護不容忽視。此外，還需要關注虛擬定位攻擊的識別和防護需求。核心業務中常常存在區域限制，例如開卡業務或其他推廣業務。黑灰產業鏈通過推出虛擬定位工具，通過修改定位信息來進行業務攻擊。這種風險在App業務中也很常見，因此需要加強對虛擬定位攻擊的識別和防護措施。

二、APP動態安全防護解決方案

（一）方案架構

APP動態防護全面支持IPv4和IPv6網絡環境，適用于各種類型的APP，包括Hybrid APP、Native APP和Hybrid Web。它采用端、管、云一體化的動態安全防護體系，為移動業務提供創新的安全解決方案。在APP客戶端方面，通過SDK實現了APP完整性檢查，并為每個終端生成唯一的設備指紋。借助動態驗證和動態令牌技術，實現了人機識別和安全通信，確保與服務器端的數據安全交互。這包括移動端采集數據與服務器端策略數據的安全交互。在傳輸過程中，雙向認證可以實現客戶端與服務器之間的安全通信，并基于動態混淆和動態封裝技術實現雙向數據加密。通過建立可信的客戶端和可信通信管道，確保了云端服務器的安全。同時，采用智能WAF和Bot防護技術，能夠檢測和防護已知和未知的攻擊。云端集成了SDK采集的各種類型數據，并形成格式化的數據。這些數據作為業務威脅分析模型的數據源，包括但不限于惡意訂購模型、撞庫模型、異常開卡模型和機器注冊模型等。分析模型生成與業務真實環境相關的風險數據，例如異常IP、指紋和賬號信息，作為與黑產對抗的依據。

（二）設計思路

雖然IPv6在增強網絡的安全性方面起到了一定作用，但它并不能解決移動終端和應用層面上的漏洞和攻擊問題。盡管IPv6提供了海量的地址資源，并且地址復雜性增加了安全策略制定和網絡安全監管的挑戰，但這也使得防守方更加被動。

本方案以“動態安全”技術為核心，通過對APP服務器響應數據及APP請求內容的持續動態變換，實現面向H5頁面和APP的主動防御。該方案能夠有效甄別各類已知及未知自動化攻擊，防止非法客戶端和仿冒正常請求，為各類APP、H5及混合業務提供強大的安全防護能力，從而保障用戶數據安全、防止黑產對線上業務造成破壞與交易欺詐，并確保業務的穩定運行。該方案是APP端到端防護系統，全面覆蓋了對客戶端、數據傳輸和服務器端的威脅防控。通過動態變換APP服務器響應數據和APP請求內容，該方案能夠有效解決移動應用面臨的各類應用及業務安全威脅，實現了端到端全流程一體化的防護。

①異常終端識別：SDK實現前置風險采集，結合服務器端異常分析模型有效識別風險設備。

②異常賬號識別：SDK采集賬號信息，結合賬號業務請求記錄與終端風險判斷賬號是否異常。

③異常業務行為識別：通過采集業務關鍵數據，進行會話聚合分析，識別異常業務辦理行為。

④異常情報輸出：基于模型識別出來的異常賬號、異常終端設備指紋與風險IP可輸出給業務系統或第三方平臺。

（三）業務流程

通過模型技術與AI技術對SDK采集數據與流量數據進行深入分析，其中模型技術涵蓋OWASP 21種業務威脅模型，可透視實體行為與風險。

采用SDK數據采集技術，生成唯一不變的設備指紋，基于這種前置技術實現終端設備的風險感知，采集的數據經過服務端模型與AI分析后，前置策略，由SDK執行。

三、方案能力及創新點

（一）方案能力

1.防范APP終端安全風險

防止非法APP終端訪問：防止攻擊者通過APP非法終端對業務發起訪問，縮小攻擊面。

防止APP內容篡改：防止對APP進行調試、篡改、二次打包等行為。

2.防止APP數據泄露

防接口破解：防止分析業務邏輯后對敏感接口發起自動化攻擊。

防數據遍歷：防止利用邏輯缺陷，利用自動化工具獲取用戶數據。

防惡意爬蟲：防止程序抓取或API濫用，大量獲取用戶或業務數據。

3.保護賬號安全

防暴力破解：防止對登錄接口發起暴力破解攻擊。

防撞庫攻擊：防止利用“社工庫”，通過自動化工具發起撞庫攻擊。

防短信轟炸：防止濫用短信接口，批量或指定手機號發送垃圾短信。

4.防止交易欺詐

防虛假交易：防止攻擊者使用外掛程序進行批量虛假業務操作。

防交易篡改：防止攻擊者通過中間人攻擊等方式，篡改交易數據。

防惡意薅羊毛：防止“羊毛黨”批量注冊賬號，套取活動優惠盈利。

（二）解決的實際問題

①實現基于IPv6環境支撐的APP動態安全防護，提升應用對安全漏洞和未知攻擊的防護能力。

②提供端到端的數據動態混淆，防護敏感數據泄漏，防止欺詐行為。

③發現異常終端：為終端設備生成唯一的指紋，識別模擬器、rooted的安卓設備、越獄的蘋果設備，識別安裝有改機工具、黑客框架、IP代理工具等風險工具的設備。

④識別異常賬號：針對登錄、注冊等業務進行人機識別，判斷是否存在機器登錄、機器注冊等行為，基于AI技術對賬號行為進行分析，發現撞庫、暴力破解、賬號盜用等行為。

⑤感知異常業務行為：對關鍵業務的用戶操作行為、設備環境信息進行采集和分析，進行會話聚合分析，基于自動化威脅分析模型發現異常業務辦理行為。

⑥提升黑產對抗防護能力，尤其是IPv6環境下攻擊識別和對抗響應能力，實現安全風險識別前置，感知終端安全風險，輔助業務決策，避免經濟損失與信譽風險。

（三）創新點

創新點1：安全防護擺脫了對IP地址的依賴

由于IPv6地址數量非常龐大，每個IP設備都可以分配到全球通用的網絡地址，攻擊者可以利用海量的IP和設備資源進行攻擊。傳統的基于IP黑名單的對抗機制面臨著許多挑戰，例如需要維護龐大的地址庫，消耗大量的計算資源，而攻擊者仍然可以輕易地變換IP地址來繞過防護。因此，防守方常常處于被動狀態。本項目以“動態安全”技術為核心，解決了這些問題。系統采用動態令牌、設備指紋、終端環境和行為識別技術，通過數百個特征條件組合對攻擊者進行鎖定。不再僅依賴IP進行對抗，系統可以基于其他維度的特征來識別和鎖定攻擊者，無論攻擊者使用IPv4還是IPv6地址。這樣的方法提高了防守效率，使攻擊者更難以繞過防護措施。

創新點2：加強IPv6加密環境下的攻擊識別能力

在IPv6中，強制使用IPsec旨在增強網絡通信的安全性。然而，當所有流量都被加密時，反而增加了檢測惡意攻擊的難度。因為攻擊請求也會隱藏在加密流量中，而那些依賴于檢測有效載荷的傳統安全設備（如防火墻、入侵防御系統、WAF等）將受到影響。與此相反，動態防護技術不依賴于檢測有效載荷，而是通過動態令牌、設備指紋、終端環境和行為識別技術來識別攻擊者。即使在加密環境中，動態防護技術仍然能夠有效地識別攻擊請求，彌補了傳統防護技術在IPv6環境下無法有效檢測的缺陷。

創新點3：實現了被動防御到主動防御的轉變

通過對APP服務器響應數據和APP請求內容等進行持續動態變換，可以實現面向H5頁面和APP的主動防御，有效甄別各類已知和未知的自動化攻擊，包括非法客戶端和仿冒正常請求等。這種方法為各類APP、H5和混合業務提供了強大的安全防護能力，從而防止黑產行為對線上業務造成破壞和交易欺詐。同時，它也能保障用戶數據安全并確保業務的穩定運行，有效解決移動應用面臨的各類應用和業務安全威脅。

四、應用實踐

本方案已在安徽移動實踐過，成功地對APP應用和H5頁面進行了防護。它能夠實現在IPv6環境下對移動應用進行攻擊檢測和防護。在實施該方案后，省內的掌廳APP促銷活動達到了預期效果，并成功地攔截了活動期間的自動化攻擊行為，使得正常用戶能夠享受到促銷活動的福利。同時，該方案還有效地防止了攻擊者利用自動化撞庫攻擊來盜取用戶賬號，保護了用戶的隱私和財產安全。此外，該方案還能夠節省服務器的系統資源和運維成本。該方案具有廣泛的適用范圍，可以應用于公眾互聯網、政務、金融、能源、交通、制造、醫療和教育等各個行業。它的部署過程簡單快捷，系統改造的復雜度也相對較低，安全策略的配置也十分簡單。系統采用反向代理方式進行部署，并利用負載均衡設備實現了高可用性和流量分發。因此，該方案可以快速推廣并在其他行業中得到廣泛應用。

（一）經濟效益

本項目計劃投入150萬元，旨在對安徽省各類APP應用和H5應用（包括移動惠生活等）進行防護。通過這樣的防護，能夠保護1500萬用戶的數據安全，確保省內APP應用促銷活動能夠順利達到預期效果，并避免惡意攻擊帶來的負面影響和損失。通過攔截業務賬號的機器注冊、撞庫、暴力破解、違規辦理等違規行為，能夠確保業務的合規辦理，防止渠道虛假數據套取傭金，讓正常用戶真正享受到促銷活動的實際優惠。這個項目不僅能夠降低市場營銷費用，預計每年可節約約250萬元，還能夠降低由惡意攻擊引起的經濟損失和系統運維成本，預計每年可節約約80萬元。同時，通過加強移動應用安全建設，能夠降低企業商譽損失的風險，贏得更廣大用戶的信任，增強安徽移動的競爭力，并促進企業業務的增長。

（二）社會效益

本方案是一次在IPv6環境下成功探索和應用新興領域網絡創新安全技術的實踐。該方案是為了滿足《關于開展IPv6技術創新和融合應用試點工作的通知》的要求，實現關鍵基礎設施的IPv6安全升級改造，并提高應用在IPv6環境下面對黑產的對抗能力。通過該方案，能夠有效保護用戶敏感信息和財產安全，通過對渠道賬號開卡流程的管控，確保號碼資源的公平和公正，同時減少電信詐騙事件的發生，維護廣大消費者的通信權益，防止網絡欺詐行為的發生，維護良好的互聯網生態環境。這個方案對于運營商和各行業來說，具有借鑒和參考的價值。

五、結束語

APP動態安全防護技術不僅能夠在IPv4/IPv6網絡環境下完美兼容，而且能夠顯著提升對已知和未知攻擊的檢測和處置能力。通過引入模塊化安全組件，該技術實現了APP端到端的動態安全通訊，有效防止了數據偽造、篡改、API濫用等攻擊行為。通過客戶端環境和行為數據的多維度分析和判斷，它能夠提高攻擊的檢測準確度，增加對威脅的可見性，并能夠更精準地打擊攻擊者。此外，它還能有效防御攻擊者采用加密、IP變換和改變攻擊方式等手段繞過系統防護的行為。

作者單位：王歡 中國移動通信集團安徽有限公司

參? 考? 文? 獻

[1]郭星華，梁浩，王玲玲.基于擬態安全的網絡信息體系內生安全思考與實踐[J].指揮信息系統與技術，2021，12（06）：33-38.

[2]中國社會科學網.實現碳達峰碳中和的中國方案[EB/OL].（ 2021-11-26）[2022-07-10].http：//www.cssn.cn/zx/202111/t20211126_5377245.shtml

[3] Wang Xinran， Kohno T， Blakley B .Polymorphism as a defense

for automated attack of websites [EB/OL]. 2014.