赵蓓,薛姗,吴日切夫,常玲
(中国移动通信集团设计院有限公司,北京 100080)
2015年3月,国务院发布的《政府工作报告》指出“制定‘互联网+’行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场”。 “互联网+”通过互联网平台与传统产业的跨界融合,使得传统产业的产品、业务、模式不断迭代出新,把互联网和包括传统行业在内的各行各业结合起来,在新的领域创造一种新的生态。
“互联网+”这种新生态能够为用户提供更加灵活、便利和高价值的服务,运营商也响应国家号召和用户需求,蓬勃展开各种的“互联网+”业务。“互联网+”业务的一个重要特点就是通过互联网平台,把线下生活最大限度的与线上场景结合到一起。业务应用场景和业务流程复杂度呈级数增长,安全风险也进一步加大。因此,有必要对互联网+业务带来的新型安全风险进行分析,提出针对性的安全防护技术方案,有利于保护用户利益和业务的健康发展。
“互联网+”业务是一种新型业务,但它的技术架构和业务流程等在很大程度上沿用了传统互联网业务。在传统业务安全领域,业务安全威胁主要包括安全管控、营销、传播等10个方面,具体如表1所示。
根据《中国“互联网+”指数(2016)》,“互联网+”已有业务类型超过35个。一些业务在业务模式上具有一定的同质性,因此本文选取了部分典型“互联网+”业务类型进行安全威胁分析。本文重点分析的典型业务类型和应用如表2所示。
“互联网+零售”是一种新的销售模式,从传统的实体店铺销售转为线上平台、渠道销售。商家在线上完成促销、商品展示、售前咨询等,在线下提供实物商品、售后服务等。用户线上完成注册,订购、支付和商品评价等。
表1 传统业务安全威胁
典型安全威胁包括虚假身份注册、恶意购买、高并发购买攻击、垃圾评论等。
虚假身份注册:用户在注册的时候没有使用自己的真实身份,使用不存在的身份或者冒用他人身份。
恶意购买:用户在线上购买商品/服务,到用户在线下收到商品/获取服务,通常存在一定的时间差。在时间差期间,用户发起退货申请,有可能既收到退款,同时也获得商品/服务。
高并发购买:通过自动化脚本,在较短时间内完成较大数量的商品交易。这类高并发购买的目的主要有两种,一是为了获取商家优惠,俗称“薅羊毛”。有时由于缺乏后台监控,高并发甚至出现超出商家优惠额度的情况。二是影响商家的正常商品销售秩序,黑客经常会采用这种方式对商家进行敲诈。
垃圾评论:通常业务会提供交易评论功能,用户对交易的评论成为其他用户的重要参考。恶意用户使用虚假的评论误导其他用户,甚至使用交易差评对商家进行讹诈。此外,不法分子还有可能利用交易评论传播不良信息。
表2 典型互联网+业务
“互联网+交通”的业务模式是运用互联网技术,获取与交通相关的车、路、人各种信息与服务需求,为用户提供更加高效、便捷的交通服务。“互联网+交通”业务包括路线选择、车辆预约、停车帮助、公交换乘等功能。
典型安全威胁包括虚假司机身份、虚假交易、虚假完成交易等。
虚假司机身份:在“互联网+交通”业务中,司机是具有特殊角色的用户,普通人获取该角色需要一定的资质要求(具有驾驶证等)。不法分子有可能冒用他人冒充司机进行服务,进而进行各种线下违法活动。
虚假交易:为了获取业务补贴或提高交易数量,用户有可能自己发起业务需求,然后再用自己的其他身份提供服务,进行并不存在的交易。
虚假完成交易:“互联网+交通”业务是线上和线下结合较为紧密的一种业务模式。实际应用中,用户有可能在线下以某种方式造成交易结束的虚假现象。例如在互联网约车业务中,司机在乘客下车后并不结束行程,造成乘客还在用车的假象,取得不当获益。
“互联网+金融”指利用互联网和移动通信等技术实现资金融通的一种新型金融模式。“互联网+金融”业务包括第三方支付、P2P贷款、阿里小贷、众筹融资等模式。
典型安全威胁包括使用虚假身份注册、身份冒用、虚假资料贷款、代理中介办理贷款等。
虚假资料贷款:用户在办理贷款时,伪造资产证明材料,有可能导致贷款不能收回。
代理中介办理贷款:代理中介通常会帮助不良用户采用伪造身份、伪造资产等方式,误导贷款审核。
“互联网+教育”是结合互联网完成教育过程的新型教育模式。按照教育成果交付方式划分,可以分为学历/证书教育和教辅教育。按照教学方式划分,可以分为录播式、直播和直播互动式。
典型安全威胁包括冒用教师身份、通过音、视频传播不良信息、平台教学视频删除/篡改、证书/学历欺诈等。
冒用教师身份:不法分子冒用他人教师身份,冒充教师进行授课,或进行其他违法活动。
通过音、视频传播不良信息:教学过程是通过视频或直播的方式完成,存在教师在授课过程中传播不良信息的风险。
平台教学视频删除/篡改:已经录制的教学视频,保存在业务系统平台中,存在被删除或者篡改的风险。
证书/学历欺诈:对于颁发学习证书/学历证书类型的业务,不法分子有可能通过篡改平台数据或者冒用他人证书的方式获取学习证明。
“互联网+健康”是以互联网为载体和技术手段的健康教育、医疗信息查询、电子健康档案、疾病风险评估、在线疾病咨询、电子处方、远程会诊、及远程治疗和康复、健走、跑步、健身等多种形式的健康医疗服务。
典型安全威胁包括假冒医生身份、用户病史/治疗药物泄露、黄牛批量挂号、通过音、视频诊疗交互传播不良信息、伪造运动记录等。
假冒医生身份:不法分子有可能冒用他人医生身份,冒充医生进行诊疗,或进行其他违法活动的可能性。
用户病史/治疗药物泄露:业务平台存放用户的诊疗记录以及治疗药物等隐私信息,存在用户隐私泄露的风险。
黄牛批量挂号:不法分子通过技术方式,大量挂号,干扰正常挂号用户。
伪造运动记录:为了获取运动奖励或者运动排名,用户可能利用其他运动物体,包括车、动物等,伪造运动记录。
根据以上分析,可以将互联网+业务典型安全威胁整理成四大类:用户注册、交易安全、数据安全和不良信息传播。具体内容如表3所示。
其中,数据安全在结合互联网+具体采用的技术平台增加管控措施。不良信息传播的防护主要通过增加新的信息监控节点,结合融合通信等业务的富媒体不良信息识别技术进行。这两类安全威胁在实质上与传统威胁相近,可以借鉴传统或技术平台安全管控方案,本文不再重点分析。
通过互联网+业务典型安全威胁梳理可以看出,一些安全威胁可以采用传统技术加固或检测过滤等手段进行防护,如不良信息传播、用户隐私泄露等风险;而另一些安全威胁就不是传统的技术手段能够防护,需要从互联网+业务整体安全生态圈的层面,综合治理、联防联控,发展多维度多层面的安全防护新手段。
表3 互联网+新型业务安全威胁
在互联网+业务中,使用虚假账号是进行不法活动和牟取不法获利的首要步骤。因此正确识别各种虚假账号是建立互联网+业务安全防线的基础。虚假账号分为两类:垃圾账号和假冒账号。垃圾账号指并无实际用户对应注册账号,通常是使用自动注册工具批量生成的。假冒账号指冒用他人实体身份的注册账号,通常冒用他人身份或伪造个人信息。互联网+业务可以采用IP鉴别和用户身份综合判定的方法防止虚假账号。
(1)IP鉴别指根据账号注册使用的IP,综合判别虚假注册账号。
代理IP识别,普通用户很少会使用带来的方式进行账号注册。通过互联网站点获取和协议判断的方法,结合各因素权重综合判定代理IP。
建立恶意IP库,恶意IP指曾经有过不良记录的用户IP。恶意IP包括历史恶意IP、高危区域IP和威胁情报来源恶意IP。
识别IDC IP。正常的IDC的服务器是不会主动注册互联网+服务,很大的可能性是这个服务器已经被不法分子所利用。
(2)用户身份综合判定。
在一些对用户身份有特别要求的互联网+业务,如互联网+金融、互联网+交通和互联网+教育等。这些业务中,如果假冒他人身份或者伪造个人信息,对互联网+业务的正常开展有较大的安全危害。因此需要采用一些附加措施核定用户身份和个人信息。具体可采用如下几种方式:
在取得用户授权的情况下,对注册手机号的个人信息进行验真,包括真实姓名、居住地址等。
在取得用户授权的情况下,对注册手机号的历史活动轨迹和居住地址、工作地址进行验真,金融应用中可以与银行卡声明的居住地址进行验真。
人脸识别,根据客户上传正面照与证件照进行机器识别后,增加人工判别机制。
对于司机和教师等特殊身份要求的应用,应在证件识别中增加驾驶证和教师证,同时应与公安和教育部门展开合作,对证件的真伪性进行验真。
在交易进行过程中识别异常交易,能够及时遏制安全事件的发生。通过获取用户终端指纹、IP信息、位置信息等,识别可疑用户和异常交易。
4.2.1 恶意贷款识别
贷款是互联+金融业务的一种特殊交易模式,恶意贷款的识别主要可以采用以下两种方式。
虚假资料识别:结合用户登记资料的住址、收入、汽车等信息,结合用户历史活动轨迹,银行信息验真以及车辆信息验真等。
代理中介识别:根据机器指纹,识别为用户进行资料提交的代理中介。
4.2.2 交易限制
获取挂号终端设备指纹,根据业务特点限制同一指纹设备在同一时间段同一类型的交易个数。
4.2.3 人机识别
正常的互联网+业务应该是由客户手动在终端完成的,如果业务交易过程是由机器自动完成,则终端进行交易欺诈的可能性非常大,因此需要采用以下方法识别终端是否是机器/软件自动完成。
手机模拟器识别:业务软件主动抓取注册设备的配置、硬件信息、mac地址、prop信息、CPU信息、间隔余电信息等。
虚拟机识别:获取用户终端的usb、声卡、时钟异常,内存,进程,服务,注册表等特征综合判断。
行为判断:获取终端键盘敲击频率、鼠标移动速度和轨迹、HTTP Referer请求报头,以及屏幕触摸的压力、重力、点击位置等特征进行综合判断。
4.2.4 交易完成验证
部分互联网+业务,是用户进行交易完成确认的,例如互联网+健康的咪咕善跑,用户有可能为了运动排名或者业务奖励采用欺诈手段,需要具备交易完成验证的安全防护。
互联网+业务模式较为复杂,仅根据某一次的用户情况很难判定用户是否在交易中存在欺诈或恶意行为。对用户历史交易情况进行分析,结合相关指标进行适当的分级,可以作为用户判定的重要参考。
4.3.1 注册手机号分析
运营商互联网+业务通常用手机号注册,或者使用手机号完成实名验证。通过获取注册手机号的入网时间、身份特征、业务指数、举报等特征,综合分析注册手机号码传统业务的信誉度。
4.3.2 用户历史信誉分析
根据用户在互联网+业务中的历史交易数据,根据交易额度、商品类型、交易时间,退货、评价等特征值,对用户交易行为进行综合分级。
以上两种分析方式结合,识别存在恶意交易倾向的用户,可以防止恶意购买、垃圾评论、虚假交易等安全威胁的发生。
互联网+业务的应用场景和业务流程复杂程度较传统业务呈级数增长,一旦安全防护不当,不法分子就有可能获取超出传统业务数十倍以上的用户隐私信息和不法获利。随着运营商“互联网+”业务的蓬勃发展,亟需建立互联网+业务的新型安全风险的分析和防护方案。
[1] 谢尔曼,黄旭,周杨. 互联网金融的网络安全与信息安全要素分析[J]. 上海大学学报:社会科学版,2015,(4).
[2] 马化腾. 互联网+:国家战略行动路线图[M]. 北京:中信出版社, 2015.
[3] 王曦杰. 移动互联网安全技术研究[J]. 移动信息, 2014(08).