基于软探针的智能机顶盒安全监测方案

黄 超

（北京歌华有线电视网络股份有限公司，北京 100007）

1 研究背景

广电与新技术的融合日益深化，正从高清化、网络化、互动化向超清化、智能化、IP化、移动化升级，以互联网、物联网、大数据、云计算、人工智能为代表的信息技术正加速与广播电视融合。有线电视不能再简单定义为通过专用有线广播网络提供电视服务，除了有线电视服务，还包括IP视频点播、互联网接入、云服务和应用、智能家居、智慧社区、5G通信服务、大数据服务等。在此过程中，各类智能机顶盒的使用越来越普及，丰富的功能、便捷的业务开发模式，已使其经成为广电、电信运营商及互联网视频服务提供商的首选终端设备。

目前，国内智能机顶盒普遍采用智能操作系统（安卓或者TVOS）。智能操作系统最大特点便是开放性、兼容性，拥有丰富的可选应用软件，满足用户个性化和多样化使用需求，用户可以简单便捷地完成应用软件的安装、更新和卸载操作[1]。对海量的可选应用软件在安装前完成详细安全性筛查变得非常困难，安装这些应用软件也可能将安全隐患引入智能机顶盒[2]。安装非法应用软件、隐匿访问非法网站、非法获取用户数据等安全问题，将使智能机顶盒面临着巨大的安全挑战。

2 智能机顶盒安全问题现状

作为用户侧终端设备，智能机顶盒的业务涉及音视频内容展示、多媒体应用、软件游戏、网络接入等多个方面，其安全性直接关乎业务运营和用户数据的安全，同时也是广播电视安全播出的重要一环。

智能机顶盒大致可以划分为硬件层、系统层、用户数据层、应用层。硬件层一般包括主芯片、内存、Flash、网络模块、回传通道、视音频输出、电源、主板、红外蓝牙接收模块等；系统层主要是指智能操作系统；应用层一般包含直播、时移、回看、点播、网页类交互应用和各类下载安装APK智能应用。如图1所示。

图1 智能机顶盒一般层级结构

常见的智能机顶盒安全威胁来自以下几个方面。

（1）安卓智能操作系统漏洞导致的安全风险。由于安卓智能操作系统平台各层级大量复用不同代码，经常出现各类漏洞，如应用反编译漏洞实现软件破解并插入恶意代码；利用数据的存储与传输漏洞窃取敏感信息，篡改配置文件等。有些开发者会利用系统漏洞有目的地引用一些木马或留有后门，还有些开发者因水平有限导致开发的应用本身就存在安全漏洞。

（2）第三方应用软件导致的安全风险。除了运营商为机顶盒管理预制的软件，用户一般还会自行选择安装大量应用软件，部分软件可能存在安全漏洞或被嵌入木马。通过应用商店安装第三方应用软件是一种通用手段，由于各个应用商店的技术水平和监管水平不一致，也没有统一安全标准，有可能让存在安全隐患的应用软件进入智能电视应用商店。

（3）机顶盒服务端口异常导致的安全风险。机顶盒设备在正常的业务端口和管理端口外，可能会由于疏忽开放了一些不必要的存在安全隐患的服务端口，比如，TELNET端口、ADB端口、SSH端口等。

以上这些风险可能带来的危害有：通过应用软件非正当渠道获取非法内容；第三方应用携带木马病毒；窃取用户的个人信息；远程操控智能机顶盒；破坏智能机顶盒的软件或硬件系统；用户私有数据丢失。

因此，运营商在智能机顶盒研发之初就需要从硬件、系统、软件应用、网络等多个层面设计不同的安全防护策略，比如，机顶盒硬件安全性设计、软件启动安全校验、升级软件下载安装校验、应用软件安装签名校验、网络接入身份认证等。除了安全防护策略，智能机顶盒还应建立有效的终端安全监测手段，以防漏网之鱼，能够在线监控智能机顶盒的安全状态，一旦出现终端安全风险，能够快速发现并及时处理。

3 基于机顶盒软探针的终端安全监测与防护

3.1 监测系统架构

机顶盒软探针软件系统主要包括云端软探针监测平台和软探针终端软件两部分。云端软探针监测平台包括业务探测层、接口适配层、系统应用层、系统展现层，通过指定通信协议（如TR069等）完成对其所辖范围的机顶盒软探针终端软件进行配置管理、告警和QoS/QoE数据采集等，并将其所辖范围内的QoS/QoE汇总数据上传给平台的控制管理中心，做进一步的汇总关联和统计分析处理。云端软探针监测平台实现对软探针的统一管理，对关键KPI数据进行采集和关联分析，快速定位故障，并自动生成各种统计报表。

图2 监测系统架构图

软探针终端软件是一种安装在智能机顶盒上的APK软件，其中包含的软探针安全软件模块可以根据安全监测的需要，对进出机顶盒网口的所有IP流量进行被动监测和抓包，自动识别视频与网络数据，并对其进行各项参数统计，定期将这些统计参数通过指定通信协议（如TR069等）上报到云端软探针监测平台的数据采集服务器。机顶盒软探针安全模块采集的数据主要来源于智能机顶盒底层播放器、网路接口和智能操作系统。通过实时抓取和分析网络报文，获取所有网络环境数据；通过机顶盒系统提供的相关接口，采集系统内存、CPU、网络连接方式等机顶盒系统数据；通过平台主动下发网络诊断任务，采集相应的任务执行结果，即网络探测数据，按监测平台需求对网络环境数据、机顶盒系统数据和网络探测数据进行预处理后上报到监测平台，为定位智能机顶盒安全问题提供可靠依据。

图3 采集模式示意图

3.2 安全监测与防护功能

机顶盒安全监测和防护目前通过机顶盒集成各个安全模块实现的主要功能包括：IP地址扫描、系统端口扫描、APK应用程序扫描、机顶盒远程重启或待机。

图4 智能机顶盒集成安全软件模块示意图

（1）IP地址扫描。自动对机顶盒访问的所有网络IP地址进行监测，对疑似非法公网IP地址进行告警上报。机顶盒软探针基于PCAP库捕获网络全量抓包数据、根据通信协议栈逐层解析Ethernet/IP/TCP，构建TCP流。然后依据协议端口确认当前流类型，如RTSP流、HLS流和EPG数据流等。与此同时，判定当前流的服务器侧IP地址是否属于“非法访问IP地址”，如果属于，则推送“非法访问IP地址”告警给云平台端软探针监测平台，由平台根据预置策略进行相应处理。监测平台“合法访问IP地址”白名单配置一般可包括视频CDN服务IP地址段、运营商自己云平台各类应用、EPG服务器IP地址段等。

（2）系统端口扫描。对终端操作系统开放的端口进行扫描，对非法应用侦听端口及进程进行告警。如果智能机顶盒内运行了非法软件程序，那么非法软件程序具备在任意时间点接收外部请求指令并执行相应非法操作的能力，此时设备就容易被挟持成为肉鸡，形成巨大安全隐患。机顶盒软探针长时间侦听（LISTENING）智能机顶盒端口，基于Linux网络指令可获得系统侦听的TCP端口和进程PID。基于进程查看指令可获得活跃进程名称（APK包名、后台业务服务进程名）和PID的映射关系。将上述两种数据进行关联汇总可获得到“APK+侦听端口”的列表。软探针可以根据监管策略，周期性地将该映射列表推送给监测平台。

监测平台已经根据预先提供的安全信息，生成APK和端口白名单。在收到“APK+侦听端口”列表后，检测平台可以通过白名单逐一核对，判定异常APK侦听告警。

（3）APK应用扫描。对机顶盒所有的APK应用进行扫描，对恶意或非法APK应用进行卸载。机顶盒软探针基于进程查看指令获得正在运行的后台服务和APK名称，基于Package（包）管理模块接口获得已安装APK包列表。监测平台采集已运行和已安装的APK列表，基于预先设置的APK白名单进行检查核对，当遇到未知APK时，触发非法APK安装和运行告警。

如果需要紧急卸载非法APK，监测平台可通过加密指令通道下发APK卸载指令，完成非法APK的卸载工作。

（4）机顶盒远程重启或待机。针对法通过APK远程管控等简单措施停止非法软件运行的情况，通过软探针实现远程机顶盒强制重启或待机。当智能机顶盒出现无法通过APK远程管控等简单措施停止非法软件运行的情况，管理员无法通过远程控制关闭该非法后台程序的显示和运行时，可以通过软终端前端监测平台下发机顶盒重启或者待机指令。

3.3 运行模式

上述软探针在智能机顶盒后台运行，不影响机顶盒的正常功能，CPU负载不超过5%（双核1.5 GHz），内存消耗不超过总大小的5%（RAM 1 GB）；系统支持7×24小时持续运行，运行过程中CPU、RAM不会明显增加。监测平台可灵活设置软探针的运行模式，包括以下三种模式。

（1）不上报模式。在该模式下软探针不进行数据统计，不向平台上传监测数据，因此基本不会占用机顶盒CPU、内存和网络资源。此时仍然接收模式状态跟踪信息，在平台恢复采集模式后，可再次进行数据采集。

（2）日常采集模式。此模式主要用于预防性监测和维护，通过对所有软探针上报的指标进行统计汇总，可发现潜在安全问题；在该模式下，软探针每隔5分钟（可配置）将告警和故障事件上传到监测平台，或者事件触发实时上报。

（3）故障排查模式。此模式主要用于对某一特定用户的故障排查和精准定位；在该模式下，软探针每隔30秒（可配置）将当前网络指标、告警和故障事件、上传到监测平台。该模式下，运维人员打开排查页面后，可以查看到机顶盒当前显示画面并可以下发远程遥控指令进行操作。画面会跟随操作进行切换，与用户家庭观看到的画面保持一致。

4 结束语

随着数字家庭概念的发展和推广，智能机顶盒已经成为家庭中不可或缺的终端产品，未来还可能演变为家庭客厅的核心智能控制单元，除了可以实现视频传输功能，也能够向家庭中所有的智能设备提供一条集成的、综合的通道，为各种其他智能设备提供服务，家庭智能机顶盒的重要性在不断加强。随着智能终端智能化、IP化升级，互联网、大数据、云计算、人工智能为代表的信息技术正加速与广播电视现有的智能机顶盒融合，广电的智能机顶盒已经不再是安全避风港。机顶盒在设计、研发、运营之初就必须在安全方面多加考虑，为智能机顶盒满足各类网络应用场景做好充分的安全准备，加强运营安全管理，做到可用、可管、可控。本文阐述的基于机顶盒软探针软件系统，是实现智能机顶盒等智能终端产品安全监测和管理的有效手段之一，能够在一定程度上有效防范和处理智能机顶盒的一些安全问题。■