一、案例概述
随着移动互联网技术的发展,移动App越来越多使用混合框架开发,即原生App为程序主体外壳,内嵌浏览器加载的WebApp为实际App内容。好处是开发快速。成本低、开发快速、线上热修复等,但同时也引入了新的问题,内嵌浏览器成为攻陷App的漏洞入口。通过不断嗅探App内嵌浏览器的漏洞,再通过App内嵌浏览器访问恶意网站,从而进行App的信息收集、敏感数据采集、病毒及恶意代码植入等,危害App的安全。
本案例是在建立可检测恶意网站访问的渠道运营分析平台:埋点采集用户的行为事件,将采集的数据上报至服务端,然后分发到渠道运营分析平台,经渠道运营分析平台的安全检测,识别违规访问行为,进而追踪用户记录,从源头识别违规入口,封堵恶意网站访问行为,提升App的安全。
二、痛点难点问题和解决方案
恶意网站识别是网络安全领域的关键技术之一,用于识别可能对用户隐私和财产安全造成威胁的恶意网站。恶意网站通常包括钓鱼网站、恶意下载链接、恶意广告等。理解这些基本概念对于识别恶意网站至关重要。我们需要明确评估恶意网站识别方法的性能,例如准确率、召回率、误报率等。
通常可以通过域名白名单的方式,限制非合法来源域名的访问,但对于路由器重定向的方式效果不佳,此时通过对访问页面的标题进行识别更可靠。每日手机银行App的访问数据非常大,人工识别标题合法性不可行,常用的识别方法有基于机器学习的方法、特征工程、行为分析等。传统机器学习方法需要依赖专家经验进行特征选择和提取,这是一个耗时耗力的过程。当数据特征很离散、阳性样本量较少时,传统机器学习算法的性能下降,识别准确率随之降低,在这方面机器学习方法在结果解释性和可调节性方面存在局限。
因此需要一个更高效、低成本的方案。通过半年多的实验及效果跟踪,我行最终试验出了最合适的方案——搭建渠道运营分析平台进行恶意网站访问的检测。
(一)App端埋点采集数据
搭建从埋点数据定义、采集、验证、指标定义到数据生命周期管理的完整数据采集链路,确保分析来源数据的质量:(1)制定完整的埋点上报规范,包括事件的触发时机、上报数据格式、上报流程、数据储存等;(2)埋点上线后,通过开发工具来验证上报数据的时机、格式、数值是否准确完整;(3)管理后台实时跟踪及展示整个运行情况,制定异常警报标准。
本案例主要采集的数据是基础页面访问,采集过程大致为:
1.定义页面浏览事件。主要采集以下数据:
2.埋点采集。在HTML公共包里面,买入代码,监听onLoad事件,并上报上述的事件名称及数据。数据采集后,经过清洗,以宽表视图的方式,提供给用户分析,结构如下:
数据采集后,需要通过可视化的平台进行分析:(1)实时数据分析和可视化报表。通过埋点采集的数据,搭建实时的事件分析、归因分析、漏斗分析,最终呈现成柱状图、曲线图、饼图等;(2)自定义报表和仪表板。可根据需求组织不同的维度和度量自建仪表板,组织成报表。(3)跨平台数据打通。将CRM、综合理财平台、报表平台等数据资产打通,提供更全面的综合数据。通过渠道运营分析平台,创建事件分析,对恶意访问网站进行预警:
定期查看网络异常访问用户的预警值,调整合适的预警阈值,优化预警的效果。
建立关键词库。(1)使用开源敏感词库,识别标题内容中的不当或不适宜的语言。(2)手动维护关键词,创建一个关键词表,列出认为可能与恶意网站相关的关键词,包括暴力、色情、诈骗、恶意软件、搜索引擎等方面的词汇。(3)使用自然语言处理技术,从大量样本中学习和识别恶意关键词。(4)随着社会环境和语言使用的变化,定期更新关键词库,以确保其时效性和准确性。通过定期的巡检沉淀,已积累几百条异常的标题,并对其进行标签化提炼处理。
建立自动巡查预警。将运营分析平台上的预警结果,展示给业务及科技人员,确认无误后,链接将会被录入黑名单库,禁止在手机银行App中打开。源头排查。在渠道运营分析平台上,建立自助分析,根据预警的标题,勾取客户的行为序列,逐步往前追溯到最后一个手机银行页面的记录,登记为源头。恶意访问源头集合会发送给科技人员进行排查确认,确认后即进行封堵。灰名单上报。对于有恶意访问记录的客户信息,自动归入灰名单,并上报给行内相关的灰黑人员名单记录,协助反洗钱、反欺诈工作开展。不法分子可录制手机银行App访问色情、赌博、违规违法网站的视频、图片等,在互联网上广泛发布对东莞银行不利的言论,发起舆论攻击从而实施威胁、勒索等手段获利。禁止恶意网站访问,可预防这类攻击的发生,保护我行的声誉不受损害。虽然目前未发现有借此进行攻击的行为,但仍不能排除不法分子通过恶意网站进行嗅探试验,寻找webview容器的漏洞,反向获取App的配置文件、数据接口、离线文档、App签名等正常通过手机存储器无法读取的文件,从而反向攻破手机银行App,进而进行有针对性的假冒软件、病毒、服务器攻击等。禁止恶意网站访问,可减少上述问题的发生,提高手机银行App的安全性。通过渠道运营分析实施全链路的恶意访问监控,对恶意网站访问进行排查分析,并实施漏洞修复。从近半年漏洞统计来看,效果显著。
通过埋点收集的数据,我们可以揭示恶意访问用户在手机银行App中的行为模式。这有助于更好地理解恶意行为,在进行手机银行App建设时及时规避,防患于未然。通过对恶意访问行为的识别,帮助我们发现App中存在的问题和改进空间,我们可以优化设计、功能和漏洞,提升App的安全度。面对日益增长的恶意攻击威胁,除了常见的防火墙、杀毒软件等措施外,主动的安全预警也是非常必要的。本案例已作为东莞银行日常收集安全监控预警的一部分,补充了在客户端侧检测异常攻击的一种手段,完善了东莞银行的安全监控机制。东莞银行App的包含的内容众多,对于购自第三方的服务、外包厂商的框架、开源的组件等可能隐含一定的安全漏洞。本案例作为软件质量评价的其中一个指标,提升服务选购等的评判标准,提升东莞银行的软件质量。
点我访问原文链接
