摘要：移动互联网已经成为企业快速发展的重要渠道，但同时也给黑灰产业带来了可乘之机。依靠庞大的IPv6地址库和海量的设备资源，黑灰产业链变得越发成熟，对相关企业造成巨大的经济和名誉损失。安徽移动在长期配合“断卡”行动过程中深刻认识到，构建基于IPv6环境下的移动APP动态防护能力是成功对抗灰黑产的关键措施。通过创新的动态技术，可以增加入侵违规的门槛，防止黑灰产的破坏。同时，利用大数据分析快速发现用户违规行为和“薅羊毛”等异常行为，及时消除潜在问题。这样，企业就能将问题消灭在萌芽中，并减少经济和声誉的损失。

关键词：移动安全；自动化攻击；动态安全

一、应用需求

随着移动互联网的高度发展和普及，越来越多的企业将业务从PC端迁移到移动端。但也面临着更复杂和多元化的网络安全问题。企业不仅需要关注移动端和服务器端的应用安全，还需要保护业务和数据不受非法访问，以及通过技术和运营手段避免各种不良影响。尤其是在IPv6的网络环境下，攻击者可以利用加密环境、大量IP资源和变换攻击方式等方式绕过系统的防护，增加了防护的难度。当前移动应用业务面临的威胁包括传统的漏洞扫描、注入攻击、跨站脚本，以及APP客户端逆向和调试等问题。此外，还存在非法第三方APP请求、中间人攻击、API接口滥用、密码破解、批量注册、虚假交易、爬虫，以及利用外挂程序或群控设备进行欺诈等业务安全隐患。

移动设备的风险越发严峻。根据数据显示，2021年共发现了17.59万款黑灰产定制型工具，其中手机端工具占比56.5%，达到9.93万款，未来还有上升的趋势。攻击源主要集中在移动业务中，特别是以IPv6地址为主，因此需要增强对IPv6地址攻击的检测和对抗能力。

在2021年监控到的黑灰产定制型工具的攻击场景中，账号安全占比51.48%，营销作弊占比21.7%，这两项合计超过70%。这对企业的经济和声誉造成了巨大的影响，因此账号安全和营销安全的保护不容忽视。此外，还需要关注虚拟定位攻击的识别和防护需求。核心业务中常常存在区域限制，例如开卡业务或其他推广业务。黑灰产业链通过推出虚拟定位工具，通过修改定位信息来进行业务攻击。这种风险在App业务中也很常见，因此需要加强对虚拟定位攻击的识别和防护措施。

二、APP动态安全防护解决方案

（一）方案架构

APP动态防护全面支持IPv4和IPv6网络环境，适用于各种类型的APP，包括Hybrid APP、Native APP和Hybrid Web。它采用端、管、云一体化的动态安全防护体系，为移动业务提供创新的安全解决方案。在APP客户端方面，通过SDK实现了APP完整性检查，并为每个终端生成唯一的设备指纹。借助动态验证和动态令牌技术，实现了人机识别和安全通信，确保与服务器端的数据安全交互。这包括移动端采集数据与服务器端策略数据的安全交互。在传输过程中，双向认证可以实现客户端与服务器之间的安全通信，并基于动态混淆和动态封装技术实现双向数据加密。通过建立可信的客户端和可信通信管道，确保了云端服务器的安全。同时，采用智能WAF和Bot防护技术，能够检测和防护已知和未知的攻击。云端集成了SDK采集的各种类型数据，并形成格式化的数据。这些数据作为业务威胁分析模型的数据源，包括但不限于恶意订购模型、撞库模型、异常开卡模型和机器注册模型等。分析模型生成与业务真实环境相关的风险数据，例如异常IP、指纹和账号信息，作为与黑产对抗的依据。

（二）设计思路

虽然IPv6在增强网络的安全性方面起到了一定作用，但它并不能解决移动终端和应用层面上的漏洞和攻击问题。尽管IPv6提供了海量的地址资源，并且地址复杂性增加了安全策略制定和网络安全监管的挑战，但这也使得防守方更加被动。

本方案以“动态安全”技术为核心，通过对APP服务器响应数据及APP请求内容的持续动态變换，实现面向H5页面和APP的主动防御。该方案能够有效甄别各类已知及未知自动化攻击，防止非法客户端和仿冒正常请求，为各类APP、H5及混合业务提供强大的安全防护能力，从而保障用户数据安全、防止黑产对线上业务造成破坏与交易欺诈，并确保业务的稳定运行。该方案是APP端到端防护系统，全面覆盖了对客户端、数据传输和服务器端的威胁防控。通过动态变换APP服务器响应数据和APP请求内容，该方案能够有效解决移动应用面临的各类应用及业务安全威胁，实现了端到端全流程一体化的防护。

①异常终端识别：SDK实现前置风险采集，结合服务器端异常分析模型有效识别风险设备。

②异常账号识别：SDK采集账号信息，结合账号业务请求记录与终端风险判断账号是否异常。

③异常业务行为识别：通过采集业务关键数据，进行会话聚合分析，识别异常业务办理行为。

④异常情报输出：基于模型识别出来的异常账号、异常终端设备指纹与风险IP可输出给业务系统或第三方平台。

（三）业务流程

通过模型技术与AI技术对SDK采集数据与流量数据进行深入分析，其中模型技术涵盖OWASP 21种业务威胁模型，可透视实体行为与风险。

采用SDK数据采集技术，生成唯一不变的设备指纹，基于这种前置技术实现终端设备的风险感知，采集的数据经过服务端模型与AI分析后，前置策略，由SDK执行。

三、方案能力及创新点

（一）方案能力

1.防范APP终端安全风险

防止非法APP终端访问：防止攻击者通过APP非法终端对业务发起访问，缩小攻击面。

防止APP内容篡改：防止对APP进行调试、篡改、二次打包等行为。

2.防止APP数据泄露

防接口破解：防止分析业务逻辑后对敏感接口发起自动化攻击。

防数据遍历：防止利用逻辑缺陷，利用自动化工具获取用户数据。

防恶意爬虫：防止程序抓取或API滥用，大量获取用户或业务数据。

3.保护账号安全

防暴力破解：防止对登录接口发起暴力破解攻击。

防撞库攻击：防止利用“社工库”，通过自动化工具发起撞库攻击。

防短信轰炸：防止滥用短信接口，批量或指定手机号发送垃圾短信。

4.防止交易欺诈

防虚假交易：防止攻击者使用外挂程序进行批量虚假业务操作。

防交易篡改：防止攻击者通过中间人攻击等方式，篡改交易数据。

防恶意薅羊毛：防止“羊毛党”批量注册账号，套取活动优惠盈利。

（二）解决的实际问题

①实现基于IPv6环境支撑的APP动态安全防护，提升应用对安全漏洞和未知攻击的防护能力。

②提供端到端的数据动态混淆，防护敏感数据泄漏，防止欺诈行为。

③发现异常终端：为终端设备生成唯一的指纹，识别模拟器、rooted的安卓设备、越狱的苹果设备，识别安装有改机工具、黑客框架、IP代理工具等风险工具的设备。

④识别异常账号：针对登录、注册等业务进行人机识别，判断是否存在机器登录、机器注册等行为，基于AI技术对账号行为进行分析，发现撞库、暴力破解、账号盗用等行为。

⑤感知异常业务行为：对关键业务的用户操作行为、设备环境信息进行采集和分析，进行会话聚合分析，基于自动化威胁分析模型发现异常业务办理行为。

⑥提升黑产对抗防护能力，尤其是IPv6环境下攻击识别和对抗响应能力，实现安全风险识别前置，感知终端安全风险，辅助业务决策，避免经济损失与信誉风险。

（三）创新点

创新点1：安全防护摆脱了对IP地址的依赖

由于IPv6地址数量非常庞大，每个IP设备都可以分配到全球通用的网络地址，攻击者可以利用海量的IP和设备资源进行攻击。传统的基于IP黑名单的对抗机制面临着许多挑战，例如需要维护庞大的地址库，消耗大量的计算资源，而攻击者仍然可以轻易地变换IP地址来绕过防护。因此，防守方常常处于被动状态。本项目以“动态安全”技术为核心，解决了这些问题。系统采用动态令牌、设备指纹、终端环境和行为识别技术，通过数百个特征条件组合对攻击者进行锁定。不再仅依赖IP进行对抗，系统可以基于其他维度的特征来识别和锁定攻击者，无论攻击者使用IPv4还是IPv6地址。这样的方法提高了防守效率，使攻击者更难以绕过防护措施。

创新点2：加强IPv6加密环境下的攻击识别能力

在IPv6中，强制使用IPsec旨在增强网络通信的安全性。然而，当所有流量都被加密时，反而增加了检测恶意攻击的难度。因为攻击请求也会隐藏在加密流量中，而那些依赖于检测有效载荷的传统安全设备（如防火墙、入侵防御系统、WAF等）将受到影响。与此相反，动态防护技术不依赖于检测有效载荷，而是通过动态令牌、设备指纹、终端环境和行为识别技术来识别攻击者。即使在加密环境中，动态防护技术仍然能够有效地识别攻击请求，弥补了传统防护技术在IPv6环境下无法有效检测的缺陷。

创新点3：实现了被动防御到主动防御的转变

通过对APP服务器响应数据和APP请求内容等进行持续动态变换，可以实现面向H5页面和APP的主动防御，有效甄别各类已知和未知的自动化攻击，包括非法客户端和仿冒正常请求等。这种方法为各类APP、H5和混合业务提供了强大的安全防護能力，从而防止黑产行为对线上业务造成破坏和交易欺诈。同时，它也能保障用户数据安全并确保业务的稳定运行，有效解决移动应用面临的各类应用和业务安全威胁。

四、应用实践

本方案已在安徽移动实践过，成功地对APP应用和H5页面进行了防护。它能够实现在IPv6环境下对移动应用进行攻击检测和防护。在实施该方案后，省内的掌厅APP促销活动达到了预期效果，并成功地拦截了活动期间的自动化攻击行为，使得正常用户能够享受到促销活动的福利。同时，该方案还有效地防止了攻击者利用自动化撞库攻击来盗取用户账号，保护了用户的隐私和财产安全。此外，该方案还能够节省服务器的系统资源和运维成本。该方案具有广泛的适用范围，可以应用于公众互联网、政务、金融、能源、交通、制造、医疗和教育等各个行业。它的部署过程简单快捷，系统改造的复杂度也相对较低，安全策略的配置也十分简单。系统采用反向代理方式进行部署，并利用负载均衡设备实现了高可用性和流量分发。因此，该方案可以快速推广并在其他行业中得到广泛应用。

（一）经济效益

本项目计划投入150万元，旨在对安徽省各类APP应用和H5应用（包括移动惠生活等）进行防护。通过这样的防护，能够保护1500万用户的数据安全，确保省内APP应用促销活动能够顺利达到预期效果，并避免恶意攻击带来的负面影响和损失。通过拦截业务账号的机器注册、撞库、暴力破解、违规办理等违规行为，能够确保业务的合规办理，防止渠道虚假数据套取佣金，让正常用户真正享受到促销活动的实际优惠。这个项目不仅能够降低市场营销费用，预计每年可节约约250万元，还能够降低由恶意攻击引起的经济损失和系统运维成本，预计每年可节约约80万元。同时，通过加强移动应用安全建设，能够降低企业商誉损失的风险，赢得更广大用户的信任，增强安徽移动的竞争力，并促进企业业务的增长。

（二）社会效益

本方案是一次在IPv6环境下成功探索和应用新兴领域网络创新安全技术的实践。该方案是为了满足《关于开展IPv6技术创新和融合应用试点工作的通知》的要求，实现关键基础设施的IPv6安全升级改造，并提高应用在IPv6环境下面对黑产的对抗能力。通过该方案，能够有效保护用户敏感信息和财产安全，通过对渠道账号开卡流程的管控，确保号码资源的公平和公正，同时减少电信诈骗事件的发生，维护广大消费者的通信权益，防止网络欺诈行为的发生，维护良好的互联网生态环境。这个方案对于运营商和各行业来说，具有借鉴和参考的价值。

五、结束语

APP动态安全防护技术不仅能够在IPv4/IPv6网络环境下完美兼容，而且能够显著提升对已知和未知攻击的检测和处置能力。通过引入模块化安全组件，该技术实现了APP端到端的动态安全通讯，有效防止了数据伪造、篡改、API滥用等攻击行为。通过客户端环境和行为数据的多维度分析和判断，它能够提高攻击的检测准确度，增加对威胁的可见性，并能够更精准地打击攻击者。此外，它还能有效防御攻击者采用加密、IP变换和改变攻击方式等手段绕过系统防护的行为。

作者单位：王欢 中国移动通信集团安徽有限公司

参  考  文  献

[1]郭星华，梁浩，王玲玲.基于拟态安全的网络信息体系内生安全思考与实践[J].指挥信息系统与技术，2021，12（06）：33-38.

[2]中国社会科学网.实现碳达峰碳中和的中国方案[EB/OL].（ 2021-11-26）[2022-07-10].http：//www.cssn.cn/zx/202111/t20211126_5377245.shtml

[3] Wang Xinran， Kohno T， Blakley B .Polymorphism as a defense

for automated attack of websites [EB/OL]. 2014.