【阿里在线技术峰会】方超:阿里聚安全在互联网业务中的创新实践
本文主要从互联网业务中的常见问题、互联网业务的安全形势、互联网业务的层次开始叙述,接着重点讲解了阿里聚安全的移动安全和数据风控,围绕大数据风控引擎着重剖析了基于多层数据处理技术的体系。
直播视频:点此进入
PDF下载:点此进入
以下为整理内容:
什么是阿里聚安全?阿里聚安全是将阿里安全部积累超过10年的互联网业务的安全经验进行标准化、通用化、产品化,形成的一个解决方案,能够将安全能力快速的应用到新兴业务中。
安全环境的演变
安全的环境随着时代的变迁也发生着变化,从PC主机的安全到网络的安全,再到数据中心以及云的安全,移动互联网时代,安全环境演变趋势是怎么样呢?
互联网业务中的常见问题
互联网业务中常见的问题主要是云、链路和端。
云安全问题包括:漏洞、DDoS攻击、提权、数据泄露、违规内容、暴力**、SQL注入 。
链路安全问题包括:数据**协议伪造中间人攻击。
端安全问题包括:**、漏洞、病毒木马、钓鱼短信、钓鱼电话、恶意URL、仿冒应用、数据泄露。
除了云、链路和端这些比较基础的问题,更加危险、没有得到足够关注的是业务安全问题。业务安全问题主要包括垃圾注册、撞库、刷单、炒信和活动作弊等。
互联网安全形势严峻
2015年漏洞增长迅猛。2015年iOS漏洞增长1.28倍,Android漏洞增长10倍。18个行业TOP10的应用中,97% 的应用包含漏洞,平均每个应用有87个漏洞。
移动端漏洞危害巨大,层出不穷的移动端APP漏洞会和系统级通用提权漏洞结合,形成很大的安全问题。
互联网业务安全也不容乐观,全网已泄漏个人账号超过21亿条,覆盖全网账号的40%以上。某P2P金融系统日均垃圾账号申请量超过申请总量的50%。某O2O平台2015年单次活动,现金券被刷最高达到70%。
安全的挑战
- 互联网业务复杂。互联网业务种类多,从电商、金融到视频、新闻、社交等等都有其特定的行为,通过传统的方案去解决安全问题是困难的;互联网业务风险多变,存在与黑产攻防的过程;互联网业务量巨大,互联网攻击不仅仅是人工的,也会通过一些机器化的手段模拟网页的操作行为,通过批量化的事件进行分析,也增加了处理互联网安全的复杂度。
- 防控链路长。业务链路长分支多;涉及人员节点多;控制能力弱。
- 涉及技术面广。平台种类多,不同的平台有不同的特性,都需要进行相应的防护;技术种类多;攻防要求高。
互联网业务的层次
互联网业务种类繁多,提供了千差万别的服务,但通常都会分为八个层次,不同类型的互联网业务,在不同的层次上会有不同的体现。
我们建立了围绕业务的八层的安全模型,不同层次的安全问题对应的业务侧重点不一样,但各个层次之间的安全问题有很强的关联性,在保护互联网业务安全的时候,需要有一个总体的通用方案,不能单一的针对某一个层次单独解决。例如,解决活动作弊,可以根据各维度的数据进行基于规则与模型的分析,进行风险的识别,但是如果应用自身的安全强度没有保障,相关的逻辑被逆向,甚至被伪造了,那么再好风险识别系统也无法起到作用。
阿里聚安全
聚焦互联网业务安全
传统IT业务相对来说是一个封闭的环境,大多会构建一个封闭的安全系统来保障运行在其中的业务,同样账号是有限且真实的,终端也是可控的。传统的安全是以系统为中心的安全,通过保护主机、网络、终端来构建安全体系,通过构建完整的系统,保证在系统上运行的服务是安全的,传统业务的安全是业务的支撑者,而不是一个参与者。
互联网业务的边界被打开了,互联网业务面对的是开放的环境,账号数量也由有限变为海量,帐号背后的人是否真实也很难得知,同时使用互联网业务的终端也是不可控的。互联网业务的安全是以业务为中心的安全,围绕业务来构建安全体系,安全已经成为业务不可分割的部分。
移动安全
移动安全是移动互联网时代下的安全基石。阿里聚安全将移动端能力整合,对新兴业务与合作伙伴进行赋能,聚安全移动安全和传统移动安全想法并不太一样,传统的移动安全更关注移动设备的系统安全,而聚安全的移动安全是以业务为中心,保护业务相关的APP,主要分为三个层次:检测、防护和监控。
移动APP全流程防护
一个正常的企业去开发移动端APP时,我们有一个全流程的防护。大多数企业可能已经有了上线的版本,在这个版本里可以采用安全审计、渗透测试、病毒木马的扫描。发现问题后,解决问题的核心版本的开发是同样的流程,设计阶段需要自己有一个安全审计,设计阶段就要杜绝潜在的安全隐患,开发阶段需要有反病毒组件,测试阶段还是要把漏洞扫描引入进来,上线前则需要进行应用的加固等。
移动端漏洞扫描
移动端漏洞扫描还处在一个发展的阶段,阿里聚安全的漏洞扫描分成几个层次,蓝色主要是大部分扫描引擎所使用的一些检测,绿色是阿里聚安全特有的一些功能,它摆脱了传统的漏洞扫描的技术和模式,采用了比较先进的程序流加数据流跟踪的技术,配合静态和动态的检测方案,更深层次发现一些潜在的问题。
移动端应用加固
目前的应用加固主要聚焦在APK的保护,阿里聚安全除了APK保护外,在Java和SO层面还有一些特殊的设计,Java层有指令翻译、全量混淆、常量加密以及函数虚拟化保护,SO层有SO加壳动态保护、加入花指令、自定义elf保护格式等。对于应用加固来说,我们期许能够更加关注怎样提升黑产逆向分析的成本,在这个基础上,需要关注加固后的体积、兼容性和稳定性。
移动端安全组件
安全组件对应用程序提供了一系列的安全功能,用户不需要关行**存储,不需要关心加密算法的对抗,就可以专注于用户的安全存储、加密以及签名。阿里聚安全提供这些安全能力给应用程序,自身的安全是怎样保护的呢?阿里聚安全是构建在安全沙箱的基础上的,安全沙箱有静态特性和动态特性去对抗攻击。
利用安全组件的各项技术可以一站式解决数据安全、机器识别、逆向对抗、设备指纹等多种问题。
数据风控
数据风控在账号安全方面首先会有一个全链路的检测,在真正的业务链路上,会有不同的点都会去进行相应的检测,比如登录、注册、基础信息修改等等,接着我们会有一个模型识别去防恶意注册、防撞库盗号、防虚假身份,识别后我们需要个性化的保护。
数据风控在业务场景里最核心的是大数据风控引擎,我们将注册登录点、人际识别能力、账号/设备数据维度做一个结合,针对用户的行为信息、基础数据信息,在大数据风控引擎里做一个整体的汇总,最终得出一个相应的决策结果,决策结果会反向的作用到业务场景中。
基于多层数据处理技术的体系
大数据风控引擎是一个基于多层数据处理的数据体系,该体系构建于阿里大数据的云平台,阿里大数据云平台提供了很多基础的数据处理能力。离线数据仓库是为风险防控体系提供相应的支撑。上层分为三部分:事前预测、事中处理、事后打击。事前预测根据风险大盘的实时情报决策中心、监控中心和事件中心去预测可能出现的风险。事中处理有基于规则和模型的防控,该平台依赖于实时计算、实时分析等。事后打击会有相应的审核中心,真正发现问题会做一些案件还原等,进行一些模型分析并沉淀成案件库,返回给事中处理做进一步的实时防控。
该体系也面临着诸多难点和挑战:
- 挑战1:实时、近线、离线数据在计算和使用上,如何屏蔽复杂性,并平衡成
本和性能;
解决方案:统一了实时、近线、离线计算的融合计算体系;
- 挑战2:快速攻防转换的场景下,模型的快速训练、快速更新、快速测试、快速上线的能力;
解决方案:与数据体系深度整合和定制化的统一模型平台;
- 挑战3:近百亿节点的超大规模图的计算与图算法实践;
解决方案:符合风控业务场景的图算法创新和图计算技术架构创新。
全链路防控体系
阿里聚安全除了上面提到的安全能力,在内容安全和实人认证方面,还提供了违禁识别、身份冒用识别、智能监黄等能力。