本文主要从互联网业务中的常见问题、互联网业务的安全形势、互联网业务的层次开始叙述，接着重点讲解了阿里聚安全的移动安全和数据风控，围绕大数据风控引擎着重剖析了基于多层数据处理技术的体系。

直播视频：

下载：

 

什么是阿里聚安全？阿里聚安全是将阿里安全部积累超过10年的互联网业务的安全经验进行标准化、通用化、产品化，形成的一个解决方案，能够将安全能力快速的应用到新兴业务中。

 

安全环境的演变

安全的环境随着时代的变迁也发生着变化，从PC主机的安全到网络的安全，再到数据中心以及云的安全，移动互联网时代，安全环境演变趋势是怎么样呢？

 

互联网业务中的常见问题

互联网业务中常见的问题主要是云、链路和端。

云安全问题包括：漏洞、DDoS攻击、提权、数据泄露、违规内容、暴力破解、SQL注入 。

链路安全问题包括：数据破解协议伪造中间人攻击。

端安全问题包括：破解、漏洞、病毒木马、钓鱼短信、钓鱼电话、恶意URL、仿冒应用、数据泄露。

除了云、链路和端这些比较基础的问题，更加危险、没有得到足够关注的是业务安全问题。业务安全问题主要包括垃圾注册、撞库、刷单、炒信和活动作弊等。

 

互联网安全形势严峻

2015年漏洞增长迅猛。2015年iOS漏洞增长1.28倍，Android漏洞增长10倍。18个行业TOP10的应用中，97% 的应用包含漏洞，平均每个应用有87个漏洞。

移动端漏洞危害巨大，层出不穷的移动端APP漏洞会和系统级通用提权漏洞结合，形成很大的安全问题。

互联网业务安全也不容乐观，全网已泄漏个人账号超过21亿条，覆盖全网账号的40%以上。某P2P金融系统日均垃圾账号申请量超过申请总量的50%。某O2O平台2015年单次活动，现金券被刷最高达到70%。

 

安全的挑战

• 互联网业务复杂。互联网业务种类多，从电商、金融到视频、新闻、社交等等都有其特定的行为，通过传统的方案去解决安全问题是困难的；互联网业务风险多变，存在与黑产攻防的过程；互联网业务量巨大，互联网攻击不仅仅是人工的，也会通过一些机器化的手段模拟网页的操作行为，通过批量化的事件进行分析，也增加了处理互联网安全的复杂度。

• 防控链路长。业务链路长分支多；涉及人员节点多；控制能力弱。

• 涉及技术面广。平台种类多，不同的平台有不同的特性，都需要进行相应的防护；技术种类多；攻防要求高。

 

互联网业务的层次

互联网业务种类繁多，提供了千差万别的服务，但通常都会分为八个层次，不同类型的互联网业务，在不同的层次上会有不同的体现。

我们建立了围绕业务的八层的安全模型，不同层次的安全问题对应的业务侧重点不一样，但各个层次之间的安全问题有很强的关联性，在保护互联网业务安全的时候，需要有一个总体的通用方案，不能单一的针对某一个层次单独解决。例如，解决活动作弊，可以根据各维度的数据进行基于规则与模型的分析，进行风险的识别，但是如果应用自身的安全强度没有保障，相关的逻辑被逆向，甚至被伪造了，那么再好风险识别系统也无法起到作用。

 

阿里聚安全

聚焦互联网业务安全

传统IT业务相对来说是一个封闭的环境，大多会构建一个封闭的安全系统来保障运行在其中的业务，同样账号是有限且真实的，终端也是可控的。传统的安全是以系统为中心的安全，通过保护主机、网络、终端来构建安全体系，通过构建完整的系统，保证在系统上运行的服务是安全的，传统业务的安全是业务的支撑者，而不是一个参与者。

互联网业务的边界被打开了，互联网业务面对的是开放的环境，账号数量也由有限变为海量，帐号背后的人是否真实也很难得知，同时使用互联网业务的终端也是不可控的。互联网业务的安全是以业务为中心的安全，围绕业务来构建安全体系，安全已经成为业务不可分割的部分。

移动安全

移动安全是移动互联网时代下的安全基石。阿里聚安全将移动端能力整合，对新兴业务与合作伙伴进行赋能，聚安全移动安全和传统移动安全想法并不太一样，传统的移动安全更关注移动设备的系统安全，而聚安全的移动安全是以业务为中心，保护业务相关的APP，主要分为三个层次：检测、防护和监控。

移动APP全流程防护

一个正常的企业去开发移动端APP时，我们有一个全流程的防护。大多数企业可能已经有了上线的版本，在这个版本里可以采用安全审计、渗透测试、病毒木马的扫描。发现问题后，解决问题的核心版本的开发是同样的流程，设计阶段需要自己有一个安全审计，设计阶段就要杜绝潜在的安全隐患，开发阶段需要有反病毒组件，测试阶段还是要把漏洞扫描引入进来，上线前则需要进行应用的加固等。

移动端漏洞扫描

移动端漏洞扫描还处在一个发展的阶段，阿里聚安全的漏洞扫描分成几个层次，蓝色主要是大部分扫描引擎所使用的一些检测，绿色是阿里聚安全特有的一些功能，它摆脱了传统的漏洞扫描的技术和模式，采用了比较先进的程序流加数据流跟踪的技术，配合静态和动态的检测方案，更深层次发现一些潜在的问题。

移动端应用加固

目前的应用加固主要聚焦在APK的保护，阿里聚安全除了APK保护外，在Java和SO层面还有一些特殊的设计，Java层有指令翻译、全量混淆、常量加密以及函数虚拟化保护，SO层有SO加壳动态保护、加入花指令、自定义elf保护格式等。对于应用加固来说，我们期许能够更加关注怎样提升黑产逆向分析的成本，在这个基础上，需要关注加固后的体积、兼容性和稳定性。

移动端安全组件

安全组件对应用程序提供了一系列的安全功能，用户不需要关行密钥存储，不需要关心加密算法的对抗，就可以专注于用户的安全存储、加密以及签名。阿里聚安全提供这些安全能力给应用程序，自身的安全是怎样保护的呢？阿里聚安全是构建在安全沙箱的基础上的，安全沙箱有静态特性和动态特性去对抗攻击。

利用安全组件的各项技术可以一站式解决数据安全、机器识别、逆向对抗、设备指纹等多种问题。

数据风控

数据风控在账号安全方面首先会有一个全链路的检测，在真正的业务链路上，会有不同的点都会去进行相应的检测，比如登录、注册、基础信息修改等等，接着我们会有一个模型识别去防恶意注册、防撞库盗号、防虚假身份，识别后我们需要个性化的保护。

数据风控在业务场景里最核心的是大数据风控引擎，我们将注册登录点、人际识别能力、账号/设备数据维度做一个结合，针对用户的行为信息、基础数据信息，在大数据风控引擎里做一个整体的汇总，最终得出一个相应的决策结果，决策结果会反向的作用到业务场景中。

基于多层数据处理技术的体系

大数据风控引擎是一个基于多层数据处理的数据体系，该体系构建于阿里大数据的云平台，阿里大数据云平台提供了很多基础的数据处理能力。离线数据仓库是为风险防控体系提供相应的支撑。上层分为三部分：事前预测、事中处理、事后打击。事前预测根据风险大盘的实时情报决策中心、监控中心和事件中心去预测可能出现的风险。事中处理有基于规则和模型的防控，该平台依赖于实时计算、实时分析等。事后打击会有相应的审核中心，真正发现问题会做一些案件还原等，进行一些模型分析并沉淀成案件库，返回给事中处理做进一步的实时防控。

该体系也面临着诸多难点和挑战：

• 挑战1：实时、近线、离线数据在计算和使用上，如何屏蔽复杂性，并平衡成

本和性能；

解决方案：统一了实时、近线、离线计算的融合计算体系；

• 挑战2：快速攻防转换的场景下，模型的快速训练、快速更新、快速测试、快速上线的能力；

解决方案：与数据体系深度整合和定制化的统一模型平台；

• 挑战3：近百亿节点的超大规模图的计算与图算法实践；

解决方案：符合风控业务场景的图算法创新和图计算技术架构创新。

全链路防控体系

阿里聚安全除了上面提到的安全能力，在内容安全和实人认证方面，还提供了违禁识别、身份冒用识别、智能监黄等能力。