銀行互聯(lián)網(wǎng)金融平臺面臨的新型威脅及防護(hù)技術(shù)研究

1引言互聯(lián)網(wǎng)金融平臺在運(yùn)營過程中，是搭載互聯(lián)網(wǎng)平臺來實現(xiàn)運(yùn)營的，但由于互聯(lián)網(wǎng)屬于開放式運(yùn)營方式，其內(nèi)部的系統(tǒng)缺陷將為網(wǎng)絡(luò)黑客提供攻擊平臺，進(jìn)而對網(wǎng)絡(luò)終端用戶的財產(chǎn)安造成威脅?！稗堆蛎毙袨榕c撞庫攻擊行為則是典型的網(wǎng)絡(luò)攻擊案例，攻擊者通過網(wǎng)絡(luò)系統(tǒng)漏洞來將用戶信息進(jìn)行盜取與篡改，進(jìn)而使用戶以及銀行機(jī)構(gòu)造成財產(chǎn)損失。傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)是針對威脅信息來進(jìn)行被動式攻擊，缺乏隱性病毒檢測的能力，為此，應(yīng)加強(qiáng)防護(hù)技術(shù)的研究，以此來凈化網(wǎng)絡(luò)環(huán)境，為用戶的財產(chǎn)安全提供基礎(chǔ)保障。2互聯(lián)網(wǎng)業(yè)務(wù)在銀行機(jī)構(gòu)的應(yīng)用隱患近年來，銀行機(jī)構(gòu)在互聯(lián)網(wǎng)技術(shù)的應(yīng)用下，實現(xiàn)遠(yuǎn)距離操控、虛擬鏈接等，提升銀行的辦事效率。同時，在互聯(lián)網(wǎng)平臺的建立下，也催生出多種業(yè)務(wù)模式是，包括移動金融、多平臺支付、理財融資等，令銀行服務(wù)鏈呈現(xiàn)出持續(xù)增加的趨勢，進(jìn)而提升銀行管理系統(tǒng)的安全風(fēng)險，使人民的財產(chǎn)安全受到威脅。對于銀行互聯(lián)網(wǎng)金融平臺來講，其主要風(fēng)險漏洞一般以系統(tǒng)登錄平臺風(fēng)險、驗證平臺風(fēng)險、跨站腳本攻擊、業(yè)務(wù)涉及風(fēng)險、信息泄露風(fēng)險等為主，將為銀行帶來較大的運(yùn)行負(fù)擔(dān)。3銀行互聯(lián)網(wǎng)金融平臺面臨的新型威脅3.1“薅羊毛”行為“薅羊毛”行為是指客戶依據(jù)網(wǎng)絡(luò)平臺給予的優(yōu)惠活動來開展一系列操作，一般是以個人或團(tuán)體為主，利用智能化軟件對參與銀行活動的商家進(jìn)行定向優(yōu)惠活動索取，通過非正常手段來進(jìn)行線上搶購。薅羊毛行為與違法行為的本質(zhì)區(qū)別在于消費(fèi)者信息的合理性，薅羊毛一般以真實的信息為主，通過各項活動的參與來完成目標(biāo)需求，此類攻擊行為一般利用軟件來對電商APP、金融類APP等進(jìn)行實時關(guān)注，當(dāng)出現(xiàn)活動時，將自動進(jìn)行參加，攻擊者通過智能化軟件進(jìn)行不同平臺的的登錄，以此來獲取利潤。此種軟件的使用將阻礙平臺服務(wù)器的運(yùn)行，使正常參與的用戶無法在第一時間登錄活動頁面，導(dǎo)致活動產(chǎn)生利益落入少部分不法分子手中，而對于活動承辦商來講，推廣效果也與預(yù)期不符，造成營銷費(fèi)用與經(jīng)濟(jì)收入不匹配。2018年某銀行舉辦的信用卡活動，其刷卡金優(yōu)惠力度開展以來，2月到8月薅羊毛行為產(chǎn)生的金額約為8億元。不法分子發(fā)動此類網(wǎng)絡(luò)攻擊行為，則是依靠銀行系統(tǒng)的漏洞，采用新型手法對銀行機(jī)構(gòu)的網(wǎng)絡(luò)平臺進(jìn)行攻擊，致使銀行機(jī)構(gòu)面臨服務(wù)器崩潰、信息泄露等風(fēng)險。3.2撞庫攻擊行為撞庫攻擊是指黑客將已經(jīng)泄露的數(shù)據(jù)信息進(jìn)行集成處理，在利用網(wǎng)絡(luò)平臺來進(jìn)行批量登錄，以此來獲取更多的登錄信息?，F(xiàn)階段，大部分網(wǎng)絡(luò)用戶一般在不同網(wǎng)絡(luò)平臺使用的是同一個賬號、密碼等，黑客則是利用一個平臺的泄露信息在其它平臺進(jìn)行的登錄，此種操作則為撞庫攻擊。對于互聯(lián)網(wǎng)金融平臺來講，每天都將產(chǎn)生大量的數(shù)據(jù)信息，用戶在進(jìn)行網(wǎng)上登錄時，大部分人過于依賴于網(wǎng)絡(luò)平臺的安全系統(tǒng)，將導(dǎo)致個人信息泄露，為網(wǎng)絡(luò)黑客提供信息資源。例如，近年來較大的撞庫案例則是某購物平臺，其平臺的數(shù)據(jù)庫安全系數(shù)較高，不存在泄露風(fēng)險，黑客則是通過撞庫攻擊來對平臺用戶的數(shù)據(jù)信息進(jìn)行獲取，以此來將數(shù)據(jù)信息同步應(yīng)用到各大網(wǎng)站中，導(dǎo)致用戶的財產(chǎn)安全受到威脅。4傳統(tǒng)網(wǎng)絡(luò)銀行機(jī)構(gòu)防護(hù)系統(tǒng)的缺陷銀行機(jī)構(gòu)作為人民財產(chǎn)的存儲中心，其在運(yùn)營過程中將采用多種防護(hù)技術(shù)，來對居民的個人信息以及財產(chǎn)安全進(jìn)行防護(hù)，大部分銀行機(jī)構(gòu)部署WAF、DDOS、IPS等防護(hù)系統(tǒng)，但此類防護(hù)系統(tǒng)一般是對已知的攻擊行為進(jìn)行分析，然后在對簽名、規(guī)則等進(jìn)行編寫，以此來形成防護(hù)措施。但對于撞庫攻擊行為來講，其是依靠數(shù)據(jù)信息的模擬來進(jìn)行操作的，在銀行的防護(hù)系統(tǒng)中默認(rèn)為合法化操作，同時撞庫攻擊不屬于主動攻擊的范疇，其是將用戶名與密碼進(jìn)行復(fù)制型登錄，以此來對該用戶在銀行機(jī)構(gòu)名下的數(shù)據(jù)信息進(jìn)行竊取，進(jìn)而侵入到銀行機(jī)構(gòu)的操作系統(tǒng)中。傳統(tǒng)的網(wǎng)絡(luò)銀行機(jī)構(gòu)系統(tǒng)如圖一所示，在WAF防護(hù)層中，內(nèi)部系統(tǒng)無法對合法化的登錄協(xié)議進(jìn)行檢查，致使數(shù)據(jù)信息的真實性辨別存在缺陷；在DDOS防護(hù)層中，其在應(yīng)用層中不具備防護(hù)能力；在IPS防護(hù)層中，不具備主動攔截的能力，造成系統(tǒng)防護(hù)存在漏洞。圖1傳統(tǒng)網(wǎng)絡(luò)防護(hù)缺陷5銀行互聯(lián)網(wǎng)金融平臺的防護(hù)技術(shù)研究5.1偽裝技術(shù)偽裝技術(shù)是利用網(wǎng)絡(luò)模擬化手段，對網(wǎng)絡(luò)平臺、應(yīng)用、數(shù)據(jù)終端等進(jìn)行偽裝，并依據(jù)攻擊者的主要意圖來調(diào)整，以此來令侵入軟件的識別功能失效，進(jìn)而對攻擊者造成范圍擾亂效果，以延長攻擊時間，令內(nèi)部網(wǎng)絡(luò)安全防護(hù)系統(tǒng)可有更多的時間來運(yùn)行防護(hù)程序，以此來加強(qiáng)系統(tǒng)的防護(hù)功能。5.2遠(yuǎn)程操控技術(shù)遠(yuǎn)程操控技術(shù)的主要防護(hù)平臺是以瀏覽器為主。網(wǎng)絡(luò)攻擊者一般是通過瀏覽器來進(jìn)行操作的，將瀏覽器作為切入點來盜取信息以及登錄信息等，為此，遠(yuǎn)程操控技術(shù)則是建造一個平臺型服務(wù)器，將瀏覽器系統(tǒng)集成到平臺中，令用戶通過此種隔離型平臺來進(jìn)行虛擬化操控，以確保服務(wù)器與終端系統(tǒng)的獨(dú)立運(yùn)行，達(dá)到最終防護(hù)效果。5.3動態(tài)防護(hù)技術(shù)動態(tài)防護(hù)技術(shù)則是將偽裝技術(shù)、遠(yuǎn)程操控技術(shù)進(jìn)行融合，將傳統(tǒng)的被動防護(hù)模式轉(zhuǎn)變?yōu)橹鲃臃雷o(hù)模式，進(jìn)而減少防護(hù)系統(tǒng)運(yùn)行的響應(yīng)時間。動態(tài)防護(hù)技術(shù)主要是對銀行機(jī)構(gòu)的主服務(wù)器進(jìn)行防護(hù)，以底層代碼周期性動態(tài)轉(zhuǎn)換來對隱蔽系統(tǒng)的缺陷，進(jìn)而從源頭上制止攻擊行為，此類防護(hù)模式具備感知能力，可對終端操控系統(tǒng)進(jìn)行深度辨別，防止攻擊者利用模擬化登錄來竊取數(shù)據(jù)信息。網(wǎng)絡(luò)金融平臺通過此種防護(hù)機(jī)制，可擾亂網(wǎng)絡(luò)攻擊者的計劃，進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)的安全性。動態(tài)防護(hù)技術(shù)以一般以動態(tài)封裝、驗證、混合、令牌等來完成防護(hù)工作。首先，動態(tài)封裝主要是對瀏覽器的服務(wù)代碼進(jìn)行更改與封裝，將瀏覽器頁面上的敏感信息進(jìn)行主動獲取，例如被攻擊入口、表單等，通過服務(wù)代碼的隱藏，使攻擊者無法通過軟件來對定性信息進(jìn)行獲取，并無法預(yù)料到服務(wù)器的運(yùn)行路徑。其次，動態(tài)驗證是采用信息反饋模式，將客戶終端、服務(wù)終端進(jìn)行對接，以防止第三者的窺探行為，進(jìn)而形成終端防護(hù)。此外，動態(tài)驗證具有離散性，每一次驗證碼的生成方式都不相同，其數(shù)量、項目等都無任何規(guī)律所尋，進(jìn)而提升攻擊成本。再次，動態(tài)混合是將瀏覽器內(nèi)的敏感信息、代碼等進(jìn)行隨機(jī)混合，以此來增加網(wǎng)絡(luò)的自檢防護(hù)能力，其混合目標(biāo)一般為URL、data、cookie等，進(jìn)而令代碼侵入、地址偽造、信息篡改等行為無法進(jìn)行正確操作。最后，動態(tài)令牌是系統(tǒng)發(fā)出的一種定向數(shù)據(jù)，一般服務(wù)對象為瀏覽器內(nèi)的合法用戶，以此來保證各項業(yè)務(wù)可進(jìn)行邏輯操作，此外，動態(tài)令牌可對系統(tǒng)內(nèi)的自動化攻擊行為進(jìn)行阻擋，以此來凈化網(wǎng)絡(luò)系統(tǒng)。與傳統(tǒng)防護(hù)系統(tǒng)相比，動態(tài)防護(hù)技術(shù)是以數(shù)據(jù)信息的不可預(yù)見性轉(zhuǎn)變方式為主。通過動態(tài)變換來增強(qiáng)網(wǎng)絡(luò)系統(tǒng)各項應(yīng)用的模擬性，以此來將系統(tǒng)安全漏洞進(jìn)行隱藏；通過動態(tài)感知來對瀏覽器內(nèi)的運(yùn)行路徑進(jìn)行全過程監(jiān)督，并可實時感知到終端威脅型信息，以保證業(yè)務(wù)運(yùn)行的邏輯性；動態(tài)智能則是按照網(wǎng)絡(luò)系統(tǒng)的運(yùn)行模式來進(jìn)行智能化轉(zhuǎn)變，并對侵入信息進(jìn)行主動攻擊，以此來增加攻擊者侵入的難度；動態(tài)響應(yīng)是對攻擊者的攻擊行為進(jìn)行及時響應(yīng)，并進(jìn)行動態(tài)調(diào)整，以防御型手段來模擬攻擊行為。動態(tài)防護(hù)技術(shù)可對互聯(lián)網(wǎng)金融平臺進(jìn)行四重動態(tài)防護(hù)，從賬戶安全、數(shù)據(jù)信息泄露以及業(yè)務(wù)欺詐行為等進(jìn)行全過程監(jiān)督。第一，在賬戶安全方面，可有效防止撞庫、虛假信息登錄、短信息轟炸、批量注冊等，進(jìn)而實現(xiàn)源頭性防護(hù)。第二，在數(shù)據(jù)泄露方面，對個人信息以及名下的理財產(chǎn)品、賬戶數(shù)據(jù)歷史、程序掃描等進(jìn)行防護(hù)，以此來為技術(shù)的全過程監(jiān)督行為提供基礎(chǔ)保障。