银行互联网金融平台面临的新型威胁及防护技术研究

2019-03-17刘桦洁中国邮政储蓄银行濮阳市分行

新商务周刊 2019年21期

文/刘桦洁，中国邮政储蓄银行濮阳市分行

1 引言

互联网金融平台在运营过程中，是搭载互联网平台来实现运营的，但由于互联网属于开放式运营方式，其内部的系统缺陷将为网络黑客提供攻击平台，进而对网络终端用户的财产安造成威胁。“薅羊毛”行为与撞库攻击行为则是典型的网络攻击案例，攻击者通过网络系统漏洞来将用户信息进行盗取与篡改，进而使用户以及银行机构造成财产损失。传统的网络防护技术是针对威胁信息来进行被动式攻击，缺乏隐性病毒检测的能力，为此，应加强防护技术的研究，以此来净化网络环境，为用户的财产安全提供基础保障。

2 互联网业务在银行机构的应用隐患

近年来，银行机构在互联网技术的应用下，实现远距离操控、虚拟链接等，提升银行的办事效率。同时，在互联网平台的建立下，也催生出多种业务模式是，包括移动金融、多平台支付、理财融资等，令银行服务链呈现出持续增加的趋势，进而提升银行管理系统的安全风险，使人民的财产安全受到威胁。对于银行互联网金融平台来讲，其主要风险漏洞一般以系统登录平台风险、验证平台风险、跨站脚本攻击、业务涉及风险、信息泄露风险等为主，将为银行带来较大的运行负担。

3 银行互联网金融平台面临的新型威胁

3.1 “薅羊毛”行为

“薅羊毛”行为是指客户依据网络平台给予的优惠活动来开展一系列操作，一般是以个人或团体为主，利用智能化软件对参与银行活动的商家进行定向优惠活动索取，通过非正常手段来进行线上抢购。薅羊毛行为与违法行为的本质区别在于消费者信息的合理性，薅羊毛一般以真实的信息为主，通过各项活动的参与来完成目标需求，此类攻击行为一般利用软件来对电商APP、金融类APP等进行实时关注，当出现活动时，将自动进行参加，攻击者通过智能化软件进行不同平台的的登录，以此来获取利润。此种软件的使用将阻碍平台服务器的运行，使正常参与的用户无法在第一时间登录活动页面，导致活动产生利益落入少部分不法分子手中，而对于活动承办商来讲，推广效果也与预期不符，造成营销费用与经济收入不匹配。2018年某银行举办的信用卡活动，其刷卡金优惠力度开展以来，2月到8月薅羊毛行为产生的金额约为8亿元。不法分子发动此类网络攻击行为，则是依靠银行系统的漏洞，采用新型手法对银行机构的网络平台进行攻击，致使银行机构面临服务器崩溃、信息泄露等风险。

3.2 撞库攻击行为

撞库攻击是指黑客将已经泄露的数据信息进行集成处理，在利用网络平台来进行批量登录，以此来获取更多的登录信息。现阶段，大部分网络用户一般在不同网络平台使用的是同一个账号、密码等，黑客则是利用一个平台的泄露信息在其它平台进行的登录，此种操作则为撞库攻击。对于互联网金融平台来讲，每天都将产生大量的数据信息，用户在进行网上登录时，大部分人过于依赖于网络平台的安全系统，将导致个人信息泄露，为网络黑客提供信息资源。例如，近年来较大的撞库案例则是某购物平台，其平台的数据库安全系数较高，不存在泄露风险，黑客则是通过撞库攻击来对平台用户的数据信息进行获取，以此来将数据信息同步应用到各大网站中，导致用户的财产安全受到威胁。

4 传统网络银行机构防护系统的缺陷

银行机构作为人民财产的存储中心，其在运营过程中将采用多种防护技术，来对居民的个人信息以及财产安全进行防护，大部分银行机构部署WAF、DDOS、IPS等防护系统，但此类防护系统一般是对已知的攻击行为进行分析，然后在对签名、规则等进行编写，以此来形成防护措施。但对于撞库攻击行为来讲，其是依靠数据信息的模拟来进行操作的，在银行的防护系统中默认为合法化操作，同时撞库攻击不属于主动攻击的范畴，其是将用户名与密码进行复制型登录，以此来对该用户在银行机构名下的数据信息进行窃取，进而侵入到银行机构的操作系统中。传统的网络银行机构系统如图一所示，在WAF防护层中，内部系统无法对合法化的登录协议进行检查，致使数据信息的真实性辨别存在缺陷；在DDOS防护层中，其在应用层中不具备防护能力；在IPS防护层中，不具备主动拦截的能力，造成系统防护存在漏洞。

图1 传统网络防护缺陷

5 银行互联网金融平台的防护技术研究

5.1 伪装技术

伪装技术是利用网络模拟化手段，对网络平台、应用、数据终端等进行伪装，并依据攻击者的主要意图来调整，以此来令侵入软件的识别功能失效，进而对攻击者造成范围扰乱效果，以延长攻击时间，令内部网络安全防护系统可有更多的时间来运行防护程序，以此来加强系统的防护功能。

5.2 远程操控技术

远程操控技术的主要防护平台是以浏览器为主。网络攻击者一般是通过浏览器来进行操作的，将浏览器作为切入点来盗取信息以及登录信息等，为此，远程操控技术则是建造一个平台型服务器，将浏览器系统集成到平台中，令用户通过此种隔离型平台来进行虚拟化操控，以确保服务器与终端系统的独立运行，达到最终防护效果。

5.3 动态防护技术

动态防护技术则是将伪装技术、远程操控技术进行融合，将传统的被动防护模式转变为主动防护模式，进而减少防护系统运行的响应时间。动态防护技术主要是对银行机构的主服务器进行防护，以底层代码周期性动态转换来对隐蔽系统的缺陷，进而从源头上制止攻击行为，此类防护模式具备感知能力，可对终端操控系统进行深度辨别，防止攻击者利用模拟化登录来窃取数据信息。网络金融平台通过此种防护机制，可扰乱网络攻击者的计划，进而提升网络系统的安全性。动态防护技术以一般以动态封装、验证、混合、令牌等来完成防护工作。

首先，动态封装主要是对浏览器的服务代码进行更改与封装，将浏览器页面上的敏感信息进行主动获取，例如被攻击入口、表单等，通过服务代码的隐藏，使攻击者无法通过软件来对定性信息进行获取，并无法预料到服务器的运行路径。

其次，动态验证是采用信息反馈模式，将客户终端、服务终端进行对接，以防止第三者的窥探行为，进而形成终端防护。此外，动态验证具有离散性，每一次验证码的生成方式都不相同，其数量、项目等都无任何规律所寻，进而提升攻击成本。

再次，动态混合是将浏览器内的敏感信息、代码等进行随机混合，以此来增加网络的自检防护能力，其混合目标一般为URL、data、cookie等，进而令代码侵入、地址伪造、信息篡改等行为无法进行正确操作。

最后，动态令牌是系统发出的一种定向数据，一般服务对象为浏览器内的合法用户，以此来保证各项业务可进行逻辑操作，此外，动态令牌可对系统内的自动化攻击行为进行阻挡，以此来净化网络系统。

与传统防护系统相比，动态防护技术是以数据信息的不可预见性转变方式为主。通过动态变换来增强网络系统各项应用的模拟性，以此来将系统安全漏洞进行隐藏；通过动态感知来对浏览器内的运行路径进行全过程监督，并可实时感知到终端威胁型信息，以保证业务运行的逻辑性；动态智能则是按照网络系统的运行模式来进行智能化转变，并对侵入信息进行主动攻击，以此来增加攻击者侵入的难度；动态响应是对攻击者的攻击行为进行及时响应，并进行动态调整，以防御型手段来模拟攻击行为。

动态防护技术可对互联网金融平台进行四重动态防护，从账户安全、数据信息泄露以及业务欺诈行为等进行全过程监督。第一，在账户安全方面，可有效防止撞库、虚假信息登录、短信息轰炸、批量注册等，进而实现源头性防护。第二，在数据泄露方面，对个人信息以及名下的理财产品、账户数据历史、程序扫描等进行防护，以此来为技术的全过程监督行为提供基础保障。第三，业务欺诈则是指恶意刷单、交易篡改、“薅羊毛”行为等进行防护。