本文作者：晏强 刘嵩 / 光大证券股份有限公司信息技术部

---

1 移动安全概述

近几年，全球陆续发生重大的网络安全事件，对社会、企业造成了巨大的损失。从国内看，党的十八大以来党中央高度重视网络安全工作，成立中央网络安全和信息化领导小组，习总书记做出划时代的“没有网络安全就没有国家安全”的重要论断，改变了我国整体网络安全的面貌。

当前社会正在快速进入数字化、智能化时代，各种新技术，新应用层出不穷，带来的安全问题也层出不穷。目前我们会面临的主要网络安全攻击包含

1：新型网络犯罪威胁财产和人身安全

在近期举行的全国社会治安综合治理表彰大会上，有关领导指出，网络犯罪已成为第一大犯罪类型，未来绝大对数犯罪都可能借助网络实施。

随着新技术的不断出现，网络犯罪的技术手法多种多样。网络诈骗已经形成非常完善的产业链条，国内网络诈骗从业者可能多达160万人，从开发制作、批发零售、到诈骗策划、诈骗实施，再到分赃销赃，细分工种多达20多个。网络钓鱼诈骗黑产的年产值达到上千亿，甚至超出我国网络安全行业的产值。

2：勒索病毒攻击威胁社会稳定和安全

2017年发生的“WannaCry”勒索病毒事件是最具代表性的安全事件，影响全球150多个国家。勒索病毒不但破坏了大量高价值数据，还导致很多公共服务、基础设施无法正常运行，严重威胁社会稳定。

勒索病毒已存在多年，但是今年的“WannaCry”事件，利用“永恒之蓝”武器将其破坏力推向了高峰。勒索病毒的高效变现能力，给全球网络犯罪分子带来巨大启发。可以预见，未来此类网络恐怖袭击将大行其道，甚至成为常态。

3：网络攻击威胁关键基础设施安全

习总书记指出“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”

自“震网病毒”被发现至今，针对关键信息基础设施的网络攻击活动被频繁曝光，近两年尤为活跃。网络攻击从信息间的对抗，演变到对物理域进行破坏、控制，达到与传统战争同等的火力效果。相比传统战争，网络战的效率更高，成本更低。

4：网络攻击威胁金融系统安全

金融系统是保证国家经济稳定运行的基础，金融安全也是国家安全的重要组成部分。随着互联网及新技术与金融业务的深入融合，金融领域面临的网络攻击威胁在不断增加。

2016年上半年接连发生了以孟加拉国央行为代表的一系列发展中国家央行或大型国有银行被盗事件，受害者损失高达数千万美元；下半年又发生了以台湾第一银行ATM机吐钞事件为代表的一系列ATM机攻击事件。

5：网络攻击威胁国家政权安全

网络技术的发展，突破了时空限制，拓展了传播范围，创新了传播手段，被用来干涉他国内政，攻击他国政治制度、煽动社会动乱等活动，严重危害国家政治安全。

希拉里“邮件门”事件就直接改变了美国乃至世界的政治格局。这件事，可以发现人是最薄弱的环节。

我们看到，线上线下正在深入融合，互联网成为像水、电和空气一样的基础设施；网络攻击将会穿透虚拟空间，直接映射到现实世界；安全问题已经泛化，我们面临着大威胁、大挑战，世界已经进入了“大安全时代”。

信息安全问题已经从单纯的技术问题上升为政治问题、社会问题，直接影响主权国家的安全和发展，关系到社会的和谐稳定，成为国际关注的焦点。

随着智能手机以及4G网络的普及和金融科技的深入发展，人们的生活已经被逐步改变，使用手机支付、办公、购物、娱乐等成为主流方式。

截至2017年6月，中国手机网民规模达7.24亿手机上网使用率为96.3%（第40次｜中国互联网络发展状况统计报告）；随着国家对网络安全的不断重视，以及移动应用在工作、生活中的快速渗透，移动安全越来越得到重视，移动安全技术也将得到迅速的发展。

整体来说，移动应用安全市场整体处于发展初期阶段，目前移动安全主要包括三大服务体系：

安全检测：人工渗透测试和自动化检测是目前常用的检测手段。
安全加固：实现APP的整体防御，包括防反编译、防篡改、防调试、防截屏、防劫持等。
安全监测：渠道管理、识别仿冒程序以及大数据分析是安全监测的常用手段。

随着移动应用安全技术的不断发展，以及大数据、人工智能、机器学习等技术的综合运用，移动应用安全市场未来将在复杂应用的加固保护方案和移动应用的威胁态势感知两个方向，而威胁感知技术的运用必然为移动安全提供有力的支撑。

通过建模推理、机器学习等智能化手段，基于特征分析深入挖掘和洞察用户行为和应用状态，有效发现并阻止攻击行为和网络安全隐患。从偏于应急响应式的网络安全防护工作模式，逐步转向主动感知、预防为先、更为有效的安全防护工作模式是移动应用安全防范保障发展的必然过程。

2 证券行业移动安全风险分析

证券业务具有时效性强，用户分布广，国内网络情况复杂等环境特点。实时行情/资讯是证券公司最基础也是访问压力最大的服务，绝大多数券商都在互联网金融云服务商部署自己的行情系统，根据使用量进行弹性扩容，适合证券行业业务波动的特性。证券移动终端用户也基于云计算、移动互联网技术的应用而大幅增长，随之而来的是层出不穷的移动应用安全问题，交易劫持、信息泄漏、业务欺诈等一系列安全事件，造成了大量用户隐私泄漏、企业经济损失，对企业与用户都造成了严重的影响。

当前证券企业部署在因特网上的服务已经成为网络攻击的重要目标。在移动互联网环境中，移动应用是企业业务发展的主要载体，对于企业而言，业务体系不可避免的面临来自多方的威胁，而作为企业业务发展的载体，移动应用自然成为了主要的威胁原点。当证券移动应用服务遭受攻击时，移动应用终端会留有非法访问和攻击情况的痕迹，因此在开展金融网络安全事件分析定位时，最直接有效的数据来源移动应用终端的威胁行为数据和安全事件日志。但由于技术限制，这些零散和庞大的信息长期以来对金融网络安全风险防范起到的作用并没能发挥出来。

区别于银行、电商、游戏等行业，证券行业具有一定的行业特征，所关注的移动安全风险点也不尽相同；银行、电商更关注自动化攻击、薅羊毛等风险，游戏行业更关注破解和外挂；而证券行业由于其业务特点，在关注数据安全的同时，更关注系统自身的安全性和可用性；通过分析安全风险对移动交易业务的影响程度，这里提出证券行业的六大高危移动安全风险点：

1）APP被调试、代码注入等攻击行为
2）运行环境不安全
3）APP崩溃无法获知原因或得到有效收集和处理
4）登录撞库攻击
5）交易服务端接口原理被泄露
6）APP被集成到其它非授权APP中

3 证券行业移动安全风险解决方案

根据证券行业面临的六大高危风险点，结合企业自身的需要，针对性的提供以下安全保护措施。

3.1 APP被调试，代码注入等攻击行为

防动态调试保护思路：

通过加固手段，同时对关键函数进行监控，通过对进程状态，端口，信号的实时监听探测保护APP不被动态调试。加固后APK在被动态调试时，需自动退出自身运行。如：GDB动态调试。

防动态调试技术原理：

1）加固代码中需实时检测app进程状态，当发现进程状态处于traced状态或者TracePid为非自身进程时，程序退出；
2）加固代码需监控常见调试程序利用端口，当发现端口被调试程序给占用时，程序退出；
3）加固代码需捕获调试器信号SIGTRAP，SIGCONT信号等，检测进程是否处于调试状态；
4）加固代码需检查子进程与主进程建立通信是否异常，是否发生通信超时或者通信中断等；

防代码注入保护思路：

通过加固手段，防止对加固后APK进行运行时内存代码注入攻击。当进行内存代码注入时，APK需自动退出自身运行。

防代码注入技术原理：

1）加固使用inotify接口对内存文件进行监控，当发现有进程直接对内存进行操作事件时程序退出；
2）同时加固对进程map中注入的动态库来源进行判断，通过hook关键系统调用，截获注入进程数据写入和传递。

3.2 运行环境不安全

清场保护思路：

通过建立黑白名单机制，对移动应用运行环境进行清场，保证恶意应用、病毒、恶意框架存在的终端无法运行受保护的APP。

清场保护原理：
1）可以通过将黑白名单放入云端的方式，来解决本地黑白名单反复操作，以及减少工作量，不用频繁的修改，程序运行后需进行云端黑白名单的同步对比，以保障黑白名单的及时性、准确性、灵活性。
黑白名单样本内容主要包括以下4类：
1、包括现有的各类工具（调试器、加速器、模拟器、修改器）；
2、病毒库；
3、恶意行为库
4、隐藏API库
2）病毒类清场可以依靠第三方安全厂商提供的病毒库来作为样本进行病毒代码的匹配。

3.3 APP崩溃问题无法得到有效的收集和处理

APP崩溃解决思路：

建立一套移动应用崩溃信息管理系统，自动发现反馈机制，监测应用在用户手机上发生崩溃的情况，上传相关信息至web平台，并进行数据分析、汇总、展示。

APP崩溃系统组成：

崩溃系统需包括客户端的信息搜集引擎和服务端的崩溃信息管理后台：
1）信息搜集引擎，分为安卓和IOS二种，实现在客户端发生崩溃时，自动搜集相关信息（包括机型、系统类型、版本、时间等）并上传至服务端平台。
2）崩溃信息管理后台：提供一个管理后台，供APP开发人员进行查看操作。管理后台可以为APP开人员展示应用崩溃数据，帮助开发人员进一步研究崩溃原因，并进行改进。

3.4 登录撞库攻击

撞库攻击保护思路：

通过相关感知系统，在APP中捕获关键敏感界面（登录界面等）的点击频次和点击间隔时间，一旦发现点击频次过高（超过正常点击水准）或者点击间隔为固定时间时，即可判断为面临撞库攻击风险。

撞库攻击保护原理：

1）分析模型建立：需根据企业自身APP应用特点，建立一套独有的威胁分析模型，该分析模型必须符合APP自身特点，区别自动化攻击与正常操作，同时需要在一定时间段内，不断的去完善该模型来应对不同的威胁和风险。
2）关键数据埋点收集：根据分析模型中需要收集的数据类型，在APP内部进行预埋点，同时需保证数据收集的及时性，以便于后台进行判断和处理。
3）策略下发：因为分析模型的建立具有变更性，分析模型会随着业务的变更与攻击手段的更新而变化，所以数据埋点收集以及分析策略需要支持下发至终端设备，以便于支持不断变更的业务及应对新型攻击手段。

3.5 服务端接口原理被泄露

查询接口泄露保护思路：

在需保护的APP中，获取特点文件的哈希值，然后用这个哈希值结合自有的算法，在服务器端进行安全校验，校验通过，即代表该查询属于正常请求，服务器端返回相关数据即可，反之则不返回任何数据

查询接口泄露保护原理：

1）查询接口泄露主要表现在接口被随意滥用，恶意应用通过查询接口，发送请求至服务器端，导致会有数据泄露风险。而通过APP内部特定文件，通过哈希值来进行校验，可以保证所有发送的请求来源是正版APP中发送的请求，可有效避免数据泄露风险。
2）哈希值的校验，需建立在自有算法的基础上，生成一个新的校验值，并且算法需做相关防反编译及数据传输保护，以保证校验值不被泄露。
3）需对相关算法进行定期更新，以保证校验值的有效性。

3.6 证券APP被集成到其它非授权APP中

非授权调用保护思路：

1：通过源码加壳、源码分离、防内存dump方式，保证源代码相关调用逻辑无法被恶意用户或黑客获知。
2：通过黑白名单校验方式，将已知的非授权应用加入黑名单进行鉴别

非授权调用保护原理：

APP被其他APP（主应用）调用一般有两种方式：一种是动态加载的方式，一种是通过安卓Intent组件实现。

一种是采用动态加载的方式，将待加载APK反编译，获取APP启动和调用逻辑后，将处理过的待加载APK放在主应用APK的资源文件中，用户在主应用中即可无感知启动待加载应用。此类风险的预防只需要对APP做安全加固即可有效防止，黑客要实现动态加载必须先破壳，才可分析APP相关逻辑。

另一种方式是通过在A工程中的activity点击某按钮启动B工程中的actvity，此种方法依赖于Android的Intent组件实现。此方式是Android系统所允许的调用方式；如果一定要避免对此类行为对APP造成的影响，需要采用清场保护技术，将恶意/非授权应用加入到清场黑名单即可。

3.7 防止Cycript/Runtime修改风险

通过内核设置进程的TRACED标志能检测gdb或其他调试器附加到进程，但不能检测恶意代码，诸如攻击，cycript（或者其他类似不跟踪的工具）附加到进程。在代码中实现这些可以强制攻击者避免使用调试器（这会让他更麻烦），或者定位修补相关的检测代码。

保护思路：

通过重载相关方法及多进程相互监控，以避免安全措施被攻击者绕过。

保护原理：

1：防止choose(类名)
在Cycript中可以很方便的使用choose(类名)来获取到App中该类所有的实例变量，那么我们只需要重载- (NSString *)description方法，让他返回一个空值或自定义语句，即可保证实例变量的安全性。

2：加密内存区块
如果Cracker们搜索内存的话，还是有可能找到一些数据的，我们不用的时候加密这块内存，用的时候再解密，即可保证内存中数据的安全性。

3.8 本地数据被缓存风险

应用软件可能是安全的，但操作系统中继承的许多特性使得大量的数据被缓存以便让用户在稍后使用时更快速和便捷（诸如残余的gps缓存，sqlite缓存，属性列表等重要文件，键盘缓存，屏幕系统截图都能被还原），建议在编写代码时注意对抗设备上的各类取证措施。

保护思路：

通过对落地数据加密处理以及定期做数据清理（主/被动方式），对本地数据进行加密保护。

保护原理：

1：落地数据加密处理
对涉及到会落地到手机上的所有数据进行加密处理，就算APP有数据残留问题产生，这些残留的数据也是加密的数据，不会造成风险。
2：主/被动定期数据清理
包括了：APP主动周期性清理数据、APP提供给用户接口可被动清理数据等。

3.9 数据流量监听风险

通过伪造APN配置，物理上的接触可以使攻击者轻易监听目标设备的移动数据流量。移动流量和wifi数据都可以被劫持和监听，从而监控到用户应用软件收发的Web数据。中间人攻击并监听时，因移动浏览器不会像计算机上那样显示用户期待的可视化指示器使其数据遭受威胁。同时需考虑SSL无法完全可信。

保护思路：

增加相应的DNS及内容防劫持机制，保证恶意用户无法监听相关数据流量。

保护原理：

1：DNS防劫持
域名解析是通过 DNS 协议解析完成，其最终结果就是获取域名真实的服务器地址。保护措施可采用IP调度的方式，通过域名封装、动态鉴权、动态IP列表、IP回源等技术，防止用户域名被运营商或其他不法分子劫持，有效保护应用安全。
2：内容防劫持
运营商出于利己目的，会按照一定的策略拦截HTTP 请求。保护措施可通过对私有协议进行传输加密，有效保护用户请求在传输过程中的安全，避免用户请求被篡改、注入内容，避免内容劫持带来的损失。

3.10 未知风险

以上六大类风险为证券行业已知的可预测风险，针对某些未知风险以及因业务变更导致的新增风险，需通过相关威胁感知系统进行分析。

4 威胁感知方案设计

4.1 数据定义威胁

传统安全行业中，威胁的定义来自于已有防护体系的知识库以及人工的判断分析。分析的重点也只是针对于当前面临的攻击行为，对真实业务面临的其他多个维度的威胁并不关注，所以常常导致安全脱离业务，威胁感知变成了攻防分析工具。而证券行业最需要关注的业务威胁并没有得到合理的分析与解决。

图1 如何定义移动应用威胁场景

所以应从数据角度出发，构建了三大数据采集体系，全方位采集更广，更细，更新的数据；通过无监督机器学习算法，让系统在海量的数据中构建出无限的威胁可能，然后通过不断的训练，建模与预测，将系统与企业业务无缝关联，深入挖掘出基于业务的潜在风险，解码未来威胁态势。

4.2 主要威胁说明

4.2.1 恶意威胁行为

4.2.2 恶意环境识别

4.2.3 APP崩溃信息收集

移动应用因为性能、适配等问题导致使用过程中出现响应迟缓、内存或CPU消耗增加、甚至是崩溃的情况，严重影响用户体验，导致用户流失。威胁态势感知系统应支持应用崩溃统计分析，使企业自身了解应用的性能情况、应用崩溃原因，从而进行应用性能优化。

崩溃收集信息包括：设备信息、用户步骤、堆栈信息、控制台信息等

4.2.4 基于移动应用的防自动化攻击

自动化攻击场景下，设备需要被Root或者设备为模拟设备，设备中需要安装xposed框架以便修改系统配置，业务交易等达到超高频操作。通过移动威胁态势感知系统，实现设备Root监测、模拟器监测、xposed框架监测、业务节点操作频率监测，监测点可包括如下信息：

页面信息收集：页面ID、页面名称、访问时间、离开时间、访问时长、加载时长、是否首次访问等；
按钮点击收集：按钮ID、按钮名称、点击时间、两次点击间隔等
通过多种监测条件组合形成判定条件，识别自动化攻击/异常行为。

4.2.5 移动应用接口保护

证券行业的APP大多数由外部开发商开发，不排除个别开发商在其它项目中非授权使用APP接口，进行行情/资讯的查询。

威胁感知系统需支持对此类风险的甄别，可对移动应用的多个文件采用哈希算法进行校验，校验通过的移动应用，后端服务器提供相应的行情/资讯服务。实现业务服务器和威胁感知服务的联动，将非授权移动应用的请求信息交由威胁感知服务器进行分析和处理，获取威胁的具体详情。

4.2.6 APP非授权被调用

APP被其他APP（主应用）调用一般有两种方式：一种是动态加载的方式，一种是通过安卓Intent组件实现。

一种是采用动态加载的方式，将待加载APK反编译，获取APP启动和调用逻辑后，将处理过的待加载APK放在主应用APK的资源文件中，用户在主应用中即可无感知启动待加载应用。此类风险的预防只需要对APP做安全加固即可有效防止，黑客要实现动态加载必须先破壳，才可分析APP相关逻辑。

另一种方式是通过在A工程中的activity点击某按钮启动B工程中的actvity，此种方法依赖于Android的Intent组件实现。此方式是Android系统所允许的调用方式；如果一定要避免对此类行为对APP造成的影响，需要采用清场保护技术，将恶意/非授权应用加入到清场黑名单即可。

4.3 威胁数据体系

我们将威胁数据来源分为三大数据源体系，分别是自构体系，赋能体系以及派生体系。

1：自构体系指企业内部自构的数据采集体系，如APP中的自埋点数据，历史数据以及各种业务产生的日志信息；
2：赋能体系指平台为客户提供的数据采集体系，包括感知SDK和安全大数据平台提供的数据服务；
3：派生体系指第三发提供的数据采集体系，包括客户处集成的第三方SDK的数据采集，客户处第三方服务平台的数据导入以及从合作伙伴处获取的相关数据。

4.4 数据应用能力

图2 数据应用

1：数据采集能力，移动威胁态势感知系统主要的数据来源包括企业自构体系、数据赋能体系与第三方派生体系。从三大体系中采集的数据可进行分类，分别为：基础数据、安全数据、业务数据、竞品数据、优化数据。其中，基础数据主要为硬件数据、软件数据、网络数据、系统日志数据等；安全数据主要为攻击事件数据；业务数据主要为业务流程中的关键节点数据、业务日志数据；竞品数据主要为应用所处设备终端竞品安装、运行状态数据；优化数据主要为应用崩溃日志数据、性能数据。

2：数据挖掘能力，采集后的数据进入数据挖掘阶段，系统采用了机器学习方法，通过对数据进行分词，关键信息提取得到关键词数据，系统将关键词信息与系统内置标签库进行匹配并得出匹配结果，匹配结果进行数据分析后识别正确则进入样本模型库并提供给上层做分析展示，如果识别错误则进行人工干预纠错，再将纠正后的正确识别信息存入样本模型库并提供给上层做分析展示。随着不断的新数据的数据输入，机器学习引擎对大量数据进行训练，建模，预测。不断完善和提升样本模型准确性及与用户真实业务的适配性。

3：数据应用能力，系统通过大量的机器学习建立了海量的样本模型，形成基于企业业务模式下的行为画像与内容画像。系统根据行为画像与内容画像建立了多维度的数据分析模型，包括基础数据分析，安全数据分析业务数据分析，竞品数据分析，优化数据分析5种自建分析模型，另外系统提供扩展分析接口，允许自建分析模型来分析个性化的威胁数据。

4：数据分析能力，独立的数据分析能力无法对真实的业务威胁进行关联与闭环，数据决策的意义在于将分析结果与策略进行智能关联，当威胁事件发生时及时下发决策，推动业务系统的策略更新。

5：数据展示能力，数据展示是系统对数据能力的直观表达，系统通过dashboard展示所有数据能力的综合态势，通过分类数据分析进入到每种数据能力中进行深度分析展示，通过数据详情洞穿威胁事件详情，了解威胁产生的本质原因。

4.5 智能分析方法

图3 传统威胁分析方法

图4 无监督机器学习分析方法

传统安全行业威胁分析方法采取的强人工干预，需要安全研究员不间断的对应用数据进行研究或在安全事故发生后进行针对性分析，提取特征值并建立新的模型加入到模型库中。输入新数据后根据已有的模型库判断是否异常。此方式的局限性在于模型库中存在的都是已知的威胁模型，且模型库需要大量的人工进行维护干预。

移动威胁态势感知系统应采用机器学习中无监督学习算法进行威胁建模与分析。无监督式学习(Unsupervised Learning)是人工智能网络的一类算法(algorithm)，其目的是去对原始资料进行分类，以便了解资料内部结构，发现数据之间的关系规则。有别于监督式机器学习，无监督式机器学习在进行分析时并不知道其分析结果是否正确（即没有监督式增强）。它会主动从输入数据中找到潜在的类别规则并建立关系模型，当学习完成并测试纠正后，新的模型将可应用于新的案例数据上。

无监督式机器学习特点在于主动从输入的范例数据中寻找潜在的规则，代替人为分析，提高分析效率并存在无限可能结果，最终达到准确预测的目的。

此处以高考为例，高考的题目在上考场前我们未必做过，但在高中三年我们做过很多很多题目，懂解题方法，因此考场上面对陌生问题也可以算出答案。机器学习的思路也类似：我们能不能利用一些训练数据（已经做过的题），使机器能够利用它们（解题方法）分析未知数据（高考的题目）？最简单也最普遍的一类机器学习算法就是分类。对于分类，输入的训练数据有特征，有标签。所谓的学习，其本质就是找到特征和标签间的关系。这样当有特征而无标签的未知数据输入时，我们就可以通过已有的关系得到未知数据标签。在上述的分类过程中，如果所有训练数据都有标签，则为有监督学习。如果数据没有标签，显然就是无监督学习了。

4.5.1 安全数据分析

应用安全威胁分为运行安全威胁与环境安全威胁。运行安全主要指运行过程的攻击事件威胁，环境安全主要指应用所处硬件环境、软件环境、网络环境是否存在潜在威胁。对应用安全态势分析依托于对运行安全与环境安全的分析，而运行与环境安全分析主要通过基础数据、安全数据两个维度数据进行数据挖掘实现。

4.5.2 业务数据分析

不同应用运行过程中面临不同的业务威胁。移动威胁态势感知系统感知SDK基于基础数据、安全数据、业务数据应实现及时发现并定位业务异常情况。依托基础数据识别设备身份、地理位置等，依托安全数据识别设备环境状态，依托业务数据识别异常点击、函数调用情况，结合三者可识别异常环境与异常操作行为，分析定位安全事件，及时通知企业。

4.5.3 运营数据分析

移动威胁态势感知系统对实现竞品数据、业务数据采集。其中竞品数据主要采集终端安装应用、运行应用信息，通过黑白名单方式识别竞品应用并采集相关数据，分析企业本身应用与竞品应用的用户重合情况，结合业务场景，分析业务场景下应用与竞品之间的优略差别。

4.5.4 优化数据分析

企业移动应用自身存在设计缺陷或因外部环境变化产生不适应等因素造成应用性能下降，如响应迟缓、内存或CPU消耗增加、甚至是应用崩溃的情况。移动应用威胁态势感知系统帮助企业客户采集应用崩溃日志信息，并通过数据挖掘，发现应用崩溃原因并修复建议，协助企业对移动应用的优化。

4.5.5 扩展数据分析

移动威胁态势感知系统支持用户进行扩展数据分析。如已有的数据分析不能满足客户个性化需求，客户通过接口对接、数据导入等形式扩展数据维度，并通过手段关联方式进行自定义维度的数据分析。

4.5.6 基础模板场景分析

移动威胁态势感知系统配置了基础场景模板，其中包含攻击模板（框架攻击、调试攻击、注入攻击、界面劫持攻击）、新增用户留存模板、崩溃统计模板、攻击综合模板，支持客户快捷创建场景分析。

4.5.7 自定义场景分析

移动威胁态势感知系统支持客户根据具体场景，通过字段、事件条件匹配设置，实现场景创建与监测。

5 总结

通过建立移动威胁态势感知系统，证券企业可以支持运维人员及安全人员等查询精准的数据详情，展示事件全过程。运维人员及安全人员等可根据数据详情内容进行威胁原因分析、定位威胁源。

1）启动、运行、切换等全过程的客户端威胁事件监控
2）可持续自适应的终端环境安全检测
3）可视化埋点与多维数据统计
4）实时守护进程与场景定制化策略

同时，建立移动威胁态势感知系统，可有效提高证券APP的安全水平，为开发团队在威胁预测、版本升级、风险项目解决等多方面提供了数据化的支撑，能有效帮助安全人员、运维人员及开发人员等第一时间了解到自身APP的威胁程度，从而第一时间找到解决方案，所以建立移动安全态势感知体系势在必行。