物联网卡业务安全分析发展之路

2020-05-15 09:42:39 浏览数 (1)

物联网卡是运营商应用在物联网业务中的SIM卡。由于很多物联网卡会存在着被违规使用的情况,因此需要对物联网卡的业务使用行为进行检测,及时发现被异常使用的物联网卡。随着物联网业务的发展,异常检测的方法也在不断地发展,以更好的适配物联网卡的业务场景和异常场景。本文分三个阶段对异常检测方法的发展过程进行简要的介绍。

物联网卡是运营商应用在物联网业务中的SIM卡。依据功能不同,物联网卡分为两类:

专网卡:一种应用于物联网业务中的SIM卡,号码为13位,有短信和流量的功能,没有语音功能。

现网卡:一种应用于物联网业务中的SIM卡,号码为11位,与普通手机号码的号段相同,具有语音,流量和短信功能。

由于很多物联网卡的功能与普通手机卡的功能相同,所以物联网卡会存在着被违规使用的情况。其中,现网卡与个人的手机卡功能完全相同,但往往收费更加优惠,导致很多的现网卡被违规使用在个人手机业务中,或者被用来拨打骚扰电话,进行电信诈骗等非法活动。对于专网卡来说,其没有语音功能,同时短信功能受限,只能与平台通信,所以专网卡不会被当做个人手机卡使用。但是专网卡一般都具备上网功能。因此大量的物联网卡被用来进行违规上网。近年来,随着物联网的快速发展,被销售和激活使用的物联网卡数量也快速增加,物联网卡被违规使用的现象也随之越来越严重。因此需要对物联网卡的业务使用行为进行检测,及时发现被异常使用的物联网卡。随着物联网业务的发展,异常检测的方法也在不断地发展,以更好的适配物联网卡的业务场景和异常场景。本文将异常检测方法的发展过程分成了三个阶段,并分别对每个阶段所采用的方法进行简要的介绍。

一、探索阶段

在这个阶段,物联网设备开始大规模的接入到网络中,物联网卡的需求量激增,被异常使用的物联网卡数量也随之增加。而这个时间阶段正是机器学习,尤其是深度学习的概念被炒得最火热的年代。因此该阶段出现的针对物联网卡业务安全检测的方案往往都采用机器学习的方法。其总体的思路大致分为两类:分类检测和异常检测。

1分类检测

分类检测属于监督学习方法。在进行检测之前首先要训练分类模型。例如检测物联网卡所应用的行业与合同规定的行业是否匹配,其检测方法如图 1所示。

图1 分类检测示例

首先采集物联网卡的话单数据,位置信息数据,上网流量数据等,提取数据特征并训练行业识别分类器。由于不同的物联网行业对语音,短信,上网流量等特征的需求不同,所以分类器可以根据这些特征来分辨出每张卡所被应用的行业。如果分类器输出的结果与合同规定的场景不同,那么相应的卡可能被异常使用。

2异常检测

异常检测以无监督学习为主,例如离群点检测,如图 2所示。该方法可以针对同一个行业的物联网卡进行检测,找出行为偏差较大的卡。算法往往不能给出这些卡的异常原因,因此需要人工进一步调查。

图2 离群点检测

该阶段是机器学习方法被应用在物联网卡异常检测场景中的探索阶段。由于在这个阶段中物联网卡异常检测的需求还不强烈,所以该阶段的探索主要是采用小规模数据集进行验证,成果也是以发表文章为主。

二、实践阶段

该阶段是将已有的研究成果进行落地应用的初步实践阶段。由于被异常使用的物联网卡越来越多,国家相关的部委也提出了对物联网卡的监管需求,因此需要将之前的探索研究进行落地实践。在这个过程中发现之前基于机器学习的检测方法存在很多的局限。

首先,分类算法需要大量的有标签训练集。在实际的运营商业务系统中存储的大部分为无标签数据。以行业识别为例,运营商一般只有用卡单位信息,而没有对应到具体的行业。例如电力公司可以将卡应用在智能电表中,也可以应用在电力工程车中。这两种使用场景的数据特征差异很大,无法只通过用卡单位来区分出行业信息。其次,由于物联网所涉及的行业越来越多,物联网卡所涉及的业务场景也多种多样,采用单一的模型无法对所有的卡进行有效的异常检测。另外,由于物联网卡的业务数据量非常大,而一般的机器学习算法在处理大数据量时对计算资源的要求也非常高,这也导致理论上可行的机器学习算法在实际应用的过程中受到限制。

由于以上的限制,这个阶段业界放弃了继续使用机器学习算法,转而使用基本的统计分析方法。最常用的方法是基线分析方法,如图 3所示。

图3 基线分析方法

通过历史一段时间的数据学习出物联网卡相应业务特征的基线,例如上网流量特征,短信发送频率,短信长度等特征,并将当前的特征与历史基线特征相比较。如果偏离基线较多,则卡可能存在异常。相比于机器学习方法,统计分析方法不需要大量的标签数据做训练,并能够针对不同的业务数据维度分别学习基线,因此这种方法比传统的机器方法使用起来更加方便。同时,对于计算资源有限并需要处理大规模数据量的场景,统计分析方法也更加高效。

三、深入阶段

该阶段对物联网卡的异常分析方法进行了更加深入的研究。统计分析方法在实际上线运行以后暴露出了很多问题。首先,这类方法基于历史特征来创建基线,然后用来对当前的数据进行检测。该方法的一个前提假设是物联网卡的相关特征是“平稳”的,也就是其统计特性不随着时间而变化。在实际中物联网卡的业务数据往往不满足这个条件,这就导致统计分析方法的误报率较高。其次,统计分析方法没有引入足够的专家知识,这使得很多被恶意使用的物联网卡无法被有效识别。因此为了提高检测效果,威胁情报被引入到检测系统中。其中,威胁情报包括恶意号码库,URL信誉库,IMEI库,设备指纹库等。统计分析方法结合情报数据可以有效提高异常卡的检测效果。例如在统计分析中发现偏离基线较大的卡对应的设备指纹也出现异常,那么这张卡的异常程度就较高。

随着5G和NB-IoT设备逐渐接入网络,物联网的业务场景变得越来越复杂。同时,运营商所采集的数据信息也越来越完善。这使得针对特定业务场景进行定制化分析成为可能。定制化分析可以针对相应行业的业务特征引入更多的专家知识,并设计特定的分析算法,这样可以有效的提高异常卡的检出率并降低误报率。

当前,由于物联网的应用场景越来越多,业务逻辑也越来越复杂,针对物联网卡业务的异常检测方法也要不断进行调整。从总体的分析方法发展趋势可以看出,数据类型的丰富程度和专家知识对分析结果有效性的影响越来越大。未来,专家知识将会以更多的方式与分析算法融合,例如采用推荐系统的方式,分析结果可以根据管理员的反馈信息进行实时调整,以达到更加准确细致的分析结果。

关于天枢实验室

天枢实验室聚焦安全数据、AI攻防等方面研究,以期在“数据智能”领域获得突破。

内容编辑:天枢实验室 吴子建 责任编辑:肖晴

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

0 人点赞