产品价值

移动威胁感知平台能够帮助用户建立起移动端运行时动态安全监测体系，与静态安全防护联动，支持检测安全加固是否被攻击。能够针对移动终端操作风险进行监测、预警、阻断、溯源，如应用破解、模拟器、设备信息篡改、位置欺诈、注入攻击、调试行为、Https劫持等。通过建立终端动态安全监测防御体系，能够弥补企业业务反欺诈、风控等业务系统对终端风险监测的短板。

通过梆梆多年来对移动端黑产活动的研究积累，总结出黑产活动、黑产设备的多种攻击特征，平台支持对黑产活动、黑产设备进行事前预警、挖掘、分析，支持与APP账户体系关联，挖掘黑产背后的可以账号，在黑客试图攻击准备阶段开始给出预警，真正做到攻击发生的事前预警。

随着移动应用中集成越来越多的第三方SDK，由于热更新技术的存在，使得第三方SDK的权限往往在集成时很难审计。移动威胁感知平台能够帮助客户管理第三方SDK的权限申请，支持对于第三方SDK的权限申请监控、拦截、审计，让第三方SDK的行为可管控。

移动应用安全、稳定、高效的运行是企业业务活动的重要支撑，梆梆安全移动威胁感知平台不但能够保障应用的安全运行，还能够为客户提供应用的安装、启动、日活、分布等运营方面数据，协助企业管理人员及时掌握应用的推广运营状况。提供应用安装启动后的运行崩溃数据，采集崩溃机型、崩溃日志进行统计分析，为企业研发人员提供应用优化、问题修复的支撑。

移动威胁感知平台作为企业态势感知体系的重要组成部分，能够为完善企业整体态势感知体系，为客户提供企业延伸出来的移动渠道的威胁感知预警服务。

核心功能介绍

整体态势感

能够针对最近一段时间（今天、昨天、过去7天、最近一个月），从设备数量、发生次数两个维度统计安全事件趋势、启动趋势、崩溃趋势，统计威胁发生的类型分布及各类威胁发生的设备数，能够对威胁发生次数进行地域和设备前五排名，能够对正在发生的安全威胁行为进行实时监控。

能够在地图上显示全国安全威胁数量分布情况，能够统计安全事件数量，安全事件设备数量，设备活跃度，启动应用次数，平均每台设备启动次数，安全事件发生次数及影响设备数，威胁发生次数和影响设备数，应用崩溃发生次数、影响设备数及设备影响率。

实时威胁预警

用户可以通过实时监测页面定制化自己监测内容，如安全威胁、环境风险、安全事件、崩溃信息、启动信息等，同时可定制每页展现条数。定制成功后，页面将会实时滚动监控最新的定制消息，方便客户进行全面安全监控和及时响应溯源分析。

攻击溯源分析

管理者可通过平台查看单个设备历史安全状况，单次攻击原因，攻击方式，登录账号信息等情况。

设备历史攻击状况回溯：

单次攻击原因：

黑产设备追溯

目前绝大部分的移动应用均采用Https的加密传输，而黑客进行渗透测试攻击的毕竟道路是进行Https的劫持，进行参数重放攻击。在黑客攻击的毕竟技术路线上设备检测点，能够很好的发现前期黑客的渗透测试行为。支持通过定义安全事件，针对高危的攻击点进行重点监控。支持追溯黑客渗透测试行为的以下信息：

1. 什么时候开始进行渗透测试准备？

2. 在什么位置，GPS、区域、IP等信息？

3. 用的什么设备？

4. 渗透测试行为用的什么账号？

5. 该设备历史上登陆过哪些账号？（这些账号都可能是高危账号）

6. 该设备历史上发生过哪些其他攻击行为，涉及哪些用户账户？

7. 该设备上安装过哪些应用？还有哪些应用可能也是被攻击对象？

攻击阻断防御

威胁感知平台支持通过保护策略，对攻击、设备进行阻断防御，管理员可以针对不同类型的攻击行为制定对应的防护策略。同时平台还向用户提供标准API接口服务，可以实时将检测到的威胁信息同步给用户的业务系统、风控系统、审计系统、SOC平台等。API接口支持主动推送被动查询，能够充分完善客户业务风控体系中对终端操作风险监控的不足。详见《移动威胁感知平台服务端接口查询/推送文档》

SDK权限管控

随着越来越多的第三方SDK集成到APP中，SDK的行为也直接威胁到用户和APP的安全，而Android平台热更新的机制也给静态代码检测带来了麻烦，SDK在运行过程中通过云端加载代码，已经成为恶意行为的主要技术路径。如何监控、拦截第三方SDK的非授权行为已经成为很多客户关注的焦点。梆梆安全的移动威胁感知平台为客户提供了SDK权限的监测、阻断服务，通过配置策略，可以阻止某些SDK的非授权行为（调用返回无权限）。

崩溃采集分析

崩溃分析模块为用户提供了崩溃信息的采集，分布统计和集中分析服务。App 在崩溃时，采集当前寄存器dump等具体的信息，用于开发排查和定位问题。具体包括Native和Java的崩溃搜集。从设备类型、地域、系统版本、应用版本、时间等维度对崩溃进行查询统计，支持查看启动总次数、活跃设备数、崩溃类型数、崩溃次数、崩溃影响设备数、崩溃率、影响用户率，支持查看崩溃次数和设备排名前十的城市，支持查看崩溃总体趋势，崩溃类型统计和崩溃分布统计。

从设备类型、地域、系统版本、应用版本、时间等维度筛选崩溃，并针对崩溃类型排行，崩溃设备排行。支持查看崩溃详细堆栈信息，及发生崩溃时手机硬件、系统、软件信息，能够回溯崩溃发生时的手机状态。

运营数据分析

运营数据分析服务从设备类型、地域、系统版本、应用版本、时间等维度对运行情况筛选统计，查看启动总次数，活跃设备数，平均启动次数，查看其启动排名城市，活跃设备排名城市，启动总体趋势，启动分布情况等。支持查询单个设备过去一段时间的启动记录和运行情况。可以为用户提供：

1. 新版本的推广情况数据支撑；

2. 用户分布情况数据支撑；

3. 新业务推广、安装、启动、日活等分析数据支撑；

4. 用户使用时间段偏好数据支撑；

5. 用户机型、操作系统分布数据支撑；

安全分析报告

数据分析报告为管理者提供了完善的威胁情报报告自动化生成服务，减轻管理者手工编写安全运行报告的工作。管理者可以定制报表生成任务，根据事先制定的任务，自动化生成安全报告。安全报告生成任务的内容筛选包含多个维度：

1. 地域：选择报告包含的地域；

2. 系统版本：选择生成报告的系统版本，如只针对Android4.4版本生成安全态势报告；

3. 应用版本：选择生成报告的应用版本，如只针对应用1.2版本生成安全态势报告，查看其运行安全状况；

4. 报表内容：可以选择报告内容，如总体安全态势、威胁态势、运行分析、崩溃分析。

5. 报表周期：用户可以选择报告自动化生成的时间周期，如只生成一次、每天生成、每周、每月、每季度；

6. 报表时间段：报表时间段指定自动化报告的生成时间区间。

设备指纹服务

移动威胁感知平台提供设备指纹功能，做设备的唯一性标识服务，通过调用SDK的设备指纹接口，可以获取该设备的唯一性标识，用于设备绑定，业务活动控制等。梆梆安全的设备指纹能够保证在以下场景下的设备唯一性：篡改设备信息，刷机，升级系统，卸载重装应用等。

全局搜索服务

全局搜索服务为用户提供了便捷的全库搜索服务，支持用户以UDID，AndroidID，IMEI，IMSI，IP，手机MAC，用户信息为条件，全局搜索定位设备。定位到设备后，可以查看该设备的历史安全事件、安全威胁、环境风险、运行信息、崩溃信息、设备信息、应用安装信息。通过回溯查询这些信息，可以成为事后回溯的重要手段。