0×01 風控產品場景與工作原理
風控概念針對不同的行業(如金融),不同的業務場景(如貸款)都有不同的解決方案。本文基于上一篇文章《互聯網業務安全之通用安全風險模型 》提到的互聯網行業的業務安全通用漏洞模型為背景,以目前風控產品從該模型角度出發,技術層面講解其中可以用技術來解決的風控防護方案中的人機識別方案。
個人認為判斷一套風控產品的好壞應該具有的特點:有效性、高可用性、高可移植性、實時性。有效性直觀反應的是技術上對數據風險的分析能力,使用的分析方法,采取的分析手段等;高可用性是對風控底層架構設計,存儲、傳輸及高并發等各種情況系統穩定的考量;高可移植性也是決定風控成敗最關鍵的指標之一,高可移植性決定風控系統對業務系統的耦合度要相應的低,包括接入部署、決策可控、自身擴展性強等;實時性是在交互系統的各個環節都非常重要,尤其對于支付/交易等重要環節的尤為突出,如何盡可能的保障延遲的架構設計就留給讀者朋友自己思考了。
目前國內做風控的廠商也越來越多,針對不同業務也相應推出了不同的產品。技術上的風控體系分解出來主要有幾個部份:信息采集系統、風險分析系統、風險決策系統。高可移植性風控產品目前采用的架構架構如下圖:
0×02風控產品構建
信息采集系統的建設,主要指對PC端及移動端H5的可用信息進行布點采集。采集的信息有設備軟硬件信息、用戶交互行為數據、用戶環境信息、用戶歷史信息、用戶業務數據。采集的軟硬件信息加密作為對用戶的唯一標識符,即設備指紋。關于設備指紋原理請參考:《設備指紋簡析》,具體的設備指紋代碼實現請參考fingerprintjs2,設備指紋設計的重要性對整個風控系統至關重要,做好設備指紋可更好的標識每個用戶的所有行為的可;
用戶交互行為數據的采集主要針對的是人在應用的交互數據,人的正常行為是不可預料且具有相對隨機性的,機器要模擬正常人非常困難。交互為先數據的采集主要采集正常人的動作,如鼠標移動、鼠標點擊、鼠標釋放、觸摸板動作、鍵盤操作。具體比如采集鼠標在某個區域內的連續坐標變化及時間點、鍵盤操作的時間點及鍵值等;
用戶環境信息的采集包括用戶操作系統版本、cpu集、瀏覽器版本、屏幕分辨率、屏幕大小、屏幕色彩、瀏覽器安裝的插件、瀏覽器語言、瀏覽器支持的字體、用戶的ip信息、cookie tracking、每個瀏覽器針對不同方法的處理特性信息、來源、location等盡可能收集的信息;
用戶歷史信息包括歷史行為信息,例如交易、支付、登錄等;用戶業務數據的采集可視情況而定,比如針對用戶身份的cardid、手機號、郵箱等。
風險分析系統的建設,主要是對采集回來的大量信息進行數據分析的階段,通過對數據的分析,對用戶的整體操作行為風險進行評估分值加權。比如設備指紋與賬戶一一對應的前提下,設備的變動的情況,環境的變化情況,包括IP變動等。行為的分析比如分析鼠標移動的頻繁、坐標在某個區域或某個操作下的動作速度、是否為直線或者不可能存在的曲線。或者用戶操作的環境及行為不匹配等各種差異情況。歷史行為的估值、用戶信譽的估值。最終將所有風險加權估值判斷。風險分析系統也可在無法確定風險時作出風控二次處理的決策,最終得出用戶風險值等。對于風險分析系統的建設,本文只是初略講解,具體分析風險方法很多,待讀者自己挖掘。
風險決策系統的建設,風險決策系統與風險分析系統及業務系統也獨立存在,主要針對風險分析的分值,在一定閾值內實現業務打標或者業務清洗的功能。比如對于低于某個分值高于風險分析的用戶進行業務打標,然后對用戶的操作進行業務層上的限制以積累信用積分等操作。風險決策可根據自身的業務數據進行相應的策略上的調整可控。
0×03策略、破解、防護
風控產品的整體架構大體上如上所述,基于該架構下的風控衍生出各自獨立的工作模塊(子系統),例如獨立的行為系統、設備系統、分析系統、決策系統等等,對于用戶感知的無外乎前端行為采集系統或者設備指紋系統。目前國內產品的展現形式有兩種,風險識別產品,基于設備指紋、業務數據等進行風險判斷服務;風險攔截產品,如阿里的滑動驗證和Google的recaptcha對檢測出的風險進行風險阻斷。如風險攔截產品大致的架構也如最上圖所示,前端采集->風險判斷->反饋->后臺決策的模式。對于互聯網企業或者金融公司而言,采集的方式可以有js、客戶端、控件等等,采集的內容可以是任何潛在有價值抑或未來有價值的數據,這些數據都直接作為分析決策系統的依據。
防護與對抗是安全永恒的話題,對于風控的技術性對抗,直觀體現在于信息的采集的破解,偽造數據。比如采用JS前端采集,最容易面對的就是js對于客戶端是處于明文狀態,最常見的手法也就是混淆、壓縮等。對黑客而言,無外乎時間成本和技巧。
系統再完美也無法規避被破解的可能,所以信息對抗的目標就是進一步提升攻擊成本。如何讓風控的前端破解偽造風險降至更低,以下以JS采集為例提供若干的一些思考。從JS采集最終提交到服務器分析的數據的可靠性考慮,可以在密文中打入前端特定字符驗證;前端密文的高混淆的靈活性,針對AST分析的處理;明文與密文、模塊與模塊之間的高耦合性等,避免數據傳輸及算法變化的有規律性;另外對于單設備或者單IP在時間段內的限制等
后端分析及策略可通過對采集回的信息做樣本學習,比如同一個為行為動作在某個點會不會發生,世界上不可能有同樣一片樹葉,所以正常行為人的動作也不可能完全一樣,可通過分析用戶移動速度規律等進一步提高分析能力。對前端的采集的特殊行為及特殊字段,比如瀏覽器響應的樣本及傳送回的瀏覽器類型一致性等作為數據檢校的關鍵指標;對同一設備指紋的設備不同業務場景的操作的限制;對信譽值較低的用戶遞進式驗證等。
京公網安備 11010502049343號