我演讲的这个题目是一个电视的名字,但是实际上在网络世界,其实像电视当中的情节是有发生的。我这个题目其实是涉及到移动金融安全方面的,放到这个论坛,不知道有多少人感兴趣。
首先介绍一下我自己,我是通付盾的CEO,2011年底从国家回来,在苏州创业,现在在北京、杭州和各地都有分布。我在国外的经历是做反欺诈方面的,动态是一个身份认证的一种方法,我刚才听到了前面一位嘉宾提到了软件定义边界,我特别惊喜。我这个话题其实是与那个有点类似。我是做软件的,我们的时空码做身份认证,不是用过去那种硬件的方法,我们是用软件来做身份认证,是把软件做到已有的面上去做身份认证。在做自控码的过程当中,我们也提高了自己的产品能力,保证软件的机密性。前面爱加密的高总也讲到了他们的安全加固,其实我们也有安全加固的产品,就是提高我们自己时空码软件的机密性,我们是有自己的独到之处,我们不是在应用层去做安全攻击,而是在系统层。包括系统里面的一些存储,还有这种密钥的碎片化、云端化,还有就是针对操作系统的一些优化,我们做了很多的工作。
我们这个产品叫应用盾,这个从安全评估来讲是攻,你如果要防的话肯定要知道怎么攻,到安全加固,提供从体检到检钥,后面的渠道检测是全网的感知能力,我们也能够提供目前Android市场上500多家应用市场的开发。我们的应用开发的监控不是基于签名的,因为金融机构很多都是外包的,很多都是同一个签名的,不是基于签名的。这是另外一个话题了,我们还有主动的防御,还有异常检测,我们是应用盾的系列,这是我们在端安全的一些产品。
另外一个产品是我们在云的一款产品叫反欺诈,这是我后面要重点讲的。我们时空码是一个端管云的认证体系,实际上时空码我说是多维的,二维的就是动态的二维码,一维的就是条码,还有数字码,就像过去ODP一样,是硬盘。比特信,是自认证的,有一个加密的算法,昨天的会议有一个话题就是量子加密,其实我们就是对抗量子减密的。
今天是谈一个很小的话题,关于反欺诈这一块的,从攻防的角度来谈。我从一个很小的点,从移动营销这个角度来谈。目前移动营销的一个趋势是移动化、社交化、游戏化。特别是现在微信里面的营销特别火,我们其实有些方面的用户,我们这种攻防很有意思,有很多不眠之夜,和他们在斗争。所以跟大家分享一下,移动化、社交化、游戏化有它的优缺点,大家都知道。
移动营销的一些风险,移动营销最后产生的是一些有价值的东西,比如有一些奖品,奖品有的是话费,有的是优惠券,有的是彩票,这些都是有价值的东西,在我们看来是虚拟货币,是虚拟的有价值的东西。对于黑客来说,这一块法律惩罚起来成本比较高,其实对于他们来说,欺诈的风险成本比较低,不像网银,偷了钱可能会找上门来。这种小额的在网络世界里面,找到这些黑客的话,其实难度也比较大。
在移动营销里面有一个欺诈的产业链,只要有价值的地方,很多人就会纠结在一起做一些坏事。这个产业链欺诈主要在几个方面,有的是黑客的欺诈,有的内部用工的欺诈,黑客的欺诈不用讲,用户的欺诈也不用仔细讲。我想讲一下内部的欺诈,其实我们客户有一个很大的点就是内部欺诈,内部因为他们要考核业绩,所以他们在外面找到黑客,故意把这个平台刷业绩。这是一家银行,他们是推广类的营销,他们的产品是一个钱包,他们是怎么做的呢?是在微信里面有一个链接,这个链接是可以转发的,打开链接这是一个抽奖的界面。抽奖有很多种,有随机数的,有摩天轮的,还有一种就是刮刮奖。你中奖的话就会有奖品,有话费或者是电影票,没有中奖的话,还有机会的可以转发给你的朋友。
这是在微信里面,微信里面这个页面是HTML5,对于黑客来说,这里面的机密其实很重要,当然黑客也是分成三六九等。我这里面讲到欺诈的话,比如黑客到底有多黑,第一个是比较初级的黑客,有时间手工录入一些手机号码,可以是自己的,也可以是别人的,但是这个手机号码怎么样验证合法性和有效性?一般这种营销平台在前面做得成本比较昂贵,所以基本上就是输入一个,后面再输。这样的话,对于这种有时间的黑客来说,时不时的在微信里面抽抽奖。手工输入很多,就是我输入一个别人的号码,这个奖抽下来,然后我去兑奖,这是最初级的。还有一种级别就是有些黑客它有些工具,这些工具要么是录制的,要么是修改刷奖的脚本,这些脚本工具来刷奖。进来用户,不仅仅是用手了,而是用工具了。还有就是像程序员,他不是用别人的工具,自己可以制造工具,自己写脚本刷奖。因为最后是HTML5,可以在里面有自己的脚本和模拟。
手机客户端,Web端,不管是混淆还是加密,对于黑客来说都是透明的,只不过是花多长时间的成本问题,这是对于有技能的,能够制造工具的黑客来说。还有黑客他不仅仅有工具,还有技能,他可能手下有一帮小兄弟,还有很多资源,还有很多搞IP、代理服务器等等,是有资源的,他们就比较厉害。这是我们反欺诈攻击者经常头痛的问题,但是不是最头痛的。最头痛的问题是这些黑客他懂风控,他知道你的风控里面一些防御的规则,他试探,其实就是对抗,高手对招,这种情况在国内和国外在高手当中经常发生,最头疼的是第五级。如果不是专业人士的话可能不知道,这些就是一些暗战。
我今天讲七种武器,不仅仅是对于营销反欺诈,对于交易反欺诈、登录反欺诈都是有效的,当然的话,在工具组合和武器上用得不一样。从设备指纹开始,设备指纹不是生物质能,因为人是最不靠谱的,人有很多马夹,靠谱的东西是真实的东西,在外面通过CT/PIP见到的都是真实的,没有见到的都不是。这种机器码不是前台的,而是后台的,是别人带来的伪装的。后面到地理环境,这也是一个很有效的武器,就是说根据你在真正地方,它的变化,怎么样识别这个场景,识别这个欺诈。后面是规则引擎,就是一种决策、判断,也比较灵活,让你学习很多知识,就像专家库一样。然后是模型,模型是预测,就是根据你的经验,过去根据你周边的环境,你可以预测和判断他下一步会做什么。到征信系统,在这个虚拟世界里面,其实最终看到的是征信,就是这个设备有多少可能性,这个动作有多少可能性会做欺诈。有些肯定是做欺诈的,比如有的是从网吧来的,或者有些机器是被黑客病毒入侵了机器,都是有可能作为一个肉机来作案的。关系图谱就是说没有数据的情况下,怎么样通过设备与设备之间的关系,或者人与人之间的关系来识别这种欺诈。最后就是所有的东西一定要看得明白,数据展现非常重要,否则的话你不知道发生了什么。
我讲几个武器,规则引擎很多专业人士都知道,从条件到操作符,到最后的动作。条件其实是我们一个真实的系统,条件有很多规则、类型,包括技术、时间,都是很敏感的,是多种不同参数的类型。刚才说的手机号码,其实用这个来表示的话,能够很快的判断出来是一个合法的或者是非法的手机号。操作符我们是打组合拳的,”与”或者是”或”,因为讲攻防就是要讲组合拳,最后是动作。这很重要,因为对于高手来说,他知道你做了哪些动作,他能够感知到,所以一定要变化。
规则的类型,这是我们系统支持的,当然还有更多的。一个就是速率,很多反欺诈的,对于欺诈来说,他拿到一些漏洞,或者知道有一个控制,可以很快的执行欺诈。所以他在很短的时间里面做很大量的事情,这些事情一定要用速率的方法做反欺诈,这是非常有效的。一个人在过去一个小时里面,向一个帐号里面充值,每次都充值,连续充值10次,每次充值100块钱,这个就有点不正常。这里面讲了,每个小时,每个IP访问数量不能超过50次。IP还是PC时代的东西,像移动很多的IP都是不精确的,以IP作为一个例子,像设备指纹的速率什么,就是不同维度的。还有一个就是模式,就是定义多个参数之间存在的关系,防止伪造参数,控制每分钟,每个IP不能超过5次,就是这两个有关系在里面。就是计数,定义计数的关系,增加参数协同控制能力,每一个IP的页面不超过3次。上面是从速率、模式和计数层次,下面是更高级的层次,有一些实例在里面。
怎么样定义这个组合的规则,这是界面性的东西,这是我们系统里面的。然后就是规则和流程怎么样操作,这里面讲到与模型和行动是相关联的,最后是决策。这是大数据的一些东西,大数据来反欺诈,没有数据的时候也能反欺诈。刚才提到的是一些武器和问题,就像搏击一样,对于这种手工刷奖有什么好招?我们有一个设备指纹的技术,这个设备指纹的技术能够唯一的识别一个设备,这个指纹是我们发的,在我们系统里面的一个码,不是身份证号。我们觉得在你的客户端里面,因为是软件,在黑客来讲你总是透明的。所以一定从服务器当中,当然要结合客户端的一些信息。
我们有一个设备指纹,用设备指纹进去的话,控制这种手工刷奖非常有效。这里面有一个Count规则,单参数的控制同一个设备一周最多中奖5次,同一个设备一天进入2次非法页面,这是基本的欺诈,就是这一招。对于录制、使用脚本,我们是可以对于PC和模拟器进行识别,一个微信可能是在手机上面的。加入说模拟器来做一些东西,肯定是在反欺诈。后面是直接访问抽奖的接口,是用脚本来的,我们用自己的一些Context的规则,触发控制,比如设备指纹不合法,比如链接ID仅出现一次就中奖。参数的话,很多就是把你的参数录制下来,然后改成他的参数,给你的后台做请求。而且我们有一些对于伪造的这种黑客,我们就自动的拉进黑名单,而且也不告诉他。
还有一个就是对于这些有资源的黑客,多IP地址,其实要通过地理信息库来识别。这个速度非常快,因为微信里面,移动时代的请求量特别大,每天都是千万级的,甚至是亿万级的,传统的数据库根本不行,必须通过大数据,Hadoop的结构。我们禁止使用代理服务器,IP地址和手机号段不匹配,我们都是可以用这些方式来控制的。
针对Level4的,我们有正则表达式匹配,还有30分钟相似号码的统计,Similarity是相似度的规则参数控制。还有一个做法就是Pattern的规则,它们之间是存在一定的关联性的,限制一个时间里面一个参数与其他参数的关系。一个设备对应的帐号数量不能超过5个,一小时同一个帐号对应的帐号次数不能超过5次,就是多种组合拳。
针对高手的情况,这里面讲到信誉规则,这个做法就是禁止信誉值小于0.5设备的访问,我们对于信誉都有一个评分,我们假如说拒绝一个IP的信誉值,这种IP访问或者设备访问的话,就把信誉值降低了0.05,这是一个自动的学习过程。对于这种,我们每次请求多个参数中,仅修改少量参数,试探的方法来做非常好。很多其实也在跟你试探,你修改了规则,你的策略变了,其实他也在变。有很多时候做什么呢?我们很多时候其实是用蜜罐的技术,像导弹,用这种方式蜜罐,就是这种方法。我们很多东西是用后台来做的,我们有意图的来引诱他到这种蜜罐的环境。就是把很多黑客的东西放入进来,这个是交易反欺诈方面非常需要的。对于有些刷奖行为的操作,他自己拒绝了你都不知道是怎么拒绝的,与业务的联动是非常重要的。比如凌晨一两点,我们发现很多人来刷营销平台,做的交易也是不正常的,在中国凌晨一两点都是睡觉的时候,对于美国是做交易的,这里面有更深层的策略。
我们对欺诈者也有分级,不同的欺诈者我们有不同单位的策略。下面讲到分析模型,还有一些设备征信,这是我们一些产品。后面是数据展现,这里面包括你的规则,多有效,包括量很大,这里面有一半的请求都是欺诈的,这个是欺诈环。我们接进我们的系统其实也就是一个星期,也找不到其他的好办法,在黑客圈子里面大家都知道,没有几天预算就没有了,所以他一直在找提供商。后来找我们,一周之内就把这个欺诈给停止了。我们把展现的结果给他们,这里面有一个地理位置是广东,他们说你们的数据很准,当时他们还给广东分行打电话,广东分行的一个负责人说,你们有异常,你们做了什么事了?但是他们知道,那边有异常,做了什么事,但是他不知道怎么样证明他们做了一些事。其实他们是通过内部欺诈,外面雇了一些黑客帮他们提高业绩,很快的就得到了客户的认可。
反欺诈安全和金融安全特别重要,保护民生,我们也是希望助力移动金融发展。我们最近在招聘,在座有很多都是技术人员,如果致力于做一些利国利民的事情,请加入我们,谢谢!