通过历史事件统计,我们发现在互联网场景下,黑产的网络欺诈攻击大多发生在用户登录认证之后。因此,如何安全、有效且无伤用户体验进行用户身份验证就显得尤为关键和重要。如图5.1所示为身份认证的层次。
- 第一阶段Something you know(只有你知道的信息):包括但不限于账户、密码、手机号、身份证信息。
- 第二阶段Something you have(只有你拥有的物品):包括但不限于动态密码卡、IC 卡、磁卡。
- 第三阶段Something you are(只有你拥有的生物特征):包括但不限于指纹、声纹、虹膜、人脸。
- 第四阶段Something you do(你特有的行为证明了“你就是你”):包括但不限于用户的点击、按压、滑动、滚动、击键操作。
在第一阶段、第二阶段,典型的认证方式包括单因素认证(账户+密码)、双因素认证(账户+密码+U 盾)等。用户需要记忆复杂的密码、携带验证设备,非常不方便,用户体验较差。并且随着黑产攻击能力的提高,这些认证方式已经不足以保护用户的账号安全。
第三阶段发展到生物识别,其认证的唯一性、丰富性、稳定性得到了提升,典型的认证方式包括指纹识别、声纹识别、虹膜识别、人脸识别等,虽然相较于前两个阶段各方面都得到了极大提升和长足进步,但是其安全性、准确性、方便性仍然存在一些欠缺,不能进行持续、无感的身份验证。
第四阶段为生物行为模式识别,也属于生物识别的范畴,但它不依赖单一维度的生物特征,而是通过机器学习对用户的点击、按压、滑动、滚动、步态、姿态等行为进行智能计算和验证。黑产几乎不可能大批量复制或模仿正常用户的操作行为习惯,每个人的操作习惯和身体语言特征都是由社会和心理因素所塑造的,具有独特性。
生物探针
采集用户使用智能终端设备(如手机、电脑等)时的传感器数据和屏幕轨迹数据,然后通过特征工程、机器学习,为每一位用户建立多维度的生物行为特征模型,生成用户专属画像进行人机识别、本人识别。移动设备可采集的传感器如图5.2所示,生成用户画像使用的是非敏感生物学特征(不采集用户人脸、声纹等敏感信息和隐私数据),通过算法模型确保唯一性,并且能够对抗伪造和复制。
无感认证
生物探针的应用场景
- 登录场景:采集用户在使用终端设备(手机、电脑)的行为数据,如按压力度 设备仰角、手指触面、屏幕滑动和鼠标轨迹等使用习惯,为其建立专属的行为模型。当模型训练完成后,该账号再次发生登录行为时,生物探针SDK就会采集 当前用户的登录行为数据’传输到后端进行匹配。后台算法模型进行计算,给出 当前登录行为是否为用户本人操作的决策,定是否允许用户成功登录。(
其实比如:抖音的登录,一般只需要点击一下允许微信登录即可,也有验证码接受等操作,不知道是不是使用了这些东西~
) - 小额转账免短信场景:基于上述同样的原理,通过匹配用户当前采集的数据与用 户行为档案库进行匹配,若行为匹配则免短信认证,否则要求用户进行指纹识 别、人脸识别等进行二次认证。
·支付免密场景:与上述小额转账免短信原理—致。 - 信用卡、消费、借贷申请场景:类申请场景—般是—次性行为,不存在重复性 操作。主要的需求是有效区分机器操作和真人操作,以及是否是用户本人操作,,生物探针能够在提升用户体验的同时有效避免恶意申请,盗卡盗刷等欺诈行为。
字符验证码的识别
黑产对字符验证码的识别已经有了多个成熟的技术手段,下面从攻击者视角分别进行介绍,读者可以在设计验证码的过程中重点关注这些技术。
传统识别方法
拿到这样的一张图片,想要对其进行识别,首先需要一些处理:
- 二值化处理:变成黑白图片
- 通过腐蚀去除剩下的噪点,如a和u之间的噪点
- 投影分割:判断有几个字符
- 旋转校正
- 简单的K最邻
近算法(KNN)到卷积神经网络(CNN),对于这种类型的图片验证码,都能达到极高的识别率。
当然,如果直接拿原始的验证码图片去训练模型,行不行?答案就是行,但是需要更多的样本数据。而样本数据的获取也是需要比较大的成本的,与样本的数量成正比。但是:对抗生成网络方法(即使用程序生成样本数据)的出现使得这个正比被破坏,也宣告了字符验证码退出历史舞台。
新型验证码的识别
- 滑块拼图验证码
- 文点选验证码
- 打码平台:打码平台聚集了大量想在网上赚钱的劳工。攻击者在拿到验证码的图片后,上传给打码平台’打码平台会把图片下发给这些劳工’由他们来解答’然后把正确答案 返回。
对抗黑产的方案
新的验证类型
- 使用了 GAN (对抗生成网络技术)来无限地生成各种色彩斑谰的鸟。验证的问题可以是”这个鸟的某个部位是什么颜色? “
- 轨迹模型:用户使用智能终端设备在通过验证码的过程中’产生的生物行为数据(传感器、屏幕滑动轨迹或鼠标移动数据、操作频率间隔数据等)是难以伪造和模仿的’因此’可以通过机器学习建模的方 式来区别真实用户和机器。
- 多维度赋能:判断当前环境是否有风险,模拟器,判断历史上是否有风险等等