《暗战：交易反欺诈攻防》

我演讲的这个题目是一个电视的名字，但是实际上在网络世界，其实像电视当中的情节是有发生的。我这个题目其实是涉及到移动金融安全方面的，放到这个论坛，不知道有多少人感兴趣。

首先介绍一下我自己，我是通付盾的CEO，2011年底从国家回来，在苏州创业，现在在北京、杭州和各地都有分布。我在国外的经历是做反欺诈方面的，动态是一个身份认证的一种方法，我刚才听到了前面一位嘉宾提到了软件定义边界，我特别惊喜。我这个话题其实是与那个有点类似。我是做软件的，我们的时空码做身份认证，不是用过去那种硬件的方法，我们是用软件来做身份认证，是把软件做到已有的面上去做身份认证。在做自控码的过程当中，我们也提高了自己的产品能力，保证软件的机密性。前面爱加密的高总也讲到了他们的安全加固，其实我们也有安全加固的产品，就是提高我们自己时空码软件的机密性，我们是有自己的独到之处，我们不是在应用层去做安全攻击，而是在系统层。包括系统里面的一些存储，还有这种密钥的碎片化、云端化，还有就是针对操作系统的一些优化，我们做了很多的工作。

我们这个产品叫应用盾，这个从安全评估来讲是攻，你如果要防的话肯定要知道怎么攻，到安全加固，提供从体检到检钥，后面的渠道检测是全网的感知能力，我们也能够提供目前Android市场上500多家应用市场的开发。我们的应用开发的监控不是基于签名的，因为金融机构很多都是外包的，很多都是同一个签名的，不是基于签名的。这是另外一个话题了，我们还有主动的防御，还有异常检测，我们是应用盾的系列，这是我们在端安全的一些产品。

另外一个产品是我们在云的一款产品叫反欺诈，这是我后面要重点讲的。我们时空码是一个端管云的认证体系，实际上时空码我说是多维的，二维的就是动态的二维码，一维的就是条码，还有数字码，就像过去ODP一样，是硬盘。比特信，是自认证的，有一个加密的算法，昨天的会议有一个话题就是量子加密，其实我们就是对抗量子减密的。

今天是谈一个很小的话题，关于反欺诈这一块的，从攻防的角度来谈。我从一个很小的点，从移动营销这个角度来谈。目前移动营销的一个趋势是移动化、社交化、游戏化。特别是现在微信里面的营销特别火，我们其实有些方面的用户，我们这种攻防很有意思，有很多不眠之夜，和他们在斗争。所以跟大家分享一下，移动化、社交化、游戏化有它的优缺点，大家都知道。

移动营销的一些风险，移动营销最后产生的是一些有价值的东西，比如有一些奖品，奖品有的是话费，有的是优惠券，有的是彩票，这些都是有价值的东西，在我们看来是虚拟货币，是虚拟的有价值的东西。对于黑客来说，这一块法律惩罚起来成本比较高，其实对于他们来说，欺诈的风险成本比较低，不像网银，偷了钱可能会找上门来。这种小额的在网络世界里面，找到这些黑客的话，其实难度也比较大。

在移动营销里面有一个欺诈的产业链，只要有价值的地方，很多人就会纠结在一起做一些坏事。这个产业链欺诈主要在几个方面，有的是黑客的欺诈，有的内部用工的欺诈，黑客的欺诈不用讲，用户的欺诈也不用仔细讲。我想讲一下内部的欺诈，其实我们客户有一个很大的点就是内部欺诈，内部因为他们要考核业绩，所以他们在外面找到黑客，故意把这个平台刷业绩。这是一家银行，他们是推广类的营销，他们的产品是一个钱包，他们是怎么做的呢？是在微信里面有一个链接，这个链接是可以转发的，打开链接这是一个抽奖的界面。抽奖有很多种，有随机数的，有摩天轮的，还有一种就是刮刮奖。你中奖的话就会有奖品，有话费或者是电影票，没有中奖的话，还有机会的可以转发给你的朋友。

这是在微信里面，微信里面这个页面是HTML5，对于黑客来说，这里面的机密其实很重要，当然黑客也是分成三六九等。我这里面讲到欺诈的话，比如黑客到底有多黑，第一个是比较初级的黑客，有时间手工录入一些手机号码，可以是自己的，也可以是别人的，但是这个手机号码怎么样验证合法性和有效性？一般这种营销平台在前面做得成本比较昂贵，所以基本上就是输入一个，后面再输。这样的话，对于这种有时间的黑客来说，时不时的在微信里面抽抽奖。手工输入很多，就是我输入一个别人的号码，这个奖抽下来，然后我去兑奖，这是最初级的。还有一种级别就是有些黑客它有些工具，这些工具要么是录制的，要么是修改刷奖的脚本，这些脚本工具来刷奖。进来用户，不仅仅是用手了，而是用工具了。还有就是像程序员，他不是用别人的工具，自己可以制造工具，自己写脚本刷奖。因为最后是HTML5，可以在里面有自己的脚本和模拟。

手机客户端，Web端，不管是混淆还是加密，对于黑客来说都是透明的，只不过是花多长时间的成本问题，这是对于有技能的，能够制造工具的黑客来说。还有黑客他不仅仅有工具，还有技能，他可能手下有一帮小兄弟，还有很多资源，还有很多搞IP、代理服务器等等，是有资源的，他们就比较厉害。这是我们反欺诈攻击者经常头痛的问题，但是不是最头痛的。最头痛的问题是这些黑客他懂风控，他知道你的风控里面一些防御的规则，他试探，其实就是对抗，高手对招，这种情况在国内和国外在高手当中经常发生，最头疼的是第五级。如果不是专业人士的话可能不知道，这些就是一些暗战。

我今天讲七种武器，不仅仅是对于营销反欺诈，对于交易反欺诈、登录反欺诈都是有效的，当然的话，在工具组合和武器上用得不一样。从设备指纹开始，设备指纹不是生物质能，因为人是最不靠谱的，人有很多马夹，靠谱的东西是真实的东西，在外面通过CT/PIP见到的都是真实的，没有见到的都不是。这种机器码不是前台的，而是后台的，是别人带来的伪装的。后面到地理环境，这也是一个很有效的武器，就是说根据你在真正地方，它的变化，怎么样识别这个场景，识别这个欺诈。后面是规则引擎，就是一种决策、判断，也比较灵活，让你学习很多知识，就像专家库一样。然后是模型，模型是预测，就是根据你的经验，过去根据你周边的环境，你可以预测和判断他下一步会做什么。到征信系统，在这个虚拟世界里面，其实最终看到的是征信，就是这个设备有多少可能性，这个动作有多少可能性会做欺诈。有些肯定是做欺诈的，比如有的是从网吧来的，或者有些机器是被黑客病毒入侵了机器，都是有可能作为一个肉机来作案的。关系图谱就是说没有数据的情况下，怎么样通过设备与设备之间的关系，或者人与人之间的关系来识别这种欺诈。最后就是所有的东西一定要看得明白，数据展现非常重要，否则的话你不知道发生了什么。

我讲几个武器，规则引擎很多专业人士都知道，从条件到操作符，到最后的动作。条件其实是我们一个真实的系统，条件有很多规则、类型，包括技术、时间，都是很敏感的，是多种不同参数的类型。刚才说的手机号码，其实用这个来表示的话，能够很快的判断出来是一个合法的或者是非法的手机号。操作符我们是打组合拳的，”与”或者是”或”，因为讲攻防就是要讲组合拳，最后是动作。这很重要，因为对于高手来说，他知道你做了哪些动作，他能够感知到，所以一定要变化。

规则的类型，这是我们系统支持的，当然还有更多的。一个就是速率，很多反欺诈的，对于欺诈来说，他拿到一些漏洞，或者知道有一个控制，可以很快的执行欺诈。所以他在很短的时间里面做很大量的事情，这些事情一定要用速率的方法做反欺诈，这是非常有效的。一个人在过去一个小时里面，向一个帐号里面充值，每次都充值，连续充值10次，每次充值100块钱，这个就有点不正常。这里面讲了，每个小时，每个IP访问数量不能超过50次。IP还是PC时代的东西，像移动很多的IP都是不精确的，以IP作为一个例子，像设备指纹的速率什么，就是不同维度的。还有一个就是模式，就是定义多个参数之间存在的关系，防止伪造参数，控制每分钟，每个IP不能超过5次，就是这两个有关系在里面。就是计数，定义计数的关系，增加参数协同控制能力，每一个IP的页面不超过3次。上面是从速率、模式和计数层次，下面是更高级的层次，有一些实例在里面。

怎么样定义这个组合的规则，这是界面性的东西，这是我们系统里面的。然后就是规则和流程怎么样操作，这里面讲到与模型和行动是相关联的，最后是决策。这是大数据的一些东西，大数据来反欺诈，没有数据的时候也能反欺诈。刚才提到的是一些武器和问题，就像搏击一样，对于这种手工刷奖有什么好招？我们有一个设备指纹的技术，这个设备指纹的技术能够唯一的识别一个设备，这个指纹是我们发的，在我们系统里面的一个码，不是身份证号。我们觉得在你的客户端里面，因为是软件，在黑客来讲你总是透明的。所以一定从服务器当中，当然要结合客户端的一些信息。

我们有一个设备指纹，用设备指纹进去的话，控制这种手工刷奖非常有效。这里面有一个Count规则，单参数的控制同一个设备一周最多中奖5次，同一个设备一天进入2次非法页面，这是基本的欺诈，就是这一招。对于录制、使用脚本，我们是可以对于PC和模拟器进行识别，一个微信可能是在手机上面的。加入说模拟器来做一些东西，肯定是在反欺诈。后面是直接访问抽奖的接口，是用脚本来的，我们用自己的一些Context的规则，触发控制，比如设备指纹不合法，比如链接ID仅出现一次就中奖。参数的话，很多就是把你的参数录制下来，然后改成他的参数，给你的后台做请求。而且我们有一些对于伪造的这种黑客，我们就自动的拉进黑名单，而且也不告诉他。

还有一个就是对于这些有资源的黑客，多IP地址，其实要通过地理信息库来识别。这个速度非常快，因为微信里面，移动时代的请求量特别大，每天都是千万级的，甚至是亿万级的，传统的数据库根本不行，必须通过大数据，Hadoop的结构。我们禁止使用代理服务器，IP地址和手机号段不匹配，我们都是可以用这些方式来控制的。

针对Level4的，我们有正则表达式匹配，还有30分钟相似号码的统计，Similarity是相似度的规则参数控制。还有一个做法就是Pattern的规则，它们之间是存在一定的关联性的，限制一个时间里面一个参数与其他参数的关系。一个设备对应的帐号数量不能超过5个，一小时同一个帐号对应的帐号次数不能超过5次，就是多种组合拳。

针对高手的情况，这里面讲到信誉规则，这个做法就是禁止信誉值小于0.5设备的访问，我们对于信誉都有一个评分，我们假如说拒绝一个IP的信誉值，这种IP访问或者设备访问的话，就把信誉值降低了0.05，这是一个自动的学习过程。对于这种，我们每次请求多个参数中，仅修改少量参数，试探的方法来做非常好。很多其实也在跟你试探，你修改了规则，你的策略变了，其实他也在变。有很多时候做什么呢？我们很多时候其实是用蜜罐的技术，像导弹，用这种方式蜜罐，就是这种方法。我们很多东西是用后台来做的，我们有意图的来引诱他到这种蜜罐的环境。就是把很多黑客的东西放入进来，这个是交易反欺诈方面非常需要的。对于有些刷奖行为的操作，他自己拒绝了你都不知道是怎么拒绝的，与业务的联动是非常重要的。比如凌晨一两点，我们发现很多人来刷营销平台，做的交易也是不正常的，在中国凌晨一两点都是睡觉的时候，对于美国是做交易的，这里面有更深层的策略。

我们对欺诈者也有分级，不同的欺诈者我们有不同单位的策略。下面讲到分析模型，还有一些设备征信，这是我们一些产品。后面是数据展现，这里面包括你的规则，多有效，包括量很大，这里面有一半的请求都是欺诈的，这个是欺诈环。我们接进我们的系统其实也就是一个星期，也找不到其他的好办法，在黑客圈子里面大家都知道，没有几天预算就没有了，所以他一直在找提供商。后来找我们，一周之内就把这个欺诈给停止了。我们把展现的结果给他们，这里面有一个地理位置是广东，他们说你们的数据很准，当时他们还给广东分行打电话，广东分行的一个负责人说，你们有异常，你们做了什么事了？但是他们知道，那边有异常，做了什么事，但是他不知道怎么样证明他们做了一些事。其实他们是通过内部欺诈，外面雇了一些黑客帮他们提高业绩，很快的就得到了客户的认可。

反欺诈安全和金融安全特别重要，保护民生，我们也是希望助力移动金融发展。我们最近在招聘，在座有很多都是技术人员，如果致力于做一些利国利民的事情，请加入我们，谢谢！