章建軍
從2012年起,大數(shù)據(jù)的話題在中國互聯(lián)網(wǎng)以及各個行業(yè)開始大熱���,據(jù)說2013年已經(jīng)被國外媒體稱為“大數(shù)據(jù)元年”��。除了最常規(guī)的用戶挖掘�、廣告價值提升��,大數(shù)據(jù)被用來制作熱門電視劇����,建設(shè)醫(yī)療機構(gòu),甚至幫助奧巴馬連任等各種神話已經(jīng)層出不窮����。但互聯(lián)網(wǎng)最最基礎(chǔ)的一項工作——安全工作,似乎一直跟這股潮流沒什么關(guān)系���。
很多人的印象中����,互聯(lián)網(wǎng)安全無非就是裝個殺毒軟件�,網(wǎng)上支付的時候最好再拿個硬件盾(U盾)心里才能踏實點。一出問題����,得出互聯(lián)網(wǎng)始終還是比傳統(tǒng)世界不安全的結(jié)論,那是必須的�。我們搞互聯(lián)網(wǎng)安全的,有那么沒有技術(shù)含量嗎�?這里簡單給大家介紹下網(wǎng)上支付控制風(fēng)險的一個利器——正是現(xiàn)在所有人熱捧的大數(shù)據(jù)���。
傳統(tǒng)安全認(rèn)證方式及其問題
之前有人說“在互聯(lián)網(wǎng)上,沒人知道你是一條狗”���,這種“身份不確定性”對于互聯(lián)網(wǎng)金融服務(wù)來說,是一個永遠(yuǎn)的風(fēng)險�。網(wǎng)絡(luò)釣魚、木馬傳播�、賬號竊取等帶來的盜用和欺詐都是這種風(fēng)險的直接體現(xiàn)。
所以����,就有了人們最熟悉的幾種安全認(rèn)證手段:一是用戶所知道的東西,比如密碼�;二是用戶所擁有的東西,比如數(shù)字證書��、硬件盾�。他們的本質(zhì)都是,當(dāng)支付服務(wù)接收到支付請求時����,為了減低支付風(fēng)險,服務(wù)端要先確認(rèn)支付發(fā)起者的身份是合法的��。
但以上兩種方法都會遇到一些障礙,比如密碼容易忘記�,有些人所有應(yīng)用都用同一個密碼,密碼還可能存在泄露的風(fēng)險�����。這一點����,2011年底的CSDN密碼泄露事件就給了所有人一個警示。
數(shù)字證書和硬件盾的問題在于����,更換電腦或者重裝系統(tǒng)之后,電腦中沒有數(shù)字證書�,用戶就會無法支付,而硬件盾可能丟失或者損壞�����,發(fā)生這種情況����,用戶也會無法支付。這也是至今很多用戶都沒有選擇這些安全產(chǎn)品的原因。
第三種現(xiàn)在廣泛使用的安全認(rèn)證方式是手機檢驗碼�。 用戶在電子商務(wù)網(wǎng)站、網(wǎng)上銀行或者第三方支付網(wǎng)站預(yù)留手機之后�,就可以在需要進(jìn)行身份確認(rèn)時接收動態(tài)驗證碼。 手機有良好的攜帶性�����、私密性����,手機短信的達(dá)到率可以達(dá)到90%以上�。因此手機短信動態(tài)驗證碼被電子銀行和第三方支付大量使用。
在手機短信驗證碼被大量使用之后��,不法分子也開始針對性的展開攻勢�。釣魚網(wǎng)站、電話的方式騙取驗證碼甚至成為一個黑色產(chǎn)業(yè)鏈���,對電子商務(wù)環(huán)境造成很大的負(fù)面影響���。
舉個真實的案例,支付寶為了防止不法分子冒充工作人員向用戶騙取手機校驗碼����,曾經(jīng)在發(fā)送短信校驗碼的短信文案中明確寫到“淘寶或支付寶工作人員不會向您索取短信校驗碼”�����。有一次����,一位用戶接到一位假客服的電話���,假客服以幫她處理交易為由向她索取校驗碼����,這位用戶跟假客服說����,“短信里面說了工作人員不會向我索取短信校驗碼的?���!奔倏头赡芤彩庆`機一動,回答說���,“我不是淘寶和支付寶的��,我是賣家����。”這位用戶就把校驗碼告訴假客服了���。為此��,支付寶只好更改了短信校驗碼的文案����,明確說明“任何索取短信校驗碼的行為均是詐騙行為�����?��!?/FONT>
即使這樣,用戶被騙取短信校驗碼的情況還是不能絕跡����。因為這類非法騙取驗證碼的行為很多是有組織的實施,加上受害者的防范意識比較薄弱���,成功騙取的概率始終是存在的��。電子銀行和第三方支付想要很好的控制這種非法行為��,存在很大的難度�����。
設(shè)備行為分析的優(yōu)勢:你可以易容�����,但你的行為特征很難改變
為了降低支付風(fēng)險而引入了身份認(rèn)證��,但是身份認(rèn)證過程本身也存在被攻擊的可能性����。那么,能否減少網(wǎng)絡(luò)行為中的“身份認(rèn)證”環(huán)節(jié)呢���?
答案是肯定的�����。不法分子可能通過各種方式掌握你的密碼�,騙取你的校驗碼,但他要完全使自己的行為特征跟你相似����,那就要難得多。就好像整容很容易�����,但要改變你的行為特征卻很難一樣����。能夠通過這樣的數(shù)據(jù)化、技術(shù)化的手段去控制風(fēng)險�����,這就是互聯(lián)網(wǎng)做安全的優(yōu)勢����。
事實上����,通過對用戶支付行為的習(xí)慣數(shù)據(jù)進(jìn)行分析來進(jìn)行身份認(rèn)證,可以很好的減少在支付過程中身份認(rèn)證對用戶的打擾��。
行為在一段時間之內(nèi)形成規(guī)律,就好比某個人習(xí)慣用左手寫字�����。通過分析這種行為習(xí)慣����,就可以知道用戶的真實身份。
用戶在網(wǎng)絡(luò)上的行為都會留下“信息”�����,比如在什么時間支付�����、購物的金額�����、使用什么樣的網(wǎng)絡(luò)����。
在網(wǎng)絡(luò)上,一個人能獲取到的設(shè)備是有限的����,一般是辦公室電腦�、家里電腦��、手機等�。如果在一個“可信”的設(shè)備上登錄系統(tǒng),那么當(dāng)前行為的可信度就較高��。那么設(shè)備又是行為分析中的關(guān)鍵點��。
網(wǎng)絡(luò)行為一般包含5個方面的因素:在什么時間��、使用什么設(shè)備��、賬號����、登錄什么網(wǎng)站、做了什么���。
我們可以給每個設(shè)備一個“可信度”����,用戶的行為與設(shè)備進(jìn)行關(guān)聯(lián)�����,每次用戶的行為都可以動態(tài)的改變“可信度”�。
一次可信的、合法的行為會增加可信度����,一次不可信的、非法的行為會減少可信度���。而增加和減少的“度”�,是通過一套復(fù)雜的模型���,采用機器學(xué)習(xí)的方式獲得�。這樣就圍繞設(shè)備形成一個閉環(huán)���,“輸入-處理-輸出-反饋”����。
除了可以改變用戶直接使用的設(shè)備的可信度���,甚至還可以通過“設(shè)備”與“設(shè)備”之間的關(guān)聯(lián)關(guān)系動態(tài)改變設(shè)備的可信度��。比如�����,用戶A使用手機A��,使用聲波支付給用戶B的手機B轉(zhuǎn)賬1000塊�,那么除了手機A的可信度提升,手機B的可信度也可以相應(yīng)提升��。 分析設(shè)備直接的關(guān)系同樣也可以建立一套復(fù)雜的模型�����。
因為用戶網(wǎng)絡(luò)行為會映射到設(shè)備的操作行為�����,所以通過對設(shè)備可信度的分析�����,就可以知道行為的風(fēng)險有多高�。而且這個過程中,不需要用戶主動安裝數(shù)字證書或者硬件盾,不需要接收校驗碼���,對用戶的體驗也會有明顯提升。
隨著移動互聯(lián)網(wǎng)興起�����,地理位置定位�、加速度感應(yīng)等成為主流智能手機的標(biāo)準(zhǔn)配置。智能設(shè)備上的傳感器��,就好比人的五官�����,不斷的采集周圍環(huán)境的信息����,這就為設(shè)備行為的分析提供更豐富的數(shù)據(jù)。這些智能化的設(shè)備散步在世界的每個角落�,分分秒秒都在生產(chǎn)和傳輸信息;未來的挑戰(zhàn)�����,不是用于分析的數(shù)據(jù)不夠,而在于對如此龐大數(shù)據(jù)的儲存和分析能力���。
通過設(shè)備行為分析的方式去控制風(fēng)險����,只是通過大數(shù)據(jù)的方法去進(jìn)行風(fēng)險控制的一種�。在國外paypal就沒有數(shù)字證書、硬件盾這樣的安全產(chǎn)品���,就是靠分析用戶與設(shè)備的行為去控制風(fēng)險����。中國的環(huán)境下�,用戶對安全的要求更高,安全感也更差�,之前國內(nèi)領(lǐng)先的第三方支付公司更多還是采取安全產(chǎn)品、校驗碼這些用戶能夠明顯感知到的安全認(rèn)證方式�。但設(shè)備行為分析這樣的新方式也已經(jīng)開始起步。
還是那句話�����,這個世界上沒有絕對意義上的安全����,互聯(lián)網(wǎng)上也是如此�����。但不論是要降低風(fēng)險發(fā)生率本身��,還是要提升風(fēng)控過程中的用戶體驗和效率��,互聯(lián)網(wǎng)的方式、大數(shù)據(jù)的方式都要優(yōu)于傳統(tǒng)方式�,這就是時代進(jìn)步的必然。大家既要看到問題�,也要看到這樣更積極的一面。
