唐曉婷 俞少華 鮑 亮

(公安部第三研究所 上海 200120)

0 引 言

網(wǎng)絡的普及使人們能夠通過手機支付、網(wǎng)上支付等方式隨時隨地完成各類交易。越來越多的銀行將傳統(tǒng)業(yè)務轉(zhuǎn)為網(wǎng)絡業(yè)務，但各類網(wǎng)絡攻擊和網(wǎng)絡不安全因素成為了銀行業(yè)最為棘手的問題。設(shè)備指紋作為一種新型的技術(shù)受到業(yè)界的極大關(guān)注，雖然它不能直接防止網(wǎng)絡攻擊，但可以起到一定的預警作用。將現(xiàn)有的設(shè)備指紋技術(shù)更好地應用在銀行業(yè)務中是本文研究的重點。

1 設(shè)備指紋技術(shù)

設(shè)備指紋技術(shù)可以唯一識別訪問互聯(lián)網(wǎng)業(yè)務和設(shè)備并生成設(shè)備ID，是互聯(lián)網(wǎng)反欺詐的核心技術(shù)之一，也是安全監(jiān)控技術(shù)[1]的基石。通過對設(shè)備的識別，達到設(shè)備操作行為可視化的目的，為安全監(jiān)控、業(yè)務反欺詐及隱性認證提供設(shè)備維度的支撐。

傳統(tǒng)的設(shè)備識別手段主要依賴于單一的信息源，而新一代的設(shè)備指紋技術(shù)使用更多的信息來完成設(shè)備的識別。通過網(wǎng)絡收集終端設(shè)備的特征信息，并在分析與鑒別的基礎(chǔ)上，對每一組從終端設(shè)備采集的特征信息組合賦予唯一的設(shè)備指紋ID，用以標識該終端設(shè)備。從實現(xiàn)的技術(shù)方法上看，其可以分為主動式設(shè)備指紋與被動式設(shè)備指紋兩種技術(shù)路線。

1.1 主動式設(shè)備指紋

主動式設(shè)備指紋技術(shù)[2]一般采用JS代碼或SDK，在客戶端主動地收集與設(shè)備相關(guān)的信息和特征，通過對這些特征的識別來辨別不同的設(shè)備。一般的設(shè)備特征信息有：

1) 瀏覽器特征，包括UA、版本、OS、插件的配置、Canvas特征等；

2) 設(shè)備的傳感器特征，如麥克風、加速傳感器的特征等；

3) 設(shè)備OS的特征，如是否越獄等；

4) 設(shè)備的配置，如網(wǎng)絡配置、系統(tǒng)flash的配置等。

主動式設(shè)備指紋算法一般將這些信息組合起來，通過特定的Hash算法得到一個設(shè)備指紋ID值，作為該設(shè)備的唯一標識符。同時，考慮到設(shè)備指紋的穩(wěn)定性，一般還會結(jié)合其他持久化的存儲技術(shù)，將設(shè)備指紋ID長期保存起來。

1.2 被動式設(shè)備指紋

被動式設(shè)備指紋技術(shù)[3]在終端設(shè)備與服務器通信的過程中，從數(shù)據(jù)報文的OSI七層協(xié)議中，提取出該終端設(shè)備的OS、協(xié)議棧和網(wǎng)絡狀態(tài)相關(guān)的特征集，并結(jié)合機器學習算法以標識和跟蹤具體的終端設(shè)備。

與主動式設(shè)備指紋技術(shù)相比，被動式設(shè)備指紋無須在設(shè)備終端上嵌入用于收集設(shè)備特征信息的JS代碼或SDK，其所需要的設(shè)備特征都是從終端設(shè)備發(fā)送過來的數(shù)據(jù)報文中提取。

1.3 混合式設(shè)備指紋

主動式設(shè)備指紋和被動式設(shè)備指紋技術(shù)都存在缺點與局限性，這限制了它們的應用范圍。

主動式設(shè)備指紋最大的局限在于其收集的設(shè)備特征在Web域和App域中存在著區(qū)隔，即在不同的瀏覽器中，收集到的設(shè)備特征也各不相同。因而主動式設(shè)備指紋在不同的瀏覽器中，以及Web和App之間，會生成不同的設(shè)備指紋ID，無法實現(xiàn)Web和App間不同瀏覽器之間的設(shè)備關(guān)聯(lián)。并且主動式設(shè)備指紋依賴于客戶端代碼，在反欺詐的場景中對抗性較弱。

被動式設(shè)備指紋技術(shù)可以很好地解決Web與App之間、不同的瀏覽器之間的設(shè)備關(guān)聯(lián)問題，但是由于其需要使用復雜的機器學習算法來進行設(shè)備的識別，所以占用的處理資源較多，響應時延也較長。

混合設(shè)備指紋技術(shù)克服了主動式設(shè)備指紋和被動式設(shè)備指紋技術(shù)各自的缺點，在準確識別設(shè)備的同時擴大了設(shè)備指紋技術(shù)的適用范圍。對于Web頁面或App內(nèi)部的應用場景，可以通過主動式設(shè)備指紋技術(shù)進行快速的設(shè)備識別；而對于不同的瀏覽器之間、Web頁面與App之間的設(shè)備識別與比對關(guān)聯(lián)，則可以利用被動式設(shè)備指紋的技術(shù)優(yōu)勢來實現(xiàn)。

2 設(shè)備指紋模型

2.1 數(shù)據(jù)埋點

對于網(wǎng)上銀行和手機銀行，所涉及的設(shè)備主要是PC和手機。

對于手機的設(shè)備指紋數(shù)據(jù)埋點，選取目前主流的Android系統(tǒng)作為例子，調(diào)研Android官方提供的數(shù)據(jù)接口是業(yè)界最佳采集方案，共可采集Android設(shè)備數(shù)據(jù)36項，包括：用戶時區(qū)、小時格式、自動網(wǎng)絡選擇、自動時區(qū)選擇、屏幕鎖屏時間、可用Wi-Fi提示、GETLOCATIONMETHOD、解鎖振動反饋、輸入法信息、系統(tǒng)語言、系統(tǒng)是否root、字體大小、字體列表、電話鈴聲、通知鈴聲、IP、用戶程序列表、系統(tǒng)程序列表、設(shè)備型號、設(shè)備制造商、屏幕信息(寬度、高度、分辨率)、內(nèi)置存儲空間大小、CPU類型、CPU時鐘、CPU頻率、系統(tǒng)內(nèi)核編譯信息、HTTP數(shù)據(jù)包的User、Agent、Android系統(tǒng)版本、系統(tǒng)存儲結(jié)構(gòu)、ANDROID_ID、Serial Number、MAC、是否為模擬器、是否存在惡意程序、是否存在安全防護程序。

對于PC，大部分網(wǎng)上銀行采用的是B/S架構(gòu)，需用戶通過瀏覽器進行訪問。設(shè)計數(shù)據(jù)埋點時需考慮PC數(shù)據(jù)和瀏覽器數(shù)據(jù)兩部分內(nèi)容，PC數(shù)據(jù)可使用ActiveX控件進行采集，采集項包括IP、MAC、CPU、主板廠商、主板序列號、內(nèi)存大小、BIOS序列號及設(shè)備算力PoW。瀏覽器數(shù)據(jù)可使用JS腳本進行采集，采集項包括名稱、版本、類型及版本、UA、語言、OS、系統(tǒng)平臺、分辨率、cookie、MIME類型、插件數(shù)值、插件的數(shù)量、插件的名稱、顏色質(zhì)量、Director、JavaEnabled、QuickTime、flash插件情況、MediaPlayer、RealPlayer、Canvas2D等。

由于瀏覽器及PC數(shù)據(jù)的易篡改性，本設(shè)備埋點數(shù)據(jù)采集方案除采集設(shè)備原生數(shù)據(jù)外，特別納入了設(shè)備圖片渲染能力Canvas2D與計算能力PoW數(shù)據(jù)作為重要參考項，起到數(shù)據(jù)防篡改和校驗篡改的目的。

1) 設(shè)備圖片渲染能力Canvas2D。讓瀏覽器完成圖片渲染任務，利用渲染效果識別設(shè)備。渲染效果取決于瀏覽器的圖像處理引擎、導出選項、壓縮等級和設(shè)備性能，不同PC、瀏覽器繪制出的圖形數(shù)據(jù)存在區(qū)別。采用瀏覽器Canvas渲染圖片，使用canvas.toDataURL()方法返回該圖片內(nèi)容的Base64編碼字符串，提取編碼中CRC校驗碼用于設(shè)備埋點數(shù)據(jù)，即使篡改PC、瀏覽器參數(shù)也無法改變CRC校驗碼，可用于校驗設(shè)備原生數(shù)據(jù)是否存在篡改。

2) 設(shè)備算力PoW。工作證明(Proof of Work，PoW)是一種鑒定設(shè)備是否投入計算工作的機制，PC埋點數(shù)據(jù)采集使用散列函數(shù)實現(xiàn)的PoW，在用戶請求資源時讓設(shè)備完成一次散列計算，以證明在訪問時消耗CPU的計算算力，計算得到正確的結(jié)果后才可獲取資源。該方法可防止暴力自動化訪問，若不法分子嘗試發(fā)起暴力訪問，前端可選擇加載PoW機制，在時間和設(shè)備資源兩方面讓不法分子的設(shè)備承擔計算工作，提高自動化的訪問成本，以保證在用戶發(fā)起高頻訪問時降低訪問頻率。

2.2 模型詳解

模型的主要任務就是發(fā)現(xiàn)可疑設(shè)備，本文主要通過聚類的方式區(qū)分設(shè)備。首先使用SimHash算法[4]產(chǎn)生設(shè)備指紋ID，在設(shè)備簇中對設(shè)備指紋ID進行精確匹配，以提高設(shè)備識別頻率，若精確匹配失敗則使用算法度量設(shè)備距離。使用詞袋模型將設(shè)備數(shù)據(jù)轉(zhuǎn)換為稠密向量，再采用權(quán)重杰卡德距離(Jaccard)[7]度量設(shè)備向量簇間和簇內(nèi)的距離，根據(jù)簇間距和簇內(nèi)距利用聚類算法完成設(shè)備的聚類。設(shè)備指紋模型概述如圖1所示。

圖1 設(shè)備指紋模型概述

2.2.1詞袋模型(BoW)

在自然語言處理和文本分析的問題中，詞袋(BoW)[5]是最常用的模型之一。由于設(shè)備數(shù)據(jù)是自然語言，為讓數(shù)學算法可以處理，故使用詞袋模型將自然語言轉(zhuǎn)化為算法可處理的稠密向量，即將每臺設(shè)備轉(zhuǎn)化為多維空間中的坐標點，空間中各個點的距離就是設(shè)備間的距離。

2.2.2聚類算法

為提升聚類算法[6]的準確度，聚類過程匯總使用權(quán)重杰卡德距離度量設(shè)備顯性特征(軟、硬件特征)，增強模型聚類效果。

權(quán)重杰卡德距離關(guān)注的是樣本間共同具有的特征，用來度量兩個集合之間的距離，兩個集合A和B的交集元素在A、B的并集中所占的比例，稱為兩個集合的權(quán)重杰卡德距離，用J(A，B)表示：

圖2 聚類算法流程

3 設(shè)備指紋在銀行業(yè)務中的應用

3.1 用戶可信設(shè)備監(jiān)控

用戶在首次登錄網(wǎng)上銀行和手機銀行時，系統(tǒng)都會對其進行驗證，通過驗證的列為可信設(shè)備，以該可信設(shè)備為基礎(chǔ)對該用戶后續(xù)使用的設(shè)備進行監(jiān)控。將其作為聚類中心，對客戶后續(xù)使用的設(shè)備進行聚類，如果在同一個聚類簇中則認為是可信設(shè)備，反之，則認為是不可信設(shè)備，對其增加驗證措施，如驗證通過則將其作為一個新的聚類中心。這樣，如果客戶有多個設(shè)備則會有多個可信聚類簇，對于可信的設(shè)備則可適當減少驗證措施。

3.2 惡意行為監(jiān)控

以設(shè)備聚類后的設(shè)備簇為維度，對單個設(shè)備進行行為監(jiān)控。

1) 高頻交易。同一設(shè)備簇一段時間內(nèi)執(zhí)行操作的數(shù)量超過一定的閾值。比如撞庫、短信轟炸等都可作為高頻交易進行監(jiān)控。一旦監(jiān)控發(fā)現(xiàn)此類行為，就增加相應措施(如增加交互式驗證碼、強制退出會話等)進行干預。

2) 攻擊監(jiān)控。主要包括SQL注入、XSS等典型的攻擊。以設(shè)備簇作為維度，如設(shè)備簇中有一個設(shè)備被監(jiān)控到攻擊行為，則對設(shè)備簇中的其他設(shè)備ID增加驗證手段，以防止可能的攻擊行為。

3) 薅羊毛行為監(jiān)控[9]。在傳統(tǒng)的以手機號作為優(yōu)惠限制的基礎(chǔ)上,增加設(shè)備作為限制項，制定更為合理的業(yè)務規(guī)則。同時，通過設(shè)備指紋還可以識別出使用模擬器的情況，更有效地控制惡意薅羊毛的行為。

3.3 設(shè)備黑名單

對于惡意行為的監(jiān)控結(jié)果，可根據(jù)設(shè)備指紋ID建立設(shè)備檔案庫，將多次發(fā)生惡意行為的設(shè)備列為設(shè)備黑名單。對于設(shè)備黑名單上的設(shè)備，在進行網(wǎng)上業(yè)務申請時增加相應的驗證措施。同時，設(shè)備黑名單可在同業(yè)內(nèi)共享，起到預警作用。

4 結(jié) 語

本文根據(jù)現(xiàn)有設(shè)備指紋技術(shù)，選取適合銀行業(yè)務的埋點數(shù)據(jù)，并建立模型，使用聚類算法將設(shè)備劃分為可信設(shè)備及可疑設(shè)備。對可疑設(shè)備進行持續(xù)監(jiān)控，并建立黑名單機制，有效控制可疑設(shè)備的惡意行為。隨著設(shè)備指紋技術(shù)的發(fā)展，數(shù)據(jù)埋點更為全面，設(shè)備標識也更加準確，未來銀行業(yè)務的監(jiān)控將更多依賴設(shè)備指紋。