HanSight解析黃金周的詐騙防范為何需要大數據護航

“剛才接一騙子電話:我們是某某銀行，剛才查詢發現您的銀行卡昨天在境外消費8萬8千美元，請問是您本人消費么？我說:是我本人消費的。騙子沉默了5秒后說:您真能吹牛逼?！?/p>

這是一個笑話，騙子行騙，反被調戲，醒悟，言語攻擊……然而，這又是一個現狀，如此騙局，生活中比比皆是，試問如果“我”不是如此機智，后果會是什么？

不止平時，每逢節假日隨之暴漲不僅僅是旅游業，還有各種金融詐騙事件。盡管國家已經有法律法規對黑產進行相關處罰，然而快速收益和高回報也讓越來越多的黑客鋌而走險（刑法里非法入侵計算機系統罪會被判處三年到七年有期徒刑）。有數據統計，目前保守估計中國黑產從業人員已經超過160萬，黑產市場規模已經達到千億級別，而首當其沖受其所害的則以金融為主。

十一黃金周如期而至，各種金融欺詐招數揭秘文章也扎堆來襲，例如：

· ?重要網站/APP的密碼一定要獨立

· ?電腦勤打補丁，安裝一款殺毒軟件

· ?盡量不使用IE瀏覽器

· ?支持正版，因為盜版的、破解的總是各種貓膩，后門存在的可能性很大；

· ?不那么可信的軟件，可以安裝到虛擬機里；

· ?不要在公共場合（如咖啡廳、機場等）使用公共無線，自己包月3G/4G，不差錢，當然你可以用公共無線做點無隱私的事，如下載部電影之類的；

· ?自己的無線AP，用安全的加密方式（如WPA2），密碼復雜些；

· ?離開電腦時，記得按下Win（Windows圖標那個鍵）+L鍵，鎖屏，這個習慣非常非常關鍵；

…………

這些方法切實有效，可以讓人們對自身行為加以約束，同時對于騙子的行為、方法有所理解，減輕損失，只是究其源頭，我們更需要幫助銀行釜底抽薪。

設備指紋技術躥紅

身份的不確定性是互聯網欺詐分子的根本支撐，“在互聯網上，沒有人知道你是一只狗”，這是一直以來都存在的風險。網絡釣魚、賬戶盜用等欺詐問題都是這種風險的直接體現，也是由于IP可偽造、可代理，移動IP識別精度低等問題，使銀行通過識別IP進行風險控制的辦法不太可靠。

然而設備指紋技術的出現，讓銀行反欺詐系統效果飆升，其通過在網站或移動端嵌入前端JS腳本或SDK來采集終端用戶環境的非敏感設備特征信息，通過服務端的設備特征匹配算法而建立一套全球設備標識庫。我們發現，這就相當于為每一位互聯網用戶的訪問設備分配了唯一的設備標示。

世上沒有百分百的事情，這樣得到的信息特征雖然無法有效證明能夠達到絕對唯一，但準確率的大幅提高還是不需要爭議的。設備指紋作為設備方面的一個維度，基于快速識別在線設備的各項屬性，判斷交易的可信度，從而達到風險控制和反欺詐的要求。另外一個維度，就是信息的關聯，這也是反欺詐的核心所在，信息關聯的網絡越全面、越穩定，反欺詐的成功率就越高。

比如幾個賬戶同時在一個設備上登錄，而這幾個賬戶又曾經在其他設備上登錄過，根據這樣的“交叉登錄”行為，再結合登陸的時間、地點等多方面的信息，就可以很精準地判別欺詐事件，并且可以勾勒出一個團伙使用的所有設備。所以可以說，設備指紋技術只是提供了設備識別的準確性，而最終要判斷交易是否正常，還要依靠強大的分析能力，這才是反欺詐的關鍵。

基于設備指紋分析行為是關鍵

說到分析，現在自然繞不開大數據分析。HanSigh瀚思長期以來始終堅持在這個領域，并且在銀行反欺詐系統中起到了至關重要的作用。其大數據安全系統以賬戶行為為核心，依賴現有網銀日志中的設備指紋，采用機器學習方法找出異常行為模式，并且不需要額外集成SDK或者新日志格式。

先說為什么要以賬戶為核心，不管欺詐手段如何變化，所有的金融行為全部需要賬戶進行操作，包括注冊行為、交易行為、支付行為、申請貸款行為等，通過已經解析的網銀日志中的MAC字段，來區分威脅來自不同的登陸設備。

由于反欺詐行為的特點是由一組單獨看起來合法的行為組成，每個行為都不會觸發告警。但是如果在一個正確的時間序列進行觀察，模式識別是能夠偵測到可疑的行為正在發生。因此，HanSight瀚思引入時間因素，描述各種行為隨時間的變化而產生的變化，從而建立起關聯網絡結構圖，實現欺詐場景的圖分析可視化。一旦發生告警，該賬戶的資料和所有行為能夠在同一窗口展現，方便調查取證。

讓人放心的是，HanSight瀚思基于分布式圖數據庫，其按天分片，解決了大圖分割問題，并且一天網銀數據盤存儲量小于500MB，大幅減少了機器需求，從而實現長周期多階段的關聯分析，發現多團伙、多種欺詐場景。

再說機器學習的方法，這自然是HanSight瀚思的大招。盡管在業界各方的努力下，欺詐的成本已經越來越高，一個黑客單槍匹馬與世界對飲的情況已經很少見了，團伙作案的欺詐行為成為了大趨勢，他們往往有組織，有反偵查的經驗，懂得偽裝和隱藏自己，讓識別的難度增加數倍。

當對這種不良內容難以識別的時候，沒有人可以在分析成千上萬的數據的同時做出判斷，但機器學習可以，它使實時檢測欺詐行為成為可能。簡單來說,機器學習由計算機操控，通過符合特殊規則的預設過程且能自我完善的算法，以多維度多規則的組合，達到反欺詐的最好效果。盡管機器學習的維護成本大，數據的收集工作量巨大等，一旦機器學習到達一定程度，將是最好的反欺詐手段，并且目前看來沒有之一。

經常關注HanSight瀚思的朋友或許已經發現，日志的價值在大數據時代被高度重視，從日志中可以找到很多非常重要的信號，不管攻擊者手段如何變換，撞庫、養庫、暴力破解等，都可以通過海量的日志中分析到行為軌跡。HanSight瀚思也是從日志數據本身著手，投入了大量時間與精力研發，為各行業的安全防護輸送了全新的思路。