关于安全:浅谈支付宝智能风控引擎的风险感知维度的运行流程和一些设想

1次阅读

共计 1976 个字符,预计需要花费 5 分钟才能阅读完成。

文章中可能存在纰漏,集体常识量无限,难免会产生谬误,请谅解。

结尾

之前看到一个节目:《智造未来》,外面有一期讲述的是【揭秘支付宝的安全系数】,看了之后深有感触,并且有一些感想,于是就打算把它写下来。

作者也提供了素材的地址,文章对视频依赖性较强:
《智造未来 – 揭秘支付宝的安全系数》视频链接地址

视频次要环节的是六位刑侦支队的网络干警作为攻击手,二人一组,分三组去入侵他人的支付宝账户,用支付宝风控引擎做自主拦挡的红蓝反抗。
攻击手具备很高超的黑客程度,支付宝风控引擎也不是吃素的,内容十分精彩,过程读者能够去看,这里不多做补充。

联合案例对危险感知维度的运行流程的简略猜想

第一组入侵:

第一组挑战的是蒋昌建蒋老师的手机:攻击手通过所有路径获取到了蒋老师姓名和手机号。
攻击手通过获取到的信息进行暴力破解,想登录支付宝,因为登录尝试次数过多,支付宝智能风控引擎收回了正告。

此时支付宝危险感知维度的大屏 设施和环境两个维度曾经亮起
集体的几个猜想:
设施:是因为风控引擎曾经感知到了,用户的手机是放在那里的,这是另外一台新的设施来尝试登录他的账户,是具备危险的操作
环境:攻击手和蒋老师的 ip,用的网段,其中也包含设施类型,攻打次数等,造成了支付宝应用环境的不统一
攻击手因为无奈登录支付宝从而无奈达到转账的目标,随即又扭转登录策略,抉择遗记明码:

但风控引擎还是检测到了危险:

此时支付宝危险感知维度的大屏 行为又忽然亮起
集体猜想:
行为:用户在非正常登录的状况下又抉择批改明码,屡次登录没有胜利,这之间曾经存在了暴力破解尝试登录的模型,屡次的登录失败,和批改登录明码的行为曾经造成了行为上的不统一。前提是用户会始终手记用户的操作习惯,用来比照每次新的操作的异样行为

隔开第二组说第三组入侵:

因为实验者的手机曾经中毒,所以攻击手能够近程获取到他手机上的任何信息,所以攻击手 用另外一台新的手机 间接应用短信验证码登录,实验者手机上的信息,攻击手同时能看到。
正确的验证码输出胜利后,支付宝风控引擎检测到存在危险,智能扭转防护策略,进行姓名验证。攻击手通过近程获取到实验者手机的短信库,通过汽车旅行险信息近程获取到实在姓名。
直到胜利登录了支付宝。
此时攻击手须要批改领取包登录明码,因为他不晓得。
攻击手应用同样的短信验证码近程获取形式,近程获取支付宝因为批改领取明码而发送的验证码。
然而支付宝检测到以后操作存在危险,智能扭转防护策略,所以还攻击手还须要持续验证银行卡号。
攻击手通过近程获取实验者的手机相册,近程获取到了他的银行卡号。
直到验证通过,领取明码被胜利批改。
而后进入转账环节:
但因为支付宝风控引擎检测到以后操作存在危险,强行中断转账,最终,攻击手转账失败。
此时的支付宝风控危险感知维度的状态是:

设施 环境 行为 说过了,触发因素大抵一样
雄文的讲解是:
关系:这个转账的单方,以前素来没有任何关系,也素来没有转过账
偏好:收款方的这个账户,自他注销以来,他次要的行为就是收账和提现,很少有个别的日常消费行为,曾经成为了一个偏好的模型
交易:转账方的所属的城市,也很少转账。集体认为,支付宝依靠大数据的,对交易的沉闷做了剖析,单方所属的城市很少转账,单方所属的地位少转账,单方的通讯录里都没有对方,这会造成转账和收款方的分割很少,与大数据模交易天文沉闷模型不匹配。综上所述,这比转账领有极高的危险,所以间接就把危险失败了。

构想延长

支付宝的安全等级是世界一流的,安全级别的专家团队,黑客的徒弟招到支付宝,藏龙卧虎高手星散。
虽不敢比支付宝,然而是否能够根据这几个简略的维度,也写一个 mini 的风控系统?

设施:如 pc 端,挪动端,user-agent 数据,
环境:用户客户端 ip,ip 对应的城市,单点登录
偏好:用户操作的习惯,数据通信的工夫是否正当,异样操作合理性判断,如大量删除,大量异样写操作的数据。
行为:是否有 sql 注入 xss 攻打,暴力登录,等。

通过这些数据曾经能够做到的安全等级是:

  1. 即便有黑客用户名明码输出正确的状况下,因为不能保障所有维度的信息完全一致,黑客也无奈登录,同时揭示用户,让他批改明码。
  2. 如果有人通过软件窃取到通信的数据,他也无奈进行批改,因为还是不能保障所有维度的信息完全一致,比方登录用的是一个 user-agent,referer,窃取者用的是另一个 user-agent,referer,如果程序保障登录的设施信息与登录胜利后设施信息统一能力通信的话,就算你能获取到,你也无奈对数据进行歹意的篡改后发送到服务端。然而为了保障通信秘密,举荐应用 https 协定。

当然也有一些毛病,比方操作的复杂性,打搅率更高,容易被误拦挡等。

尽管没有什么商业的价值,然而也是一个不错的我的项目,比传统的增删改查要有意思,能够本人玩玩。如果这几个危险维度拦挡率设置的得体,打搅率设计得体,能够宽泛用于各个平安畛域。

正文完
安全
发表至: 安全
2021-02-14
 0
关于安全:2020上半年勒索病毒报告勒索手段升级不交赎金就公开数据
关于安全:全球46OnPrem数据库包含漏洞法国最脆弱中国平均bug数最多
关于安全:让逆向工程师们头疼的代码混淆就像永远也走不出的浪浪山
关于安全:Spring-Cloud-Spring-Security实践三-数据库方式的认证和授权

站内搜索

-「