大數(shù)據(jù):通過設備行為分析降低支付風險
從2012年起�,大數(shù)據(jù)的話題在中國互聯(lián)網以及各個行業(yè)開始大熱�����,據(jù)說2013年已經被國外媒體稱為“大數(shù)據(jù)元年”���。除了最常規(guī)的用戶挖掘����、廣告價值提升���,大數(shù)據(jù)被用來制作熱門電視劇����,建設醫(yī)療機構,甚至幫助奧巴馬連任等各種神話已經層出不窮�����。但互聯(lián)網最最基礎的一項工作——安全工作��,似乎一直跟這股潮流沒什么關系�����。
很多人的印象中��,互聯(lián)網安全無非就是裝個殺毒軟件���,網上支付的時候最好再拿個硬件盾(U盾)心里才能踏實點。一出問題���,得出互聯(lián)網始終還是比傳統(tǒng)世界不安全的結論����,那是必須的�。我們搞互聯(lián)網安全的,有那么沒有技術含量嗎�����?這里簡單給大家介紹下網上支付控制風險的一個利器——正是現(xiàn)在所有人熱捧的大數(shù)據(jù)。
傳統(tǒng)安全認證方式及其問題
之前有人說“在互聯(lián)網上�,沒人知道你是一條狗”,這種“身份不確定性”對于互聯(lián)網金融服務來說�����,是一個永遠的風險�。網絡釣魚、木馬傳播����、賬號竊取等帶來的盜用和欺詐都是這種風險的直接體現(xiàn)。
所以��,就有了人們最熟悉的幾種安全認證手段:一是用戶所知道的東西��,比如密碼����;二是用戶所擁有的東西,比如數(shù)字證書����、硬件盾��。他們的本質都是�,當支付服務接收到支付請求時��,為了減低支付風險�,服務端要先確認支付發(fā)起者的身份是合法的。
但以上兩種方法都會遇到一些障礙����,比如密碼容易忘記���,有些人所有應用都用同一個密碼���,密碼還可能存在泄露的風險。這一點�,2011年底的CSDN密碼泄露事件就給了所有人一個警示。
數(shù)字證書和硬件盾的問題在于�����,更換電腦或者重裝系統(tǒng)之后��,電腦中沒有數(shù)字證書,用戶就會無法支付���,而硬件盾可能丟失或者損壞�����,發(fā)生這種情況����,用戶也會無法支付�。這也是至今很多用戶都沒有選擇這些安全產品的原因。
第三種現(xiàn)在廣泛使用的安全認證方式是手機檢驗碼�����。 用戶在電子商務網站�、網上銀行或者第三方支付網站預留手機之后,就可以在需要進行身份確認時接收動態(tài)驗證碼��。 手機有良好的攜帶性���、私密性�,手機短信的達到率可以達到90%以上���。因此手機短信動態(tài)驗證碼被電子銀行和第三方支付大量使用���。
在手機短信驗證碼被大量使用之后�����,不法分子也開始針對性的展開攻勢�����。釣魚網站���、電話的方式騙取驗證碼甚至成為一個黑色產業(yè)鏈,對電子商務環(huán)境造成很大的負面影響����。
舉個真實的案例��,支付寶為了防止不法分子冒充工作人員向用戶騙取手機校驗碼��,曾經在發(fā)送短信校驗碼的短信文案中明確寫到“淘寶或支付寶工作人員不會向您索取短信校驗碼”�����。有一次,一位用戶接到一位假客服的電話���,假客服以幫她處理交易為由向她索取校驗碼�����,這位用戶跟假客服說�,“短信里面說了工作人員不會向我索取短信校驗碼的����。”假客服可能也是靈機一動��,回答說�,“我不是淘寶和支付寶的,我是賣家�����?���!边@位用戶就把校驗碼告訴假客服了。為此�����,支付寶只好更改了短信校驗碼的文案,明確說明“任何索取短信校驗碼的行為均是詐騙行為�����?��!?/span>
即使這樣����,用戶被騙取短信校驗碼的情況還是不能絕跡�����。因為這類非法騙取驗證碼的行為很多是有組織的實施�����,加上受害者的防范意識比較薄弱�����,成功騙取的概率始終是存在的��。電子銀行和第三方支付想要很好的控制這種非法行為�����,存在很大的難度����。
設備行為分析的優(yōu)勢:你可以易容,但你的行為特征很難改變
為了降低支付風險而引入了身份認證�����,但是身份認證過程本身也存在被攻擊的可能性����。那么,能否減少網絡行為中的“身份認證”環(huán)節(jié)呢�����?
答案是肯定的�����。不法分子可能通過各種方式掌握你的密碼��,騙取你的校驗碼,但他要完全使自己的行為特征跟你相似��,那就要難得多���。就好像整容很容易���,但要改變你的行為特征卻很難一樣。能夠通過這樣的數(shù)據(jù)化�、技術化的手段去控制風險,這就是互聯(lián)網做安全的優(yōu)勢���。
事實上�,通過對用戶支付行為的習慣數(shù)據(jù)進行分析來進行身份認證���,可以很好的減少在支付過程中身份認證對用戶的打擾�����。
用戶在網絡上的行為都會留下“信息”����,比如在什么時間支付����、購物的金額、使用什么樣的網絡����。
行為在一段時間之內形成規(guī)律,就好比某個人習慣用左手寫字����。通過分析這種行為習慣,就可以知道用戶的真實身份�。
網絡行為一般包含5個方面的因素:在什么時間、使用什么設備���、賬號��、登錄什么網站����、做了什么���。
在網絡上����,一個人能獲取到的設備是有限的,一般是辦公室電腦�、家里電腦、手機等��。如果在一個“可信”的設備上登錄系統(tǒng)����,那么當前行為的可信度就較高。那么設備又是行為分析中的關鍵點�。
我們可以給每個設備一個“可信度”,用戶的行為與設備進行關聯(lián)���,每次用戶的行為都可以動態(tài)的改變“可信度”���。
一次可信的、合法的行為會增加可信度�����,一次不可信的�、非法的行為會減少可信度。而增加和減少的“度”���,是通過一套復雜的模型���,采用機器學習的方式獲得。這樣就圍繞設備形成一個閉環(huán)�,“輸入-處理-輸出-反饋”。
除了可以改變用戶直接使用的設備的可信度��,甚至還可以通過“設備”與“設備”之間的關聯(lián)關系動態(tài)改變設備的可信度�����。比如���,用戶A使用手機A�����,使用聲波支付給用戶B的手機B轉賬1000塊�����,那么除了手機A的可信度提升��,手機B的可信度也可以相應提升��。 分析設備直接的關系同樣也可以建立一套復雜的模型����。
因為用戶網絡行為會映射到設備的操作行為,所以通過對設備可信度的分析����,就可以知道行為的風險有多高。而且這個過程中�,不需要用戶主動安裝數(shù)字證書或者硬件盾,不需要接收校驗碼��,對用戶的體驗也會有明顯提升���。
隨著移動互聯(lián)網興起���,地理位置定位、加速度感應等成為主流智能手機的標準配置�。智能設備上的傳感器,就好比人的五官�����,不斷的采集周圍環(huán)境的信息�,這就為設備行為的分析提供更豐富的數(shù)據(jù)����。這些智能化的設備散步在世界的每個角落����,分分秒秒都在生產和傳輸信息;未來的挑戰(zhàn)����,不是用于分析的數(shù)據(jù)不夠�,而在于對如此龐大數(shù)據(jù)的儲存和分析能力。
通過設備行為分析的方式去控制風險�����,只是通過大數(shù)據(jù)的方法去進行風險控制的一種����。在國外paypal就沒有數(shù)字證書、硬件盾這樣的安全產品��,就是靠分析用戶與設備的行為去控制風險����。中國的環(huán)境下����,用戶對安全的要求更高����,安全感也更差,之前國內領先的第三方支付公司更多還是采取安全產品��、校驗碼這些用戶能夠明顯感知到的安全認證方式����。但設備行為分析這樣的新方式也已經開始起步。
還是那句話��,這個世界上沒有絕對意義上的安全�����,互聯(lián)網上也是如此�����。但不論是要降低風險發(fā)生率本身�,還是要提升風控過程中的用戶體驗和效率,互聯(lián)網的方式���、大數(shù)據(jù)的方式都要優(yōu)于傳統(tǒng)方式���,這就是時代進步的必然���。大家既要看到問題,也要看到這樣更積極的一面���。
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試�����,點擊>>>
“CDA報名”
了解CDA考試詳情;
? 想學習CDA考試教材�����,點擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情��;
? 想了解CDA考試含金量�,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網安備 11010802034615號
經營許可證編號:京B2-20210330