风控反欺诈图解（实战经验分享移动端线上反欺诈）

随着各行业数字化进程的不断加速，移动端流量持续暴涨。虽然这提高了人们的生活效率，但也同时增加了黑灰产获利的渠道。相比传统的Web系统，APP、Web、H5、小程序等多元化的访问方式和来源，更带来了多元化的安全挑战，除了传统Web安全漏洞，攻击者已将目光扩展到薅羊毛、爬虫、撞库等更具经济利益的领域。

用户需求

• 用户在Web端、移动APP端均有大流量业务在运行；
• 业务新用户注册、活动返券等促销活动已经投入大量营销费用，但投入产出比显示远远没有达到预期效果；
• 通过后端日志人工分析发现存在大量异常账号；
• 黑灰产利用未知的技术手段可绕过现有风控策略；
• CIO要求对于这类攻击进行实时发现拦截，但安全部门没有实时识别能力，急需补充自动化威胁识别能力。

解决方案

在用户网络环境中部署瑞数动态防护集群，通过动态令牌、动态验证核心技术帮助客户实现对移动端APP、Web网站、H5页面的实时人机识别，实现针对自动化工具（Bots）的实时识别，区分正常用户与异常用户；并与用户现有风控系统进行多维度联动，构建并实现应用安全的一体化防护体系目标。

瑞数动态安全防护集群实现了以下几项功能：

#1针对原生APP请求，以快速集成SDK的方式，实现终端安全防护，防止数据泄露，不依赖特征、阈值、打补丁和策略规则，无需修改任何应用服务器代码，客户端无需配置，实现移动APP原生请求的实时人机识别。

#2针对用户拉新、促销等活动的H5页面，使用瑞数动态防护方案，以动态验证技术和动态令牌技术实现实时人机识别，站点漏洞隐藏，模拟合法操作防护。

#3满足隐私合规条件下，对客户端环境进行信息采集，包括来源IP、账号信息、行为数据等，并针对全业务接入渠道使用内置自动化威胁欺诈模型进行信誉评分，实现多平台业务信息联动与威胁感知。

#4以OWSPA T0P 21种自动化攻击场景为依据，提供完整的数据记录，透视用户的访问轨迹，追踪溯源用户的访问行为，帮助用户形成风控数据积累，提升用户风控系统的异常识别能力。如下图所示：

案例&成效

业务安全对抗案例1 机器羊毛党对抗

防护方：

发现高频访问手机账号133******98，在某个时间段（一天内），长时间有访问记录，但页面停留时间、陀螺仪、传感器、设备电量字段值均保持不变，并同时在多个手机上不断发起请求。用户业务部门针对账号进行了参与活动的限制。

黑灰产：

继续尝试使用相同方法进行薅羊毛行为。

防护方：

从报表请求中看到相同账号登录次数和异常告警次数大幅下降。且发现源IP是来自两个同一个C段的IP，很可能是同一个团伙的薅羊毛行为被识别，通过对应手机号进行微信号反查，显示“xxx代理\代收”。

业务安全对抗案例2 真人作弊识别

防护方：

该异常设备由瑞数信息上报给用户现有风控系统，用户针对该设备指纹在业务系统内部进行了相关账号活动权限限制。

黑灰产：

发现无法进行自动化薅羊毛操作，移动端APP进行业务投诉。采取人肉薅羊毛方式。

防护方：

1） 针对前一次识别的账号基础上，增加归类分析，发现不同账号、不同设备指纹，收件详情中带有同一批连号的手机号。

2） 发现不同账号、不同设备指纹、不同来源IP地址，详细地址中带有连续有规律的序号信息。

瑞数动态安全集群发现该异常后，联动用户风控系统，上报给用户业务方，业务针对相关账号做了内部分析并限制其参与活动的权限。

瑞数动态安全 — 助力用户提升风控识别能力

目前，瑞数动态安全防护平台已经稳定运行超过两年，运行状态良好。从防护效果上看，极大提升了用户反欺诈识别能力：

• 单次活动期间发现异常访问1.2亿次，异常帐号数超过11万，帮助用户节省大量营销费用。
• 通过薅羊毛、爬虫、接口滥用、异常手机终端、手机APP群控等5个场景模型，对访问行为进行实时监控分析。
• 利用关键业务数据采集功能，联动内外部分析系统，为用户自己的风控系统提供多维度数据支撑。