顶象 · 2022年08月22日 · 浙江

设备指纹不只能看设备全貌,更是风控决策、模型建设的重要支撑

作为了业务体系的基础组件之一,设备指纹广泛应用在标记、追踪、临时凭证、分析、反欺诈等不用服务场景下,是业务安全体系的重要组成部分。

设备指纹采集设备各项信息,然后赋予设备唯一的标识,并通过多种关联和相似查找算法来保障这个标识的稳定性。通过设备采集上报的信息数据,能够分析出一个设备关联账号的常用地、设备活跃时间段、设备是否有风险等,多个维度构建出设备画像,实时呈现给用户当前设备的风险情况。也就是说,通过设备指纹技术,能够掌握账号的行为习惯、网络环境、设备画像、位置信息、行为信息,助力身份核验、安全防护、推广营销。同时,通过设备指纹采集信息和数据沉淀,为数据分析、风控决策、模型建设提供强大支撑。

全面了解每台设备的全貌

识别设备是设备指纹的核心能力,只有能够准确识别网络中的设备,才能发挥相应作用。设备指纹的采集的信息涉及特征包含设备的操作系统、系统的各种插件、浏览器的语言设置及其时区、设备的硬件ID、手机的IMEI、网卡Mac地址、字体设置、LBS地址等。以顶象设备指纹为例,采集的信息主要包含硬件、网络、系统三部分。

硬件属性:设备品牌、型号、IMEI(国际移动设备识别码)、处理器、内存、分辨率、亮度、摄像头、电池、陀螺仪、蓝牙MAC、无线MAC、出厂标识。

系统属性:系统、版本、语言、Ls位置、开机时间、运行时间、电池状态、设备是否异常、是否root/越狱、是否篡改设备信息、是否有作弊工具等。

网络属性:WiFi网络、运营商网络、信号强度、基站信息。

为风控反欺诈提供关键决策

基于采集的信息,顶象设备指纹可以监测设备的运行状态,发现root(非法读取文件、反安全检测)、自动化工具(批量注册、活动作弊)、模拟器(自动注册小号、秒杀)、多开(虚假作弊、养号、)、改机、群控(薅羊毛、虚假流量),App重打包(植入广告、破解功能限制)等异常行为,辅助风控反欺诈体系在注册、登录、营销、交易、充值、渠道推广等业务场景中,识别出虚假注册、盗号、恶意登录、薅羊毛、推广作弊、批量养号等欺诈风险,并对应采取相应的防范策略方案。

识别机器攻击:机器攻击/脚本攻击一般是通过编写自动化脚本或工具,批量化和自动化的向目标网站发起请求,通过使用设备指纹终端风险识别能力,能够很好的识别是否机器、脚本发起的请求。

识别虚假注册/恶意登录:利用设备指纹技术,可以识别模拟器上的账号注册、同设备一定时间段内的大量注册,以及注册的设备是否有高风险。同样,在登录场景有效识别统一设备上频繁登录尝试、撞库风险,记录识别登录设备是否频繁切换等。

识别多账号绑定:在营销活动中,一般活动规则会限制同设备同账号只能参加一次。通过设备指纹技术可以做快速识别是设备上是否绑定多个账号,同一个账号是否在多个设备上登录等。

识别渠道作弊:在应用推广、展示广告等场景下,黑灰产会通过各种技术工具伪造数据、流量作弊,骗取推广费用。通过设备指纹技术可以及时识别虚假机器、真机虚假安装等,从而有效的追踪渠道流量和表现。

识别模拟器/调试风险:设备指纹技术能够有效检测到设备终端环境和运行期风险,如,模拟器、越狱、调试、注入、攻击框架等。

为大数据分析与关联关系分析提供重要支撑

在大数据分析和机器学习场景,顶象设备指纹可以作为最基础的字段,提供另一个维度来观察业务指标数据,进行关联分析。比如,分析活跃设备数、新增设备数、用户使用的机型分布、同一个设备上交易笔数和金额、同一个设备上访问的用户数等。在关系网的构建上,除了使用用户手机号、卡号等作为节点,也可以把设备ID作为节点,观察用户间的关系。

基于顶象设备指纹信息以及业务数据的充分挖掘,利用应用图数据挖掘、无监督算法、半监督算法、有监督算法等多角度充分挖掘,结合应用场景、实际操作人员的具体需求直观而智能的在运营和监测平台呈现最有效信息,从而为多个行业和场景提供反欺诈、精准营销服务。

构建关联图谱:基于设备指纹信息以及业务数据,对场景需求和业务逻辑的理解,构建跨部门、跨产品构建覆盖个体、设备、组织、产品、交易等维度的复杂关联网络。

关联关系挖掘:基于设备指纹信息以及业务数据,提取个体和群体的静态画像、分析动态趋势、通过图数据挖掘技术定位潜在欺诈团伙并进行深度挖掘、特征衍生、应用机器学习定量分析后开发反团伙欺诈模型。

实现自我升级:基于设备指纹和业务大数据,沉淀风险数据,积累防御策略,建设专属的风控模型,并实施更迭到设备指纹,实现设备指纹安全性和防控性的升级演进。

云端交互的顶象设备指纹

顶象设备指纹支持安卓、iOS、H5、公众号、小程序,可有效侦测模拟器、刷机改机、ROOT越狱、劫持注入等风险,具有快速对抗、高效风险识别、99%以上稳定性和100%的唯一性的特点。

作为是顶象防御云的一部分,顶象设备指纹独有三大能力。

第一,快速对抗能力。业务应用暴露在互联网上,黑灰产则是隐藏在背后,所以攻防必然存在一定的滞后性,这就要求设备指纹技术在面对新的攻击方式和风险特征时,有及时的风险情报感知和防控升级的能力,后台可以结合各行业的攻防经验和风险数据沉淀,通过云+端的方式,进行快速的攻防升级,在一个攻防周期内解决掉业务风险。

第二,高效风险识别能力。设备指纹需要具备对设备基础环境和运行期的安全检测能力,能精准识别模拟器、root、越狱、调试、代码注入、多开、VPN代理等风险。例如,iOS平台hook、越狱行为,安卓root、debug、内存dump、注入、多开、模拟器、漏洞攻击等风险行为,WEB平台下浏览器颜色深度、分辨率,浏览器与系统、UA的匹配性和一致性、cookie是否禁用等行为。

第三,99%以上稳定性和100%的唯一性。设备指纹自身SDK代码需要进行保护,防止采集逻辑被破解和出现数据伪造,从数据采集源头上保证真实性和准确性。不管对设备参数进行篡改伪造(篡改IMEI、MAC地址、AndroidId、SIM卡信息、机型、品牌等),或是禁用、清除缓存和cookie,设备指纹都要保持不变,稳定性至少要保持在99%以上。任意两台设备的指纹不能相同,不发生碰撞,为每一台设备生成的设备指纹ID需要全球唯一,并且不可被篡改,唯一性上要保证在100%。

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息