設備指紋技術在銀行業務中的應用

唐曉婷 俞少華 鮑 亮

(公安部第三研究所 上海 200120)

0 引 言

網絡的普及使人們能夠通過手機支付、網上支付等方式隨時隨地完成各類交易。越來越多的銀行將傳統業務轉為網絡業務，但各類網絡攻擊和網絡不安全因素成為了銀行業最為棘手的問題。設備指紋作為一種新型的技術受到業界的極大關注，雖然它不能直接防止網絡攻擊，但可以起到一定的預警作用。將現有的設備指紋技術更好地應用在銀行業務中是本文研究的重點。

1 設備指紋技術

設備指紋技術可以唯一識別訪問互聯網業務和設備并生成設備ID，是互聯網反欺詐的核心技術之一，也是安全監控技術[1]的基石。通過對設備的識別，達到設備操作行為可視化的目的，為安全監控、業務反欺詐及隱性認證提供設備維度的支撐。

傳統的設備識別手段主要依賴于單一的信息源，而新一代的設備指紋技術使用更多的信息來完成設備的識別。通過網絡收集終端設備的特征信息，并在分析與鑒別的基礎上，對每一組從終端設備采集的特征信息組合賦予唯一的設備指紋ID，用以標識該終端設備。從實現的技術方法上看，其可以分為主動式設備指紋與被動式設備指紋兩種技術路線。

1.1 主動式設備指紋

主動式設備指紋技術[2]一般采用JS代碼或SDK，在客戶端主動地收集與設備相關的信息和特征，通過對這些特征的識別來辨別不同的設備。一般的設備特征信息有：

1) 瀏覽器特征，包括UA、版本、OS、插件的配置、Canvas特征等；

2) 設備的傳感器特征，如麥克風、加速傳感器的特征等；

3) 設備OS的特征，如是否越獄等；

4) 設備的配置，如網絡配置、系統flash的配置等。

主動式設備指紋算法一般將這些信息組合起來，通過特定的Hash算法得到一個設備指紋ID值，作為該設備的唯一標識符。同時，考慮到設備指紋的穩定性，一般還會結合其他持久化的存儲技術，將設備指紋ID長期保存起來。

1.2 被動式設備指紋

被動式設備指紋技術[3]在終端設備與服務器通信的過程中，從數據報文的OSI七層協議中，提取出該終端設備的OS、協議棧和網絡狀態相關的特征集，并結合機器學習算法以標識和跟蹤具體的終端設備。

與主動式設備指紋技術相比，被動式設備指紋無須在設備終端上嵌入用于收集設備特征信息的JS代碼或SDK，其所需要的設備特征都是從終端設備發送過來的數據報文中提取。

1.3 混合式設備指紋

主動式設備指紋和被動式設備指紋技術都存在缺點與局限性，這限制了它們的應用范圍。

主動式設備指紋最大的局限在于其收集的設備特征在Web域和App域中存在著區隔，即在不同的瀏覽器中，收集到的設備特征也各不相同。因而主動式設備指紋在不同的瀏覽器中，以及Web和App之間，會生成不同的設備指紋ID，無法實現Web和App間不同瀏覽器之間的設備關聯。并且主動式設備指紋依賴于客戶端代碼，在反欺詐的場景中對抗性較弱。

被動式設備指紋技術可以很好地解決Web與App之間、不同的瀏覽器之間的設備關聯問題，但是由于其需要使用復雜的機器學習算法來進行設備的識別，所以占用的處理資源較多，響應時延也較長。

混合設備指紋技術克服了主動式設備指紋和被動式設備指紋技術各自的缺點，在準確識別設備的同時擴大了設備指紋技術的適用范圍。對于Web頁面或App內部的應用場景，可以通過主動式設備指紋技術進行快速的設備識別；而對于不同的瀏覽器之間、Web頁面與App之間的設備識別與比對關聯，則可以利用被動式設備指紋的技術優勢來實現。

2 設備指紋模型

2.1 數據埋點

對于網上銀行和手機銀行，所涉及的設備主要是PC和手機。

對于手機的設備指紋數據埋點，選取目前主流的Android系統作為例子，調研Android官方提供的數據接口是業界最佳采集方案，共可采集Android設備數據36項，包括：用戶時區、小時格式、自動網絡選擇、自動時區選擇、屏幕鎖屏時間、可用Wi-Fi提示、GETLOCATIONMETHOD、解鎖振動反饋、輸入法信息、系統語言、系統是否root、字體大小、字體列表、電話鈴聲、通知鈴聲、IP、用戶程序列表、系統程序列表、設備型號、設備制造商、屏幕信息(寬度、高度、分辨率)、內置存儲空間大小、CPU類型、CPU時鐘、CPU頻率、系統內核編譯信息、HTTP數據包的User、Agent、Android系統版本、系統存儲結構、ANDROID_ID、Serial Number、MAC、是否為模擬器、是否存在惡意程序、是否存在安全防護程序。

對于PC，大部分網上銀行采用的是B/S架構，需用戶通過瀏覽器進行訪問。設計數據埋點時需考慮PC數據和瀏覽器數據兩部分內容，PC數據可使用ActiveX控件進行采集，采集項包括IP、MAC、CPU、主板廠商、主板序列號、內存大小、BIOS序列號及設備算力PoW。瀏覽器數據可使用JS腳本進行采集，采集項包括名稱、版本、類型及版本、UA、語言、OS、系統平臺、分辨率、cookie、MIME類型、插件數值、插件的數量、插件的名稱、顏色質量、Director、JavaEnabled、QuickTime、flash插件情況、MediaPlayer、RealPlayer、Canvas2D等。

由于瀏覽器及PC數據的易篡改性，本設備埋點數據采集方案除采集設備原生數據外，特別納入了設備圖片渲染能力Canvas2D與計算能力PoW數據作為重要參考項，起到數據防篡改和校驗篡改的目的。

1) 設備圖片渲染能力Canvas2D。讓瀏覽器完成圖片渲染任務，利用渲染效果識別設備。渲染效果取決于瀏覽器的圖像處理引擎、導出選項、壓縮等級和設備性能，不同PC、瀏覽器繪制出的圖形數據存在區別。采用瀏覽器Canvas渲染圖片，使用canvas.toDataURL()方法返回該圖片內容的Base64編碼字符串，提取編碼中CRC校驗碼用于設備埋點數據，即使篡改PC、瀏覽器參數也無法改變CRC校驗碼，可用于校驗設備原生數據是否存在篡改。

2) 設備算力PoW。工作證明(Proof of Work，PoW)是一種鑒定設備是否投入計算工作的機制，PC埋點數據采集使用散列函數實現的PoW，在用戶請求資源時讓設備完成一次散列計算，以證明在訪問時消耗CPU的計算算力，計算得到正確的結果后才可獲取資源。該方法可防止暴力自動化訪問，若不法分子嘗試發起暴力訪問，前端可選擇加載PoW機制，在時間和設備資源兩方面讓不法分子的設備承擔計算工作，提高自動化的訪問成本，以保證在用戶發起高頻訪問時降低訪問頻率。

2.2 模型詳解

模型的主要任務就是發現可疑設備，本文主要通過聚類的方式區分設備。首先使用SimHash算法[4]產生設備指紋ID，在設備簇中對設備指紋ID進行精確匹配，以提高設備識別頻率，若精確匹配失敗則使用算法度量設備距離。使用詞袋模型將設備數據轉換為稠密向量，再采用權重杰卡德距離(Jaccard)[7]度量設備向量簇間和簇內的距離，根據簇間距和簇內距利用聚類算法完成設備的聚類。設備指紋模型概述如圖1所示。

圖1 設備指紋模型概述

2.2.1詞袋模型(BoW)

在自然語言處理和文本分析的問題中，詞袋(BoW)[5]是最常用的模型之一。由于設備數據是自然語言，為讓數學算法可以處理，故使用詞袋模型將自然語言轉化為算法可處理的稠密向量，即將每臺設備轉化為多維空間中的坐標點，空間中各個點的距離就是設備間的距離。

2.2.2聚類算法

為提升聚類算法[6]的準確度，聚類過程匯總使用權重杰卡德距離度量設備顯性特征(軟、硬件特征)，增強模型聚類效果。

權重杰卡德距離關注的是樣本間共同具有的特征，用來度量兩個集合之間的距離，兩個集合A和B的交集元素在A、B的并集中所占的比例，稱為兩個集合的權重杰卡德距離，用J(A，B)表示：

圖2 聚類算法流程

3 設備指紋在銀行業務中的應用

3.1 用戶可信設備監控

用戶在首次登錄網上銀行和手機銀行時，系統都會對其進行驗證，通過驗證的列為可信設備，以該可信設備為基礎對該用戶后續使用的設備進行監控。將其作為聚類中心，對客戶后續使用的設備進行聚類，如果在同一個聚類簇中則認為是可信設備，反之，則認為是不可信設備，對其增加驗證措施，如驗證通過則將其作為一個新的聚類中心。這樣，如果客戶有多個設備則會有多個可信聚類簇，對于可信的設備則可適當減少驗證措施。

3.2 惡意行為監控

以設備聚類后的設備簇為維度，對單個設備進行行為監控。

1) 高頻交易。同一設備簇一段時間內執行操作的數量超過一定的閾值。比如撞庫、短信轟炸等都可作為高頻交易進行監控。一旦監控發現此類行為，就增加相應措施(如增加交互式驗證碼、強制退出會話等)進行干預。

2) 攻擊監控。主要包括SQL注入、XSS等典型的攻擊。以設備簇作為維度，如設備簇中有一個設備被監控到攻擊行為，則對設備簇中的其他設備ID增加驗證手段，以防止可能的攻擊行為。

3) 薅羊毛行為監控[9]。在傳統的以手機號作為優惠限制的基礎上,增加設備作為限制項，制定更為合理的業務規則。同時，通過設備指紋還可以識別出使用模擬器的情況，更有效地控制惡意薅羊毛的行為。

3.3 設備黑名單

對于惡意行為的監控結果，可根據設備指紋ID建立設備檔案庫，將多次發生惡意行為的設備列為設備黑名單。對于設備黑名單上的設備，在進行網上業務申請時增加相應的驗證措施。同時，設備黑名單可在同業內共享，起到預警作用。

4 結 語

本文根據現有設備指紋技術，選取適合銀行業務的埋點數據，并建立模型，使用聚類算法將設備劃分為可信設備及可疑設備。對可疑設備進行持續監控，并建立黑名單機制，有效控制可疑設備的惡意行為。隨著設備指紋技術的發展，數據埋點更為全面，設備標識也更加準確，未來銀行業務的監控將更多依賴設備指紋。