基于用户行为的生物探针和智能验证码

于 2022-05-26 22:06:16 发布
阅读量905 收藏 2
点赞数 1
分类专栏: 风控有感 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liushengxi_root/article/details/124958836
版权

文章目录

通过历史事件统计,我们发现在互联网场景下,黑产的网络欺诈攻击大多发生在用户登录认证之后。因此,如何安全、有效且无伤用户体验进行用户身份验证就显得尤为关键和重要。如图5.1所示为身份认证的层次。
在这里插入图片描述

  • 第一阶段Something you know(只有你知道的信息):包括但不限于账户、密码、手机号、身份证信息。
  • 第二阶段Something you have(只有你拥有的物品):包括但不限于动态密码卡、IC 卡、磁卡。
  • 第三阶段Something you are(只有你拥有的生物特征):包括但不限于指纹、声纹、虹膜、人脸。
  • 第四阶段Something you do(你特有的行为证明了“你就是你”):包括但不限于用户的点击、按压、滑动、滚动、击键操作。

在第一阶段、第二阶段,典型的认证方式包括单因素认证(账户+密码)双因素认证(账户+密码+U 盾)等。用户需要记忆复杂的密码、携带验证设备,非常不方便,用户体验较差。并且随着黑产攻击能力的提高,这些认证方式已经不足以保护用户的账号安全。

第三阶段发展到生物识别,其认证的唯一性、丰富性、稳定性得到了提升,典型的认证方式包括指纹识别、声纹识别、虹膜识别、人脸识别等,虽然相较于前两个阶段各方面都得到了极大提升和长足进步,但是其安全性、准确性、方便性仍然存在一些欠缺,不能进行持续、无感的身份验证。

第四阶段为生物行为模式识别,也属于生物识别的范畴,但它不依赖单一维度的生物特征,而是通过机器学习对用户的点击、按压、滑动、滚动、步态、姿态等行为进行智能计算和验证。黑产几乎不可能大批量复制或模仿正常用户的操作行为习惯,每个人的操作习惯和身体语言特征都是由社会和心理因素所塑造的,具有独特性

生物探针

采集用户使用智能终端设备(如手机、电脑等)时的传感器数据和屏幕轨迹数据,然后通过特征工程、机器学习,为每一位用户建立多维度的生物行为特征模型,生成用户专属画像进行人机识别、本人识别。移动设备可采集的传感器如图5.2所示,生成用户画像使用的是非敏感生物学特征(不采集用户人脸、声纹等敏感信息和隐私数据),通过算法模型确保唯一性,并且能够对抗伪造和复制。
在这里插入图片描述

无感认证

生物探针的应用场景

  • 登录场景:采集用户在使用终端设备(手机、电脑)的行为数据,如按压力度 设备仰角、手指触面、屏幕滑动和鼠标轨迹等使用习惯,为其建立专属的行为模型。当模型训练完成后,该账号再次发生登录行为时,生物探针SDK就会采集 当前用户的登录行为数据’传输到后端进行匹配。后台算法模型进行计算,给出 当前登录行为是否为用户本人操作的决策,定是否允许用户成功登录。(其实比如:抖音的登录,一般只需要点击一下允许微信登录即可,也有验证码接受等操作,不知道是不是使用了这些东西~
  • 小额转账免短信场景:基于上述同样的原理,通过匹配用户当前采集的数据与用 户行为档案库进行匹配,若行为匹配则免短信认证,否则要求用户进行指纹识 别、人脸识别等进行二次认证。
    ·支付免密场景:与上述小额转账免短信原理—致。
  • 信用卡、消费、借贷申请场景:类申请场景—般是—次性行为,不存在重复性 操作。主要的需求是有效区分机器操作和真人操作,以及是否是用户本人操作,,生物探针能够在提升用户体验的同时有效避免恶意申请,盗卡盗刷等欺诈行为。

字符验证码的识别

黑产对字符验证码的识别已经有了多个成熟的技术手段,下面从攻击者视角分别进行介绍,读者可以在设计验证码的过程中重点关注这些技术。

传统识别方法

在这里插入图片描述
拿到这样的一张图片,想要对其进行识别,首先需要一些处理:

  1. 二值化处理:变成黑白图片
    在这里插入图片描述
  2. 通过腐蚀去除剩下的噪点,如a和u之间的噪点
    在这里插入图片描述
  3. 投影分割:判断有几个字符
  4. 旋转校正
  5. 简单的K最邻
    近算法(KNN)到卷积神经网络(CNN),对于这种类型的图片验证码,都能达到极高的识别率。

当然,如果直接拿原始的验证码图片去训练模型,行不行?答案就是行,但是需要更多的样本数据。而样本数据的获取也是需要比较大的成本的,与样本的数量成正比。但是:对抗生成网络方法(即使用程序生成样本数据)的出现使得这个正比被破坏,也宣告了字符验证码退出历史舞台。

新型验证码的识别

  • 滑块拼图验证码
  • 文点选验证码
  • 打码平台:打码平台聚集了大量想在网上赚钱的劳工。攻击者在拿到验证码的图片后,上传给打码平台’打码平台会把图片下发给这些劳工’由他们来解答’然后把正确答案 返回。

对抗黑产的方案

新的验证类型

  • 使用了 GAN (对抗生成网络技术)来无限地生成各种色彩斑谰的鸟。验证的问题可以是”这个鸟的某个部位是什么颜色? “
  • 轨迹模型:用户使用智能终端设备在通过验证码的过程中’产生的生物行为数据(传感器、屏幕滑动轨迹或鼠标移动数据、操作频率间隔数据等)是难以伪造和模仿的’因此’可以通过机器学习建模的方 式来区别真实用户和机器。
  • 多维度赋能:判断当前环境是否有风险,模拟器,判断历史上是否有风险等等
    在这里插入图片描述
Tattoo_Welkin
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互利网上数字金融典型场景: 网络支付
慧安金科的博客
06-22 1606
       我国网络支付发展迅速,从 2013 年开始,网络支付市场的交易规模平均以 50% 的年均增速增长。2017 年,我国网络支付交易规模达到近 154.9 万亿元,同比增长率接近 44.3%。网络支付在线下小额和零售领域等适用场景不断丰富,渗透于消费、金融、个人应用等各个领域。        新的支付形式也催生了新的欺诈手段。在支付环节,黑色产业集团往往通过社工方式和技术手段,盗取利用...
android 滑动轨迹,android绘制触点轨迹的代码
weixin_36217920的博客
05-25 698
本文实例为大家分享了android绘制触点轨迹的具体代码,供大家参考,具体内容如下重点函数是onTouchEvent(),所有的触摸事件都会在View的这个函数里面处理单点触控单点触控的event是通过event.getAction()获得的,一般最少需要考虑下面这三种情况MotionEvent.ACTION_DOWN:手指 初次接触到屏幕 时触发。MotionEvent.ACTION_MOVE:...
#金专奖获奖方案展播# | 生物探针-基于生物行为用户本人身份认证算法
JDDTechTalk的博客
01-12 220
点击「京东金融技术说」可快速关注「摘要」每个用户使用手机的习惯都有很大差异性,智能手机可以记录这些用户的使用习惯数据。对这些数据进行分析建模,得到用户本人身份认证算法,通过这个算法可以有...
行为验证码---极验
weixin_34044273的博客
11-04 314
http://www.geetest.com/
实时验证码技术可改进生物识别身份验证
人工智能快报
04-16 355
实时验证码(Real-TimeCaptcha)使用了一种对人类来说很简单但使用机器学习和图像生成软件欺骗合法用户的攻击者来说却很困难的独特问题,这种身份验证方法可以提高当前靠用户面部视频或图像的生物鉴别技术的安全性。最近出现了一种新的登录身份验证方法可以提高当前基于用户面部视频或图像的生物识别技术的安全性。这种技术被称为实时验证码(Real-Time Captcha),它使用了一种对人类来说很简单
智能验证码解决方案
千龙的博客
05-13 248
在业务开发中,我们经常会遇到机器恶意注册、无效垃圾注册、短信接口被刷等情况,这时我们首先会想到使用验证码来阻止此类问题。 常见的验证码一般为文本验证(即预生成字母数字组合图片,通过输入图片内容来进行判断)、算术验证(即输出简单加减运算等式,填写答案)、点击验证(即根据提示点击图片中的文字或图案)、滑动验证(即生成拼接图,滑动以完成拼图)等几种形式。 随着各种打码平台的出现,现有的验证方式已经越来越无法满足我们的要求了,现有验证码也越来越形同虚设,起不到相应的作用了。 为此,我们特别开发了旋转图片角度验
风控实战:生物探针技术
键盘的起始页
07-01 2061
设备指纹技术通过用户指纹为每个用户账户建立唯一的ID,一旦发现冒用身份登录行为,可及时拦截;生物探针技术通过采集用户在使用设备的按压力度、设备仰角、手指触面等使用习惯,为其建立专属的行为模型,发现异常操作及时阻止;行为序列技术可以将用户的购买行为同历史购买习惯进行比对,预警可能发生的欺诈行为。这些技术有效的保护了用户财产、账户安全。 张大龙是师范院校正在就读大二的学生,他最近有点小烦恼:自己那个老旧的笔记本电脑已经满足不了他“吃鸡”、“撸啊撸”的需求了,想换一台电脑,可无奈囊中羞涩。想着去找老妈要钱,估计
基于Wifi探针的多模式智能签到系统.pdf
09-08
通过对用户行为的实时监控和分析,该系统能够为管理者提供准确的出勤数据,有助于提升管理水平,同时也减少了对学生正常学习的干扰。随着物联网和大数据技术的发展,类似的智能系统将更加普及,并在更多领域发挥重要...
探针智能温度控制仪的方案设计和应用范围分析
01-20
引言 目前工业化作业工作温度非常宽泛,若要准确测量温度需采用智能温度控制仪。因此,该智能温度控制仪以热敏电阻外加恒流源作为温度传感器,将温度信号以电压信号形式采集,经放大A/D转换器转换,传输至单片机...
基于单片机的静电探针自动测量系统
01-19
 静电探针又称langrnuir探针,是一种用来进行等离子体参数测量的基本的诊断工具,通过静电探针的,I-V特性曲线可以计算出等离子体的电子温度、密度、空间电位和悬浮电位等重要参数。静电探针,I-V特性曲线如图1所示...
反欺诈风控系统
07-25 9092
背景 互联网黑产攻击行为通常具有以下4个典型特点: 团伙化:黑产已经从单打独斗发展成了有组织的团伙,通过合理分工协同工作。 专业化:黑产上下游之间分工明确,相互协作,拥有大量的作案资源(身份证、银行卡、手机号、手机设备、IP等资源),并且部分从业者具有非常高的技术睡哦,精通各种自动化脚本编写,逆向破解等,甚至涉及和使用机器学习等技术。 强对抗性:黑产熟悉主流的风控技术手段,会根据业务实际情况不断试探、挑战和绕过现有的防护体系。 跨行业:黑产会在电商、广告、支付、旅行等多个平台流窜作案。 为了对.
什么是生物特征识别?有哪些生物特征?
feng_junwei的博客
12-16 3366
据《百度百科》解释,生物特征识别技术是计算机科学中,利用生物特征对人进行识别,并进行访问控制的学科。简单来说,就是通过你身体的某个部位来识别是不是你本人的技术。 根据美国咨询机构 Transparency Market Research 的预计,全球生物识别技术市场规模将从 2015 年的 112.4 亿美元,增长至 2020 年的 233 亿美元,复合年均增速为15.7%。 生物识别市场正处在快速增长当中。 全球生物识别市场结构中,指纹识别份额达到 58%,人脸识别的份额.
“密码被盗都没关系!”京东金融风控黑科技:如何基于生物行为信息做身份认证?...
weixin_33767813的博客
10-25 255
“你的手机丢了没关系,人家知道你的支付密码也没关系,他在你的京东金融APP上操作的时候,我就能知道这个人是不是本人,是不是有风险。”近日,京东金融副总裁、技术研发部总经理曹鹏介绍了京东金融的生物探针技术。 据雷锋网AI金融评论了解,京东金融可以通过APP采集到用户在整个使用中超过120个指标,通过收集用户行为去判断这个人是否为风险用户,实现用户的身份...
推荐一个非常好的行为验证码开源项目!
zhangge3663的博客
11-05 2918
项目介绍 行为验证码采用嵌入式集成方式,接入方便,安全,高效,抛弃了传统字符型验证码展示-填写字符-比对答案的流程,采用验证码展示-采集用户行为-分析用户行为流程,用户只需要产生指定的行为轨迹,不需要键盘手动输入,极大优化了传统验证码用户体验不佳的问题;同时,快速、准确的返回人机判定结果。目前对外提供两种类型的验证码,其中包含滑动拼图、文字点选。如图1-1、1-2所示。若希望不影响原UI布局,可采用弹出式交互。 滑动拼图 点选文字 概念术语描述 术语 描述 验证码类型 1)
在被12306坑之后 我们聊聊验证码发展史
weixin_34018169的博客
08-01 397
年关将至,也正值春运购票高峰,正所谓“一张车票引无数英雄尽折腰”。近日,铁路部门的官方购票网站12306再次成为网友调侃的对象。不过,这次 调侃的内容不再是抢票难的问题,而换成了12306登陆时的图形验证码。部分网友在购票时发现,该网站的少数图形验证码不仅难以识别,甚至有些物品名称都 没有听说过,最终也导致部分人没有买到理想的回家车票。既然验证码...
ueba用户行为分析 需要探针
最新发布
05-01
在实施 UBA(用户行为分析)之前,需要部署一个数据采集的技术,这个技术需要通过探针来实现。探针是一种软件或硬件设备,安装在计算机系统中,可以监视用户行为并收集数据。通过探针采集得到的数据可以为 UBA 提供更全面、更准确的用户行为分析。因此,在实施 UBA 应用的过程中,部署探针是必不可少的。探针需要针对不同的系统、服务器以及网络设备进行不同的部署,以确保对用户行为的监控和数据收集渠道的完整性和准确性。同时,为了保障用户隐私,探针的部署应该在法律规定的范围内进行,遵循隐私保护和数据安全的原则。总之,为了更好地实现 UBA 应用,探针是必需的,而且需要根据实际情况进行合理部署,确保合法、准确、全面地采集用户行为数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值