一、终端风控的对抗体系
1、对抗体系
2、风险对抗
二、设备指纹的对抗之道
1、技术原理
2、技术原理
3、风险画像构建
实际对抗中,设备指纹技术及模型算法需有效识别出模拟器、作弊工具、云模拟器、改机、二次打包App、位置伪造等上百种设备风险。业务风控平台可选用相关标签进行风控策略配置,来有效识别并阻断恶意用户。
三、设备指纹的对抗实践
1、黑灰产常用的手段
2、改机、作弊框架、HOOK
对抗实践中可以采用通用特征识别结合特定特征识别的方式,来有效识别各类已知、未知改机作弊框架和工具,对于某些隐藏特征的高级作弊工具也可以做到精确识别
3、模拟器、云控、位置伪造
常见品牌模拟器:如夜神、雷电、Mumu、逍遥、andyroid 云模拟器(红手指、海马云)。Anbox/虚拟大师/blissOS
实际对抗中设备指纹需具备系统特征识别、协议指纹识别和CPU指令探测等通用的模拟器识别算法,来有效识别各类已知和未知的终端模拟器、云模拟器。
4、群控、设备农场
群控监测
-
设备指纹,检测特定作弊工具
-
操作状态,输入速度,传感器状态
-
策略 & 无监督聚类
5、M1芯片终端
M1之于业务的挑战 真机运行ipa
风控之于M1的对抗 识别M1真机、M1模拟器
6、其他典型对抗
-
多开/分身:区分软件多开和系统多开
-
备份恢复/抹机恢复:相似度算法+黑科技
-
定制rom检测:检测到黑产ROM,会有特殊规则,输出风险标签
-
刷机检测:设备疑似刚刷过机,典型特征:应用数量少,开机时间短,存储空间利用率极低等
-
逆向对抗:数据结构加固、vmp保护、js动态更新、ast混淆
7、典型有意思的业务思考
非本机恢复的思考
任意两部相同型号相同系统版本的设备,通过备份克隆APP,生成不同的设备指纹逻辑上需要生成两个ID,有些业务“想”生成相同ID,业务上可以结合用户设备的一些字段,比如特别是设备名称、网络、已占用的存储之类的 是可以配合来确认是否是同一个用户
网络信息异常
网络参数不合逻辑,如网络类型为Wi-Fi,但Wi-Fi为未连接状态,Wi-Fi、基站IP、VPN IP相同
改机检测与虚假设备
改机检测有可能没有实际发生参数篡改,虚假设备是发生篡改后的
8、典型的终端风控模块
四、合规挑战的适应应对
1、适应与应对
转自:刘佩