Skip to content

保障账户体系的安全

通过IP纬度来保障

防御代理IP池

  • 利用爬虫获取互联网上的代理IP,形成黑名单库;规则非常有效、精准率高、系统消耗低。
  • 反向探测IP的端口开放情况,代理的常用端口是80和8080,如果对应IP开启了这些端口,可能是不正常的,一个家用IP地址普通情况下是不会开放这些端口的。
  • 看HTTP的XFF,这个字段只有在使用了HTTP代理时才会添加。
  • 查看源端口,通过经验判断,大于10000的源端口只有两种情况,不是代理就是大型机构。
  • 看keep-alive,带有Proxy-Connection;Keep-Alive的报文,毫无疑问是代理。

防御恶意IP

  • 来自于业务产生,如果某IP曾经作恶,那么安全有理由认为它下次还可能继续作恶,这种IP要带标签观察。
  • 高危区域,根据历史和行业数据来看,安溪、龙岩、莆田、泉州、电白、宾阳等,这些地方的IP先打上标签。
  • 威胁情报,通过购买获得,知道IP最近是否有木马病毒,黑客攻击行为。这部分恶意IP需要数据新鲜,因为IP变化非常快。

通过IP的属性防御

  • 一个to c的业务,访问IP来自IDC或者云服务器,这是不正常的。

通过验证码纬度来保障

应对小号与接码平台

  • 接码平台手机号库:通过爬虫爬取各大接码平台的手机号码,形成黑名单库,凡是命中,一律加标签。

备注:爬不全,而且接码平台也会有很多对抗爬虫的技术。

通过获取手机权限进行二次验证

  • 针对金融行业,可以爬取你的运营商网上营业厅信息,如:爬取通话记录。

备注:合规调整;运营商也具有反爬措施;影响用户体验。

合作数据验证

  • 与运营商合作,难度很大。
  • 第三方购买。

语音验证码

  • 一定程度避免了验证码泄漏,但是大规模的语音通告会形成昂贵的费用。

通过人机识别纬度来保障

进行人机识别更多是为了防止批量行为,一般这种批量行为都是由特殊接口、特定工具进行的。所以我们需要对工具的运行模式进行分析,才能不断对抗。

手机模拟器检测

  • 设备MAC、型号。

虚拟机特征

  • 虚拟机网卡一般以000569、000c29、005056开头。
  • USB和声卡特征。
  • 内存、进程、服务、注册表等。

通过数据分析纬度来保障

异常分析

  • 两次登录时间和距离的异常。
  • 无法正常获取设备信息。

坏账户识别

这里的账户一般由:手机号、邮箱、QQ等所代表。

  • 账户信息是否被标记过:类似手机号被举报次数过多、第三方平台标记。
  • 账户信息是否有特殊含义:test、hacker、admin0、pentest、attack、杂乱无序的随机字符、有规则的随机字符等。

用户行为分析

  • 键盘敲击频率
  • 鼠标移动速度与轨迹:针对Web
  • HTTP Referer
  • 屏幕触摸对压力:针对APP
  • 点击位置

数据分析保障用户安全案例分析

撞库

最简单的方法是看IP和账号的频率,但是黑客也会利用代理IP池或降低撞库的频率,所以单单从IP与账号频率,只能启到一定的作用。

想要更好的防护,需要通过更多的行为来判断,行为分析取决于你能够获得的行为数据有多少。比如设备指纹在这里就大有用武之地,通过抓取用户设备信息,形成一个画像作为基线。当环境产生变化而不可信时,推出二次校验等挑战,另外也可以通过页面点击流、击键行为来做判断。

目前来看,通过行为判断的防盗号,或者说对可信环境判断的防盗号,是一个比较综合的手段。

坏账户本身行为分析

  • 账户信息是否完整:在金融体系中,账户是需要实名的,如果实名认证未通过,则代表可能存在信息虚假。
  • 账户的活动情况:注册以后是否有登录过,是否有过正常操作,如果注册后从而登录过,某一天(这天搞活动)突然登录可能是异常的。