保障账户体系的安全

通过IP纬度来保障

防御代理IP池

• 利用爬虫获取互联网上的代理IP，形成黑名单库；规则非常有效、精准率高、系统消耗低。
• 反向探测IP的端口开放情况，代理的常用端口是80和8080，如果对应IP开启了这些端口，可能是不正常的，一个家用IP地址普通情况下是不会开放这些端口的。
• 看HTTP的XFF，这个字段只有在使用了HTTP代理时才会添加。
• 查看源端口，通过经验判断，大于10000的源端口只有两种情况，不是代理就是大型机构。
• 看keep-alive，带有Proxy-Connection;Keep-Alive的报文，毫无疑问是代理。

防御恶意IP

• 来自于业务产生，如果某IP曾经作恶，那么安全有理由认为它下次还可能继续作恶，这种IP要带标签观察。
• 高危区域，根据历史和行业数据来看，安溪、龙岩、莆田、泉州、电白、宾阳等，这些地方的IP先打上标签。
• 威胁情报，通过购买获得，知道IP最近是否有木马病毒，黑客攻击行为。这部分恶意IP需要数据新鲜，因为IP变化非常快。

通过IP的属性防御

• 一个to c的业务，访问IP来自IDC或者云服务器，这是不正常的。

通过验证码纬度来保障

应对小号与接码平台

• 接码平台手机号库：通过爬虫爬取各大接码平台的手机号码，形成黑名单库，凡是命中，一律加标签。

备注：爬不全，而且接码平台也会有很多对抗爬虫的技术。

通过获取手机权限进行二次验证

• 针对金融行业，可以爬取你的运营商网上营业厅信息，如：爬取通话记录。

备注：合规调整；运营商也具有反爬措施；影响用户体验。

合作数据验证

• 与运营商合作，难度很大。
• 第三方购买。

语音验证码

• 一定程度避免了验证码泄漏，但是大规模的语音通告会形成昂贵的费用。

通过人机识别纬度来保障

进行人机识别更多是为了防止批量行为，一般这种批量行为都是由特殊接口、特定工具进行的。所以我们需要对工具的运行模式进行分析，才能不断对抗。

手机模拟器检测

• 设备MAC、型号。

虚拟机特征

• 虚拟机网卡一般以000569、000c29、005056开头。
• USB和声卡特征。
• 内存、进程、服务、注册表等。

通过数据分析纬度来保障

异常分析

• 两次登录时间和距离的异常。
• 无法正常获取设备信息。

坏账户识别

这里的账户一般由：手机号、邮箱、QQ等所代表。

• 账户信息是否被标记过：类似手机号被举报次数过多、第三方平台标记。
• 账户信息是否有特殊含义：test、hacker、admin0、pentest、attack、杂乱无序的随机字符、有规则的随机字符等。

用户行为分析

• 键盘敲击频率
• 鼠标移动速度与轨迹：针对Web
• HTTP Referer
• 屏幕触摸对压力：针对APP
• 点击位置

数据分析保障用户安全案例分析

撞库

最简单的方法是看IP和账号的频率，但是黑客也会利用代理IP池或降低撞库的频率，所以单单从IP与账号频率，只能启到一定的作用。

想要更好的防护，需要通过更多的行为来判断，行为分析取决于你能够获得的行为数据有多少。比如设备指纹在这里就大有用武之地，通过抓取用户设备信息，形成一个画像作为基线。当环境产生变化而不可信时，推出二次校验等挑战，另外也可以通过页面点击流、击键行为来做判断。

目前来看，通过行为判断的防盗号，或者说对可信环境判断的防盗号，是一个比较综合的手段。

坏账户本身行为分析

• 账户信息是否完整：在金融体系中，账户是需要实名的，如果实名认证未通过，则代表可能存在信息虚假。
• 账户的活动情况：注册以后是否有登录过，是否有过正常操作，如果注册后从而登录过，某一天（这天搞活动）突然登录可能是异常的。