保障账户体系的安全
通过IP纬度来保障
防御代理IP池
- 利用爬虫获取互联网上的代理IP,形成黑名单库;规则非常有效、精准率高、系统消耗低。
- 反向探测IP的端口开放情况,代理的常用端口是80和8080,如果对应IP开启了这些端口,可能是不正常的,一个家用IP地址普通情况下是不会开放这些端口的。
- 看HTTP的XFF,这个字段只有在使用了HTTP代理时才会添加。
- 查看源端口,通过经验判断,大于10000的源端口只有两种情况,不是代理就是大型机构。
- 看keep-alive,带有
Proxy-Connection;Keep-Alive
的报文,毫无疑问是代理。
防御恶意IP
- 来自于业务产生,如果某IP曾经作恶,那么安全有理由认为它下次还可能继续作恶,这种IP要带标签观察。
- 高危区域,根据历史和行业数据来看,安溪、龙岩、莆田、泉州、电白、宾阳等,这些地方的IP先打上标签。
- 威胁情报,通过购买获得,知道IP最近是否有木马病毒,黑客攻击行为。这部分恶意IP需要数据新鲜,因为IP变化非常快。
通过IP的属性防御
- 一个to c的业务,访问IP来自IDC或者云服务器,这是不正常的。
通过验证码纬度来保障
应对小号与接码平台
- 接码平台手机号库:通过爬虫爬取各大接码平台的手机号码,形成黑名单库,凡是命中,一律加标签。
备注:爬不全,而且接码平台也会有很多对抗爬虫的技术。
通过获取手机权限进行二次验证
- 针对金融行业,可以爬取你的运营商网上营业厅信息,如:爬取通话记录。
备注:合规调整;运营商也具有反爬措施;影响用户体验。
合作数据验证
- 与运营商合作,难度很大。
- 第三方购买。
语音验证码
- 一定程度避免了验证码泄漏,但是大规模的语音通告会形成昂贵的费用。
通过人机识别纬度来保障
进行人机识别更多是为了防止批量行为,一般这种批量行为都是由特殊接口、特定工具进行的。所以我们需要对工具的运行模式进行分析,才能不断对抗。
手机模拟器检测
- 设备MAC、型号。
虚拟机特征
- 虚拟机网卡一般以000569、000c29、005056开头。
- USB和声卡特征。
- 内存、进程、服务、注册表等。
通过数据分析纬度来保障
异常分析
- 两次登录时间和距离的异常。
- 无法正常获取设备信息。
坏账户识别
这里的账户一般由:手机号、邮箱、QQ等所代表。
- 账户信息是否被标记过:类似手机号被举报次数过多、第三方平台标记。
- 账户信息是否有特殊含义:test、hacker、admin0、pentest、attack、杂乱无序的随机字符、有规则的随机字符等。
用户行为分析
- 键盘敲击频率
- 鼠标移动速度与轨迹:针对Web
- HTTP Referer
- 屏幕触摸对压力:针对APP
- 点击位置
数据分析保障用户安全案例分析
撞库
最简单的方法是看IP和账号的频率,但是黑客也会利用代理IP池或降低撞库的频率,所以单单从IP与账号频率,只能启到一定的作用。
想要更好的防护,需要通过更多的行为来判断,行为分析取决于你能够获得的行为数据有多少。比如设备指纹在这里就大有用武之地,通过抓取用户设备信息,形成一个画像作为基线。当环境产生变化而不可信时,推出二次校验等挑战,另外也可以通过页面点击流、击键行为来做判断。
目前来看,通过行为判断的防盗号,或者说对可信环境判断的防盗号,是一个比较综合的手段。
坏账户本身行为分析
- 账户信息是否完整:在金融体系中,账户是需要实名的,如果实名认证未通过,则代表可能存在信息虚假。
- 账户的活动情况:注册以后是否有登录过,是否有过正常操作,如果注册后从而登录过,某一天(这天搞活动)突然登录可能是异常的。