行為認證來了 網絡支付不再“裸奔”
中國互聯網協會《中國網民權益保護調查報告2016》顯示,近一年的時間,國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。在這其中,因網絡交易而造成的損失占很大部分。當傳統方式已經不能保護網絡交易的安全,“行為認證”出現了,為網絡交易筑起另一面更高效的“盾牌”。
歲末年初,京東被曝出12G數據疑似外泄,其中包括用戶的用戶名、密碼、郵箱、電話號碼等多維度信息。不只是京東,去年,網易、中國人壽、申通等眾多企業紛紛傳出信息泄露丑聞。隨著我們生活全方位“觸網”,個人信息安全也越來越難保障。
中國互聯網協會《中國網民權益保護調查報告2016》顯示,近一年的時間,國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。在這其中,因網絡交易而造成的損失占很大部分。
當傳統方式已經不能保護網絡交易的安全,“行為認證”出現了。利用這種技術即使密碼丟失也能保證網絡交易的安全,這又是怎樣做到的呢?
行為識別 捕捉信息安全的蛛絲馬跡
保護身份信息變得越來越難,網絡交易被盜刷的案例幾乎每天都在發生。交易安全讓人擔心,互聯網金融也變的“不那么美”了。僅靠身份認證已然無法辨識身份盜用和交易欺詐,怎么辦?
由上海同濟大學電子與信息工程學院教授蔣昌俊帶領的團隊為網絡交易筑起了另一面更高效的“盾牌”——以用戶行為認證為基礎的風險防控機制。而他主持的“網絡交易支付系統風險防控關鍵技術及其應用”項目,也榮獲2016年國家科技進步獎二等獎。
所用的設備、系統、軟件,瀏覽網頁、下載、消費……我們在網絡上的細小行為都會留下痕跡,久而久之形成習慣,這種習慣如同指紋一樣難以復制,具有比密碼更加復雜且細微的特點。
早在10多年前蔣昌俊就認識到行為分析對于互聯網信息服務的重要性。為此,當時還在同濟大學任職的他于2007年與支付寶技術團隊合作,帶領研發團隊率先提出了風險防控的行為認證技術。蔣昌俊說:“該技術通過采集和分析用戶在系統中留下的蛛絲馬跡,建立用戶行為數據挖掘的要素路徑與標準規范,為每個用戶構建了基于PN機等模型的表征獨特行為習慣的‘行為紋理’。”買家即使用戶名、密碼被盜,系統也能根據買家的這些“行為紋理”,快速、準確判定此交易是否可信,從而決定是予以放行或是報警。
行為認證 構筑更高效網絡交易“盾牌”
事實上,傳統的信息安全技術以身份認證為核心,可以有效防范黑客攻擊、病毒木馬等行為。但如今的互聯網詐騙事件中,不法分子多以盜取“鑰匙”——用戶身份信息的方式,騙過支付平臺的身份認證系統,實現資金轉移。當身份信息不再那么“安全”,怎么辦?
增設人工驗證環節是支付平臺最常見的應對措施。然而,我國的互聯網金融體量巨大,人工審核并不太現實。以支付寶為例,支付寶曾有2000多名員工專門負責交易審核,按照經驗規則對可信交易審核,直接放行率只有44%左右。剩下的交易還需要通過短信測試,每一筆交易的平均響應時間長達2—3分鐘。這樣的審核方式不但效率低、成本高,而且無法精準判別交易行為的可信程度。特別是在今年“雙11”時期,支付寶的支付總量達到10.5億筆,峰值達到12萬筆/秒,協調全球銀行達到交易支付峰值5.4萬筆/秒。在這樣的交易高峰時期,對每筆交易進行風險審核,如果采用人工審核的方式明顯不現實。
蔣昌俊團隊與支付寶合作研制的風險防控平臺技術與專用設備,首創“設備、行為、業務”三位一體的分層風險防控機制,顯著降低了案件識別時間。比如,一用戶平常是在家中電腦登錄上網,如果有一天交易行為是在另一處電腦上發生,系統就會快速而精準地識別。據介紹,有一位女士在接收到詐騙短信后,將身份證和銀行卡等信息發送給不法分子,其后對方以此在支付寶上進行一系列操作,并用該女士的賬號購買商品。通過蔣昌俊研發團隊所創的網絡行為識別模型,結合支付寶方面提供的經處理后的數據,支付寶風控平臺捕捉到這一異常交易,對其進行了攔截,并及時通知了用戶,保障了其賬戶的資金安全。
市場巨大 我國技術能否領跑全球?
隨著互聯網金融市場的急速增長,網絡安全領域也是眾多國際巨頭搶灘的市場,不少大型互聯網公司不惜花重金研發更為先進的技術解決方案。去年底,IBM宣布將在互聯網安全領域投入2億美元。全球第二大市場研究咨詢公司“市場和市場”預計,未來幾年全球網絡安全市場將保持10.6%的復合增長率,2016年的規模預計為1224.5億美元,而2021年將達到2023.6億美元。
蔣昌俊的“行為認證”技術研究結果運用于支付寶,改變背后是巨大的商業價值。上海信息安全測評中心檢測報告顯示,該系統對可信交易的直接放行率為90.518%;交易風險識別的平均響應時間為65毫秒;基于高效的精準識別,系統的資產損失率下降至十萬分之一以下,近3年來為支付寶減少資產損失達170億元。
數據顯示,美國排名第一的國際著名支付平臺貝寶目前的資金損失率是千分之2.93,而蔣昌俊的研究運用到實踐中后,資金損失率僅為十萬分之0.9,比國際先進水平資損率降低了200余倍。英國皇家工程院士阿斯克南迪認為,蔣昌俊等人“提出了具有原創性的網絡交易風險防控的行為認證理論和技術。”
實際上,除了在線支付,其行為認證技術還有很多應用場景,如電子商務、互聯網金融工程、自貿區離岸結算等