2017年01月18日 星期三
行为认证来了 网络支付不再“裸奔”
实习生 刘 禹 本报记者 王 春

    中国互联网协会《中国网民权益保护调查报告2016》显示,近一年的时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。在这其中,因网络交易而造成的损失占很大部分。当传统方式已经不能保护网络交易的安全,“行为认证”出现了,为网络交易筑起另一面更高效的“盾牌”。

    岁末年初,京东被曝出12G数据疑似外泄,其中包括用户的用户名、密码、邮箱、电话号码等多维度信息。不只是京东,去年,网易、中国人寿、申通等众多企业纷纷传出信息泄露丑闻。随着我们生活全方位“触网”,个人信息安全也越来越难保障。

    中国互联网协会《中国网民权益保护调查报告2016》显示,近一年的时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。在这其中,因网络交易而造成的损失占很大部分。

    当传统方式已经不能保护网络交易的安全,“行为认证”出现了。利用这种技术即使密码丢失也能保证网络交易的安全,这又是怎样做到的呢?

    行为识别 捕捉信息安全的蛛丝马迹

    保护身份信息变得越来越难,网络交易被盗刷的案例几乎每天都在发生。交易安全让人担心,互联网金融也变的“不那么美”了。仅靠身份认证已然无法辨识身份盗用和交易欺诈,怎么办?

    由上海同济大学电子与信息工程学院教授蒋昌俊带领的团队为网络交易筑起了另一面更高效的“盾牌”——以用户行为认证为基础的风险防控机制。而他主持的“网络交易支付系统风险防控关键技术及其应用”项目,也荣获2016年国家科技进步奖二等奖。

    所用的设备、系统、软件,浏览网页、下载、消费……我们在网络上的细小行为都会留下痕迹,久而久之形成习惯,这种习惯如同指纹一样难以复制,具有比密码更加复杂且细微的特点。

    早在10多年前蒋昌俊就认识到行为分析对于互联网信息服务的重要性。为此,当时还在同济大学任职的他于2007年与支付宝技术团队合作,带领研发团队率先提出了风险防控的行为认证技术。蒋昌俊说:“该技术通过采集和分析用户在系统中留下的蛛丝马迹,建立用户行为数据挖掘的要素路径与标准规范,为每个用户构建了基于PN机等模型的表征独特行为习惯的‘行为纹理’。”买家即使用户名、密码被盗,系统也能根据买家的这些“行为纹理”,快速、准确判定此交易是否可信,从而决定是予以放行或是报警。

    行为认证 构筑更高效网络交易“盾牌”

    事实上,传统的信息安全技术以身份认证为核心,可以有效防范黑客攻击、病毒木马等行为。但如今的互联网诈骗事件中,不法分子多以盗取“钥匙”——用户身份信息的方式,骗过支付平台的身份认证系统,实现资金转移。当身份信息不再那么“安全”,怎么办?

    增设人工验证环节是支付平台最常见的应对措施。然而,我国的互联网金融体量巨大,人工审核并不太现实。以支付宝为例,支付宝曾有2000多名员工专门负责交易审核,按照经验规则对可信交易审核,直接放行率只有44%左右。剩下的交易还需要通过短信测试,每一笔交易的平均响应时间长达2—3分钟。这样的审核方式不但效率低、成本高,而且无法精准判别交易行为的可信程度。特别是在今年“双11”时期,支付宝的支付总量达到10.5亿笔,峰值达到12万笔/秒,协调全球银行达到交易支付峰值5.4万笔/秒。在这样的交易高峰时期,对每笔交易进行风险审核,如果采用人工审核的方式明显不现实。

    蒋昌俊团队与支付宝合作研制的风险防控平台技术与专用设备,首创“设备、行为、业务”三位一体的分层风险防控机制,显著降低了案件识别时间。比如,一用户平常是在家中电脑登录上网,如果有一天交易行为是在另一处电脑上发生,系统就会快速而精准地识别。据介绍,有一位女士在接收到诈骗短信后,将身份证和银行卡等信息发送给不法分子,其后对方以此在支付宝上进行一系列操作,并用该女士的账号购买商品。通过蒋昌俊研发团队所创的网络行为识别模型,结合支付宝方面提供的经处理后的数据,支付宝风控平台捕捉到这一异常交易,对其进行了拦截,并及时通知了用户,保障了其账户的资金安全。

    市场巨大 我国技术能否领跑全球?

    随着互联网金融市场的急速增长,网络安全领域也是众多国际巨头抢滩的市场,不少大型互联网公司不惜花重金研发更为先进的技术解决方案。去年底,IBM宣布将在互联网安全领域投入2亿美元。全球第二大市场研究咨询公司“市场和市场”预计,未来几年全球网络安全市场将保持10.6%的复合增长率,2016年的规模预计为1224.5亿美元,而2021年将达到2023.6亿美元。

    蒋昌俊的“行为认证”技术研究结果运用于支付宝,改变背后是巨大的商业价值。上海信息安全测评中心检测报告显示,该系统对可信交易的直接放行率为90.518%;交易风险识别的平均响应时间为65毫秒;基于高效的精准识别,系统的资产损失率下降至十万分之一以下,近3年来为支付宝减少资产损失达170亿元。

    数据显示,美国排名第一的国际著名支付平台贝宝目前的资金损失率是千分之2.93,而蒋昌俊的研究运用到实践中后,资金损失率仅为十万分之0.9,比国际先进水平资损率降低了200余倍。英国皇家工程院士阿斯克南迪认为,蒋昌俊等人“提出了具有原创性的网络交易风险防控的行为认证理论和技术。”

    实际上,除了在线支付,其行为认证技术还有很多应用场景,如电子商务、互联网金融工程、自贸区离岸结算等。

返回