1. 白十三的码路首页
  2. 安全

“API防护”:互联网金融守夜人

机器学习使安全服务更智慧

近年来,中国互联网金融行业飞速发展,数据的爆发在催生无数商机的同时,也对信息安全的要求越来越严苛。互联网金融的本质是金融,而金融的核心则是安全问题。

据国家互联网金融风险分析技术平台监测数据显示:截止到2017年1月31日,共发现互联网金融网站漏洞983个,其中高危漏洞占比68.1%;APP漏洞1202个,高危漏洞占比23.3%。

如何在纷繁复杂的互联网世界保障金融行业的信息安全,白山云科技有限公司(以下简称“白山”)合伙人兼工程副总裁丛磊在互联网金融安全大会巡回展·深圳站,与中国科学院软件研究所研究员丁丽萍、帝恩思安全专家郑可君等业内专家进行了深入探讨。

一、面临问题

“API防护”:互联网金融守夜人
(API攻击模型)

从目前的数据来看,金融行业面临的Web攻击风险主要分为流量攻击和针对业务层的API攻击两种。相比传统的流量攻击,API攻击更灵活,更隐蔽,也更难被防范,因为攻击者从单个请求来讲,和正常用户并无区别,要综合看整体行为才能识别,这也就要求我们的安全产品要有更高的“智慧”。

二、传统套路

目前互联网金融行业使用的应用层安全服务主要分为两种:

公有云模式:

此类模式使用相对广泛,优点是使用方便,只要把域名进行CNAME解析就可以直接使用。但其实这里面也存在常见的一些“坑”:

  • 证书安全风险:当你向服务商提供证书时,相当于所有业务数据都可以被破解;
  • 公有云数据存在泄露风险:当利益冲突时,服务商可能泄露数据;
  • 源站难以隐藏:多种方法可以获取真实IP段。

硬件模式:

硬件模式更加简单,企业在机房中安装硬件设备,用户访问时请求先经过安全设备才能到达后端服务。这种方式同样存在“套路”:

  • 真正的旁路拦截微乎其微:大多数旁路拦截,在受到攻击时才将流量切过来,导致拦截效果总是稍晚一步;
  • 厂商承诺的策略更新往往会有延迟性。

无论是公有云服务模式还是硬件模式,核心都是通过“策略”来保证安全,当策略不准,或者过于严格、更新不及时,甚至配置不正确影响性能时,都会严重影响服务的可靠性和质量。

三、机器学习颠覆传统套路

不同于传统的以策略驱动的安全讨论,白山的新产品API防护提出了以机器学习为基础的新理念。在这一实现理念下,逐步弱化甚至摒弃了“策略”,而是基于行为聚类,自动地对恶意行为进行识别拦截。

(一)机器学习

聚类VS分类

机器学习有两个基本概念,分类与聚类。

所谓分类,就是有一个固定类别与样本标识,然后通过训练算法对新样本做出合理判断;所谓聚类,则不需要事先规定类别,也不需要事先标注,只需要说明数据差别较大可分为两类,这种机器学习算法即可自动完成分类工作。

“API防护”:互联网金融守夜人
(利用决策树构建WAF)

如上图所示,利用分类算法能够达到很高的识别率,但仍存在一个不可忽视的问题——分类器的前提是样本标注。然而对于互联网金融行业而言,对用户请求的安全性进行标注需要耗费大量精力。

而聚类算法则可以很好的弥补这一缺陷。异常请求与正常请求相差较大,聚类算法可以自动将两种算法区分开来。但聚类也同样存在一个难点——存在误差。

半监督学习

“API防护”:互联网金融守夜人
(白山API防护服务算法模型)

初始样本通过聚类算法分为数量不同的两类,随后将这两类请求进行学习提取特征,形成多个分类器;分类器之间通过参数进行校正,对于一些无法准确分类的信息则交给专业的安全专家处理。通过少量的人工来强化,促进整个算法更加智能。

深度学习

在安全问题上,除信息泄露外,广受互联网平台关注的还有“反欺诈”与“不良用户”问题。据统计,“欺诈用户”中约有60%的操作来自于机器人。而对于“欺诈用户”,“优质用户”与“不良用户”这些较难的安全问题,我们很难给出准确定义,就不能利用简单的聚类算法进行识别,而是需要通过深度学习来解决不便描述的安全风险。所谓深度学习,就是层数更多的神经元网络。去年横空出世的AlphaGo取胜的原因就是建立了强大的神经元网络。

“API防护”:互联网金融守夜人
(AlphaGo深度学习应用)

与AlphaGo原理相同,我们在API防护产品中引入深度学习,并不断完善算法,使其自动形成神经网络,可自主进行判断。这样通过深度学习就可以解决难以用规则描述的安全隐患。

“API防护”:互联网金融守夜人
(深度学习解决安全问题)

对于上述机器学习与深度学习在互联网金融安全领域的应用,引发了与会同仁的特别关注和热烈讨论,关于机器学习算法如何在真实业务场景中应用,以及最终效果如何,丛磊基于白山实际客户的案例,与大家进行了分享。

实例分享

某大型金融机构经常遇到恶意刷单问题,导致后端无法稳定提供服务。为保证业务安全,计划使用安全类产品,但由于以下原因,其选择十分有限:

– 业务数据敏感度高,不便使用公有云安全产品;

– 数据安全性高,不能将证书外传;

– 自身服务资源不多,架构改造阶段,服务承载能力不强;

– 经常有恶意刷单行为,导致服务器资源被耗光;

– 部门组织结构分散(业务、安全、运维),不能承担更改网络架构的风险。

“API防护”:互联网金融守夜人
(白山API防护服务部署)

考虑到以上原因,客户最终选择在后端数据库之上部署白山API防护服务。由于机器人刷单行为与正常访问行为具有较大差别,于是利用访问行为路径为主要判断依据,进行无监督聚类;将少数路径的用户挑出,进行二次筛查,并构建多个分类器,最终识别恶意刷单用户。

经过一段时间的测试之后我们取得了如下效果:

– 运维人员报警短信数量降低80%;

– 对于某接口遇到恶意刷单攻击时,防护前502/504比例大于30%,防护后低于0.1%。

美国医疗保险商遭遇黑客入侵、国内互联网金融安全事件同样层出不穷。根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。抵御“异鬼”入侵,亟需“API防护”守夜人保卫互联网金融长城。

原创文章,作者:白山码路长,如若转载,请注明出处:http://blog.baishan.com/cloud-security/apifanghu-hulianwangjinrongshouyeren

发表评论

登录后才能评论