设备指纹概述

设备指纹的诞生背景及应用

从安全与风控的角度,需要解决的问题是:“这次的访问是谁发出的,真的是他想要访问么?他需要做什么?”,在目前的系统中,由于一般都是在线交易,其导致了交易对象的不可见性,即系统无法判断这个请求(如转账)是否真的是本人发出的,还是由黑客进行的伪造的请求。在这一领域,设备指纹就可以大放异彩。

与此同时,设备指纹也可以应用于模拟器识别(简单应用),而模拟器识别则可以广泛针对薅羊毛党、提供更加公平的游戏环境(模拟器和手机之间分开匹配等)。

其他更加的细分的场景:防垃圾注册、防撞库、防薅羊毛、反刷单、精准营销、支付反欺诈、授信反欺诈、用户画像分析、复杂关系网络等,可谓前景大好。

设备指纹的评价标准

个人总结出来的设备指纹的评价标准:

  • 准确性。需要能够区分出不同的设备,同样要求设备指纹的唯一性。
  • 稳定性。设备发生轻微变化的时候,要求设备指纹不发生变化。

主流设备指纹的实现方式

  1. 主动式。通过主动采集用户的设备信息,来生成唯一的id。缺点在于不同的设备之间所能提供属性数量可能存在比较大的差异,且无法完成WEB和APP之间的统一,且在存在欺骗的时候可能会导致失效
  2. 被动式。主要通过追踪网络协议栈进行分析,优点是完全设备无关,且不会对客户端进行代码侵入。缺点是对算法的要求较高。
  3. 混合式。结合上述两者的优势。

成熟的产品

蚂蚁金服

基于多维度的设备信息,通过大数据流式分析处理、智能算法,为每一台移动设备计算生成唯一的设备 ID,配合风控系统使用,可有效对抗设备伪造、自动注册、羊毛党等恶意行为。

产品特色:

  • 高唯一性:通过大数据智能算法保证,不同设备生成的设备指纹不会发生碰撞
  • 高稳定性:设备指纹生成以后,不会因为设备的卸载、升级、重新安装等操作而发生变化
  • 数据丰富:除了设备指纹本身以外,还提供了模拟器检测、越狱检测等设备风险识别能力
  • 安全抗攻击:设备指纹核心计算都在云端完成,所有传输的链路都经过加密和校验,无法被篡改和攻击

京东数科

设备指纹产品主要是基于设备探测技术在用户授权的情况下下采集设备和网络信息,采用深度学习算法生成设备可信ID,结合京东数科的全场景应用考验,亿级设备数据及深厚反欺诈经验,实现对用户设备的精确识别。将设备指纹技术与机器学习思路合为一体,当用户在特定网站或APP进行业务操作时,通过生物行为识别模型,标示用户的200+种特征,多维度识别网络攻击行为、机器人行为,甚至模拟用户真实操作等异常行为。

产品特色:

  • 多终端:PC、app、小程序、h5多端均可部署
  • 稳定性:基于自研的设备指纹生成算法、相似度算法,在出现篡改识别情况下,稳定生成唯一设备ID
  • 安全性:生成的设备ID存储后台,前台提供单词流水TOKEN的方式,保证后台设备ID不被获取篡改
  • 多标签:上百位挖掘风险标签,全方位识别猫池、群控、设备篡改等风险
  • 行为分析:全链路用户支持和追溯设备环境安全监测,可实现人机识别、本人识别等功能。

网易易盾

算了也没啥可吹的。

可以深入的点

  • 对抗篡改软件、改机神器。知名的有:XX抹机神器、xposed框架等
  • 对抗GPS篡改软件,如fake location之类的
  • 小米隐私保护
  • 更多的指纹生成算法、更好的稳定性、更好的检测算法

参考链接