【企服干货】手机号+验证码的注册方式根本不安全?AI有什么好办法呢?
李晓松 李晓松 2018-08-21

8月17日,由3W企服和企服行业头条联合主办的《AI+信息安全 助力互联网企业网络安全建设》沙龙在武汉举办。来自武汉极意网络极验交互安全实验室安全专家孙媛女士,在场做了《人工智能在交互安全领域的应用》的主题演讲。

未命名-0611_meitu_1.jpg

武汉极意网络极验交互安全实验室安全专家孙媛

平时注册、登录的手机验证码有很大的安全隐患?是什么导致了信息泄露、短信轰炸?黑客会利用哪些漏洞对我们展开攻击?AI+安全防护到底是如何实现的?针对这些问题,孙媛在现场做了精彩分享。以下内容整理自孙媛现场讲解,企服行业头条(微信ID:wwwqifu)略有删改。

我们平时面对的安全问题

 “薅羊毛”问题

在金融、电商等行业都有羊毛的存在,这里有一个非常完整的产业链,黑客是怎么操作的呢?羊毛党借助数千个QQ群、贴吧、赚客网站等借以联络和组织的平台,将十余万的羊毛党集合起来,向阿里、京东、唯品会这样的猎物发动攻击。

 恶意爬虫

一个网站有非常多的商品信息或是评价信息,一些恶意的人就去扒这些信息盗卖给竞争对手,或者设一些恶意操作,这就造成了用户流失或者网站运营的损失。

信息泄露

这种安全问题是最常见的,包括脸书非常大的泄露事件,还有平台用户数据泄露。因为用户的身份信息包括手机号码都会给到第三方,他们拿到这些数据后可以做非常多的事情。

短信轰炸

传统验证的痛点,总是要验证看不清楚的验证码。可如果让人工智能来破解这种验证,过程会非常简单,几毫秒可以破解字母验证,不管是加什么动作,都可以识别出来。

漏洞/DDoS攻击

会被黑客用在最重要的登录场景,从最开始的暴利破解,利用大流量攻击方式把用户信息给输入进去。现在还有撞库攻击、人工打码。

黑客攻击的目的是什么?

包括恶意抢票、恶意囤货、恶意抢购、虚假订单等等。只要有一个支付漏洞的存在,就能导致整个业务环节瘫痪。

怎么运用人工智能解决上述问题?

滑动验证:区别于传统验证方式,可以通过用户行为信息去建立多维的智能模型,实时判断出人与机器的界限。

新型的验证码:应用场景非常广泛,不管是注册、短信、互动、投票这些场景都可以加入这些验证,可以把那些机器的恶意行为破解掉,把批量注册的行为实时拦截下来。

身份认证:可以替代比较常见的短信认证。传统短信认证需要用户在注册或登录的某些场景输入手机号。可我们做网关验证,直接把用户收到短信验证码回填短信验证的互动省略掉了。技术原理就是用户输入手机号到平台注册界面的时候,通过用户输入的手机号、底层数据流量和附近基站进行网关匹配,只要手机卡有唯一的类似于身份验证在数据走通过程中,我们只要是基站附近接收到这个数据匹配成功我们就可以直接通过,这个耗时时间大概是4秒左右,所以这个产品在安全层面既可以杜绝短信轰炸所造成的短信延迟,在体验层面让用户省略掉了非常多的步骤。

底层安全防护:包括黑名单的管控技术以及GS,POW工作,这个技术实践可以让大量的B攻击更加快速,更加准确地去过滤掉,让网站恢复正常的网络。还有这种类似底层安全是网站平台去上线之前,渗透测试和安全人员的意识培训,代码审议这一块也都是可以去做的。

哪些企业采用了极意网络的产品?

中国银联现在在银联在线和银联商务注册产品都使用了我们极意的产品,主要解决的问题是恶意的注册,包括登陆场景攻击问题。

斗鱼直播现在全网的交互场景和注册登陆使用的都是极意的产品。包括平安银行、微博、华为、小米等,航空行业也非常多。

分享到

点赞(2)

说点什么

全部评论