实战 | 移动金融风险防控思考与实践|终端安全|金融|风控

文 / 华夏银行北京分行王亚博

近年来，移动金融发展迅速，新业态、新模式层出不穷。用户通过智能手机终端进行投资理财、消费借贷、交易支付等金融业务操作，大大提升了金融业务的便捷性。各大商业银行也都推出了手机银行、直销银行、微信银行等多元化移动金融渠道。用户金融交易习惯已经彻底改变，个人客户移动金融交易频次和交易规模已经远超过网上银行等交易渠道，其中手机银行APP已经是银行对个人金融服务渗透率排名第一的渠道。

然而随着移动金融的快速普及，手机银行等移动金融APP已被作为攻击的重要目标。不法分子通过非法途径获取个人信息、篡改手机信息仿冒设备、利用系统漏洞和攻击框架工具、机器自动化操作等手段实施攻击行为，并开始产业链化协作，给银行移动金融风险防控带来巨大挑战。

华夏银行在移动金融风险防控体系建设过程中，非常重视移动端安全技术能力建设和创新应用，持续在基于移动设备安全风控和反欺诈方面进行建设规划和应用实践。

终端安全反欺诈风险防控思考

1.技术风控与业务风控融合。商业银行的业务风控反欺诈体系建设是一个系统工程，是一个持续建设和不断优化的过程。一方面，新的互联网金融业务开展带来对风控技术能力的完善要求；另一方面，行业的监管也要求金融机构具备移动金融反欺诈风控能力。在具体的业务安全能力建设过程中，比如移动终端威胁感知能力建设，不能仅仅作为孤立的安全能力，还需要将安全技术能力融合到业务风险防控场景中。

2.终端安全检测能力下沉。当前大部分商业银行已经建设基于大数据流式分析技术的实时反欺诈风控系统，面向信贷、交易、营销等提供反欺诈服务。其中的核心组件智能决策引擎是基于数据实时规则计算和模型计算，所以对于决策引擎风险评估的准确性很大程度取决于进入模型的数据源准确性。数据源主要包括终端安全特征数据、业务流水数据、威胁情报数据，这其中终端安全特征数据是最容易被伪造和篡改的，所以要将安全检测能力下沉到移动终端软件、硬件、环境、行为等多个维度。

通过在移动金融应用APP中植入一体化威胁感知SDK探针，采集移动设备特征、传感器特征、环境威胁特征、攻击行为特征等多维度数据，结合后端大数据分析平台威胁分析模型，计算出目标移动设备、目标APP的安全威胁类型及威胁指数。

3.如何对抗自动化机器操作。在移动金融反欺诈业务场景风险防控过程中，很关键的环节是能否第一时间识别黑产工具自动化操作和黑产技术应用，进而结合设备指纹技术、生物探针行为模型等，进一步辅助分析判断设备的操作者是否终端经常使用者。我们通过研究移动终端攻击者的攻击思维和方法，反向对抗黑产攻击关键技术点和路径，关键技术点包括：设备唯一性识别、黑产工具识别、IP和号码画像及风险分析、地理位置及归属地、行为序列与行为模式识别、关联图谱分析等。

关键技术应用

1.高强度设备指纹ID技术。自PC时代起，设备指纹技术就是互联网用户和终端追踪的重要手段。目前常规移动设备指纹ID技术，一般使用手机号、IMEI、IP、基站、位置、MAC地址等一些固定特征值来标识一台移动设备。然而攻击者已经熟练使用模拟器等工具修改移动设备串号等特征，比较容易在移动金融业务认证和交易等关键风控环节绕过银行的设备认证和设备绑定机制，从而造成终端维度特征交易风控规则失效。

我行采用主动特征采集和被动特征采集混合式设备指纹技术，集合两种技术方式的优点，可以保证APP和H5应用移动设备指纹值的稳定性和准确性。同时，应用新一代基于相似度模型算法，通过对数据的有效训练，摒弃传统规则方法偏见和不稳定性，有效降低设备指纹冲突率小于0.01%和漂移率小于0.01%。另外，在准确识别设备的同时也扩大了设备指纹技术的应用范围，在移动金融业务认证和交易关键环节，保证是金融业务开通的账号对应绑定的终端设备在使用金融业务，避免设备绑定失效和设备标识风控场景效率下降。

2.生物探针技术。当前移动金融APP在用户隐私收集和保护方面越来越完善，如何在满足隐私保护法律法规要求的前提下，在不涉及用户隐私数据的情况下，准确识别终端行为、识别认证用户操作行为是行业内一直在研究和尝试解决的问题。我行积极研究生物探针技术模型的应用，通过人机检测模型识别操作金融业务的设备是真实的设备，操作业务是真实用户而不是自动化软件脚本工具；通过机主识别模型，辅助识别操作业务的行为特征判断（如图所示）是否为经常使用这部终端设备用户本人。

图不同用户触屏行为特征

通过生物探针技术，采集用户使用移动金融APP时的传感器数据和屏幕轨迹数据等，包括加速度计、陀螺仪、重力加速度计、磁场传感器等，通过大数据机器学习智能行为序列分析模型检测是用户操作还是软件机器人操作。

生物探针模型技术应用可以更好地为客户行为习惯进行画像分析，对行为认证和异常行为识别。该技术主要应用在用户首次注册移动金融APP时判断是否是机器自动化恶意注册攻击，在登录环节判断是不是批量操作登录等，可以有效解决恶意注册、恶意开户和营销薅羊毛等风险场景问题，有效识别和对抗黑灰产自动化工具的攻击，实现无感行为认证。

3.终端威胁感知分析技术。采用移动终端一体化威胁检测技术，通过一次SDK集成，采集移动终端多维度威胁特征和环境风险状态。主要检测内容包括模拟器、调试行为、注入攻击、设备复用、程序外挂、木马病毒、异常加速、APP线程级威胁、APP内置SDK风险等。通过可视化分析技术将检测的威胁和风险信息进行关联分析，针对安全事件、威胁、环境风险进行综合感知分析。

安卓模拟器基于虚拟化技术实现。常规的模拟器识别技术，仅收集现有模拟器的特征（从安卓框架层、系统属性、系统文件等位置提取），匹配到模拟器特征则判断是否运行在模拟器环境。但是有些开源模拟器支持深度定制，攻击者完全可以修改掉这些显性特征。我行应用模拟器识别算法，从模拟器的本质入手，无论是完全虚拟化、系统虚拟化，还是容器技术，通过特有的虚拟化感知技术，可以准确识别模拟器。

常规的攻击/修改框架是通过注入技术实现，如基于ptrace的Frida框架、基于虚拟机注入的xposed框架等。我行在识别主流攻击/修改框架特征的同时，通过总结和学习注入的攻击路径特征，在关键路径设置检测点，从而实现对新型攻击框架的识别。

通过应用威胁感知技术，可以从设备类型、地域、系统版本、应用版本、时间，威胁类型等维度对威胁进行筛选统计，对威胁进行地域、设备、系统、应用排行。针对单个设备的威胁事件提供攻击链展现和分析，可以明晰地看到单个设备历史的安全威胁发生状况，利用攻击链行为进行事后攻击追溯。

实践和展望

1.应用实践情况。终端安全反欺诈技术目前已经在我行的移动金融服务渠道全面推广使用，包括手机银行5.0、企业手机银行、直销银行等。其中移动设备风险配置识别率98%以上、移动设备攻击发现率95%以上、异常交易自适应认证验证率90%以上。同时，构建完善的华夏银行移动金融风险防控“1+2+4+N”矩阵架构，包括：“1”个一体化移动终端信息特征采集SDK、“2”个风险决策引擎、“4”个模块化技术服务中心（移动终端态势感知、智能决策中心、智能处置中心、人工智能机器学习建模中心）、“N”个移动金融风险防控场景，有效提升移动金融风险防控能力。