您的位置: 旅游网 > 女人

API防护互联网金融守夜人_a

发布时间:2020-01-17 01:06:55

API防护:互联金融守夜人

近年来

,中国互联金融行业飞速发展,数据的爆发在催生无数商机的同时,也对信息安全的要求越来越严苛。互联金融的本质是金融,而金融的核心则是安全问题。

据国家互联金融风险分析技术平台监测数据显示:截止到2017年1月31日,共发现互联金融站漏洞983个,其中高危漏洞占比68.1%,发现APP漏洞1202个,其中高危漏洞占比23.3%。

如何在纷繁复杂的互联世界保障金融行业的信息安全,白山云科技有限公司(以下简称“白山”)合伙人兼工程副总裁丛磊进行以下分析。

面临的问题

从目前的数据来看,金融行业面临的Web攻击风险主要分为流量攻击和针对业务层的API攻击两种。相比传统的流量攻击,API攻击更灵活,更隐蔽,也更难被防范,因为攻击者从单个请求来讲,和正常用户没什么区别,要综合看整体行为才能进行识别,这也就要求我们的安全产品要有更高的“智慧”。

传统套路

目前互联金融行业使用的应用层安全服务主要分为两种:

1. 公有云模式

此类模式使用相对广泛,优点是使用方便,只要把域名进行CNAME解析就可以直接使用。但其实这里面也存在常见的一些“坑”。

证书安全风险:当你向服务商提供证书时,相当于所有业务数据都可以被破解;

公有云数据存在泄露风险:当利益冲突时,公有云服务商可能泄露数据;

源站难以隐藏:多种方法可以获取真实IP段。

2. 硬件模式

硬件模式更加简单,企业在机房中安装硬件设备,用户访问时请求先经过安全设备才能到达后端服务。这种方式同样存在“套路”。

真正的旁路拦截微乎其微:大多数旁路拦截,在受到攻击时才将流量切过来,导致拦截效果总是稍晚一步;

厂商承诺的策略更新往往会有延迟性。

无论是公有云服务模式还是硬件模式,核心都是通过“策略”来保证安全,当策略不准,或者过于严格、更新不及时,甚至配置不正确影响性能时,都会严重影响服务的可靠性和质量。

机器学习颠覆传统套路

不同于传统的以策略驱动的安全讨论,丛磊提出了以机器学习为基础的新理念。在这一实现理念下,逐步弱化甚至摒弃了“策略”,并且基于行为聚类,自动地对恶意行为进行识别拦截。

1. 机器学习

(1) 分类vs聚类

机器学习有两个基本概念,分类与聚类。

所谓分类,就是有一个固定类别与样本标识,然后通过训练算法对新样本做出合理判断;所谓聚类,则不需要事先规定类别,也不需要事先标注,只需要说明数据差别较大可以分为两类,这种机器学习算法即可自动完成分类工作。

利用决策树构建WAF

如上图所示,利用分类算法能够达到很高的识别率,但仍存在一个不可忽视的问题——分类器的前提是样本标注。然而对于互联金融行业而言,对用户请求对安全性进行标注需要耗费大量精力。

而聚类算法则可以很好的弥补这一缺陷。异常请求与正常请求相差较大,聚类算法可以自动将两种算法区分开来。但聚类也同样存在一个难点——存在误差。

(2) 半监督学习

(白山API防护服务算法模型)

初始样本通过聚类算法分为数量不同的两类,随后将这两类请求进行学习提取特征,形成多个分类器;分类器之间通过参数进行校正,对于一些无法准确分类的信息则交给专业的安全专家处理。通过人少量的工作来进行强化,促进整个算法更加智能。

2. 深度学习

在安全问题上,除信息泄露外,广受互联平台关注的还有“反欺诈”与“不良用户”问题。据统计,“欺诈用户”

中约有60%的操作来自于机器人。而对于“欺诈用户”,“优质用户”与“不良用户”这些较难的安全问题,我们很难给出准确定义,就不能利用简单的聚类算法进行识别,而是需要通过深度学习来解决不便描述的安全风险。所谓深度学习,就是层数更多的神经元络。去年横空出世的AlphaGo取胜的原因就是因为建立的强大的神经元络。

与AlphaGo原理相同,在API防护产品中引入深度学习,并不断完善算法,使其自动形成神经络,可以自主进行判断。这样通过深度学习就可以解决难以用规则描述的安全隐患。

关于机器学习算法如何可以在真实业务场景中应用,以及最终效果如何,以下是白山真实客户的案例。

实例分享

某大型金融机构经常遇到恶意刷单问题,导致后端无法稳定提供服务。为保证业务安全,计划使用安全类产品,但由于以下原因,其选择十分有限:

- 业务数据敏感度高,不便使用公有云安全产品;

- 数据安全性高,不能将证书外传;

- 自身服务资源不多,架构改造阶段,服务承载能力不强;

- 经常有恶意刷单行为,导致服务器资源被耗光;

- 部门组织结构分散(业务、安全、运维),不能承担更改络架构的风险。

(白山API防护服务部署)

考虑到以上原因,该机构最终选择在后端数据库之上部署白山API防护服务。由于机器人刷断行为与正常访问行为具有较大差距,于是利用访问行为路径为主要判断依据,进行无监督聚类;将少数路径的用户挑出,进行二次筛查,构建多分类器,最终识别恶意刷单用户。

经过一段时间的测试之后白山取得了如下效果:

- 运维人员报警短信数量降低80%;

- 对于某接口遇到恶意刷单攻击时,防护前502/504比例大于30%,防护后低于0.1%。

该机构最终决定采用白山的服务。

美国医疗保险商遭遇黑客入侵、国内互联金融安全事件同样层出不穷。根据世界反黑客组织的通报,中国P2P平台已成为全世界黑客“宰割的羔羊”。抵御“异鬼”入侵,亟需“API防护”守夜人保卫互联金融长城。

以上内容仅为信息传播之需要,不作为投资参考,文中部分来源于互联媒体,不代表贷天眼立场。投资者据此操作,风险请自担。

宝宝积食该吃什么药小孩便秘怎么办吃什么小宝宝上火便秘怎么办

老年动脉粥样硬化吃通心络好吗
小孩子不消化吃什么好
宝宝吸收不好的症状
四磨汤能治肠胀气吗
猜你会喜欢的
猜你会喜欢的