一种基于人工智能的Web风险防控方法与装置_许斌.pdf

2023 年1 月Jan2023DigitalTechnology&Application第 41 卷第 1 期Vol.41No.1数字技术与应用220中图分类号:TP181文献标识码:A 文章编号:1007-9416(2023)01-0220-05DOI:10.19695/12-1369.2023.01.67一种基于人工智能的 Web 风险防控方法与装置中国银联股份有限公司技术开发中心许斌陈林随着大数据时代的到来，互联网发展日新月异，Web 系统作为互联网的主要载体，其安全性越来越受到重视。针对数据较敏感型或者用户操作较严肃型的互联网 Web 系统，一种常用的安全升级方案是单点登录及浏览器上安装定制控件与证书，然而这同时也带来了控件与证书使用成本及兼容性问题。基于此，提出了一套新的 Web 风险防控方法与装置来规避上述问题，同时保障一定的安全性和易用性。根据用户登录风险检测和限流业务场景设计特征矩阵，选用流行的 XGBoost 算法进行建模，并应用 SMOTE 采样算法得到相对均衡的最终训练数据正负样本，解决 Web 系统登录安全隐患及限流问题。同时，采用双向 LSTM 网络的深度学习模型对用户行为进行分类，阻断可疑操作行为来保障用户信息安全。此外，通过结合用户实时操作数据，交易数据和业务知识图谱，自动筛查业务操作不熟练的用户，智能提示用户下一步操作事项及注意事项，优化用户体验。所提方法使用 Python3 进行仿真实验，并和相关 Web 系统进行了对接，实验结果表明该方法是可行的。随着数字化产业的发展，互联网企业数量越来越多。互联网的迅速发展和广泛应用在给人们带来便捷的同时，也带来了非常严峻的安全隐患问题，例如近年来频繁发生的个人信息泄露事件1。针对数据较敏感型或者用户操作较严肃型的互联网 Web 系统，常见的安全加固是基于单点登录及用户浏览器上安装第三方定制安全控件与专属证书，由此安全性得到较好的保障，随之而来的问题是系统开发对厂商有一定依赖，并且使用过程中需要持续承担控件和专属证书使用的不菲成本，同时面对世界各地不同电脑环境和技术水平的用户，控件的安装和兼容性都存在一些挑战2,3。现有较高安全级别的 Web 系统一般采用的单点登录解决方案是基于 PKI 技术，访问前端 Web 页面的同时先安装并启用定制 Web 客户端控件，使用客户端数字证书作为身份认证的解决方案4-6。每个登录用户需安装并启用定制控件，申请并安装一个全球通用的客户端数字证书，同时在单点登录系统上配置好用户所申请的客户端数字证书 ID。另外当用户发起动账类请求时，前端 Web页面调用定制控件，由控件基于所安装的客户端数字证书加密后发往 Web 服务器，Web 服务器解密通过即视为合法请求。然而，现有的 Web 定制控件和数字证书解决方案存在一些缺点7,8。（1）成本较高，每个用户需要向证书签发机构支付证书年费；（2）使用上存在一定难度，用户首次使用时需要向证书签发机构提交证书申请表，Web 浏览器需要安装并启用控件，兼容性和易用性较差。用户登录口令和客户端证书一旦泄露，非法持有者可较为轻易仿冒。基于此，本文提出了一种新的 Web 风险防控方法与装置，致力于规避上述问题的同时，保障一定安全性和易用性。本装置包含登录前风险检测、登录后风险检测和用户操作智能提示三大块。登录前风险检测用于检测用户登录环境风险等级，自动拦截风险用户登录；登录后风险检测用于实时捕获用户在页面上的操作数据，自动拦截异常或跳跃式操作数据；用户操作智能提示用于结合用户前续操作数据和所操作的业务数据状态，动态的给予用户相关操作提示，方便用户使用。而且，本文所提方法成功使用 Python3 进行仿真实验，并和相关 Web 系统进行了对接，模拟结果体现了本文方法的有效性和优越性。1 Web 风险防控方法与装置本文提出了一种新的 Web 风险防控方法与装置，该方案无需用户支付证书成本及安装控件，根据先验知识智能判别用户登录风险等级以及已登录用户操作风险等级，Web 服务系统根据装置中的核心风控模块所反馈的风险等级，可进一步采用不同的用户验证方式，针对高收稿日期：2022-07-19作者简介：许斌（1986），男，江苏扬中人，硕士，工程师，从事人工智能应用研究工作。2023 年第 1 期221许斌陈林：一种基于人工智能的 Web 风险防控方法与装置风险等级系统可直接拒绝用户登录操作，可持续实时追踪登录后所有操作进而阻断风险请求或增加附加多因素校验，有效防止现有技术方案的证书泄露后仿冒问题。此外，核心风控模块根据实时获取的用户 TPS 数据和先验知识进行风控限流决策，针对短时多频次请求直接拦截该操作。最后，核心风控模块结合业务知识图谱、用户操作序列和交易数据，可提示用户下一步可能的操作步骤，来提高用户操作易用性，帮助用户提高业务熟练度。本文所述的 Web 风险防控方法与装置包括前端 Web页面、后端 Web 服务和智能风控服务三大子装置，该方法时序图如图 1 所示。前端 Web 页面在正常通用 Web 页面实现的基础上内嵌 JavaScript 加解密代码块和用户环境获取代码块。其中加密代码块支持使用用户在 Web 页面上输入的OTP 作为种子针对待传输到后端的请求数据进行加密，解密模块是前端 Web 页面针对后端 Web 服务响应数据的解密。用户环境获取代码块负责收集用户环境信息和操作信息，包括用户 IP，用户操作系统，用户浏览器，点击按钮等一系列信息。后端 Web 服务在正常提供业务服务的基础上，还包括登录信息校验、OTP 触发、加解密及风险处置子模块。登录信息校验子模块除了完成常见的用户名、密码等有效性校验外，同时结合前端 Web 页面传递到后台的登录信息作为参数请求智能风控服务进行登录前风险研判，登录信息包括用户名是否存在、密码是否正确、登录时间、用户注册时间、用户 IP 地址、用户操作系统、浏览器版本号等。只有当智能风控服务研判为“无风险登录”时才视同真实登录成功，进行后续 Session 存储及向前端Web 页面响应登录请求。如果智能风控服务判断为“可疑登录”时，则向前端 Web 页面发起辅助验证请求，如OTP、滑块或辅助问答等，若辅助验证请求通过则视登录成功；如果智能风控服务判断为“高风险登录”则直接拒绝前端 Web 页面，不进行后续 Session 存储等真实登录成功处理步骤。后端 Web 服务的加解密模块负责完成与前端 Web页面的加解密处理，其中 OTP 触发是一个关键要素，如前序所述，该 OTP 是加解密的种子，如此实现多因素验证和加密秘钥的动态调整。进一步有别于常规操作的是，每一个前端 Web 页面发往后端 Web 服务的请求都包括用户和点击按钮信息并且是基于 OTP 加密后的数据，后图 1 Web 风险防控装置图Fig.1 Web risk prevention and control device diagram前端Web页面后端Web服务智能风控服务登录信息登录信息登录前风控/风控限流登录风险等级登录信息校验OTP触发动态辅助验证 或 拒绝登录辅助验证信息OTP加密后信息解密OTP加密登录后风控/风控限流用户、点击url信息操作风险等级风险处置OTP加密后正常响应解密与展示拦截并踢出用户，终止会话智能提示推荐结果基于websocket向在线用户推送推荐结果用户、点击url、交易数据数字技术与应用 第 41 卷222端 Web 服务收到前端请求后，有别于一般性直接进行业务处理，转而先进行数据解密并将用户和点击按钮信息传递给智能风控的登录后风控子模块，登录后风控子模块首先根据用户实时 TPS 数据进行限流决策，然后进行用户行为智能分析，判断是正常操作行为/路径，还是可疑操作行为/路径，比如 1s 内针对同一个按钮的反复点击，则判定为可疑操作行为，因为一般性是无法手工发起如此高频请求；再比如某个请求的正常操作路径是bizA bizB bizC，如果一段时间内没有出现前序两个数据而直接出现 bizC,也就是用户操作路径及行为轨迹异常，智能风控服务也会将该请求判定为异常操作行为。后端 Web 服务风险处置装置根据登录后风控子模块的响应，针对正常操作行为则继续正常执行业务处理并向前端 Web 页面反馈响应，针对可疑操作行为进行告警后继续正常执行业务处理并向前端 Web 页面反馈响应，针对异常操作行为则直接阻断、不执行后续真实业务处理而直接向前端 Web 页面反馈失败，并将用户登录踢出。智能风控服务的智能提示子模块实时接收用户的操作序列，根据配置的规则判断是否存在犹豫不决现象，若判断用户存在犹豫现象时，反馈后端 Web 服务需要对该用户进行操作提示。后端 Web 服务随即收集用户当前交易信息，并发送智能风控服务，智能风控服务的智能提示子模块根据用户当前交易信息查询配置在数据库内的业务数据结构定义，针对存在状态码的数据进行状态分析，逐条查看当前页面业务数据的状态码是否是终末状态，如果非终末状态，则根据配置在数据库内的状态流转信息，提示对应业务数据的下一步可选操作及注意事项。通过前端 Web 页面、后端 Web 服务和智能风控服务三大子装置的协同与特别设计的交互方式，加上引入人工智能技术，从用户登录环境、用户登录习惯、用户行为分析等角度来了解每个登录用户身份的可信度、属性和信誉等，进而构建一套全链路智能风险识别网络，最大限度保护用户账号安全。2 Web 风险防控模型设计本节主要针对 Web 风险防控装置中所涉及的模型进行研究。对 Web 风险防控模型根据阶段设计区分登录前风险检测、登录后风险检测和用户操作智能提示。其中登录前风险检测又细分为风控限流决策和用户登录风险检测，登录后风险检测又细分为风控限流决策和行为序列分析，Web 风险防控模型划分示意图如图 2 所示。用户登录风险检测风控限流决策行为序列分析风控限流决策用户行为智能提示图 2 Web 风险防控模型划分示意图Fig.2 Schematic diagram of Web risk prevention and control model division2.1 用户登录风险检测通过用户登录服务页面过程中可采集如用户登录时间、登录失败次数、登录环境如操作系统信息、IP地址信息等特征数据，利用人工智能算法对用户某次登录特征的风险状况予以智能评估，根据评估得到的风险状况来决定对用户无风险放行还是有风险干预，干预包括多因素强化登录验证或直接决绝访问等。由此可见，用户登录风险检测是个基于特征的分类问题，适用于有监督学习算法，因此本文选用流行的 XGBoost9算法进行建模，考虑到正负样本存在不均衡现象，我们应用 SMOTE10采样算法得到相对均衡的最终训练数据正负样本，以便模型更稳定且泛化能力更好。根据潜在可采集的用户特征，设计如下特征工程：最近登录的操作系统是否一样、最近登录的浏览器是否一样、最近登录的 IP 是否一样、登录操作系统是否是常用登录操作系统、登录浏览器是否是常用登录浏览器、是否是常用 IP、登录操作系统以前是否出现过、登录浏览器以前是否出现过、登录 IP 以前是否出现过、登录 IP 是否风险 IP、用户操作时长、用户输错密码次数、用户输错验证码次数、用户点击忘记密码次数等。2.2 风控限流决策模型系统的攻击者们能够开发出模仿人类行为的黑产工具对系统进行自动化操作甚至攻击，例如短时多频次请求等，系统需要能捕获该种场景并进行有效拦截。通过实时获取用户点击 TPS 数据提取用户特征，利用人工智能算法对用户本次行为进行风险决策，由此可见，风控限流决策也是个基于特征的分类问题，适用于有监督学习算法，因此本文选用流行的 XGBoost 算法进行建模，考虑到正负样本存在不均衡现象，我们应用 SMOTE 采样算法进行得到相对均衡的最终训练数据正负样本，以便模型更稳定且泛化能力更好。根据潜在可采集的用户特征，设计如下特征工程：用户 1s 内 URL 请求总次数、用户 1s 内点击特定2023 年第 1 期223许斌陈林：