跟踪是数字平台为用户提供服务的关键因素。无论是PC互联网时代,还是移动互联网,甚至是咄咄逼人的元宇宙,平台都需要不同的技术工具,才能鉴别真伪,跟踪运营,理解用户,保障安全。特别是辨别真伪是有效服务的前提和基础,有价值的服务只能基于真实的数据来做。
指纹设备的诞生伴随着数字化的发展。
在PC互联网时代,人们主要通过PC上的浏览器访问网站,互联网公司使用cookie和IP地址来识别用户的设备。cookie技术出现于上世纪90年代,可以记录和跟踪用户的访问记录、次数、电脑信息甚至账号等信息。它已经成为网络广告服务商识别用户的重要凭证,广泛应用于Web领域的设备识别和标识。
由于cookie是通过在本地存储用户数据来实现的,恶意用户很容易通过清除本地数据来逃避检测,其应用范围受到很大限制。同时,由于对用户隐私保护的日益关注,主流浏览器厂商已经限制并逐渐放弃使用cookie技术。
移动互联网时代,用户上网的设备多样化,连接互联网的渠道多样化,访问服务的场所任意化,人们的操作行为个性化,用户的识别和跟踪更加困难。与此同时,互联网和各种技术使得身份伪造更加容易,身份伪造的手段更加复杂。cookie技术识别用户已经越来越不能适应当前的网络环境。
在无法快速识别操作用户的情况下,从设备入手,识别可疑在线设备,及时应对高风险设备及相关操作,可以控制风险,减少损失。指纹可以辨别运营者的真伪,是有价值的用户还是恶意欺诈。与此同时,设备指纹可以收集设备、网络、操作行为、地址和用户习惯等信息,成为一种新的更有效的设备识别和跟踪技术。
设备指纹技术发展的五个阶段
第一阶段,基于IP地址和cookie。在IP地址收集的基础上,为某些服务形成埋点跟踪。作为最早的设备识别方案,简单易用,直到现在IP地址仍然是获取指标之一。
随着局域网和移动网络中的动态IP分配技术,IP地址作为设备标识的分辨率和准确性已经大大降低。此外,随着本地存储的实现,用户可以很容易地通过清除本地数据来逃避检测,因此其应用范围受到很大限制,并且随着对用户隐私保护的日益关注,主流浏览器厂商已经限制并逐渐放弃使用cookie技术。
第二阶段是基于设备信息的客户演示。通过设备的基本硬件、网络、运行环境等特征信息,包括IDFA和IDFV的iOS设备;IMEI,MAC等。安卓设备。
随着各种作弊手段和工具的出现,设备上的各种参数都可以被篡改伪造,一键擦机就成了新设备,影响了设备唯一识别的效果。
第三阶段,基于设备的多维信息,引入算法。前端采集设备硬件、网络、运行环境等特征信息,后台利用采集的多维数据,通过算法为设备生成唯一的ID。
随着移动互联网的普及,用户使用的设备和平台越来越多,这就要求用户的设备指纹具有跨平台的唯一性。
第四阶段,跨平台和唯一性。在第三阶段的基础上,实现了H5、小程序、APP设备指纹的统一设备指纹ID。在这个阶段,设备的指纹需要对抗各种作弊工具,保证指纹的唯一性、稳定性和安全性。
这个阶段出现了许多新现象。
第一,各行各业都在推广线上业务,利益诱惑比较大。黑灰产攻防对抗激烈,持续时间长。
其次,随着各手机厂商对权限的收紧和隐私政策的出台,能够收集到的信息逐渐有限。比如IMEI,MAC,IDFA都有收款率的问题。当安装的应用数量达到一定数量时,会发现采集率低于80%,采集的数据质量存在各种问题。比如这样的MAC地址会出现:“00: 00: 00: 00: 00”,“00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00”
第三,市场上有专门做设备指纹的安全厂商,专注于设备指纹的基础组件,长期投入研究和产品化。
第四,各种新概念频出,大量从业者追求概念,尝试探索,但实际技术并没有带来真正的突破。
第五阶段是云联动,数据沉淀。在这个阶段,通过云+端的模式,除了更详细的信息收集,装备攻防对抗的时效性和安全性显著增强,还可以整合各行业的攻防经验和风险数据沉淀。当新的攻击手段和特征出现时,指纹技术如何更快地感知和反应,准确识别?
比如顶像设备的指纹,本身就是防御云的一部分。顶像设备的指纹集成了业务安全信息、云策略和数据模型。通过生成互联网软硬件唯一指纹信息,支持安卓、iOS、H5、微信官方账号和小程序,可有效检测模拟器、换机、ROOT越狱、劫持、注入等风险。嵌入业务安全信息中心,24条行业风险信息可第一时间到达,帮助安全运维人员及时了解安全情况;整合安全云策略服务,实时升级全网风险策略,为安全运维提供最新防控思路;配备AI建模模块,可实时沉淀业务风险数据,通过有监督和无监督的机器学习威胁行为建模挖掘潜在风险,实现防控规则的升级迭代,提升风险防范和攻击防御能力。
这个阶段有四个主要特征:
一是识别率高,安全性强。精准识别模拟器、机器改装、注入、动态调试等数十种风险。,避免被破解,保持数据真实性。
第二,更新速度快。当新的攻击手段和特征出现时,设备的指纹技术在每小时甚至分钟级别同步变化,应该能够更快地感知风险并准确识别。
第三,整合专家经验。设备的指纹后台沉淀了不同行业、不同场景的风险数据,积累了丰富的攻防经验,支持在冷启动状态下应对欺诈攻击。
第四,云联动。安全形态的出现,通过云+端的模式,实现了分钟级的响应和快速对抗。
第五代设备指纹的三大必备能力
第五代设备指纹的稳定性和唯一性是基础能力,安全和攻防能力是经验的积累。如何快速感知风险,升级攻防能力,将是设备指纹技术很好的评价标准。因此,第五代设备的指纹需要具备以下三种能力。
快速对抗能力。商业应用暴露在互联网上,黑灰产隐藏在背后,攻防必然有一定的滞后性。这就要求设备指纹技术在面对新的攻击方式和风险特征时,具有及时感知和防范升级风险信息的能力。后台可以结合各行业攻防经验和风险数据沉淀,通过云+端快速升级攻防,在一个攻防周期内解决业务风险。
风险识别能力。智能设备需要具备检测设备基础环境和运行时安全性的能力,能够准确识别模拟器、root、越狱、调试、代码注入、多次打开、VPN代理等风险。比如iOS平台钩子、越狱行为、Android root、调试、内存转储、注入、多开、模拟器、漏洞攻击等风险行为,WEB平台下浏览器颜色深度和分辨率,浏览器与系统的匹配性和一致性,UA,cookie是否禁用等等。
90%以上的稳定性和100%的唯一性。需要保护设备本身的SDK代码,防止采集逻辑被破解和数据伪造,从数据采集的源头保证真实性和准确性。无论设备参数是否被篡改或篡改,缓存和cookie是否被禁用或清除,设备的指纹都应保持不变,稳定性至少在99%以上。任何两个设备的指纹不可能相同,也不会有碰撞。为每个设备生成的设备指纹ID需要是全球唯一的,并且不能被篡改。唯一性要保证100%。
随着各手机厂商对系统源代码修改的深入。比如一些企业基于屏蔽设备信息或者模拟其他厂商的目的,对设备信息进行深度修改。还会导致设备指纹采集的信息被屏蔽、修改或者参数值在某些情况下成为无意义的字符串。高稳定性和唯一性的保证是一个很大的挑战,需要不断的研究,也是要保持的基本能力。
不同指纹的业务应用场景
设备指纹作为业务系统的基础组成部分之一,广泛应用于标记、跟踪、临时凭证、分析和反欺诈等非服务场景,是风险控制系统的重要组成部分。
1.动态匿名跟踪。未注册用户访问网站的路径和用户的身份而不暴露其隐私数据,设备指纹技术提供了精确的跟踪能力,可以更好地为企业提供跟踪服务。
2.临时用户ID。在某些业务场景中,允许用户作为游客进行访问和使用。此时业务后台可用的用户信息有限,通过设备指纹技术将设备ID作为临时用户ID。例如,在线游戏的访问者可以使用临时用户ID快速体验游戏。游戏的进度、装备、等级等信息都可以保存在访客的临时用户ID下。访客转化为正式用户后,之前的游戏进度等信息会自动合并到正式用户信息中。
3.数据标记和相关性分析。在大数据分析和机器学习场景中,设备指纹可以作为最基础的领域,提供另一个维度观察业务指标数据,进行关联分析。比如活跃设备数量、新增设备数量、用户使用的机型分布、同一设备上的交易数量和金额、访问同一设备的用户数量等,都可以通过设备指纹ID进行分析。在关系网络的构建中,用户的手机号和卡号可以作为节点,设备ID也可以作为节点来观察用户之间的关系。
4.反欺诈。设备指纹技术是反欺诈的基础应用,在识别机器攻击、虚假注册、恶意登录、多个账户、渠道欺骗、模拟器等方面都很有效。
识别机器攻击。机器攻击/脚本攻击一般通过编写自动化脚本或工具,批量、自动向目标网站发出请求。通过使用设备指纹技术,可以很好地识别请求是由机器还是脚本发出的。
识别虚假注册/恶意登录。利用设备指纹技术,可以识别模拟器上的账号注册,一定时间内与设备的大量注册,以及注册的设备是否存在高风险。同样,在登录场景下,可以有效识别统一设备上的频繁登录尝试和库碰撞风险,记录登录设备是否短时间漂移、频繁切换等。
识别多账户绑定。在营销活动中,通用活动规则将限制同一设备和帐户只能参与一次。童工指纹技术可以快速识别设备上是否绑定了多个账号,多个设备上是否登录了同一个账号等。
识别渠道作弊。在应用推广和广告展示的场景中,黑灰产者会通过各种技术工具,伪造数据,骗取流量,从而骗取推广费用。通过设备指纹技术,可以识别假机、真机的假装等。以便有效地跟踪渠道流量和绩效。
识别风险,如模拟器/调试。设备指纹技术可以有效检测设备终端环境和运行时的风险,如模拟器、越狱、调试、注入、框架攻击等。
设备指纹技术的应用流程
指纹可以集成到app、小程序、网站等不同平台。集成的方式是SDK。以Android系统为例,设备指纹通常以aar包的形式提供,aar包和SO文件集成的设备指纹SDK会是第二种。
设备的指纹技术是一个工作流程,主要分为四个步骤:采集传输、解密、生成唯一ID、返回验证。
