至顶网安全频道 04月27日 综合消息: "传统金融反欺诈系统更多关注在客户账号、欺诈交易信息以及业务逻辑异常,然而现在的业务欺诈,攻击者都采用真实的身份和信息,通过自动化工具实现批量业务操作,传统风控是无法透视出这种自动化拟人操作的。前瞻性的风控系统更需要实现风控前置和精准采集、即刻识别是工具还是真实人的操作行为。"
4月19日,在以"拥抱金融科技,重构中小银行发展模式和生态"为主题的2018银行业金融科技新知论坛上,瑞数信息技术总监吴剑刚应邀发表主题演讲,并做出如下分享。
今天,银行业务所面对的外部环境愈发复杂,安全威胁不断加剧,特别是利用工具展开的自动化攻击已经愈演愈烈。Gartner的2018年在线欺诈报告中已经把反欺诈的核心转向对自动化攻击的防护。同时指出,"最具前瞻性的反欺诈领导者应将防止自动化攻击纳入其端对端客户账户和交易的保护中"!
银行业务在向互联网迁移的过程中,面临大量的自动化攻击。吴剑刚提到:"撞库、身份盗用、线上交易欺诈、营销资源被抢占、敏感信息被爬取、批量网申、开户以及零日漏洞等新兴攻击最显著的特点就是大量使用工具,其特征是大量利用虚假身份或者盗用的身份,通过工具和程序进行自动化的欺骗性操作,而且这些操作是利用的正常业务逻辑进行,因此令传统风控手段变得难以区分其真实性,从而无法实现有效防护。"
瑞数动态安全防护技术可以实时识别自动化工具攻击并给予实时拦截。帮助金融机构提前做好防护,应对业务欺诈威胁,充分实现"风控前置"。
1. 动态封装技术将网页底层代码不断变换封装,令攻击者无法找到攻击入口。
2. 动态验证技术高效识别用户端环境和客户端行为并生成指纹标识,从而甄别出"人"还是"自动化"操作。
3. 动态混淆技术对客户端输入、提交的敏感数据内容进行混淆变化,从而在服务器与客户端之间实现持续的双向动态加密,既隐藏了页面漏洞、也增加了服务器行为的不可预测性。
4. 动态令牌技术通过对当前访问页面内的合法请求授予一次性令牌,判别是正常还是异常的业务逻辑访问,从而确保执行正确的业务逻辑。
5. 动态威胁感知平台可对客户端进行精准采集和行为分析,通过机器学习和人机识别技术实现交易安全感知、业务欺诈感知、端点指纹机环境感知以及人机行为感知。
传统防御手段大多是基于特征库、规则进行攻击检测和防御,基于挖漏洞堵漏洞方式解决安全问题,因此传统防御更多是被攻击者牵着鼻子走。瑞数的动态防御理念则是主动地牵制、制衡和迷惑攻击者,通过把被保护对象自身进行一系列动态的变化,让攻击者无法预测,让攻击彻底放弃攻击。
吴剑刚总结道:"瑞数动态安全技术在反欺诈中最大的价值就是充分实现了风控前置,一方面,瑞数的动态安全技术无需依赖传统风控的规则与特征,做到实时人机识别,对存在漏洞和无漏洞的业务异常行为进行实时识别欺诈和拦截。另一方面,通过精准采集实现强抗逆向能力,保证数据采集的准确性,对安全威胁数据与人机识别数据做到重要补充,帮助现有风控系统实现最佳决策判断。
好文章,需要你的鼓励
以色列量子初创公司Qedma完成2600万美元A轮融资,IBM参与投资。该公司专注于量子纠错软件开发,其核心产品QESEM可分析噪声模式并抑制错误,使量子电路在现有硬件上的准确运行规模扩大1000倍。IBM等硬件制造商通过与Qedma等软件公司合作,为银行量化分析师和化学家等终端用户提供更易用的量子计算解决方案。
大连理工大学和浙江大学研究团队提出MoR(Mixture of Reasoning)方法,通过将多种推理策略嵌入AI模型参数中,让AI能自主选择最适合的思考方式,无需人工设计专门提示词。该方法包含思维生成和数据集构建两阶段,实验显示MoR150模型性能显著提升,比基线模型提高2.2%-13.5%,为AI推理能力发展开辟新路径。
印尼科技巨头GoTo正在实施"务实且问题驱动"的AI战略,基于其完成的"最复杂和具有挑战性的云迁移之一"。该公司在九个月内将一半基础设施迁移至阿里云,涉及数万PB数据和9000项服务,实现零停机时间。目前GoTo使用阿里云MaxCompute大数据平台和PolarDB数据库,为其交通、电商和金融服务提供支持,并开发了自有大语言模型Sahabat AI。
剑桥大学研究团队开发了FreNBRDF技术,通过引入频率修正机制显著提升了计算机材质建模的精度。该技术采用球面谐波分析提取材质频率信息,结合自动编码器架构实现高质量材质重建与编辑。实验表明,FreNBRDF在多项指标上超越现有方法,特别在频率一致性方面改善近30倍,为游戏开发、影视制作、电商预览等领域提供了重要技术支撑。