华夏银行移动金融客户端风险监测系统建设探索

作者

华夏银行信息科技部 王志刚

华夏银行成都分行信息科技部 刘晓凤

随着移动互联网的快速发展，移动操作系统的占比逐渐增加，移动应用的数量和业务丰富度呈爆发式增长，以手机银行为代表的移动金融应用已成为银行业非常重要的服务渠道。与此同时，针对移动金融应用客户端的威胁也在不断增多，移动金融比传统柜台业务、网银业务等面临更大的风险和挑战。

为提升移动金融风险防控水平，保障移动金融业务平稳安全运行，华夏银行研发了移动金融客户端风险监测系统。该系统在满足隐私合规要求的前提下，运用设备指纹、机器学习等技术，实时分析识别移动金融客户端面临的网络安全攻击、运行环境风险和用户操作行为异常等各类安全威胁，采取了前后端联动的多层级风险处置措施，加强移动金融风险防控能力，提升了交易安全性。

一、基于隐私保护技术的终端数据采集

移动金融客户端运行过程风险分析，涉及对客户端数据的采集，其中包括终端设备识别码、地理位置等个人信息，系统使用了差分隐私技术和隐私匿名技术强化对个人信息的保护，其中差分隐私技术主要用于对地理位置类信息的保护，既满足风险监测分析需要，又避免记录准确的地理位置信息；隐私匿名技术主要用于对终端设备识别码和运行数据等的保护，通过数据泛化匿名处理，防范数据链攻击引起个人信息泄露。

二、基于机器学习技术的客户端攻击识别

为应对海量移动金融客户端高频使用和未知威胁不断翻新的挑战，移动金融客户端风险监测系统在移动金融客户端威胁检测手段方面，采取传统技术与新技术相结合的策略，即提取已知威胁特征预设规则等传统技术手段，高效识别已知威胁，应对海量数据高频使用；应用机器学习等新技术，应对未知的潜在威胁，采用特征工程技术进行特征选择和组合，构造特征集，选择梯度提升决策树算法，对系统运行过程中分析出的各类特征进行分析计算，识别威胁行为。设备攻击识别模型如图1所示。

图1 设备攻击识别模型

如图1所示，移动金融客户端风险监测系统可以有效识别应用破解、注入攻击、动态调试、流量劫持等安全攻击行为，模拟器运行、ROOT越狱、高风险进程、根证书库异常、代理访问、地理位置修改等异常运行环境，高频更换账号、高频更换设备、高频更换地域、疑似自动操作等异常操作行为，并根据识别到的风险威胁发生的位置、阶段、场景、危害程度等，进行动态加权计算，得到移动终端设备的风险等级，为后续处置奠定基础。

三、基于行为监控的第三方SDK违规识别

在移动客户端开发过程中，第三方SDK来源可分为开发人员自行引入提升开发效率和机构间合作嵌入两种主要模式，前者由于来源不规范和检测不充分，可能引入存在隐私窃取、业务数据窃取、违规外发、违规外链等恶意行为的SDK，后者业务合作机构SDK可能存在超范围采集等合规风险，给业务安全带来潜在安全隐患。

为降低此类风险，除了在管理方面严格第三方SDK准入和加强安全合规检测外，移动金融客户端风险监测系统从技术方面提供了监控功能，系统可以从权限申请、信息采集、对外访问连接等方面对移动客户端所集成的第三方SDK进行全方位实时和动态监控，防范隐私合规和数据泄露风险。

四、基于前后端联动的风险处置

移动金融客户端风险监测系统联动业务风控系统，形成终端设备和联机交易的两级风险处置机制。终端设备层面，对风险终端设备运行的移动金融客户端采取弹框警告、退出等处置措施，警告或阻断恶意行为，保护移动应用运行安全和交易环境数据安全；联机交易层面，系统对接业务风控系统，共享风险终端设备信息，基于机器学习技术创建风险用户画像模型，并自动关联分析风险交易及风险设备之间的知识图谱，基于知识图谱的分析结论建立风控规则模型，对风险交易采取实时拦截、加强身份认证等处置措施，支撑移动金融业务风险控制决策，防范利用恶意终端进行欺诈交易。通过终端设备和联机交易的前后端协同联动处置，保障了移动应用运行过程安全和提升了移动金融交易安全。风险终端画像如图2所示。

图2 风险终端画像

自移动金融客户端风险监测系统投入运行和持续运营后，华夏银行识别移动金融客户端风险威胁的能力得到显著提升，移动终端方面，累计封禁数百个恶意移动终端设备，链接交易方面，加强身份认证和拦截数千笔风险交易，进一步提升了华夏银行移动金融风险防控能力。

在移动金融客户端面临运行环境复杂多变和欺诈黑产团伙科技化的背景下，移动金融面临的风险不断升级，华夏银行将以移动金融客户端风险监测系统的建设运营为契机，持续研究移动金融客户端风险识别技术，提升移动金融风控能力，保障客户信息和资金安全。

本文拟刊于《中国金融电脑》2021年第09期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。