Vektor T13 Как работают антифрод системы. Часть 1.

Vektor T13

Security Service
Security Service
Регистрация
6 Фев 2016
Сообщения
558
Реакции
548
До последнего времени самой популярной архитектурой антифрод систем являлась архитектура Fraud score. Архитектура Fraud score получала с помощью браузера пользователя единичные параметры и отпечатки, после чего с помощью логических выражений и статистической базы присваивала каждому полученному параметру или группе параметров удельный вес в рейтинге Risc Score, например:

1. Отличие DNS от страны IP = +7% к Risc Score
2. Отличие DNS от подсети IP = +2% к Risc Score
3. Уникальный отпечаток Canvas = +10% к Risc Score
4. Уникальные параметры шейдеров = +5% к Risc Score
и т.д.

В результате такого анализа пользователь набирал своеобразный "Рейтинг вероятности мошенничества” и, если этот рейтинг был ниже 35%, системы защиты считали все действия пользователя легитимными, при небольшом повышении рейтинга система защиты ограничивала пользователя в правах, а при сильном повышение рейтинга полностью его блокировала. Были свои исключения и особенности, но в целом все работало именно так.

Архитектура Fraud score являлась эффективной до появления продвинутых механизмов антидетекта и позволяла пользователю игнорировать изменения некоторых отпечатков, поэтому очень часто можно было встретить высказывания типа "та я с обычного браузера работаю, чищу куки, вот тот плагин использую и у меня все заходит".

Со временем архитектура Fraud score потеряла эффективностьи ей на смену приходит более продвинутая архитектура DGA - Dedicated Group Analysis. На основе данной архитектуры создано большинство современных антифрод систем.

Архитектура DGA использует те же статистические элементы, что и архитектура Fraud score, но логика их обработки кардинально изменена.

Приведем пример:
Представим себе школу в которой есть три класса - 1А, 1Б и 1В.
Мы являемся поваром в данной школе и нам необходимо понять какую пищу и в каком размере готовить для каждого из классов. Для решения этой задачи мы воспользуемся данными которые нам предоставили - это будут имена.

1 А класс. Учащиеся:
Игорь, Антон, Саша, Вова, Гена.
1 Б класс. Учащиеся:
Марина, Олег, Аристарх, Сергей, Ольга.
1 В класс. Учащиеся:
Сайфуддин, Юрий, Павел, Илья, Максим.

Для того чтобы понять что готовить каждому классу мы присвоим каждому учащемуся рейтинг от 1 до 9, где 1 самое "русское" имя а 9 самое «иностранное», и в результате получим:

1 А класс. Учащиеся:
Игорь(1), Антон(1), Саша(1), Вова(1), Гена(1)
1 Б класс. Учащиеся:
Марина(1), Олег(1), Евлампий(5), Сергей(1), Ольга(1)
1 В класс. Учащиеся:
Сайфуддин(9), Юрий(1), Павел(1), Илья(1), Максим(1)

После того, как мы присвоили каждому имени рейтинг уникальности, мы составим общую уникальность класса путем стандартной функции среднего арифметического:

1 А класс. Рейтинг:
(1+1+1+1+1) / 5 = 1
1 Б класс. Рейтинг:
(1+1+5+1+1) / 5 = 1.8
1 В класс. Рейтинг:
(1+1+9+1+1) / 5 = 2.6

Соответственно рейтингу класса мы приготовим:

Для 1 А класса - Пирожки и чай
Для 1 Б класса - Пирог и чай
Для 1 В класса - Эчпочмаки и кумыс

Соответственно делаем вывод, что из-за одного уникального ученика Сайфуддина все остальные учащиеся 1В класса будут страдать, в то время, как Сайфуддин будет сидеть с довольной мордой и пить кумыс.

Далее для каждого класса мы определим размер порции по гендерному признаку, но тут логика понятна и в 1Б классе порции будут меньше всего из-за двух девочек.

Переведя данный пример в разрез антифрод систем мы делаем вывод, что даже когда все наши параметры и отпечатки изменены, но какой-нибудь 1 остается уникальным (например Canvas), наш общий рейтинг Risc Score возрастет до 26% в системах архитектуры DGA, в то время как в системах архитектуры Fraud score он вырос бы всего на 10%.

Ключевой особенностью архитектуры DGA является ужесточение правил для мошенников, при это не затрагивается деятельность реальных пользователей.

Продолжение стать будет опубликовано на моем канале
Vektor Security Channel
 

Назад
Сверху