- Регистрация
- 6 Фев 2016
- Сообщения
- 558
- Реакции
- 549
- Тема Автор Вы автор данного материала? |
- #1
До последнего времени самой популярной архитектурой антифрод систем являлась архитектура Fraud score. Архитектура Fraud score получала с помощью браузера пользователя единичные параметры и отпечатки, после чего с помощью логических выражений и статистической базы присваивала каждому полученному параметру или группе параметров удельный вес в рейтинге Risc Score, например:
1. Отличие DNS от страны IP = +7% к Risc Score
2. Отличие DNS от подсети IP = +2% к Risc Score
3. Уникальный отпечаток Canvas = +10% к Risc Score
4. Уникальные параметры шейдеров = +5% к Risc Score
и т.д.
В результате такого анализа пользователь набирал своеобразный "Рейтинг вероятности мошенничества” и, если этот рейтинг был ниже 35%, системы защиты считали все действия пользователя легитимными, при небольшом повышении рейтинга система защиты ограничивала пользователя в правах, а при сильном повышение рейтинга полностью его блокировала. Были свои исключения и особенности, но в целом все работало именно так.
Архитектура Fraud score являлась эффективной до появления продвинутых механизмов антидетекта и позволяла пользователю игнорировать изменения некоторых отпечатков, поэтому очень часто можно было встретить высказывания типа "та я с обычного браузера работаю, чищу куки, вот тот плагин использую и у меня все заходит".
Со временем архитектура Fraud score потеряла эффективностьи ей на смену приходит более продвинутая архитектура DGA - Dedicated Group Analysis. На основе данной архитектуры создано большинство современных антифрод систем.
Архитектура DGA использует те же статистические элементы, что и архитектура Fraud score, но логика их обработки кардинально изменена.
Приведем пример:
Представим себе школу в которой есть три класса - 1А, 1Б и 1В.
Мы являемся поваром в данной школе и нам необходимо понять какую пищу и в каком размере готовить для каждого из классов. Для решения этой задачи мы воспользуемся данными которые нам предоставили - это будут имена.
1 А класс. Учащиеся:
Игорь, Антон, Саша, Вова, Гена.
1 Б класс. Учащиеся:
Марина, Олег, Аристарх, Сергей, Ольга.
1 В класс. Учащиеся:
Сайфуддин, Юрий, Павел, Илья, Максим.
Для того чтобы понять что готовить каждому классу мы присвоим каждому учащемуся рейтинг от 1 до 9, где 1 самое "русское" имя а 9 самое «иностранное», и в результате получим:
1 А класс. Учащиеся:
Игорь(1), Антон(1), Саша(1), Вова(1), Гена(1)
1 Б класс. Учащиеся:
Марина(1), Олег(1), Евлампий(5), Сергей(1), Ольга(1)
1 В класс. Учащиеся:
Сайфуддин(9), Юрий(1), Павел(1), Илья(1), Максим(1)
После того, как мы присвоили каждому имени рейтинг уникальности, мы составим общую уникальность класса путем стандартной функции среднего арифметического:
1 А класс. Рейтинг:
(1+1+1+1+1) / 5 = 1
1 Б класс. Рейтинг:
(1+1+5+1+1) / 5 = 1.8
1 В класс. Рейтинг:
(1+1+9+1+1) / 5 = 2.6
Соответственно рейтингу класса мы приготовим:
Для 1 А класса - Пирожки и чай
Для 1 Б класса - Пирог и чай
Для 1 В класса - Эчпочмаки и кумыс
Соответственно делаем вывод, что из-за одного уникального ученика Сайфуддина все остальные учащиеся 1В класса будут страдать, в то время, как Сайфуддин будет сидеть с довольной мордой и пить кумыс.
Далее для каждого класса мы определим размер порции по гендерному признаку, но тут логика понятна и в 1Б классе порции будут меньше всего из-за двух девочек.
Переведя данный пример в разрез антифрод систем мы делаем вывод, что даже когда все наши параметры и отпечатки изменены, но какой-нибудь 1 остается уникальным (например Canvas), наш общий рейтинг Risc Score возрастет до 26% в системах архитектуры DGA, в то время как в системах архитектуры Fraud score он вырос бы всего на 10%.
Ключевой особенностью архитектуры DGA является ужесточение правил для мошенников, при это не затрагивается деятельность реальных пользователей.
Продолжение стать будет опубликовано на моем канале Vektor Security Channel
1. Отличие DNS от страны IP = +7% к Risc Score
2. Отличие DNS от подсети IP = +2% к Risc Score
3. Уникальный отпечаток Canvas = +10% к Risc Score
4. Уникальные параметры шейдеров = +5% к Risc Score
и т.д.
В результате такого анализа пользователь набирал своеобразный "Рейтинг вероятности мошенничества” и, если этот рейтинг был ниже 35%, системы защиты считали все действия пользователя легитимными, при небольшом повышении рейтинга система защиты ограничивала пользователя в правах, а при сильном повышение рейтинга полностью его блокировала. Были свои исключения и особенности, но в целом все работало именно так.
Архитектура Fraud score являлась эффективной до появления продвинутых механизмов антидетекта и позволяла пользователю игнорировать изменения некоторых отпечатков, поэтому очень часто можно было встретить высказывания типа "та я с обычного браузера работаю, чищу куки, вот тот плагин использую и у меня все заходит".
Со временем архитектура Fraud score потеряла эффективностьи ей на смену приходит более продвинутая архитектура DGA - Dedicated Group Analysis. На основе данной архитектуры создано большинство современных антифрод систем.
Архитектура DGA использует те же статистические элементы, что и архитектура Fraud score, но логика их обработки кардинально изменена.
Приведем пример:
Представим себе школу в которой есть три класса - 1А, 1Б и 1В.
Мы являемся поваром в данной школе и нам необходимо понять какую пищу и в каком размере готовить для каждого из классов. Для решения этой задачи мы воспользуемся данными которые нам предоставили - это будут имена.
1 А класс. Учащиеся:
Игорь, Антон, Саша, Вова, Гена.
1 Б класс. Учащиеся:
Марина, Олег, Аристарх, Сергей, Ольга.
1 В класс. Учащиеся:
Сайфуддин, Юрий, Павел, Илья, Максим.
Для того чтобы понять что готовить каждому классу мы присвоим каждому учащемуся рейтинг от 1 до 9, где 1 самое "русское" имя а 9 самое «иностранное», и в результате получим:
1 А класс. Учащиеся:
Игорь(1), Антон(1), Саша(1), Вова(1), Гена(1)
1 Б класс. Учащиеся:
Марина(1), Олег(1), Евлампий(5), Сергей(1), Ольга(1)
1 В класс. Учащиеся:
Сайфуддин(9), Юрий(1), Павел(1), Илья(1), Максим(1)
После того, как мы присвоили каждому имени рейтинг уникальности, мы составим общую уникальность класса путем стандартной функции среднего арифметического:
1 А класс. Рейтинг:
(1+1+1+1+1) / 5 = 1
1 Б класс. Рейтинг:
(1+1+5+1+1) / 5 = 1.8
1 В класс. Рейтинг:
(1+1+9+1+1) / 5 = 2.6
Соответственно рейтингу класса мы приготовим:
Для 1 А класса - Пирожки и чай
Для 1 Б класса - Пирог и чай
Для 1 В класса - Эчпочмаки и кумыс
Соответственно делаем вывод, что из-за одного уникального ученика Сайфуддина все остальные учащиеся 1В класса будут страдать, в то время, как Сайфуддин будет сидеть с довольной мордой и пить кумыс.
Далее для каждого класса мы определим размер порции по гендерному признаку, но тут логика понятна и в 1Б классе порции будут меньше всего из-за двух девочек.
Переведя данный пример в разрез антифрод систем мы делаем вывод, что даже когда все наши параметры и отпечатки изменены, но какой-нибудь 1 остается уникальным (например Canvas), наш общий рейтинг Risc Score возрастет до 26% в системах архитектуры DGA, в то время как в системах архитектуры Fraud score он вырос бы всего на 10%.
Ключевой особенностью архитектуры DGA является ужесточение правил для мошенников, при это не затрагивается деятельность реальных пользователей.
Продолжение стать будет опубликовано на моем канале Vektor Security Channel