CN117792653A - 云刷脸的智能风控方法及计算机可读存储介质 - Google Patents

云刷脸的智能风控方法及计算机可读存储介质 Download PDF

Info

Publication number
CN117792653A
CN117792653A CN202311806527.9A CN202311806527A CN117792653A CN 117792653 A CN117792653 A CN 117792653A CN 202311806527 A CN202311806527 A CN 202311806527A CN 117792653 A CN117792653 A CN 117792653A
Authority
CN
China
Prior art keywords
target
risk level
login
request
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311806527.9A
Other languages
English (en)
Inventor
李建廷
边元乔
胡思文
吴子鸣
杨璞光
庄俊升
郭英亚
卢道和
黄叶飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WeBank Co Ltd
Original Assignee
WeBank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WeBank Co Ltd filed Critical WeBank Co Ltd
Priority to CN202311806527.9A priority Critical patent/CN117792653A/zh
Publication of CN117792653A publication Critical patent/CN117792653A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明公开了云刷脸的智能风控方法及计算机可读存储介质,该方法包括:下发签名给客户服务器,并指示客户服务器根据签名启动刷脸流程;生成流程唯一ID,下发流程唯一ID给客户服务器,并指示客户服务器采用AES和RSA对请求包体进行双重加密,得到加密请求包体;接收客户前终端设备发送的登录请求;对登录请求进行校验处理,得到目标处理结果包体,并指示客户前终端设备解密目标处理结果包体,得到登录结果信息;在登录结果信息包括登录成功信息时,获取客户前终端设备的目标用户的目标风险等级;确定目标风险等级对应的目标刷脸模式,使用目标刷脸模式进行刷脸验证。采用本发明实施例,有效防止了黑产的攻击。

Description

云刷脸的智能风控方法及计算机可读存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种云刷脸的智能风控方法及计算机可读存储介质。
背景技术
在人像比对身份认证服务大众化的今天,大多数的人像比对模型都可达到99.97%准确率,所以用户衡量人像比对身份认证服务的优劣标准转变为安全性的高低。当前出现了某些专门攻击银行的人像比对服务的黑产,通过照片制作视频,准备攻击样本,以此篡改服务请求,进行强制他人贷款或替他人完成非法认证。
为了防止黑产的攻击,传统风控方案一般是在模型识别方面进行优化,比如,判断登录请求中的照片或视频是否为gif图片,或者,进行活体检测等等,以此来识别黑产的攻击样本,但黑产也可以制作新的攻击样本,传统风控方案识别不出新的攻击样本,又需要重新进行优化,耗时费力,效果不佳,为此,如何有效防止黑产的攻击成为一个亟待解决的问题。
发明内容
本发明实施例提供一种云刷脸的智能风控方法及计算机可读存储介质,通过AES算法和RSA算法对请求包进行双重加密,防止请求包被劫持或替换,提高了请求包的安全性,另外,还通过获取目标用户的目标风险等级,根据该目标风险等级下发对应的目标刷脸模式,使用目标刷脸模式进行刷脸验证,提高了刷脸流程的灵活性和安全性,有效防止了黑产的攻击。
第一方面,本发明实施例提供了一种云刷脸的智能风控方法,应用于身份认证系统中的KYC后台服务器,所述身份认证系统还包括:客户前终端设备、客户服务器,所述方法包括:
下发签名给所述客户服务器,并指示所述客户服务器根据所述签名启动刷脸流程;
生成流程唯一ID,下发所述流程唯一ID给所述客户服务器,并指示所述客户服务器生成一个Salt,采用AES算法对所述Salt进行加密,得到参考Salt,采用Luhn算法对所述流程唯一ID进行校验位计算,得到参考校验位,将所述参考校验位添加到所述参考Salt中,得到第一Salt,以及将所述流程唯一ID发送给所述客户前终端设备;通过所述客户前终端设备使用所述第一Salt对请求包体进行加密,得到加密请求包体,通过RSA公钥加密所述第一Salt,得到第二Salt;所述请求包体包括所述客户前终端设备生成的用于请求登录的登录信息;
接收所述客户前终端设备发送的登录请求;所述登录请求包括:所述加密请求包体、所述第二Salt、所述RSA公钥、所述流程唯一ID;
对所述登录请求进行校验处理,得到目标处理结果包体,并指示所述客户前终端设备使用解密Salt解密所述目标处理结果包体,得到登录结果信息;所述登录结果信息包括登录成功信息或登录失败信息;
在所述登录结果信息包括所述登录成功信息时,获取所述客户前终端设备的目标用户的目标风险等级;
确定所述目标风险等级对应的目标刷脸模式,使用所述目标刷脸模式进行刷脸验证。
第二方面,本申请实施例提供了一种计算机可读存储介质,其中,上述计算机可读存储介质存储用于电子数据交换的计算机程序,其中,上述计算机程序使得计算机执行如本申请实施例第一方面任一方法中所描述的部分或全部步骤。
第三方面,本申请实施例提供一种电子设备,包括处理器、存储器、通信接口以及一个或多个程序,其中,上述一个或多个程序被存储在上述存储器中,并且被配置由上述处理器执行,上述程序包括用于执行本申请实施例第一方面任一方法中的步骤的指令。
第四方面,本申请实施例提供了一种计算机程序产品,其中,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如本申请实施例第一方面任一方法中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
可以看出,本申请实施例提供的一种云刷脸的智能风控方法,通过AES算法和RSA算法对请求包进行双重加密,防止请求包被劫持或替换,提高了请求包的安全性,另外,还通过获取目标用户的目标风险等级,根据该目标风险等级下发对应的目标刷脸模式,使用目标刷脸模式进行刷脸验证,提高了刷脸流程的灵活性和安全性,有效防止了黑产的攻击。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1是本申请实施例提供的一种身份认证系统的架构图;
图2是本申请实施例提供的一种云刷脸的智能风控方法的流程示意图;
图3是本申请实施例提供的一种去重姓名次数与目标攻击概率的关系图;
图4是本申请实施例提供的另一种云刷脸的智能风控方法的流程示意图;
图5是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本申请实施例所描述的电子设备可以包括智能手机(如Android手机、iOS手机、Windows Phone手机等)、平板电脑、掌上电脑、笔记本电脑、视频矩阵、监控平台、移动互联网设备(mobile internet devices,MID)或穿戴式设备等,上述仅是举例,而非穷举,包含但不限于上述装置,当然,上述电子设备还可以为服务器,例如,云服务器。
首先,对本申请所涉及的相关术语进行解释说明:
KYC:即外文名Know Your Customer的缩写,意为充分了解你的客户,主要是对客户的身份进行实时识别,并依据识别结果采取相应措施。
Salt:在密码学中,Salt(盐)是一个专用术语,指的是一串随机的、独特的字符串,用于与用户密码进行结合,然后再进行散列处理。加盐的主要目的是增强密码的安全性。当用户设置密码时,系统会先生成一串随机的盐值,然后将这个盐值与用户的原始密码结合,通过特定的加密算法(如MD5)进行散列处理。这样,即使两个用户设置了相同的密码,由于他们的盐值不同,其散列后的结果也会有所不同。这种加盐技术可以有效地增加破解密码的难度。
黑产:有计划针对程序进行攻击的组织。
活体识别:对人像图片或视频进行是否为活体人像的识别。
设备指纹:针对当前设备信息和对外请求信息进行监控并打上的标识。
风险等级:针对不同设备配置信息判定被攻击的风险,划分的等级。
分级刷脸:根据风险等级的不同分配不同等级的刷脸模式。
贝叶斯公式:贝叶斯公式是由数学家贝叶斯(Thomas Bayes)发展的,主要用于描述两个条件概率之间的关系,在事件B已经发生的情况下,A的发生概率可以表示为P(A|B)。这个公式的核心思想是:在已知某一条件概率的情况下,通过乘以另一条件的概率来得到相反的条件概率。具体来说,贝叶斯公式可以表示为:P(A|B)=P(B|A)*P(A)/P(B)。这意味着,当已知事件B发生的条件下,事件A发生的概率是多少。例如,考虑一个村子有且仅有两个小偷,小A和小B的情况。如果已知村子里发生了偷窃事件,想知道在这个条件下小A是小偷的概率,可以使用贝叶斯公式来计算。此外,贝叶斯公式还被称为贝叶斯定理或贝叶斯规则。
MD5:MD5,全称为Message-Digest Algorithm 5,中文名为信息-摘要算法5,是一种广泛使用的密码散列函数。该算法的主要目标是确保信息传输的完整性和一致性。MD5可以产生出一个128位(16字节)的散列值(hash value),用于验证数据的完整性和准确性。这种散列值通常是以32位长度的16进制字符串表示。此外,MD5还具有压缩性,即无论数据的长度为多少,其算出的MD5值长度都是固定的。这一特性使得MD5在数据处理和传输中得到了广泛的应用。
在人像比对身份认证服务大众化的今天,大多人像比对模型都可基本达到99.97%准确率,所以用户衡量人像比对身份认证服务的优劣标准转变为更倾向于安全性的高低。目前出现了一些专门攻击人像比对服务的黑产,这些黑产会通过高价收购他人照片和身份证信息,通过照片制作视频,准备人像比对模型对抗样本,并通过劫持设备或中间人攻击来篡改服务请求,进行强制他人贷款或替他人完成非法认证的违法活动,进而从中获利。
首先描述下黑产攻击样本生成方式:由于当前人像识别有不同的识别模式,识别速度快,防攻击程度低的有静态人脸识别和简单动作识别;识别流程较复杂,防攻击程度高的有随机数字识别,光线识别模式等;所以黑产准备的攻击样本需要根据当前客户使用的应用程序或H5网页使用的刷脸模式,使用他人照片通过技术手段合成相关动作的视频,然后直接劫持客户端设备,生成相关的人像识别样本进行攻击。
目前大多数风控方案都是对模型进行优化,比如,百度的人脸技术能够判断出是否为gif图片,模型的活体识别可以针对静态的假脸等攻击进行识别;旷视的人脸技术可以进行3d活体检测。如果黑产用假脸或新技术替换客户视频,可以通过在模型侧去训练识别该类攻击行为并更新风控方案,但黑产也会立刻更新技术,所以说目前的风控方案是治标不治本。还有一类风控方案是对请求做加解密,以此来防御中间人替换样本,但由于黑产还可以直接劫持客户端设备,例如,直接劫持摄像头,甚至可能反编译客户端代码,有时增加了一个视频时间戳校验,黑产也会发现并替换客户端获取到的参数,所以请求过程逻辑做的防攻击手段如请求加解密等方案也是不完善的。本质上这些操作都是通过增加黑产的攻击成本来进行风控,但不够完善,所以本方案提出直接从样本准备上增加难度,即增加样本随机性,同时方便客户的应用服务。现有KYC技术方案有对请求包体的非对称加密,保证传输过程中无法篡改内容。但黑产仍可以从源头劫持终端设备,如劫持摄像头来进行样本视频替换攻击。
为此,本发明实施例提供一种云刷脸的智能风控方法及计算机可读存储介质,通过AES算法和RSA算法对请求包进行双重加密,防止请求包被劫持或替换,提高了请求包的安全性,另外,还通过获取目标用户的目标风险等级,根据不同的目标风险等级下发不同的目标刷脸模式,使用目标刷脸模式进行刷脸验证,提高了刷脸流程的灵活性和安全性,有效防止了黑产的攻击。
请参阅图1,图1是本申请实施例提供的一种身份认证系统100的架构图。如图1所示,身份认证系统100包括:KYC后台服务器101、客户前终端设备102、客户服务器103。
其中,KYC后台服务器101、客户前终端设备102、客户服务器103这三者都可以两两进行通信,KYC后台服务器101可以用于接收客户前终端设备102或客户服务器103传输过来的消息,KYC后台服务器101还可以根据接收到的信息发送回应消息给客户前终端设备102或客户服务器103。
请参阅图2,图2是本申请实施例提供的一种云刷脸的智能风控方法的流程示意图,图2所示的云刷脸的智能风控方法,应用于上述身份认证系统中的KYC后台服务器,所述身份认证系统还包括:客户前终端设备、客户服务器,所述方法包括:
S201、下发签名给所述客户服务器,并指示所述客户服务器根据所述签名启动刷脸流程。
本申请实施例中,下发的签名可以是KYC后台服务器生成的。
具体实施例中,下发签名给客户服务器,并指示客户服务器根据签名启动刷脸流程,具体的,可以是客户服务器向KYC后台服务器发送请求签名的请求信息,KYC后台服务器接收到该请求信息后,根据该请求信息生成相应的签名,并将签名下发给客户服务器,该签名可以用于客户服务器对KYC后台服务器的后续访问;接着,KYC后台服务器可以在下发的签名时,同时下发一个控制指令,该控制指令可以是指示客户服务器根据该签名启动相应的刷脸流程。
需要说明的是,在下发签名和启动刷脸流程的过程中,KYC后台服务器可以通过HTTPS协议和IP白名单来进行访问控制,具体的,可以是只接受通过安全的HTTPS连接且来自IP白名单中的请求,其他IP地址的请求将被拒绝,这样可以限制对刷脸流程的访问,确保只有经过授权的IP地址可以与服务进行交互,提供流程的安全性,降低被攻击的风险。
如此,通过KYC后台服务器下发签名给客户服务器,并指示客户服务器根据签名启动刷脸流程,通过下发签名给客户服务器,可以确保客户服务器能够对接收到的信息进行验证确认,保证安全性,同时,确保刷脸流程是由客户服务器启动的,另外,下发签名还可以提供可追溯性,即可以追踪和记录刷脸流程的启动和执行过程,可以确保流程的合规性和后续责任追究。
S202、生成流程唯一ID,下发所述流程唯一ID给所述客户服务器,并指示所述客户服务器生成一个Salt,采用AES算法对所述Salt进行加密,得到参考Salt,采用Luhn算法对所述流程唯一ID进行校验位计算,得到参考校验位,将所述参考校验位添加到所述参考Salt中,得到第一Salt,以及将所述流程唯一ID发送给所述客户前终端设备;通过所述客户前终端设备使用所述第一Salt对请求包体进行加密,得到加密请求包体,通过RSA公钥加密所述第一Salt,得到第二Salt;所述请求包体包括所述客户前终端设备生成的用于请求登录的登录信息。
本申请实施例中,可以是KYC后台服务器根据不同的流程生成一个对应的流程唯一ID,流程唯一ID是用于唯一标识一个流程的标识符,它是一个独特的字符串或数字,用于区分不同的流程。
需要解释的是,一般情况下,在流程唯一ID对应的流程结束后,流程唯一ID也就失效了,另外,流程唯一ID的有效期可以由KYC后台服务器控制,KYC后台服务器可以随时控制流程ID的有效性,这样可以防止黑产控制客户前终端设备对旧流程的请求包进行重放,有效防止了重放攻击。
具体实施例中,可以是由KYC后台服务器根据预设规则自动生成流程唯一ID,预设规则可以是系统默认或是用户设置,例如,可以是根据一些配置标识(即KYC后台服务器后台根据客户的一些特殊配置打标的标识,如客户的配置刷脸模式、标识号码等等)+(商户号+登录请求号请求标识+时间戳+随机数)计算出的MD5哈希值,将该MD5哈希值作为流程唯一ID,在生成流程唯一ID之后,可以将流程唯一ID存储到Redis(Remote Dictionary Server远程数据服务)数据库中,接着,可以是KYC后台服务器将流程唯一ID发生给客户服务器,并指示客户服务器生成一个Salt,采用AES算法对Salt进行加密,得到参考Salt,采用Luhn算法对流程唯一ID进行校验位计算,得到参考校验位,将参考校验位添加到参考Salt中,得到第一Salt,具体的,可以是客户服务器在接收到指示信息之后,随机生成一个Salt,采用AES算法对Salt进行加密,得到参考Salt,接着,采用Luhn算法对流程唯一ID进行校验位计算,得到参考校验位,具体如下:
假设本次流程的流程唯一ID为:tx2015c49e5a68893d1e7cd0d4535715;预设规则会保证生成的流程唯一ID中具有多位数字(配置标识加MD5中的数字),抽出流程唯一ID中所有数字,得到流程数字序列:2015495688931704535715+校验位X;使用Luhn算法对该流程数字序列进行处理,从后往前数该流程数字序列中数字的数字位置,提取出流程数字序列中奇数位置的所有数字,以及流程数字序列中偶数位置的所有数字;得到奇数位置的所有数字21458910551X,偶数位置的所有数字05968374375;根据Luhn算法计算,从右到左,对每个偶数位置的数字乘以2(如果乘积大于9,则将其减去9);将所有奇数位置的数字与上一步骤中得到的所有乘积相加,得到总和为86;将总和加上校验位X,得到最终的数(86+X);将这个总和除以10,余数应该为0,所以参考校验位X=4。
假设参考Salt为:ad1d82e3d885195360b3034d1b9d6e89;将参考校验位添加到参考Salt中,具体的,可以是将参考校验位替换参考Salt中的最后一位,得到第一Salt:ad1d82e3d885195360b3034d1b9d6e84。得到第一Salt之后,可以通过客户服务器将第一Salt和流程唯一ID发送给客户前终端设备,客户前终端设备使用第一Salt对请求包体进行加密,得到加密请求包体,接着,通过RSA公钥加密第一Salt,得到第二Salt,可以是由客户前终端设备生成RSA公钥;请求包体为客户前终端设备生成的http请求包体,具体为jason字符串或带文件流的请求内容,请求包体还包括客户前终端设备生成的用于请求登录的登录信息。
需要解释的是,Salt和流程唯一ID绑定的方式也可以不采用luhn方式,其实如果不要求Salt的位数,可以使用流程唯一ID计算MD5,再将MD5添加进Salt,这样也可以唯一绑定并进行校验,即在计算Salt前,将流程唯一ID的字符串拼接进去,再进行计算。
S203、接收所述客户前终端设备发送的登录请求;所述登录请求包括:所述加密请求包体、所述第二Salt、所述RSA公钥、所述流程唯一ID。
本申请实施例中,可以是KYC后台服务器接收客户前终端设备发送的登录请求;登录请求可以包括:加密请求包体、第二Salt、RSA公钥、流程唯一ID。
S204、对所述登录请求进行校验处理,得到目标处理结果包体,并指示所述客户前终端设备使用解密Salt解密所述目标处理结果包体,得到登录结果信息;所述登录结果信息包括登录成功信息或登录失败信息。
本申请实施例中,可以由KYC后台服务器对登录请求进行校验处理,得到目标处理结果包体,同时,也可以由KYC后台服务器指示客户前终端设备使用解密Salt解密目标处理结果包体,得到登录结果信息;登录结果信息包括登录成功信息或登录失败信息。
可选的,步骤S204,所述对所述登录请求进行校验处理,得到目标处理结果包体,包括:
41、根据RSA私钥解密所述第二Salt,得到所述解密Salt;
42、对所述流程唯一ID和所述解密Salt进行校验验证,得到目标验证结果;所述目标验证结果为验证成功或验证失败;
43、在所述目标验证结果为所述验证成功时,根据所述解密Salt对所述加密请求包体进行解密,得到所述请求包体,对所述请求包体中的所述登录信息进行验证,得到处理结果包体,所述处理结果包体包括所述登录结果信息;
44、根据所述解密Salt对所述处理结果包体进行加密,得到所述目标处理结果包体,将所述目标处理结果包体发送给所述客户前终端设备。
本申请实施例中,RSA私钥为与上述RSA公钥对应的私钥,该私钥可以用于解密通过上述RSA公钥进行加密的数据。
具体实施例中,可以是由KYC后台服务器根据RSA私钥对第二Salt解密,得到解密Salt;对流程唯一ID和解密Salt进行校验验证,具体的,可以将流程唯一ID和解密Salt与Redis数据库中存储的对应数据进行比对,得到目标验证结果;如果二者相等,目标验证结果为验证成功,说明流程唯一ID和解密Salt是有效的,如果二者不相等,目标验证结果为验证失败,说明数据可能已经被篡改或无效,需要采取适当的措施,如拒绝请求、记录错误信息等;需要说明的是,理论上来说,解密Salt可以是第一Salt,即解密Salt与第一Salt可以是相同的Salt。
在目标验证结果为验证成功时,根据解密Salt对加密请求包体进行解密,得到请求包体,接着,对请求包体中的登录信息进行验证,可以是与预设登录信息进行比对,比对成功,登录结果信息包括登录成功信息,或者,比对失败,登录结果信息包括登录失败信息,如此,得到处理结果包体,处理结果包体包括登录结果信息;进一步的,可以是根据解密Salt对处理结果包体进行加密,得到目标处理结果包体,将目标处理结果包体发送给客户前终端设备。
S205、在所述登录结果信息包括所述登录成功信息时,获取所述客户前终端设备的目标用户的目标风险等级。
本申请实施例中,在登录结果信息包括登录成功信息时,说明目标用户登录成功了,此时,可以再获取客户前终端设备的目标用户的目标风险等级。目标用户即为使用客户前终端设备的用户。
可选的,步骤S205,所述获取所述客户前终端设备的目标用户的目标风险等级,可以包括如下步骤:
A1、获取所述目标用户的身份信息;所述身份信息包括目标用户姓名;
A2、获取所述客户前终端设备的目标设备号;所述目标设备号为唯一标识所述客户前终端设备的标识信息;
A3、确定所述目标用户姓名对应的第一姓名风险等级;
A4、确定所述目标设备号对应的第一设备风险等级;
A5、获取所述第一姓名风险等级、所述第一设备风险等级对应的第一姓名概率系数、第一设备概率系数;
A6、根据所述第一姓名概率系数、所述第一设备概率系数确定所述目标风险等级。
本申请实施例中,姓名风险等级是一个表示用该姓名信息进行登录请求时,该登录请求为攻击请求的风险程度;设备风险等级是一个表示用该设备信息进行登录请求时,该登录请求为攻击请求的风险程度。
具体实施例中,获取目标用户的身份信息;身份信息包括目标用户姓名;例如,可以是在用户注册或登录过程中,可以要求用户提供其身份信息,例如,姓名、身份证号、电子邮件地址、手机号码等,这些信息可以用于验证用户的身份并关联到他们的账户,接着,获取客户前终端设备的目标设备号;目标设备号为唯一标识客户前终端设备的标识信息,具体的,可以是在客户前终端设备向KYC后台服务器发送请求信息时,要求客户前终端设备在请求信息内加入自身的设备号,以此来确保请求信息确实是客户前终端设备发送的,而不是其他设备。
接着,可以由KYC后台服务器根据目标用户姓名来确定一个第一姓名风险等级;同样的,也可以由KYC后台服务器根据目标设备号确定一个第一设备风险等级;进一步的,可以是获取第一姓名风险等级、第一设备风险等级对应的第一姓名概率系数、第一设备概率系数,根据获取的第一姓名概率系数和第一设备概率系数来确定目标风险等级。
可选的,所述身份信息还包括目标身份证号,步骤A3,所述确定所述目标用户姓名对应的第一姓名风险等级,可以包括如下步骤:
B1、查询所述目标身份证号是否在预设名单标识库中,所述预设名单标识库包括:疑似名单标识库、重点名单标识库;
B2、若否,则将确定第一低风险等级为所述第一姓名风险等级;
B3、若是,则确定所述目标身份证号对应的目标名单标识库标识;
B4、若根据所述目标名单标识库标识识别到所述目标身份证号在所述疑似名单标识库中,将第一中风险等级确定为所述第一姓名风险等级;
B5、若根据所述目标名单标识库标识识别到所述目标身份证号在所述重点名单标识库中,将第一高风险等级确定为所述第一姓名风险等级。
本申请实施例中,名单标识库是一个存储了诸多身份证号信息和诸多身份证号信息中每一身份证号信息对应的风险信息。
具体实施例中,可以是先查询目标身份证号是否在预设名单标识库中,预设名单标识库可以包括:疑似名单标识库、重点名单标识库,疑似名单标识库中的身份证号信息是有风险,但是不能确定风险的大小;重点名单标识库中的身份证号信息是风险较大。
若目标身份证号不在预设名单标识库中,说明目标身份证号没有被记录过,风险信息可以认为很小或忽略不计,该目标身份证号对应的登录请求是攻击请求的风险较低,可以接受,同时,也可以将第一姓名风险等级设置为第一低风险等级,也可以将第一姓名概率系数设置为0,表示该目标身份证号对应的登录请求可以不必进行验证或进行一个简单验证,可以直接进行下一步,刷脸验证。
若预设名单标识库中在找到了目标身份证号,则需要确定目标身份证号对应的目标名单标识库标识,这个目标名单标识库标识就是目标身份证号在名单标识库中对应的标识,接着,可以是在疑似名单标识库中查找目标名单标识库标识,如果找到了,说明目标身份证号在疑似名单标识库中,可以将第一姓名风险等级设置为第一中风险等级,但是还不能确定该目标身份证号对应的登录请求的攻击风险,需要进行进一步的分析。
另外,如果在疑似名单标识库中没有找到目标名单标识库标识,可以是在重点名单标识库中查找目标名单标识库标识,如果找到了,说明目标身份证号在重点名单标识库中,这说明该目标身份证号对应的登录请求很有可能是攻击请求,可以直接拒绝,同时,可以将第一姓名风险等级设置为第一高风险等级,也可以将第一姓名概率系数设置为1,表示该目标身份证号对应的登录请求可以不必进行验证,直接拒绝。
需要解释的是,系统可以进行目标用户的历史行为分析,即对登录请求进行异常打标,具体的,可以是系统判断登录请求有无被篡改,可以对登录请求和登录请求视频进行MD5计算并进行核对,如果存在该类报错,则证明该设备被劫持,登录请求异常;另外,KYC后台服务器也会识别有各类攻击报错,如假人脸、视频拼接、视频中背景异常等等报错,也证明该登录请求异常;通过上述两个功能点对登录请求进行异常打标,由于单一设备劫持攻击行为一般在一段时间内很频繁,但后续会被计入预设名单标识库,被直接统计为高风险。
可选的,所述方法还可以包括如下步骤:
C1、在所述第一姓名风险等级为所述第一中风险等级时,获取第一预设时间段的所述目标用户的第一历史登录行为数据;
C2、从所述第一历史登录行为数据中获取以所述目标用户姓名向所述KYC后台服务器发送登录请求的姓名请求次数;
C3、确定所述姓名请求次数中的姓名请求攻击次数;
C4、根据所述姓名请求次数和所述姓名请求攻击次数确定所述第一姓名风险等级对应的第一风险概率。
本申请实施例中,第一预设时间段可以是系统默认或是用户设置,第一历史登录行为数据可以包括以下至少一种数据:登录请求的次数、登录请求的时间、登录请求的请求结果等等,在此不做限定。
具体实施例中,可以是在第一姓名风险等级为第一中风险等级时,获取第一预设时间段的目标用户的第一历史登录行为数据,具体的,可以是从系统的数据库中找出目标用户在第一预设时间段内发生的所有登录行为,得到第一历史登录行为数据,接着,可以是从第一历史登录行为数据中查找登录请求中包含目标用户姓名的所有登录请求,也即是以目标用户姓名的名义向KYC后台服务器发送登录请求的姓名请求次数UN;找出姓名请求次数UN中所有请求失败的次数,得到姓名请求攻击次数FN;根据姓名请求次数UN和姓名请求攻击次数FN确定第一姓名风险等级对应的第一风险概率,具体如下:
P(N)=FN/UN;
其中,P(N)为第一风险概率。
可选的,步骤A4,所述确定所述目标设备号对应的第一设备风险等级,可以包括如下步骤:
D1、对所述目标设备号对应的所述客户前终端设备进行风险分析,得到设备风险分数;
D2、在所述设备风险分数小于第一预设风险阈值时,将第二低风险等级确定为所述第一设备风险等级;
D3、在所述设备风险分数大于第二预设风险阈值时,将第二高风险等级确定为所述第一设备风险等级;所述第二预设风险阈值大于所述第一预设风险阈值;
D4、在所述设备风险分数大于或等于所述第一预设风险阈值且小于或等于所述第二预设风险阈值时,将第二中风险等级确定为所述第一设备风险等级。
本申请实施例中,第一预设风险阈值和第二预设风险阈值均可以是系统默认或是用户设置。
具体实施例中,对目标设备号对应的客户前终端设备进行风险分析,得到设备风险分数,具体的,可以是根据获取的目标设备号,通过图灵盾服务来进行风险识别,图灵盾服务是一种基于海量数据建模,形成设备指纹能力,即通过采集的设备信息实时监测设备是否有如模拟器,沙箱等环境风险,图灵盾服务可以通过多个信息源对设备进行分析,分析行为包括IMEI(International Mobile Station Equipment Identity,国际移动设备识别码)篡改、匿名设备标识符篡改、频繁修改设备参数等行为分析,如此,可以得到设备被注入疑似分、摄像头劫持疑似分、异常篡改行为信息疑似分等多个疑似分,根据这多个得分计算设备风险分数,可以是每一个疑似分对应一个占比权重,根据多个疑似分以及多个疑似分中每一疑似分对应的占比权重进行加权计算,得到设备风险分数。
接着,可以是根据设备风险分数的大小来判断第一设备风险等级,具体的,可以是在设备风险分数小于第一预设风险阈值时,可以说明该目标设备号对应的客户前终端设备的风险信息很小或忽略不计,该目标设备号对应的登录请求是攻击请求的风险较低,可以接受,同时,也可以将第一设备风险等级设置为第二低风险等级,也可以将第一设备概率系数设置为0,表示该目标设备号对应的登录请求可以不必进行验证或进行一个简单验证,接着,进行下一步,刷脸验证。
或者,在设备风险分数大于第二预设风险阈值时,可以说明该目标设备号对应的客户前终端设备的风险信息较大,也即该目标设备号对应的登录请求是攻击请求的风险较大,可以直接拒绝,同时,可以将第一设备风险等级设置为第二高风险等级,也可以将第一设备概率系数设置为1,表示该目标设备号对应的登录请求可以不必进行验证,直接拒绝。
在设备风险分数大于或等于第一预设风险阈值且小于或等于第二预设风险阈值时,可以将第一设备风险等级设置为第二中风险等级,但是还不能确定该目标设备号对应的登录请求的攻击风险,需要进行进一步的分析。
可选的,还可以包括如下步骤:
E1、在所述第一设备风险等级为所述第二中风险等级时,获取与所述目标设备号对应的所述客户前终端设备的第二预设时间段的第二历史登录行为数据;
E2、从所述第二历史登录行为数据中获取以所述目标设备号向所述KYC后台服务器发送登录请求的设备请求次数;
E3、确定所述设备请求次数中的设备攻击请求次数;
E4、根据所述设备请求次数和所述设备攻击请求次数确定所述第一设备风险等级对应的第二风险概率。
本申请实施例中,第二预设时间段可以是系统默认或是用户设置。
具体实施例中,可以是在第一设备风险等级为第二中风险等级时,获取与目标设备号对应的客户前终端设备的第二预设时间段的第二历史登录行为数据,具体的,可以是从系统的数据库中找出目标用户在第一预设时间段内发生的所有登录行为,得到第二历史登录行为数据,接着,可以是从第二历史登录行为数据中查找登录请求中包含目标设备号的所有登录请求,也即是以目标设备号向KYC后台服务器发送登录请求的设备请求次数IN;
进一步的,可以是找出设备请求次数IN中所有请求失败的次数,得到设备攻击请求次数AN;根据设备请求次数IN和设备攻击请求次数AN确定第一设备风险等级对应的第二风险概率,具体如下:
P(I)=AN/IN;
其中,P(I)为第二风险概率。
需要解释的是,本方法也可以仅统计姓名或设备维度的历史订单成功失败次数,进行一个维度的概率统计,这样也可以实现相同的效果,不过准确度会有所下降。一般失败率百分之七十以上的,可以设置为高风险等级。
可选的,还可以包括如下步骤:
F1、确定所述设备攻击请求次数中所述目标用户姓名被标记为所述第一中风险等级的第一记录数量,以及所述目标设备号被标记为所述第二中风险等级的第二记录数量;
F2、根据所述第二历史登录行为数据确定所述客户前终端设备对应的设备概率重要度系数;
F3、根据所述第一记录数量、所述第二记录数量、所述设备概率重要度系数确定所述第一姓名概率系数和所述第一设备概率系数。
本申请实施例中,设备概率重要度系数C是表示目标设备号相对于目标用户姓名的一个风险权重。
具体实施例中,可以找出设备攻击请求次数IN中登录请求包含目标用户姓名,并且,登录请求中的目标用户姓名被标记为第一中风险等级的请求次数,得到第一记录数量HN,另外,也可以找出设备攻击请求次数IN中登录请求包含目标设备号,并且,登录请求中的目标设备号被标记为第二中风险等级的请求次数,得到第二记录数量IAN。
接着,根据第二历史登录行为数据确定客户前终端设备对应的设备概率重要度系数C,具体的,可以是在目标用户的历史行为分析中,由于黑产劫持设备有成本,所以一般是劫持了设备后,用同一设备使用不同人的身份信息来进行不同机构的认证,以此获利,一般出现同设备多姓名刷脸场景的攻击风险较高,所以需要增加概率重要度系数C,可以是根据第二历史登录行为数据分析判断同设备多姓名攻击风险较高,计算同一设备去重姓名数目占比可大致得到系数概率比例,同一设备的请求总次数HIN,去重姓名次数DNN,标记攻击请求HIAN,得带去重姓名次数与攻击概率的散点图即为图3。
请参阅图3,图3是本申请实施例提供的一种去重姓名次数与目标攻击概率的关系图,图3中的横坐标是DNN,纵坐标是目标攻击概率=HIAN/HIN,可以看到,大概从DNN>3开始,成线性关系上涨,由此可大致计算系数概率比例0.2,同设备多姓名刷脸次数记为n,根据n的大小不同,C的大小也随之变化,具体如下:
次数n=0,则C=1;
次数n=[1-9],则C=1+(n-3)/5;
次数n=[9,+],则C=2;
其中,C是设备概率重要度系数。
进一步的,可以是根据第一记录数量、第二记录数量、设备概率重要度系数确定第一姓名概率系数C(N)和第一设备概率系数C(I),具体如下:
C(N)=HN/(HN+C*IAN/AN);C(I)=C*IAN/(HN+C*IAN)。
可选的,根据所述第一姓名概率系数和所述第一设备概率系数确定所述目标风险等级,可以包括如下步骤:
G1、定义事件S:所述身份信息和所述目标设备号访问场景下,所述登录请求为攻击请求;
G2、定义事件A:所述登录请求为攻击请求;
G3、定义事件B:所述身份信息访问场景下,所述身份信息对应的风险等级为所述第一中风险等级;所述身份信息的风险等级有三种情况:所述第一低风险等级、所述第一中风险等级、所述第一高风险等级;
G4、定义事件C:所述目标设备号访问场景下,所述目标设备号对应的风险等级为所述第二中风险等级;所述目标设备号的风险等级有三种情况:所述第二低风险等级、所述第二中风险等级、所述第二高风险等级;
G5、根据所述第一姓名概率系数、所述第一设备概率系数、贝叶斯公式确定所述事件S发生的目标攻击概率;
G6、确定所述目标攻击概率对应的所述目标风险等级。
本申请实施例中,目标风险等级可以包括以下至少一种:低风险等级、低中风险等级、中风险等级、中高风险等级、高风险等级。
具体实施例中,根据贝叶斯公式计算目标攻击概率,可以先定义事件,具体如下:
定义事件S:身份信息和目标设备号访问场景下,登录请求为攻击请求;
定义事件A:登录请求为攻击请求;
定义事件B:身份信息访问场景下,身份信息对应的风险等级为第一中风险等级;身份信息的风险等级有三种情况:第一低风险等级、第一中风险等级、第一高风险等级;
定义事件C:目标设备号访问场景下,目标设备号对应的风险等级为第二中风险等级;目标设备号的风险等级有三种情况:第二低风险等级、第二中风险等级、第二高风险等级。
接着,可以根据第一姓名概率系数C(N)、第一设备概率系数C(I)以及贝叶斯公式确定事件S发生的目标攻击概率,具体的,可以是先分别计算在目标用户姓名访问场景下和目标设备号访问场景下该次登录请求为攻击请求的概率,即该目标用户姓名访问场景下该次登录请求为攻击概率P(A|B),以及该目标设备号访问场景下该次登录请求为攻击概率P(A|C),然后再加上第一姓名概率系数C(N)、第一设备概率系数C(I)计算出总概率,定级风险等级,具体如下:
P(S)=P(A|B)C(N)+P(A|C)C(I);
其中,P(S)为事件S发生的概率;P(A|B)为在事件B已经发生的情况下,事件A发生的概率;P(A|C)为在事件C已经发生的情况下,事件A发生的概率;C(N)为第一姓名概率系数;C(I)第一设备概率系数。
举个例子说明下,假设当前时间往前五天内,发现十次登录请求,在这十次登录请求中发现姓名请求攻击的次数较少,第一记录数量HN为4笔,设备请求攻击的次数较多,第二记录数量IAN为9笔。那么当其中一个设备刷脸,使用设备和姓名登录请求的历史行为分析:由于身份认证系统的服务会接入多家客户,单一用户或设备可能在多家客户存在历史登录行为数据。可通过数据库查询近期(如5天内,时间可调整)用户设备或姓名在多家客户发起的刷脸行为,假设发现此设备去重姓名后有四位刷脸。则:
C(N)=HN/(HN+C*IAN/AN)=0.27;C(I)=C*IAN/(HN+C*IAN)=0.73。
接下来可以根据贝叶斯公式计算两个条件维度下各自的条件概率,贝叶斯定理是关于随机事件A和B的条件概率(或边缘概率)的一则定理。其中P(A|B)是在B发生的情况下A发生的可能性。可以在更大的尺度,从所有历史登录行为数据的范畴进行概率统计计算。
首先需要按照条件概率公式计算P(A|B),即该疑似名单标识库姓名访问场景下该次登录请求为攻击概率。
事件A:该次登录请求为攻击的概率;P(A|B)=P(B|A)P(A)/P(B)。
按照上述分析,在目标用户姓名对应的第一姓名风险等级为第一中风险等级时,进行概率计算,已知在第一历史登录行为数据中,P(B|A)=P(N)。
接着,在目标设备号对应的第一设备风险等级为第二中风险等级时,进行概率计算,所有历史登录行为数据中被标记为攻击请求的请求数量为AAN,所有登录请求的数量为N,P(A)=AAN/N。
接着,可以获取所有历史登录行为数据中目标用户姓名对应的风险等级为第一中风险等级的数量NBN,P(B)=NBN/N。
接着,可以获取所有历史登录行为数据中目标设备号对应的风险等级为第二中风险等级的数量IBN,P(C)=IBN/N。
以下为实际数据的大致举例:
P(B|A)=0.024%;P(A)=2%P(B)=0.001%;P(A|B)=P(B|A)P(A)/P(B)=48%。
其次,同样按照条件概率公式计算P(A|C),即目标设备号对应的第一设备风险等级为第二中风险等级的访问场景下该次登录请求为攻击概率。
P(A|C)=P(C|A)P(A)/P(C)=0.54%;P(C|A)=P(I)=2%;
P(C)=0.018%;P(A|C)=P(C|A)P(A)/P(C)=62%。
最终由总公式,再加上根据用户近期(5天内)行为得到的第一姓名概率系数C(N)和第一设备概率系数C(I),可得到事件S的发生概率:
P(S)=P(A|B)C(N)+P(A|C)C(I)=58.2%,也就是该次登录请求为攻击请求的概率为58.2%。
进一步的,可以是根据目标攻击概率的大小确定对应的目标风险等级,例如,可以是低风险等级对应0~15%;低中风险等级对应15%~35%,一般为仅姓名风险;中风险等级对应35%~70%,一般为仅设备(姓名)风险;中高风险等级对应70%~85%,有风险但历史失败次数较少;高风险等级对应85%+,高风险且多次标记为攻击请求。
需要解释的是,请参阅图4,图4是本申请实施例提供的另一种云刷脸的智能风控方法的流程示意图,如图4所示,该云刷脸的智能风控方法可以接收IOS、Android、PC、H5等设备发出的信息,对接收到的信息进行分析处理,分析处理的主流程业务可以分为四个阶段:初始化、登录、比对、行为分析统计;在进行初始化阶段时,风险模块与主流程业务之间是异步进行,风险模块包括四个部分:风险定级、风险下发、风险校验模式分发、行为分析统计,在系统接收到信息之后,先进行初始化,同时,将接收到的信息发送给风险模块,接着,进行登录,在登录时,主流程业务可以接收到风险模块下发的目标风险等级,根据该目标风险等级对应的目标刷脸模式进行刷脸,也即比对流程。
由于主流程业务和风险模块是分开进行的,也即主异步分离,分离了需要进行计算的模块,上述计算流程均为初始化阶段,也即风险模块的四个部分均可以在初始化阶段就进行。接着,风险模块返回给客户流程唯一ID后可以通过异步任务实现。不会影响主流程业务,这样即使下一阶段登录时未计算出结果也可以实现降级兜底。初始化阶段计算结束后,异步将结果以流程唯一ID为主键记入Redis数据库,进行风险定级,方便后续登录阶段查询并下发。
风险计算模块为异步计算,还可以将风险计算模块再拆分,例如,风险计算模块可以拆分为按身份信息计算模块和按设备信息计算模块,少量数据的计算可以添加在初始化后的异步计算,还可以包括大数据统计的统计模块,统计模块可以使用登录请求结束后异步统计的方式,减少了对主流程的耦合和影响,保证了主流程的时效性,且方便风险计算模块异常或耗时久时,主流程的降级。
S206、确定所述目标风险等级对应的目标刷脸模式,使用所述目标刷脸模式进行刷脸验证。
本申请实施例中,刷脸模式可以包括以下至少一种:简单活体模式、静默活体模式、动作活体模式、光线活体模式、数字活体模式等等,在此不做限定。
具体实施例中,可以根据目标风险等级来选择对应的目标刷脸模式,使用目标刷脸模式进行刷脸验证,即分级刷脸,例如,可以是低风险等级对应简单活体模式,可以是防翻拍检测加比对;低中风险等级对应静默活体模式,可以是含静默活体检测的比对;中风险等级对应动作活体模式,可以是含动作活体检测的比对;中高风险等级对应光线活体模式,可以是含变光活体检测的比对;高风险等级对应数字活体模式,可以是下发随机数字并跟读,得到念数字视频,接着,可以对念数字视频进行校验比对,还可以加上静默活体识别和防翻拍活体识别,这样得到的视频不容易被伪造。
需要解释的是,在使用目标刷脸模式进行刷脸验证之后,进入图4中所示的比对阶段,可以在流程唯一ID下发时,判断记录表里记录的初始化阶段下发的目标刷脸模式和上送的加密请求包体中所包含的上送刷脸模式是否相同,不同则拒绝请求,具体的,可以是比对目标刷脸模式和上送刷脸模式中的标识参数是否相同;如此,在防止黑产真的暴力解码修改模式的基础上,还可以防止多次初始化导致的重复登录请求。记录表是下发流程唯一ID时记录的根据不同风险信息下发不同刷脸模式的历史记录表接着,可以根据上送的目标刷脸模式,分发不同刷脸模式的服务进行活体检查和比对校验。
对上述第一历史登录行为数据和第二历史登录行为数据进行概率统计,每次登录请求结束后记录该次登录请求的用户姓名,和/或,设备号是否被标记为攻击等等,在此不做限定,同时更新概率P(B)和P(C),并记录到一个风险概率表中,方便下一次流程初始化查询使用。上述很多规则和系数等均支持可配置,业务也可以根据大数据统计实时更新,方便优化该风险定级机制。
另外,本申请实施例提供的云刷脸的智能风控方法除了应用于本申请实施例中所提到的场景中,还可以应用于其他需要进行风险定级的应用场景。
可以看出,本申请实施例提供的云刷脸的智能风控方法,通过AES算法和RSA算法对请求包进行双重加密,防止请求包被劫持或替换,提高了请求包的安全性,另外,还通过获取目标用户的目标风险等级,根据该目标风险等级下发对应的目标刷脸模式,使用目标刷脸模式进行刷脸验证,提高了刷脸流程的灵活性和安全性,有效防止了黑产的攻击。
请参阅图5,图5是本申请实施例提供的一种电子设备的结构示意图,该电子设备包括处理器、存储器、通信接口以及一个或多个程序,所述处理器、存储器和通信接口通过总线相互连接。该电子设备应用于身份认证系统中的KYC后台服务器,所述身份认证系统还包括:客户前终端设备、客户服务器;上述一个或多个程序被存储在上述存储器中,并且被配置由上述处理器执行,本申请实施例中,上述程序包括用于执行以下步骤的指令:
下发签名给所述客户服务器,并指示所述客户服务器根据所述签名启动刷脸流程;
生成流程唯一ID,下发所述流程唯一ID给所述客户服务器,并指示所述客户服务器生成一个Salt,采用AES算法对所述Salt进行加密,得到参考Salt,采用Luhn算法对所述流程唯一ID进行校验位计算,得到参考校验位,将所述参考校验位添加到所述参考Salt中,得到第一Salt,以及将所述流程唯一ID发送给所述客户前终端设备;通过所述客户前终端设备使用所述第一Salt对请求包体进行加密,得到加密请求包体,通过RSA公钥加密所述第一Salt,得到第二Salt;所述请求包体包括所述客户前终端设备生成的用于请求登录的登录信息;
接收所述客户前终端设备发送的登录请求;所述登录请求包括:所述加密请求包体、所述第二Salt、所述RSA公钥、所述流程唯一ID;
对所述登录请求进行校验处理,得到目标处理结果包体,并指示所述客户前终端设备使用解密Salt解密所述目标处理结果包体,得到登录结果信息;所述登录结果信息包括登录成功信息或登录失败信息;
在所述登录结果信息包括所述登录成功信息时,获取所述客户前终端设备的目标用户的目标风险等级;
确定所述目标风险等级对应的目标刷脸模式,使用所述目标刷脸模式进行刷脸验证。
可选的,在所述对所述登录请求进行校验处理,得到目标处理结果包体方面,上述程序还包括用于执行以下步骤的指令:
根据RSA私钥解密所述第二Salt,得到所述解密Salt;
对所述流程唯一ID和所述解密Salt进行校验验证,得到目标验证结果;所述目标验证结果为验证成功或验证失败;
在所述目标验证结果为所述验证成功时,根据所述解密Salt对所述加密请求包体进行解密,得到所述请求包体,对所述请求包体中的所述登录信息进行验证,得到处理结果包体,所述处理结果包体包括所述登录结果信息;
根据所述解密Salt对所述处理结果包体进行加密,得到所述目标处理结果包体,将所述目标处理结果包体发送给所述客户前终端设备。
可选的,在所述获取所述客户前终端设备的目标用户的目标风险等级方面,上述程序还包括用于执行以下步骤的指令:
获取所述目标用户的身份信息;所述身份信息包括目标用户姓名;
获取所述客户前终端设备的目标设备号;所述目标设备号为唯一标识所述客户前终端设备的标识信息;
确定所述目标用户姓名对应的第一姓名风险等级;
确定所述目标设备号对应的第一设备风险等级;
获取所述第一姓名风险等级、所述第一设备风险等级对应的第一姓名概率系数、第一设备概率系数;
根据所述第一姓名概率系数、所述第一设备概率系数确定所述目标风险等级。
可选的,所述身份信息还包括目标身份证号,在所述确定所述目标用户姓名对应的第一姓名风险等级方面,上述程序还包括用于执行以下步骤的指令:
查询所述目标身份证号是否在预设名单标识库中,所述预设名单标识库包括:疑似名单标识库、重点名单标识库;
若否,则将确定第一低风险等级为所述第一姓名风险等级;
若是,则确定所述目标身份证号对应的目标名单标识库标识;
若根据所述目标名单标识库标识识别到所述目标身份证号在所述疑似名单标识库中,将第一中风险等级确定为所述第一姓名风险等级;
若根据所述目标名单标识库标识识别到所述目标身份证号在所述重点名单标识库中,将第一高风险等级确定为所述第一姓名风险等级。
可选的,上述程序还包括用于执行以下步骤的指令:
在所述第一姓名风险等级为所述第一中风险等级时,获取第一预设时间段的所述目标用户的第一历史登录行为数据;
从所述第一历史登录行为数据中获取以所述目标用户姓名向所述KYC后台服务器发送登录请求的姓名请求次数;
确定所述姓名请求次数中的姓名请求攻击次数;
根据所述姓名请求次数和所述姓名请求攻击次数确定所述第一姓名风险等级对应的第一风险概率。
可选的,在所述确定所述目标设备号对应的第一设备风险等级方面,上述程序还包括用于执行以下步骤的指令:
对所述目标设备号对应的所述客户前终端设备进行风险分析,得到设备风险分数;
在所述设备风险分数小于第一预设风险阈值时,将第二低风险等级确定为所述第一设备风险等级;
在所述设备风险分数大于第二预设风险阈值时,将第二高风险等级确定为所述第一设备风险等级;所述第二预设风险阈值大于所述第一预设风险阈值;
在所述设备风险分数大于或等于所述第一预设风险阈值且小于或等于所述第二预设风险阈值时,将第二中风险等级确定为所述第一设备风险等级。
可选的,上述程序还包括用于执行以下步骤的指令:
在所述第一设备风险等级为所述第二中风险等级时,获取与所述目标设备号对应的所述客户前终端设备的第二预设时间段的第二历史登录行为数据;
从所述第二历史登录行为数据中获取以所述目标设备号向所述KYC后台服务器发送登录请求的设备请求次数;
确定所述设备请求次数中的设备攻击请求次数;
根据所述设备请求次数和所述设备攻击请求次数确定所述第一设备风险等级对应的第二风险概率。
可选的,上述程序还包括用于执行以下步骤的指令:
确定所述设备攻击请求次数中所述目标用户姓名被标记为所述第一中风险等级的第一记录数量,以及所述目标设备号被标记为所述第二中风险等级的第二记录数量;
根据所述第二历史登录行为数据确定所述客户前终端设备对应的设备概率重要度系数;
根据所述第一记录数量、所述第二记录数量、所述设备概率重要度系数确定所述第一姓名概率系数和所述第一设备概率系数。
可选的,在所述根据所述第一姓名概率系数和所述第一设备概率系数确定所述目标风险等级,上述程序还包括用于执行以下步骤的指令:
定义事件S:所述身份信息,所述目标设备号访问场景下,所述登录请求为攻击请求;
定义事件A:所述登录请求为攻击请求;
定义事件B:所述身份信息访问场景下,所述身份信息对应的风险等级为所述第一中风险等级;所述身份信息的风险等级有三种情况:所述第一低风险等级、所述第一中风险等级、所述第一高风险等级;
定义事件C:所述目标设备号访问场景下,所述目标设备号对应的风险等级为所述第二中风险等级;所述目标设备号的风险等级有三种情况:所述第二低风险等级、所述第二中风险等级、所述第二高风险等级;
根据所述第一姓名概率系数、所述第一设备概率系数、贝叶斯公式确定所述事件S发生的目标攻击概率;
确定所述目标攻击概率对应的所述目标风险等级。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储用于电子数据交换的计算机程序,该计算机程序使得计算机执行如上述方法实施例中记载的任一方法的部分或全部步骤,上述计算机包括电子设备。
本申请实施例还提供一种计算机程序产品,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如上述方法实施例中记载的任一方法的部分或全部步骤。该计算机程序产品可以为一个软件安装包,上述计算机包括电子设备。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例上述方法的全部或部分步骤。而前述的存储器包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本申请实施例进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种云刷脸的智能风控方法,其特征在于,应用于身份认证系统中的KYC后台服务器,所述身份认证系统还包括:客户前终端设备、客户服务器,所述方法包括:
下发签名给所述客户服务器,并指示所述客户服务器根据所述签名启动刷脸流程;
生成流程唯一ID,下发所述流程唯一ID给所述客户服务器,并指示所述客户服务器生成一个Salt,采用AES算法对所述Salt进行加密,得到参考Salt,采用Luhn算法对所述流程唯一ID进行校验位计算,得到参考校验位,将所述参考校验位添加到所述参考Salt中,得到第一Salt,以及将所述流程唯一ID发送给所述客户前终端设备;通过所述客户前终端设备使用所述第一Salt对请求包体进行加密,得到加密请求包体,通过RSA公钥加密所述第一Salt,得到第二Salt;所述请求包体包括所述客户前终端设备生成的用于请求登录的登录信息;
接收所述客户前终端设备发送的登录请求;所述登录请求包括:所述加密请求包体、所述第二Salt、所述RSA公钥、所述流程唯一ID;
对所述登录请求进行校验处理,得到目标处理结果包体,并指示所述客户前终端设备使用解密Salt解密所述目标处理结果包体,得到登录结果信息;所述登录结果信息包括登录成功信息或登录失败信息;
在所述登录结果信息包括所述登录成功信息时,获取所述客户前终端设备的目标用户的目标风险等级;
确定所述目标风险等级对应的目标刷脸模式,使用所述目标刷脸模式进行刷脸验证。
2.如权利要求1所述的方法,其特征在于,所述对所述登录请求进行校验处理,得到目标处理结果包体,包括:
根据RSA私钥解密所述第二Salt,得到所述解密Salt;
对所述流程唯一ID和所述解密Salt进行校验验证,得到目标验证结果;所述目标验证结果为验证成功或验证失败;
在所述目标验证结果为所述验证成功时,根据所述解密Salt对所述加密请求包体进行解密,得到所述请求包体,对所述请求包体中的所述登录信息进行验证,得到处理结果包体,所述处理结果包体包括所述登录结果信息;
根据所述解密Salt对所述处理结果包体进行加密,得到所述目标处理结果包体,将所述目标处理结果包体发送给所述客户前终端设备。
3.如权利要求1或2所述的方法,其特征在于,所述获取所述客户前终端设备的目标用户的目标风险等级,包括:
获取所述目标用户的身份信息;所述身份信息包括目标用户姓名;
获取所述客户前终端设备的目标设备号;所述目标设备号为唯一标识所述客户前终端设备的标识信息;
确定所述目标用户姓名对应的第一姓名风险等级;
确定所述目标设备号对应的第一设备风险等级;
获取所述第一姓名风险等级、所述第一设备风险等级对应的第一姓名概率系数、第一设备概率系数;
根据所述第一姓名概率系数、所述第一设备概率系数确定所述目标风险等级。
4.如权利要求3所述的方法,其特征在于,所述身份信息还包括目标身份证号,所述确定所述目标用户姓名对应的第一姓名风险等级,包括:
查询所述目标身份证号是否在预设名单标识库中,所述预设名单标识库包括:疑似名单标识库、重点名单标识库;
若否,则将确定第一低风险等级为所述第一姓名风险等级;
若是,则确定所述目标身份证号对应的目标名单标识库标识;
若根据所述目标名单标识库标识识别到所述目标身份证号在所述疑似名单标识库中,将第一中风险等级确定为所述第一姓名风险等级;
若根据所述目标名单标识库标识识别到所述目标身份证号在所述重点名单标识库中,将第一高风险等级确定为所述第一姓名风险等级。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
在所述第一姓名风险等级为所述第一中风险等级时,获取第一预设时间段的所述目标用户的第一历史登录行为数据;
从所述第一历史登录行为数据中获取以所述目标用户姓名向所述KYC后台服务器发送登录请求的姓名请求次数;
确定所述姓名请求次数中的姓名请求攻击次数;
根据所述姓名请求次数和所述姓名请求攻击次数确定所述第一姓名风险等级对应的第一风险概率。
6.如权利要求3所述的方法,其特征在于,所述确定所述目标设备号对应的第一设备风险等级,包括:
对所述目标设备号对应的所述客户前终端设备进行风险分析,得到设备风险分数;
在所述设备风险分数小于第一预设风险阈值时,将第二低风险等级确定为所述第一设备风险等级;
在所述设备风险分数大于第二预设风险阈值时,将第二高风险等级确定为所述第一设备风险等级;所述第二预设风险阈值大于所述第一预设风险阈值;
在所述设备风险分数大于或等于所述第一预设风险阈值且小于或等于所述第二预设风险阈值时,将第二中风险等级确定为所述第一设备风险等级。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
在所述第一设备风险等级为所述第二中风险等级时,获取与所述目标设备号对应的所述客户前终端设备的第二预设时间段的第二历史登录行为数据;
从所述第二历史登录行为数据中获取以所述目标设备号向所述KYC后台服务器发送登录请求的设备请求次数;
确定所述设备请求次数中的设备攻击请求次数;
根据所述设备请求次数和所述设备攻击请求次数确定所述第一设备风险等级对应的第二风险概率。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
确定所述设备攻击请求次数中所述目标用户姓名被标记为所述第一中风险等级的第一记录数量,以及所述目标设备号被标记为所述第二中风险等级的第二记录数量;
根据所述第二历史登录行为数据确定所述客户前终端设备对应的设备概率重要度系数;
根据所述第一记录数量、所述第二记录数量、所述设备概率重要度系数确定所述第一姓名概率系数和所述第一设备概率系数。
9.如权利要求8所述的方法,其特征在于,所述根据所述第一姓名概率系数和所述第一设备概率系数确定所述目标风险等级,包括:
定义事件S:所述身份信息和所述目标设备号访问场景下,所述登录请求为攻击请求;
定义事件A:所述登录请求为攻击请求;
定义事件B:所述身份信息访问场景下,所述身份信息对应的风险等级为所述第一中风险等级;所述身份信息的风险等级有三种情况:所述第一低风险等级、所述第一中风险等级、所述第一高风险等级;
定义事件C:所述目标设备号访问场景下,所述目标设备号对应的风险等级为所述第二中风险等级;所述目标设备号的风险等级有三种情况:所述第二低风险等级、所述第二中风险等级、所述第二高风险等级;
根据所述第一姓名概率系数、所述第一设备概率系数、贝叶斯公式确定所述事件S发生的目标攻击概率;
确定所述目标攻击概率对应的所述目标风险等级。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-9任一项所述的方法。
CN202311806527.9A 2023-12-26 2023-12-26 云刷脸的智能风控方法及计算机可读存储介质 Pending CN117792653A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311806527.9A CN117792653A (zh) 2023-12-26 2023-12-26 云刷脸的智能风控方法及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311806527.9A CN117792653A (zh) 2023-12-26 2023-12-26 云刷脸的智能风控方法及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN117792653A true CN117792653A (zh) 2024-03-29

Family

ID=90382783

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311806527.9A Pending CN117792653A (zh) 2023-12-26 2023-12-26 云刷脸的智能风控方法及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN117792653A (zh)

Similar Documents

Publication Publication Date Title
Torroledo et al. Hunting malicious TLS certificates with deep neural networks
US10296248B2 (en) Turn-control rewritable blockchain
EP3443709B1 (en) Multiple-link cryptologic blockchain
CN110324143A (zh) 数据传输方法、电子设备及存储介质
CN109242481A (zh) 基于区块链查询质押信息方法、装置及计算机设备
Zhao et al. Iris template protection based on local ranking
CN110634072B (zh) 一种基于多签和硬件加密的区块链交易系统
Tu et al. Privacy‐Preserving Outsourced Auditing Scheme for Dynamic Data Storage in Cloud
CN110535630B (zh) 密钥生成方法、装置及存储介质
CN113918977A (zh) 基于物联网和大数据分析的用户信息传输装置
CN114048453A (zh) 用户特征的生成方法、装置、计算机设备和存储介质
CN113821780A (zh) 视频解析方法、装置、电子设备及存储介质
CN111475690B (zh) 字符串的匹配方法和装置、数据检测方法、服务器
CN115758402A (zh) 结合同态加密和模型水印的人工智能模型联邦学习方法
CN114169888B (zh) 一种通用型支持多重签名的加密货币保管方法
CN117792653A (zh) 云刷脸的智能风控方法及计算机可读存储介质
CN113536372B (zh) 数据处理方法、装置及电子设备
CN112491840B (zh) 信息修改方法、装置、计算机设备及存储介质
CN113285934B (zh) 基于数字签名的服务器密码机客户端ip检测方法及装置
Hao et al. Robust and secure federated learning against hybrid attacks: a generic architecture
KR102174687B1 (ko) 비밀 전자 투표 시스템 및 방법
CN113254989A (zh) 目标数据的融合方法、装置和服务器
Dong et al. FPETD: Fault‐Tolerant and Privacy‐Preserving Electricity Theft Detection
Xu et al. IB2P: An image-based privacy-preserving blockchain model for financial services
CN117499159B (zh) 一种基于区块链的数据交易方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication