网络支付不再“裸奔” 用户行为认证来了

中国互联网协会《中国网民权益保护调查报告2016》显示，近一年的时间，国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。在这其中，因网络交易而造成的损失占很大部分。当传统方式已经不能保护网络交易的安全，“行为认证”出现了，为网络交易筑起另一面更高效的“盾牌”。

岁末年初，京东被曝出12G数据疑似外泄，其中包括用户的用户名、密码、邮箱、电话号码等多维度信息。不只是京东，去年，网易、中国人寿、申通等众多企业纷纷传出信息泄露丑闻。随着我们生活全方位“触网”，个人信息安全也越来越难保障。

中国互联网协会《中国网民权益保护调查报告2016》显示，近一年的时间，国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。在这其中，因网络交易而造成的损失占很大部分。

当传统方式已经不能保护网络交易的安全，“行为认证”出现了。利用这种技术即使密码丢失也能保证网络交易的安全，这又是怎样做到的呢？

行为识别 捕捉信息安全的蛛丝马迹

保护身份信息变得越来越难，网络交易被盗刷的案例几乎每天都在发生。交易安全让人担心，互联网金融也变的“不那么美”了。仅靠身份认证已然无法辨识身份盗用和交易欺诈，怎么办？

由上海同济大学电子与信息工程学院教授蒋昌俊带领的团队为网络交易筑起了另一面更高效的“盾牌”——以用户行为认证为基础的风险防控机制。而他主持的“网络交易支付系统风险防控关键技术及其应用”项目，也荣获2016年国家科技进步奖二等奖。

所用的设备、系统、软件，浏览网页、下载、消费……我们在网络上的细小行为都会留下痕迹，久而久之形成习惯，这种习惯如同指纹一样难以复制，具有比密码更加复杂且细微的特点。

早在10多年前蒋昌俊就认识到行为分析对于互联网信息服务的重要性。为此，当时还在同济大学任职的他于2007年与支付宝技术团队合作，带领研发团队率先提出了风险防控的行为认证技术。蒋昌俊说：“该技术通过采集和分析用户在系统中留下的蛛丝马迹，建立用户行为数据挖掘的要素路径与标准规范，为每个用户构建了基于PN机等模型的表征独特行为习惯的‘行为纹理’。”买家即使用户名、密码被盗，系统也能根据买家的这些“行为纹理”，快速、准确判定此交易是否可信，从而决定是予以放行或是报警。

行为认证 构筑更高效网络交易“盾牌”

事实上，传统的信息安全技术以身份认证为核心，可以有效防范黑客攻击、病毒木马等行为。但如今的互联网诈骗事件中，不法分子多以盗取“钥匙”——用户身份信息的方式，骗过支付平台的身份认证系统，实现资金转移。当身份信息不再那么“安全”，怎么办？

增设人工验证环节是支付平台最常见的应对措施。然而，我国的互联网金融体量巨大，人工审核并不太现实。以支付宝为例，支付宝曾有2000多名员工专门负责交易审核，按照经验规则对可信交易审核，直接放行率只有44%左右。剩下的交易还需要通过短信测试，每一笔交易的平均响应时间长达2—3分钟。这样的审核方式不但效率低、成本高，而且无法精准判别交易行为的可信程度。特别是在今年“双11”时期，支付宝的支付总量达到10.5亿笔，峰值达到12万笔/秒，协调全球银行达到交易支付峰值5.4万笔/秒。在这样的交易高峰时期，对每笔交易进行风险审核，如果采用人工审核的方式明显不现实。

市场巨大 我国技术能否领跑全球？

随着互联网金融市场的急速增长，网络安全领域也是众多国际巨头抢滩的市场，不少大型互联网公司不惜花重金研发更为先进的技术解决方案。去年底，IBM宣布将在互联网安全领域投入2亿美元。全球第二大市场研究咨询公司“市场和市场”预计，未来几年全球网络安全市场将保持10.6%的复合增长率，2016年的规模预计为1224.5亿美元，而2021年将达到2023.6亿美元。