基于操作鏈的風險控制系統的設計與實現

劉龍錦 張志杰 梁世民

（北海職業學院 廣西壯族自治區北海市 536000）

在大數據時代，數據的重要性不言而喻，保護用戶數據和信息安全是每一家互聯網公司都應該重點布防的區域。知名的互聯網公司的應用產品基本都會安裝配置風險控制系統以保證自家數據不會被攻擊者隨意爬取，點贊評論播放量等敏感數據不會被攻擊者隨意刷量。傳統的風險控制系統通過在Http請求的Header參數或者Url參數中嵌入加密字段或者字符串、為設備生成不同權重的設備號、校驗IP地址、收集客戶端的部分操作信息等方式來實現對請求的校驗，如果服務器判定通過則返回正確數據，判定不通過則返回錯誤信息或者返回虛假的數據。

攻擊者在破解了客戶端與服務端的Http通訊協議后，風險控制系統就不能有效的阻止攻擊者規律性的、頻繁性、有目的性的請求接口操作。這類風險控制系統重點的實現部分在于客戶端的發送到服務端的Http請求鏈接的加密簽名上。具體的工作主要在客戶端應用的代碼層實現對應的加密算法，常見的加密算法有AES、MD5算法等。代碼層面的主要防護手段則有代碼混淆、應用加殼等方法。這些防守方式實現起來較為簡單也較為成熟，也經過了時間的校驗。而此類風險控制系統的風險控制效果主要取決于加密算法的強度和復雜度。由于客戶端應用是運行在客戶的設備上的，所以是無法避免客戶端遭到破解的，也就是無法避免客戶端的加密算法遭到破解，一旦攻擊者破解了客戶端的加密簽名算法，配合多設備、多賬號、代理IP等資源即可實現大規模的數據抓取和數據的刷量操作。……