支付宝大安全资深技术专家告诉你:支付宝为什么“腰杆这么硬”

2020-04-02 15:37:18

随着技术纵深发展,“万物互联”的概念已不鲜见,在数字化世界的游戏规则里,除了网络基础信息安全隐患外,业务安全风险也已经越来越被重视。

陈锣斌是支付宝大安全的资深架构师,已拥有近十年“蚁龄”。

从2010年9月加入蚂蚁后,陈锣斌一直负责业务风控平台的实时计算以及数据相关工作,经历过整个业务风控从2代平台到5代平台的建设,近两年陈锣斌同时进入到基础安全领域,带领平台研发团队建设“安全全域态势威胁感知平台”,为支付宝整体安全的攻防提供有力支撑。

一、当我们在谈互联网安全的时候 我们在谈什么

在陈锣斌看来,互联网安全目前主要两个大领域,一块是网络信息安全或者说是基础安全,另一块是在网络上各种应用、服务所涉及的业务本身的安全。在此之后才有“风控系统”的到来。

前者基础安全其实就是互联网上的信息安全。涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术。比如,个人在网站上的隐私信息保护,网络通信的时候防止信息被窃取监听,为防止黑客入侵造成服务攻击或者数据泄露所建设的各种安全防护能力等。

最开始是1988 年,世界上第一例蠕虫病毒“Morris”出现,之后世界上各种病毒、木马和网络攻击层出不穷,严重威胁到互联网的繁荣和用户数据的安全。特别是制造网络病毒逐渐成为一种有利可图的产业,网络安全就基本上成为伴随互联网扩散的常态问题,且愈演愈烈。

从“Morris”到“wannacry”,蠕虫病毒挑战的不只是安全防护技术

后者业务安全,其实就是在互联网上开展各种业务所面临的一些风险防控的技术。比如社交的相关业务就会涉及到内容的安全(暴恐政、黄赌毒),电商业务的刷单、营销作弊,还有就是支付的时候的支付风控、洗钱、欺诈等风险防控。

二、网络安全的过去、现在和未来

陈锣斌认为,早期人们对安全的认知都相对简单,很多人认为个人电脑就是杀毒软件,网络就是防火墙,业务安全可能就是数字证书、密码加上简单的异步监控。但随着市场的扩张,不断升级的安全风控的能力成为各大互联网公司的标配。

互联网是一个开放的世界,不法分子、黑产都会想在其中寻找牟利的机会,互联网重要业务的开展现在都离不开多种网络安全的能力,当一个公司不具备这方面足够能力的时候,很容易使得业务开展举步维艰,甚至直接影响公司的生存,比如,游戏(入侵系统、游戏外挂)、社交(内容安全)、营销广告(营销作弊)、电商(刷单、欺诈),愈演愈烈的风险手法已经不是在单一的安全领域能独立解决的,更需要从整个安全体系来看,综合的安全防控方案是什么,基础安全和业务安全深入联动也已成为行业共识。

相对应地,基础安全技术和业务安全技术也两者从原先的相对比较独立到逐渐走向了融合,业务安全主要基于大数据计算、模型算法来做风险检测,基础安全在反入侵、反爬主机安全等方面也使用很多的大数据技术,两者在风险的联合防控上越来越紧密,在技术上大数据计算、人工智能方面也有越来越多的交集。支付宝AlphaRisk就是这方面的典范。

陈锣斌重点揭示:网络安全趋势将走向需要综合性防控的道路,单一安全/风险技术都很难防控住目前互联网上的新型风险。

三、支付宝为什么腰杆这么硬:“你敢付,我敢赔。”

早在2005年,支付宝就有相应的风控系统以及对应的职能部门,为守护用户的每一分钱而努力。“你敢付,我敢赔”的理念一直延续至今。

相信有不少人看过《智造将来》黑客攻击支付宝的电视节目,节目中几位顶尖黑客拿着“真枪实弹”一层层攻入一位普通用户的支付宝,试图转走5元。5元在普通的转账过程中其实是极为正常的,这样小额的数目为支付宝的安全系统带去了更大的挑战。据支付宝大安全掌门人芮雄文回忆,当时确实捏了一把冷汗,黑客已经拿到了支付宝用户的密码、银行卡,甚至已经用软件控制了手机可以发送验证码当场修改密码……在看似360度无死角的黑客攻击后,支付宝的AlphaRisk依旧是完美地阻止了所有非正常的支付行为。

当“黑客”攻入支付系统时,雄文在内的所有人都捏了一把汗

支付宝已经成为用户全球排名第一的移动支付工具,而保障支付宝毫发未损的风控系统经历了五代升级,现如今,它的正式名称为“AlphaRisk”。

AlphaRisk是支付宝风控多年实践与技术创新的智慧结晶,是全球最先进的风控系统之一,在其保护下,支付宝交易资损率不到千万分之一,远低于国际同行。“如果拿自动驾驶的等级定义来比喻,目前AlphaRisk处于L2和L3之间。在智能化的加持下,处于行业领先水平。”陈锣斌说。

AlphaRisk的原理是应用AI技术颠覆传统风控的运营模式,通过Perception(风险感知)、AI Detect(风险识别)、Evolution(智能进化)、AutoPilot(自动驾驶)4大模块的构建,将人类直觉AI(Analyst Intuition)和机器智能AI(Artificial Intelligence)完美结合,打造具有机器智能的风控系统,愿景是实现风控领域的“无人驾驶”技术。

支付宝平台上每天都有上亿笔交易,通过AlphaRisk智能风控引擎,不仅能够对每个用户的每笔支付进行7×24小时的实时风险扫描;同时通过不断新增的风险特征挖掘和优化算法迭代的模型,自动贴合用户行为特征进行进化风险对抗,不足0.1秒就能完成风险预警、检测、管控等流程,确保用户账户安全和支付交易的万无一失。

安全一直是支付宝发展的生命线,支付宝从一而终地践行着“你敢付,我敢赔”的理念,时至今日,支付宝在风控领域的探索、创新,以及落地应用都处于世界的前列。

四、“热情加实践经验是最重要的”

目前支付宝大安全也一定程度上代表了当今世界安全技术的巅峰,加入这个团队你必然会被培养成在网络安全技术领域的中流砥柱。

在陈锣斌眼里,安全风控领域是集基础建设、安全攻防、大数据技术、人工智能于大成的一个交叉领域。由于在激烈的复杂对抗一线,在这个领域的人能得到最充分的锻炼,技术也最有希望快速做到业界顶尖。

对于想加入大安全的同学,陈锣斌建议同学们在夯实基础的同时,还是要多多动手,多做,无论实验室项目还是企业实习项目,实际去做和停留在理论上是不同的结果,具体还有如下三点:

1.技术基础:计算机基础知识扎实、数据结构、算法等能活学活用,有1~2门掌握的较好的语言。

2.有成果:有较多的实践,有实际项目经验很重要,真正用技术、算法去解决过一些问题,也可以是去参加过什么比赛,有过何种收获等。

3.有热情:学习能力,平时在自己的领域之外,是否有关注更多的前沿技术,学了什么,去思考过什么。

五、招聘信息:

【团队介绍】

蚂蚁金服大安全事业群是管理蚂蚁金服账户安全、资金安全、内容安全和数据信息安全、系统平台安全的核心部门。团队运用最新的生物核身技术和大数据技术,结合专家经验、数据分析方法和AI手段,保障用户的权益和资金安全。

蚂蚁金服的旗下产品包括支付宝、蚂蚁财富、芝麻信用、花呗、相互宝、余额宝、蚂蚁金服等。

【你想要的我们都有】

前沿领域:科技驱动金融,金融科普大众,支付宝的核心业务在于安全。参与建设各种安全项目,感受安全如何成为实现普惠金融、构建新金融生态的核心驱动力。

一流平台:全球10亿用户的大平台,全球一流的互联网安全技术体系!近距离接触支付宝风控多年实践与新技术创新的最新成果——第五代智能风控引擎AlphaRisk!

最新技术:体验应用AI技术颠覆传统风控的最新动向,参与建设具有机器智能的风控系统,一起实现风控领域的“无人驾驶”技术。

【岗位简介】

社招工作地点:杭州

校招/实习工作地点:杭州/上海/成都/北京

校招/实习岗位类型:1. 研发类:Java、C++、安全、前端、客户端、数据研发2. 算法类:机器学习、图像图形、NLP等

【简历投递】

邮箱:luobin.chen@antfin.com

关闭
精彩放送