AWS Community Day Hong Kong 2025 Recap

使用机器学习方法实现电信安全现代化

Recap Series

近期趋势与挑战

在线交易增长

  • 西非、中国和中国香港等地区越来越依赖手机进行交易
  • 预计到 2027 年,全球每年在线交易量将达到一万亿笔

支付诈骗增加

  • 截至 2023 年,诈骗造成的损失达 15 亿美元
  • 47% 的诈骗涉及交易(在线、线下或语音交易)

行业应对措施

  • 部署反欺诈系统
  • 加强双重身份验证
  • 开展行为分析检查
  • 使用风险引擎跟踪行为模式

基于模式的防护存在局限

  • 只能提供一定程度的保护
  • 需要更全面的安全措施

令牌化与去令牌化

  • 加密请求以保护交易安全
  • 接收请求后解密,确保安全传输
  • 这是许多金融公司当前采用的做法

欺诈检测与防范面临的挑战

安全情报缺口

  • 电信行业难以及时应对新型欺诈攻击
  • 安全系统中不断出现新的后门

平衡安全性与用户体验

  • 既要保护系统安全,又要确保合法流量不被阻止
  • 需要考虑如何在不影响客户体验的情况下维持安全

监控与检测的局限

  • 传统的允许/拒绝规则不足以应对现代威胁
  • 新型攻击经常绕过基于规则的系统

使用 AWS 工具增强识别能力

  • 使用 AWS 工具识别并缓解新型威胁

传统安全方法与现代安全方法

传统方法

  • 允许或拒绝规则
  • 两步验证
  • 使用固定 IP 地址的网络 VLAN

传统方法的局限

  • 无法有效应对由先进 AI 和机器学习驱动的攻击
  • 会在系统中产生更多漏洞

欺骗手段的演变

现代攻击技术

  • 重点转向语音诈骗
  • 利用社会工程学诱骗用户进行并非由其本人发起的交易

对 AI 和机器学习的需求

  • 回应人们的担忧以及对高级解决方案的需求
  • 提供应对当代欺诈手段的解决方案

现代通信方式中的历史遗留缺陷

SS7 协议

  • 用于 2G、3G 和 4G 网络
  • 设计初衷是防止通信被截获
  • 7 号信令系统(Signaling System No. 7,SS7)是全球通用的一组电信协议,为全球大多数公共交换电话网络(PSTN)呼叫提供信令和控制。它通过独立的专用网络交换建立、管理和释放语音呼叫所需的控制信息,并支持 SMS 和来电显示等高级服务。
  • SS7 在 20 世纪 70 至 80 年代被设计为封闭式系统
  • 这种安全性缺失使其容易遭到利用。能够访问 SS7 网络的恶意行为者可以:
  • 跟踪位置:通过查询位置数据库,精确确定用户在世界任何地方的位置。
  • 截获通信:窃听通话并读取 SMS 消息,包括网上银行及其他服务的双重身份验证(2FA)代码等敏感信息。
  • 实施欺诈:重定向呼叫、发动 SIM 卡交换攻击,或开展其他欺诈活动。
  • 发动拒绝服务(DoS)攻击:使信令信道过载,造成网络中断。
  • 4G 和 5G 网络主要使用更安全的 Diameter 协议传输信令,但 SS7 仍被广泛用于支持全球漫游、与传统 2G/3G 网络互联以及传送 SMS 消息。

持续存在的威胁

  • 尽管 4G 和 5G 已广泛建设,2G 和 3G 网络仍在使用
  • 黑客利用 SS7 协议缺陷截获通信
  • 一些地区仍依赖较旧的网络技术,因此威胁持续存在

在电信安全中使用 AI 的优势

AI 作为赋能技术

  • 训练机器检测欺骗性对话
  • 识别对话中的诈骗性语言
  • 区分正常交互与欺诈交互

持续学习

  • AI 能够适应新型攻击并给出新的解决方案
  • 确保防护能力与不断演变的威胁同步更新

经济影响

  • 防止收入流失和公司破产
  • 维护客户信任这一宝贵资产
  • 确保系统安全,以维持客户信心和投资意愿

解决方案概述

与现有系统集成

  • 同时覆盖基于云的系统和本地传统系统
  • 尽量降低 5G 技术的延迟
  • 确保与较旧网络技术兼容

解决方案流程

  • [ 1 ] 发起呼叫
  • 通过无线电波、卫星或 IP 地址发起呼叫
  • [ 2 ] 路由
  • 将呼叫路由到通信塔
  • [ 3 ] 转换
  • 呼叫先经媒体转换器转换,再传入安全环境

可疑语音检测

  • 转录器在通话期间捕捉可疑话语
  • 自定义关键字检查:
  • 标记“告诉我您的 PIN”或“我们需要您的银行信息”等关键字
  • 确保对话中的敏感信息得到安全处理

解决方案详细工作流

预加载关键字

  • 系统预先加载表明可能存在欺诈的关键字(例如“告诉我您的 PIN”)
  • 这些关键字是识别可疑对话的第一道关口

Amazon Comprehend

  • 分析对话的语气、紧迫程度和情绪
  • 识别诈骗性语言和异常对话模式

Amazon SageMaker

  • 使用自定义模型进行部分实时训练
  • 通话期间,系统会识别可疑模式,并向用户发送欺诈警报
  • 如果检测到欺诈,用户可以选择结束通话

Amazon EventBridge 与 Lambda 函数

  • Amazon EventBridge 负责传递自定义欺诈逻辑相关事件
  • Lambda 函数处理不同检测场景(中性、非中性、欺诈)
  • 根据检测结果触发用户通知

再训练存储桶

  • 将最初未检查的对话保存到 S3 存储桶,用于再训练
  • 支持无监督学习,让系统能够从过往对话中学习

系统可观测性与合规性

  • 生成合规所需工件
  • 使用 Amazon CloudWatch 监控日志
  • 使用 Amazon GuardDuty 识别模型行为变化和安全注入
  • 使用 AWS Glue 爬网程序对配置进行静态分析(自动扫描和发现 Amazon S3、DynamoDB 及关系数据库等各种数据源中的数据,并填充中央 AWS Glue Data Catalog)
  • 使用 AWS Config 进行密钥管理
  • 管理个人身份信息(PII)

数据敏感性与加密

  • 确保数据无论位于电信运营商侧还是云端都保持安全
  • 支持完全在云端实施,电信用户也可以选择自己偏好的方式

演示与实施细节

  • 通过简单演示展示正在进行的对话,以及如何识别可疑模式
  • 实时检测欺诈并向用户发出警报

录制的对话

  • 演示包含多段语音录音
  • 区分非钓鱼语音录音与语音钓鱼录音

使用 Terraform 部署

  • 使用 Terraform 部署基础设施
  • 提供用于部署 Lambda 函数的示例代码

Lambda 函数

  • 由事件触发 SNS 主题
  • 检测关键字:“重置您的 PIN”“确认您的账户”“后四位数字”“确认您的账号”
  • 可疑阈值设置为 0.5;达到 0.85 则表示欺诈

缓解框架

融合 AI 的策略即代码

  • 强调将策略定义为代码并融入 AI 的重要性
  • AI 可协助理解和更新超出人类处理能力的复杂代码

结构化代码部署

  • 采用适当的结构,将代码部署视为同行评审过程
  • 附加安全风险处理措施和单元测试
  • 使用 Amazon GuardDuty 持续监控模型行为,确保系统得到保护

自然语言处理(NLP)

  • 加入 NLP,识别电信通信和无线电波中的模式与情绪
  • 增强对欺诈、中性或安全通信的检测能力

全球欺诈防范

实时风险管理

  • 专注于在全球范围内实时防范欺诈
  • 通过持续监控和调整确保系统安全

结论

  • 强调主动防范欺诈,而不是事后被动应对