基于瀏覽器指紋的虛假訂單識別系統

徐清暄

（江蘇省南京市中華中學，江蘇南京，210019）

1 研究背景

在網絡購物中，商品的評價是除商家所提供信息之外消費者唯一可以參考的信息，因此，在網絡購物模式中，為了保證評價的可靠性，平臺只會為已購買并收貨的消費者提供評價權利。但更多的商家不惜選擇“買評價”來提升商品的信譽，極大地擾亂了市場的正常交易，使得單純的評價權利限制已不能適應虛假評價阻斷的需要。

因為基于對賬戶的購買情況分析所進行的識別和基于IP地址的再識別并不準確，現有模式并不能阻止虛假評價的產生。另外，考慮到消費者隱私權，平臺顯然不可以在客戶端種入隱藏的標記，即使在客戶端留下cookies作為平臺對用戶的識別載體，cookies的留存與否也是單一取決于用戶，這使平臺失去了主動識別以及提供服務的契機。

本文將網購平臺的需求與瀏覽器指紋的優勢相結合，提出了一套基于瀏覽器的設備指紋用戶識別機制。通過對用戶的指紋識別、黑白灰指紋名單分類、評價查重和用戶驗證等環節對虛假評價進行分層級檢測，可以更有效地減少虛假評價允許發布率，維護消費者權利，規范市場規則。

2 瀏覽器指紋

■2.1 瀏覽器指紋是什么

由于HTTP協議是無狀態的，因此用戶訪問服務器的時候，網站會在用戶的電腦端保存一個cookies,以用來后期用戶的識別以及會話的保持。在過去很長的一段時間里，cookies都是用戶再識別的載體，但后來微軟披露cookies會泄露個人的隱私，因此一些隱私意識較強的用戶會定期的刪除cookies，這樣服務器就不能再持續跟蹤用戶。因此后來就出現了瀏覽器指紋，相比于cookies來說，瀏覽器指紋更健壯，瀏覽器指紋主要是通過HTTP和JS獲取用戶瀏覽器屬性配置信息，比如將用戶代理、所用語言、所在的時區、用戶所在地理位置、屏幕分辨率、可用屏幕分辨率、安裝的插件列表、字體列表等等屬性集合起來，按照一定的順序排列成字符串，之后通過散列函數進行計算所得到的唯一16進制的序列作為用戶的ID，這個ID可以在一定時間閥值內準確的對用戶進行識別確認。

■2.2 瀏覽器指紋的屬性

我們經常使用的瀏覽器只有幾種，但是瀏覽器的屬性卻有很多種，包含它的內核信息、語言、插件、字體等等，正是這些屬性的不同，才使得瀏覽器能夠被區分出來，這些瀏覽器的屬性，往往可以生成設備指紋，下面對其中一些瀏覽器屬性進行介紹：

User Agent（用戶代理）：包含當前系統及瀏覽器的版本相關信息。

Platform(平臺):提供瀏覽器所在硬件環境和操作系統的信息，這個屬性沒有標準的值空間，但是有一些常用的值。比如WIN32,MACIntel。

Color Depth(色深度)：緩沖期或者目標設備上的調色板的比特深度。

Pixel Ratio(色素率)：設備物理像素和設備獨立像素的比例。

IndexedDB(索引數據庫）：當前設備是否支持索引數據庫。

Open DB(開放數據庫)：當前瀏覽器是否支持開放數據庫。

CPU class(cpu種類)：瀏覽器所在的計算機系統使用的CPU類型。

canvas（畫布）：基于HTML的canvas獲取瀏覽器的指紋信息。

Adblock(廣告屏蔽插件)：設備是否安裝了廣告屏蔽插件。

Has_lied_language（修改語言）：用戶是否修改了當前瀏覽器或者系統語言。

Has_lied_os(修改操作系統)：用戶是否修改了當前操作系統類型和版本。

plugins(插件)：提供瀏覽器中安裝的插件信息。

■2.3 設備指紋提取

瀏覽器指紋是一種新型的瀏覽器個體識別方式，這種技術是將瀏覽器的相關屬性和信息進行提取和整合，由此生成一個唯一的標識，作為瀏覽器的指紋。

瀏覽器的指紋特性通常包含字體、插件、User Agent、cookies是否開啟，時區等等，各種特征的提取方法不盡相同。瀏覽器發送請求的時候，會在http請求頭中包含一些信息，包含User Agent以及可接受數據的類型，服務器可以從http請求頭中獲取User Agent、http_accept的值、Cookies的設置信息、所屬時區、插件信息以及語言等可以通過js直接調用瀏覽器相關方法獲取得到，系統安裝的字體列表可以通過 fl ash結合js的方法獲取，以上介紹的瀏覽器屬性，大部分都可以通過調取瀏覽器提供的接口方法獲得，但是還有一些瀏覽器屬性需要比較復雜的過程才能獲取到，比如canvas屬性，這種屬性的獲取方法如下：通過html提供的canvas畫布，畫出一幅圖畫或者寫出一段文字，然后將繪畫或者文字轉換成一串字符串返回，該字符串往往采用base編碼，由于不同的系統環境下，不同的瀏覽器，不同的圖片處理引擎，對圖片的壓縮尺寸和導出格式等都會有不同的要求，渲染出來繪畫會有差別，因此canvas屬性可以用來區分不同的瀏覽器。

3 系統設置

本文介紹的虛假評價識別系統分為四個環節，首先是對于用戶瀏覽器指紋的識別，其次是黑白灰指紋名單的認證，再然后是對于評價者自身購買頻率以及評價內容重復率的檢測，最后是評價允許發布以及對于無法發布評價者提供申訴機會。其中，用戶指紋的生成和識別作為系統運行的前提基本獨立于其他環節之外，而另外三個環節則協同運作。下面將給出系統運行的流程圖(見圖1)以及系統運行的詳細描述。

圖1

■3.1 用戶指紋生成和識別

瀏覽器指紋是一種動態指紋，平臺僅需要在用戶提出評價申請時收集用戶的瀏覽器頁面屬性和硬件信息即可以生成指紋。但也正因為瀏覽器指紋的動態性，新的指紋往往具有一部分漸變信息，對于此，系統可以通過指紋重合率來重新聯系漸變部分和原有信息，那么即使用戶該次操作距離上一次操作已經過了一段時間，平臺對用戶的再識別也是有效的。而且，用戶通過虛擬IP地址等信息所進行的識別混淆也會因此失去用武之地。

■3.2 黑白灰指紋名單機制下的虛假訂單阻斷

在對用戶庫中用戶進行識別或者新用戶錄入后，本文所介紹的系統引入了黑白灰分層指紋名單來協助識別。

對于已存在的白名單用戶，系統將直接給予評價允許發布的指令。這不僅僅節省了平臺繁瑣的認證步驟，而且免驗證進行評價發布也會給用戶提供更好的使用體驗。此外，白名單的準入條件在本系統中被設定為在預設時間閥值內未被加入指紋庫中的三色名單體系并在該段時間內成功發布過有效評價，而對于曾經被加入黑名單的用戶則采用一票否決制度，對于曾經被加入灰名單的用戶則會將需要的冷卻時間閥值延長。這種白名單準入機理也會在一定程度上給予用戶的“刷單”行為一些震懾。

對于已存在的灰名單用戶，系統將進行對于該有用戶近期一段時間內訂單成交次數的檢測以及判斷。如果成交次數大于某一閥值，則可基本判定該用戶屬于非正常用戶，并基于此將該用戶加入黑名單。如果成交次數并未超過該閥值，則繼續對該用戶的評價內容進行查重來加強認證，評價內容重復率高于預定值的用戶將同樣被判定為非正常用戶并加入黑名單。但若在成交次數低于閥值的情況下其評價內容重復率依舊低于預設值，那么將繼續進行評價環境驗證，驗證通過則判定該用戶屬于正常用戶，給予評價允許發布指令并將其移出指紋灰名單，否則不允許發布評價。但是，在此環節被阻止評價發布的用戶可以進行申訴，平臺提供人工服務來對該用戶綜合考量并進行判定，若申訴成功則給予評價允許發布指令并將其移出指紋灰名單，否則不允許發布評價。

對于已存在的黑名單用戶，系統將直接給予禁止發布評價的指令并且不會提供申訴機會。但是，如果在一段相當長的預設時間閥值范圍內該黑名單用戶都未被再次判定為非正常用戶，系統就會將該用戶移出黑名單并加入灰名單，但是，如同上文所說，該用戶將永久失去進入白名單的許可權，即無法享受免驗證評價發布的服務。

4 總結與展望

本文主要分為四個部分，首先是對系統研究背景的概述，然后是關于瀏覽器指紋屬性及其提取的介紹，再然后進行了對于新式虛假評價識別系統內容的詳細闡述，最后對研究對象進行了總結與展望。

瀏覽器指紋在本文中的應用可以更好的體現出其優越性，這有利于瀏覽器指紋的進一步發展和推廣。此外，相信在本文介紹的虛假訂單識別系統的協助下，網購平臺可以大大提升商品評價的可信度，為消費者提供更優質的服務，規范市場秩序，建立平臺和用戶雙向信任的交易模式，為網絡購物的發展注入更多的活力。