SaaS 支付

什么是速度检查?

作者: 奥列克桑德拉·布坚科,文案撰稿人

审阅者: George Ploaie, 首席运营官 (COO)

什么是速度检查

什么是速度检查?

速率检查是一种(实时)风险评估机制,用于观察公司目标时间段内特定客户行为的发生频率。当活动频率超出既定限制时(例如客户每秒尝试支付多次),系统会通过标记或阻止这些活动来处理。

速率检查对SaaS订阅支付为何重要?

与SaaS产品销售相关的网页有时被标记为自动化软件的初始访问点,这与其普遍的公共可用性特点一致(并且通常不需要密码即可进行初始服务交互)。实施速率检查提供了一种管理至少三种最常见的滥用类别的方法:

  •       银行卡测试是指利用自动化系统,通过商家的交易门户提交大量被盗用的银行卡号码,以识别其有效性。商家的运营支出包括交易处理费以及与拒付相关的财务责任。
  •       通过凭证填充,机器人会执行自动化登录序列,以测试通过先前数据收集获得的大量用户名和密码在SaaS平台中是否有效。
  •       通过脚本创建大量临时免费账户,使得用户能够访问各种付费服务,例如云计算或抓取工具,而无需相应的订阅。截至目前,这些用户可以免费使用这些功能,并且未预见未来会有商业化。

什么数据支撑速率检查?

一套非常强大的速度规则不仅会关注“一次点击”的频率,还会检查与身份相关的信息组合,以捕获那些竭力伪装成以下身份的欺诈者:

  • 交易日志:系统显示在给定时间内,单个信用卡号、账户ID或个人账单地址被使用的频率。
  • 设备指纹:记录硬件、浏览器版本和屏幕分辨率的精确组合。设想一下,如果一个浏览器配置文件在两分钟内显示了 20 次使用记录,并且伴随着不同的用户名,这将导致一个阻止分类结果。
  • IP地理定位: 请求来自同一IP地址的次数。系统还被配置为将某些情况检测为“不可能的旅行”,例如,在五分钟内,一次登录先发生于纽约,随后又发生于东京。
  • 分析电子邮件行为:研究仅通过临时电子邮件提供商注册的特定数量账户的行为,或通过同一基本电子邮件地址的不同变体(例如 [email protected][email protected] 等等)注册的行为。

 

如何在SaaS计费堆栈中实施速率检查?

根据公司规模,工程团队通常会选择两种主要实施方案中的一种:

  • 支付服务提供商: 其仪表板提供了定义规则的功能,以在初始阶段应对银行卡测试尝试。使用此功能不涉及对主系统进行修改或额外的编程。
  • 定制化欺诈检测 (专用API):在客户操作到达您的计费系统之前的几个步骤,您有权对其进行拦截,并向您的外部欺诈供应商发送API请求。这种分析水平基于深入的应用内数据跟踪和复杂的历史决策,并在任何内容进一步传递到支付流程之前决定允许或阻止。

如何在不导致误报拒绝激增的情况下调整速率规则?

特定规则集用于识别真实用户可能遇到访问障碍的情况(例如,忘记密码或网络受限)。以下是一些帮助您微调规则的技巧:

  • 审查历史基线:通过查看高流量时期的客户日志,了解真实用户活动,例如, 大型产品发布,以了解人类能以最快速度工作的极限。初始 欺诈限额 可以设定在超出人类典型阈值的水平。
  • 使用动态滚动窗口:不要在午夜后重新计数,而应实施滚动时间窗口(例如,每60秒窗口内最多3次尝试)。
  • 按用户信任级别划分:对于信誉良好、长期登录的用户,允许更快的速度检查;同时,对未注册的 访客结账 或新账户。

 

什么是“速率检查失败”错误,以及如何处理?

这一现象表明,在特定持续时间内,输入请求量超出了配置的最大阈值。一个简单、通用的错误消息(如果同时阻止后续尝试)可能会向未经授权的实体透露安全措施的某些方面。这种组合也会影响已认证用户的体验。解决溢出的一种有效方法是引入 验证码多因素身份验证 (MFA),因为这样做至少暂时停止了机器人的自动化,同时也为人工用户提供了一个完成工作的途径。

结论

检查速度是现代SaaS计费基础设施的关键第一道防线。对用户事件频率和滚动时间窗口进行实时测量,可以使软件平台识别并缓解恶意自动化,从而防止系统过载并避免某些与处理相关的罚款。​‍​‌‍​

准备好开始了吗?

我们也曾经历过您的挑战。让我们分享18年的经验,助您实现全球梦想。
马赛克图像
zh_CN简体中文