资讯 网络安全

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

作者:郭佳
2017/11/13 15:25

雷锋网编者按:每年的“双11”不仅是各大电商平台最重要的节日,也是各路黑产从业者赚钱的“好时机”。羊毛党、黄牛党、盗号党、欺诈党等轮番上阵,手段五花八门,攻击方式更是层出不穷。

就在大家熬着夜、盯在电脑前等着抢各类优惠券和“秒杀”商品时,黑产从业者也深谙“有需求就有市场”的道理,组织撸货大军在“双11”这一天疯狂汇聚,抢券秒货。据“一本财经”报道,一张减30的券,能卖到8块,有人在“双11”活动中可以赚到20万,真是薅上一天,够吃一年!

在这条“薅羊毛”的产业链中,有提供各家电商账号的卡商,有开发“抢货软件”的黑客,还有各大 QQ群中指挥千万“羊毛党”的“羊头”……在各路人马的分工协作下,商家的“返利”“促销”,被黑产分食殆尽。

那么,这些黑产的现状和新的发展趋势有哪些?如何通过技术手段对其进行防范?

11 月 9 日,雷锋网(公众号:雷锋网)宅客频道(微信ID : letshome)邀请了顶象技术风控产品技术负责人张晓科,他通过列举那些被“薅羊毛”的实例,来为大家讲解在营销推广时该如何防范羊毛党。

嘉宾介绍

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

张晓科是顶象技术的风控产品技术负责人,资深的业务安全专家。此前服务于阿里巴巴,长期专注业务安全防控、高并发、高性能的架构设计和研究,在阿里安全从事过交易欺诈、恶意行为、活动反作弊和旺旺安全,还有案件库等安全防控业务,拥有比较丰富的业务安全实践经验和互联网高性能架构经验。2017 年 4 月底加入顶象,主要负责业务安全产品的技术研究。

以下是公开课总结文实录+视频,在不妨碍原意的表达上,雷锋网略有删节,视频附在文末:

若想获得此次公开课完整 PPT,请关注微信公众号宅客频道(微信ID:letshome),回复“防羊毛党 ”。

今天主要分享的内容是以下四点:

第一点,薅羊毛的一些案例、危害。

第二点,薅羊毛的形势、趋势和一些产业链。

第三点,营销广时该如何防范羊毛党。

第四点,针对羊毛党,怎么做到多方面的防控。

薅羊毛的案例、危害

案例一,返还双倍的天猫积分的生日礼包(针对电商)。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

在 2015 年的“双11”,黑客利用 6 家店铺,冒充 10 万多个天猫商城会员,通过虚假刷单了 14 亿,获取了 7亿多积分,总共骗取天猫 671 亿万元。

黑客主要是利用了天猫积分规则的一些漏洞,规则是会员在生日当天购买商品,天猫会送消费者双倍的购物积分,除了购物积分外还享有同等数额的生日积分,如果发生退款、退货,消费者只需要返还购物的这部分积分,天猫赠送的生日积分仍然保留在消费者的账号里。

举个例子,假如我花 5000 块钱买了一个电子产品,除了赠送我 5000 外,天猫商城还会额外赠送我 5000 的生日积分,然后我退货,商家也确认退款,我只需要把 5000 的购物积分返还给天猫,生日积分依然留在我的账号里。

黑客首先购买一些自动化工具和大量的账号,通过工具激活这些账号,并把大量账号的生日都更改成符合活动的日期,然后他在自己的店铺里放置多个虚拟商品,有低额、高额的,通过自动化工具拍下一些高额的商品,从而获取购物积分和额外的生日积分,再自动退款,把购物积分返还给天猫,这样他就额外获取了生日积分。最后用生日积分来购买自家的虚拟商品进行套现。

案例二,ofo推出小黄车抢现金红包活动(针对共享行业)

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

今年 4 月份,ofo 划定了一个红包车区域,在这个区域里随便打开一辆小黄车,骑行 10 分钟以上并超过 500米,就能获得一个随机红包,金额最低一两块,最高五千块。

黑客通过手机模拟器,并安装一些虚拟的定位软件,把自己的 GPS 位置定位到红包区域里,然后打开ofo软件,输入ofo单车的一些编号,等待 10 分钟,再把自己的 GPS 位置定位在 500 米之外,这样结束用车就可以得到骑行的红包。

羊毛党或专业杀手利用这些模拟器可以同时登录几个、几十个,或者更多的账号来刷红包,这样就做到足不出户,日薅千元。

案例三,壹文财富被曝逾期。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

在去年 5 月 27 号的时候,壹文财富发布公告称,平台遭遇了不法人员冒用其他人员的信息进行注册投资,法务部门已经冻结了投资金额在 540-800 元一些账户的账号,要求手持身份证和提现银行卡的账户进行实名认证。

它这个公告一推出,好多羊毛党出现反弹,在一些论坛上发一些帖子,一些投资者看到也会产生一些恐慌情绪,随后壹文财富就遭遇了挤对,导致它后期到期的投资资金回款遭遇延期兑付,形成连锁反应。

其实,它的背后根本原因是,它在拉新的时候产生了大量的羊毛党账号,而且这些资金投资期限很短,基本上对它活动资金上带来了压力,特别是在新兴的一些中小网贷,都会采取这种做法,在快速获客和吸纳资金方面推广一些活动,通过和广告商和其它的第三方平台,甚至还直接和羊毛党的团长(羊头) 进行一些合作,谈一些推广的提成。

这些团长(羊头)通过 QQ 群或者其它在线群发布一些任务,里面的羊毛党就会进行投资、注册,羊毛党完成注册后拿着截图来给团长看,会直接返现他一部分推广的资金,同时这个羊毛党投资的钱也可以拿到一些利息,包括后期一些投资的红包。这就完成了整个的接单、注册投资、交单返现,这就是薅羊毛的过程。

羊毛党的危害

通过上面这三个案例,我们可以很直观地感觉到羊毛党的危害。

1、运营成本高,推广费用在短时间都被羊毛党薅干,导致资损。

2、本来推广的费用是给正常用户的一些福利,结果被羊毛党薅走,影响正常用户的体验和一些网站活动的口碑。

3、对服务器带来一定的压力,严重的话会导致服务器宕机,影响活动的正常进行。

前段时间就有一家 P2P 的公司,活动刚开始就导致了羊毛党集中过来薅羊毛,结果导致它的服务器直接宕机,活动3个小时内甚至一段时间内,基本上都是直接关闭、停止活动了。

4、对网站平台,羊毛党的资金,复投率比较低,他通过短期的投资拿到一些红包、投资券返现之后,基本上就直接兑付、走人,换其它平台继续。所以,到期有几种兑付的风险。像有一些网站平台都会受到这些资金的影响,导致自己跑路。

羊毛党的形式

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

最初是线下会出现一些优惠活动,限时优惠、满减折扣,还有一些成团的团购,最初羊毛党在这个范围的时候还比较小。

后面,就演变成线上线下同时进行,只不过最初线下可能会多一些。随着电商的发展,在线上也会有各种活动,比如拉新、注册新用户红包,或者是邀请好友返现,每个好友邀请一个得多少的现金红包,还有优惠券、满减券、点券,这是电商时代。

到14年左右开始,随着 P2P 的出现,又出现了新形式的薅羊毛,也是通过拉新和募集资金邀请新用户,有投资体验金、邀请用户的一些返现。互金这一块儿主要是拉新、引流、募集资金。

羊毛党的趋势

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、初期是小作坊。

一个人有多个账号,邀请亲朋好友可以拿到一些返现红包、邀请红包。这个在电商时代比较典型,也是商家愿意看到的一些正常引流方式。

2、包工头。

一个稍具有规模的羊毛党的团体,接到单,对某个店铺进行交易量的刷单,还有一些广告任务。这个规模主要是以学生、家庭主妇为主,撸个小钱,最典型的可能就是一些注册账号,绑定一些身份证账号或者是银行卡号,还有是做一些人脸认证,还包括一些下单的刷单交易、点击广告。

其实,在这一块儿有比较多的欺诈产生。之前经常会看到新闻,学生被骗,或者是某某被骗,主要也是在这里,他刷单自己投入资金,前期他投资会给他一定的返现,随着后面投的钱多,就会被骗,会遇到直接拿着钱跑路的情况。

3、专业刷手。

这个团体已经是比较专业的了,基本上已经形成了上下游完整的产业链。

像专业刷手,是一个团队,可以直接对活动进行狂撸、狂薅,月入万元是很轻松的,甚至是更多。这个比较典型的场景就像 O2O、电商,还有在共享、互联网、互金等。在互联网业务全面开花,规模也成型了。

14年之后,开始出现针对互金的羊毛党。

主要就是有一些内部平台,因为内部人员也想拉新、募集资金,可能就和羊毛团的团长直接谈判,谈判一些拉新的返现,还有一些能力不强的团长(羊头),可能还有一些上级的代理,这个代理可能是一些广告公司或者第三方平台。

随着政策的收紧,包括网站平台的跑路,羊毛党也有风险的,所以这一块儿相对比 14、15年,15 年是羊毛党发展最好的,现在羊毛党也有一些风险。

薅羊毛”的产业链

刚才我们讲到,专业刷子有已成型的产业链。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

产业链,主要是各种活动信息的共享,还有薅羊毛经验的交流。网上有好多社区、论坛、QQ 群,群里会有羊头,他从平台内部或者上级代理拿一些任务,进行任务分发。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

职业刷手也会在论坛或群里发一些作案的手法还有教程出售,由黑客来寻找漏洞,制作一些软件和工具。比如批量注册的软件、刷单的软件、IP 的代理、各种模拟器、群控软件等。

有了这些工具之后,职业的刷手还需要一些账号,账号有卡商和专门出售账号的团伙,卡商基本上会从运营商内部或者代理处拿一些卡,有专业的设备来养卡。

账号基本上从地下施工库,还有一些黑客进行一些脱库、撞库包括一些木马来采集的一些用户的隐私信息。

还有一些钓鱼网站,当然还有一部分就是内鬼泄漏一些我们的用户隐私信息。比如,大家之前经常接到一些广告电话,包括从房产中介、甚至是物业都会泄露一些用户信息。还有一些批量的注册软件注册一些账号。

这些账号也分等级,不同等级的账号卖的价格不一样,有些最初的账号可能信息有限,还有一批账号可能绑定了一些身份证、银行卡,这个账号可能质量稍微高一些,卖的价钱贵一些。也专门有团伙来进行账号的清洗,还有对账号进行养白,养白就是这些白账号可以正常地参加活动或其它的交易。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

接码平台,主要就是有工具、账号之后,注册的时候我们一般都会收到短信验证或者是用图文验证、或者是语音说几句话,这个有专业的接码平台,我们发的这些信息直接就通过卡上的号码,直接被电脑提取到一个软件上,这个软件后面就有一些人工进行读码,读取到我这个短信是多少,然后再返回给前端的软件。

最后面的就是一些套现和协助销赃,比如说我们在某一次活动搞的一些充值卡、优惠卡,这个销赃的时候会折扣收买给代理商、店铺,比如说充值卡,充值卡抢到的是多少面额的,可能折扣卖给商家,商家再以一定的折扣再卖给用户,中间就会赚取一些差价。

还有一些实物的二手市场的一些转卖,这个是信息共享的一些论坛和 QQ 群,基本上各种活动信息,包括一些网盘上的工具,还有一些 QQ 群,基本上都是信息的共享和任务的分发。

这个是接码平台,接码平台上面也有好些像针对不同网站的项目,可能每接受一次验证码的价格也不一样,基本上都在几毛钱左右。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

群控软件,大家可以看一下上面左侧的这张图,这个是主控设备,右侧和下侧基本上就是一些被控的设备,基本上通过主空设备做操作,就能同步到所有的设备上,通过这个就可以登录多个账号进行一些操作。

产业链攻防的对抗情况

最开始的就是弱防护,弱防护基本像专业杀手或者是黑灰产就通过模拟器,基本上就可以达到集中式的一些方位,或者做一些薅羊毛的事情。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

随着弱防护加上了,我们基本上能知道的一些基础手段,比如说设备识别,识别 IMEI 号或者是其它一些信息甄别这个设备。这个也有针对性地出现了一些设备牧场,设备牧场的这种攻击,基本上在一部分上就绕过了你对真机的检测,因为他这块儿放的就是真机。

验证(电话验证),电话验证我们就会上下形成一些短信,包括一些语音验证,这是攻的手段,防的手段也有专业的设备,比如说猫池,卡商就会把一些卡放到猫池的设备上,可以简单理解成虚拟的手机,手机设备可以插多张卡,他这个设备连接到电脑,就可以直接读取上行的短信,并且他下行发短信。

后期的一些防范手段又出现了各种验证码,像图文的、文字、问答式的,包括现在出现了一些滑动的行为式的,还有点击式的。攻的手段也有打码平台,后台是人工打码,就是人工来识别验证码。所以,攻防对抗是不断在持续演进。

除了产业链这些攻防对抗的手段,我们还需要做哪些?

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、端上做保护。

比如说针对一些批量刷接口的情况,可以做一些接口协议上的保护,还有业务逻辑上的一些防护,比如一些活动的一些逻辑防护(推理的一些算法,或函数之类的)。

2、完善产品逻辑。

比如刚才的薅样毛案例一,天猫商城的生日积分,它就是业务规则上有漏洞,包括有些产品逻辑上也有漏洞,比如限制这个活动只能参加一次,或者一天只能参加几次,这个是业务上的漏洞。还有开发代码上有一些漏洞,实际上也是逻辑上的遗漏。

3、防撞库和脱库、用户的信息保护。

主要是进行一些弱密检测,还有泄露的一些账号,包括黑灰产拿账号进行撞库清洗,这块儿也要做一些防护。

我们前两年经常会看到某些大型网站,被黑客脱库,所以这块儿我们在数据安全上也要做一些保护,包括像密码类一些敏感数据的加密,不能原文来进行存储,这样的话即使被撞库了,他拿到真实密码的成本也会高一些。

怎么来防范羊毛党(针对双十一、双十二以及日常的一些活动)

我就结合一些实际的经验,主要从活动前、活动中、活动后,列了一些方案。

活动前。我们一定要对活动的方案进行全面检查,并且找专业的安全人员来进行一些 review。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、完善业务逻辑。比如领取现金红包,可以限制一天领取的次数,包括整个活动期间的领取次数,还有金额的限制。

2、设置活动门槛。比如说,我们这次活动针对的新用户的,限定是绑定手机或者是绑定身份证号的才能参与;规则上也要设置,比如同手机或者同设备只能参加一次;权益额度的设置,比如有 5 元、10 元、1 元的。最后,还有一个活动解释权,一旦我们发现有一些可疑的账号,我们可以对它做一些处理。

3、端上做些安全防控。刚才也讲到了,大家经常会忽视掉端上的,以为端上做一些加固就可以达到一定的安全水平,其实这只是心理上的一些安慰。现在比较专业的黑灰产对于一般的加固很难做防护了,现在基本上看黑灰产做一些批量注册、刷活动也好,他基本上都绕过了这个安全,通过直接解析你的协议来进行一些刷接口。

我今天也看到了一篇文章,像 ofo 的锁通过蓝牙和手机服务端进行通信,验证之后获取一把锁的钥匙,通过蓝牙传给锁的硬件,就可以达到开锁。其实,它这个蓝牙的协议就被破解了,所以它在这种协议保护上肯定做得不够。

4、业务应用一定要增加风险识别能力。我们对正常的用户请求能识别出他的请求是正常的还是可疑的,或者就是异常有问题的,我们可以实时对这个活动做一些相响应。

活动中。主要还是对活动权益的消耗速度做一些监控。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、建立活动监控。

这个很重要,比如我们可以监控每 5 分钟、每小时,甚至每一分钟我们权益的消耗速度,比如我推广分用,我本来预算一天投放的金额假如是 100 万,但是你遇到一些羊毛党,可能在一分钟基本上就把你的预算领一大半,甚至是领完。

2、有能力动态调整领取的概率。

比如像抽奖类的,我们可以动态调整一些中奖概率,根据活动权益消耗的速度来动态调整(概率和发放数量)。

3、建立风险大盘。

在活动中我们可以检测这个风险的一些情况,对于恶意请求我们能做到心中有数,知道这个恶意请求来自哪个地域、甚至是来自哪个城市,包括他集中的 IP 或集中的设备是怎样的,甚至他的账号有什么特征。

4、服务器的自我保护机制。

包括大家基本上能力了解到,像天猫双十一,它的服务器都有一些流量控制,或者限流、降级,基本上它能保证部分用户的正常使用,而不是说遭到羊毛党或恶意请求之后,整个服务器不可用,导致所有用户都不能参加活动。

活动后。这是容易忽视的地方,活动后可能这个权益被羊毛党甚至是其他恶意的用户领取了,但是活动后我们也可以对他做一些监控和各控制。

比如领取权利的使用。我们可以限制一些使用的范围,比如满100或几百才能使用,像理财产品我们可以提高一些门槛,比如投资1万以上才能使用某些折扣券或者是理财券,半年期或者一年期起。

权益的一些使用方式也要做一些监控,它是不是集中在某些店铺来集中消耗,看一下权益消耗的占比,也能发现一些问题,可以及时低止损。

针对羊毛党,怎么进行多方面防护

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、业务。

活动前的一些评审和预案,就是在活动开始前要做一些安全评审,包括活动的玩法有没有漏洞,还有活动运营中的一些预案,怎么应对一些突发情况。

比如我投入的一些预算的消耗,甚至一些比如说针对服务器,或者是活动进行中的一些异常情况都要有应对方案。还包括活动前的一些黑板名单的一些准备,比如某些特定高价值的用户,还有比较低质量、长久不活跃的用户,看我们的活动目的是怎样的,要准备一些名单,有定向的一些运营方案。

2、技术风控体系。(很重要的一方面)

风控体系这块儿就可以对我们的某些活动,避免一些恶意的薅羊毛、黄牛甚至其它的一些恶意行为(比如欺诈),都可以做一些保护。

这个活动的前端保护主要就是刚才讲到的端上的一些保护,对业务逻辑的一些防护,还有接口协议上的一些防护,还有系统的一些自我保护,就是防止恶意流量直接压垮服务器,包括我们实时风险的一些识别,及时阻断恶意请求,避免我们后续的运营的一些成本,比如说怎么发放奖品、甚至一些奖品的使用。

活动中对风险大盘的监测(也很重要)。我们及时要做到心中有数,知道我们现在活动的一些情况,正常用户、恶意用户或者疑似用户的一些访问情况。还有事后风险的一些报告分析、实施的分析。

3.法律上对活动做一定程度上的保护。

特别是最近的网络安全法发布之后,其实对个人隐私,个人私密信息还有一些信息数据的恶意获取方面都有规定。已经有一些人因为这些违反法律而受到罚款、拘役等。

这个实施风控体系要求还是比较高的,先要做好一个完整的,或者是比较成熟的一个防控体系,最重要的几点。

1、稳定性。

做一些保证,不能因为风控体系的引入,导致正常的业务逻辑走不通,或者是运行过程中导致各种使用不了的情况。

2、性能。

一定要在毫秒级就要返回,不能用户在一次抽奖或者一次领红包进来之后,业务系统请求风控体系,就在这里卡上很长一段时间,这个在用户体验上就非常不好。

3、风险识别的一些层次和维度。(最重要)

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

风险基本上,像我们公司提供多环节、多维度地来进行一些防控,包括从这张图上也可以看到,下面蓝色的,就是一些业务活动,比如说前端像APP,或者是web、H5页面,它直接调接口,就请求到业务系统里,这是没有风控体系,是这样的一个流程。

风控体系就是上面绿色的这一部分,首先从端上我们也会先做一些保护,保护我们一些业务逻辑,比如像web、H5上面就可以做一些像 js 的一些加固,包括 APP、端上的一些加固和保护,接口协议也会做一些保护,还包括抗 constID 布点,我们也设备指纹,能定位到一台设备。

有端的防护之后,业务请求过来我们就通过实施决策,我们有多层次的,我们可以记时间序列有一些策略,还有一些请求的来源分析,包括我们刚才提到的,布点的设备指纹,还有其它的一些环境信息,我们可以关联做一些策略,包括三方一些风险的一些数据,比如说像IP、手机号,刚才提到的活动前的一些白名单的准备。还有历史风险也可以做一些关系上的挖掘。

二次验证,二次验证主要是在实时风险决策的时候,我们会对一些疑似的请求做一些二次验证。因为,实时防控不可能做到百分之百,可能有一部分人是比较疑似的,我们会通过比如说短信验证,或者是滑动验证,或者是其它的比如说是实行输入身分证号、密码,就说这种认证手段再进行一次疑似的一些确认。

最后,就是智能分析,这个主要就是结合实事的数据和历史的行为数据,我们可能在一个更长跨度的时间序列上做一些行为上的分析和关系上以及各种特征上的一些挖掘,来补充这种维度数据,辅助我们实施决策的一些准确率。这块儿就涉及到线下的一些建模和一些特征挖掘。

这块儿就是风控体系的一些架构。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、互联网环境。

暴露在互联网环境,移动手机像安卓、IOS甚至其它的一些IOT设备,还包括一些H5页面,还有像PC上的Web页面,因为暴露在互联网的环境,基本上可以理解成,就是黑灰产在手里,所以这一块儿我们架构上有端安全上的防护(这会儿要先做)。

2、企业的私有化环境里。

就属于业务系统这一部分,请求这个首先要接受一个网关,这个网关的作用就是,有一些恶意请求,或者一些非正常的请求,包括协议上,更为识别,他这次调用就是非法调用,我们网关层就可以拦截大量的非法请求,防止它把压力传到业务系统,导致业务系统宕机影响活动进行。

所以,在网关这个节点上,我们就可以做一些恶意的流量,做一些拦截,剩下的一部分流量可以流进业务系统。

业务系统的最下面这一部分就是整个风控体系,业务系统通过WebAPI就可以接入风控体系,风控体系主要分了这几部分。

部分一,实时决策。

实时决策就是刚才提到的,通过业务系统请求WebAPI一个请求进来,比如说用户注册或者抽奖的一个请求进来,我就可以实时判断他这次请求是正常的,还是有风险的,或者是有一定的嫌疑。

实时决策的右边,策略模型管理和智能分析。这块儿我们进行多层次的防护,比如记忆时间序列的、记忆行为的、记忆名单的、记忆关系的、记忆环境信息的,统一的策略和模型我们是在这两块儿进行处理。

部分二,策略模型。

主要是灵活做一些灵活的策略的配置,还有我们线下训练的模型的一些在线服务,可以多综合地来识别这次请求。

部分三,智能分析。

主要是针对历史行为、关系网,还包括其它特征的挖掘,还有异常点的检测,做一些离线分析。

实时决策和策略模型这块,基本上针对的是实时和进线的,智能分析这一块侧重在离线,就是更长期的一个行为上的判断。这块儿也是我们多维度、多层次的一个防控的设计。

部分四,智能监控。

我们可以实时监控到整个风险的一些情况,还有智能分析的一些数据情况,还有整个风险的态势,就是一些趋势,包括其它的一些各种监控功能,还有一些未定性监控包括一些报表,可能都在我们智能监控这块儿会有。

上面这个风控管理控制台,这个主要是给安全管理员使用,他用来管理,刚才提到的上面的一些安全策略或者一些指标、模型、名单、统筹的风险大盘情况,包括地域分布的,地域城市,包括IP、设备情况、用户情况,基本上通过这个控制台都可以做统一的一些管理。

整个体系最上面,大数据基础架构这边,我们自己整套体系都是基于数据平台来做的,包括数据存储上,海量数据存储还有一些计算,都是在底层的一个架构上来给一个支撑,这个是整个风险体系的一个架构。

刚才提到的多层次、多维度的防控体系,这个多层次决策体系:

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、实时决策。

提供毫秒级的一些相应,利用一些策略和请求的一些实时计算,同步识别风险,直接阻断恶意风险,正常用户直接放过,有疑似的风险会通过一些二次验证,比如验证码、短信或其它验证方式进行一些验证。

2、进线分析。

我们会有秒级、分钟级、小时级、天级、月级的一些计算,我们会计算各种特征,为实时决策这一块儿提供一些指标参数。

指标主要对一些,像安全策略,会使用到多个特征,指标是安全策略里面的某一个特征项,这个指标主要是对实时数据做一些初步的加工,来更方便地给这个安全策略使用。

进线分析,也可以从多维度来监测安全的一些状态,能及时发现一些异常,并给据报警。

3、离线挖掘。

就可以根据各种离线数据做一些模型的训练、特征挖掘,为实时决策还有离线的一些处置,提供一些依据。比如,后面的一些特征挖掘、模型平台训练、用户的一些风险画像、设备风险画像,还有一些关系网的一些挖掘、计算。这个是多层次的决策分析。

还有刚才提到的,除了多层次的一些防护,我们还要对活动中的数据做一些监控,还有一些管理,我们这个有风险。

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

1、风险大盘。

我们通过风险大盘就可以直观地来看我们一些风险的现状和风险的一个趋势展示,可以让管理员登录系统,第一时间能够快速地获取到目前系统的一些风险的情况。

2、事件接入。

事件接入主要是针对活动,前端请求进来的一些接入引档,怎么来接入这个风控,包括我们预设的一些指标、策略,还有预设的其它的一些模型的使用和配置。

3、策略配置。

主要就是控制台,就是刚才的最上方,给管理员操作的一个风控控制台,提供了详细的策略的配置界面,管理员就可以根据各种风险类型,来选择这个系统,使用哪些默认的策略,也可以自定义一些安全的策略和规则。

策略配置这块儿,我们也可以引入一些观察模式和灰度模式,让策略上线过程中,我们可以不影响正常业务使用,只是做效果的观察,也可以导入少量的灰度流量进来进行一些验证。

4、监控与报告。

系统提供了自动化的监控的能力,我们可以从左图上看到,我们实施的风险情况、正常请求情况、趋势图,也可以持续监测一些关键的指标,一旦发生异常情况,我们就可以直接触发我们的监控,可以得到通知。

这个报表功能也可以定制化一些日报、周报、月报的能力,帮助管理者可以更好地掌握业务安全的一些状态。

像风控体系刚才也提到了,不可能做到百分之百地识别这种风险,所以会有一些疑似的风险,针对这些疑似的风险,可能我们会采取一些后续的二次验证。最传统的验证流程,不管是正常用户、一次客户、恶意用户,统一是弹出一些验证码、短信验证、语音验证,基本上对正常用户也会有一些打扰,我们公司有无感验证,主要是结合我们后台的一个智能风险识别体系,我们可以通过风控引擎,多层次、多环节来区分这些用户,正常识别用户,正常用户的合,不需要通过其它任何操作,可以直接通过正常的业务请求,大幅度提升了用户体验,基本上正常用户是没有任何感知的。

无感验证(正常用户没任何感知),疑似用户,基本上超过90%的正常用户基本上是无需要验证打扰的,对于疑似用户的风险请求,我们就记忆行为特征的一些验证技术,实时确认请求的真实性,发现这个请求意有疑似风险的时候我们会弹出验证,让他来输入一些验证码,或者是进行一些滑动验证,或者上行短信进行验证,这个基本上就可以实时拦截超过 95% 的一些恶意请求。

无感验证就两个层次:

黑产过双11:薅一天,吃一年?这里有防“薅羊毛”最强指南 | 硬创公开课(总结+视频)

层次一,正常用户不打扰,直接过去了。

层次二,对可疑的用户验证完之后,确认它是可信的身份之后,下次再防卫就不需要再滑动或者再认证,直接就通过了。

基本内容就是这些。

我们目前也在招聘一些职位,包括j'ava工程师、大数据开发、安卓、前端、算法工程师、算法专家,都有相应的岗位,大家可以访问一下我们的官网了解一下顶象技术。

<答疑环节>

问题1,这些羊毛党都是专职的吗?都是哪些人在做呢?

回复:羊毛党也有区分的,比如是“羊腿”、“羊头”这些东西,基本上也是有层次感的,像刚才介绍过的一些小作坊或者个人的,这些羊毛党,他也基本上就是在校学生或者家庭主妇,也是从一些信息共享的论坛或者QQ群里赚一些零花钱,可能这些是相对比较业余的,也只是看一些经验,有一些活动就参加一下。

有专职的,职业的羊毛党,就是做职业刷手,这种职业刷手的也收入基本上都是很高的,这些人通过我们的检测来看,各种团伙啊,这种年龄层次上还是比较年轻,学历也是初中、高中,甚至不到高中,甚至是小学毕业、初中毕业,但基本上都很聪明,这些人很有想法、能找到平台或规则的漏洞。

问题2,现在对薅羊毛的黑客会有一些画像吗?从哪几个维度来做画像?

回复:刚才也讲到了,我们上面有个分析平台,就是在实时防控上,可能会基于时间序列,我们做一些短期的实时指标,或者一些训练好的模型,甚至一些名单,或者一些环境信息、进线指标我们也可以做一些分析。在离线分析这一块儿,我们会综合他的各种行为,包括常用访问页面行为、登录行为、点击的行为、环境关系上的、访问的一些轨迹、行为上,我们会对用户做一些画像,还有综合他的各种维度信息。

具体的维度,比如说环境信息、设备信息、账号信息、关系、行为上的一些分析。

问题3,有没有针对中小企业的解决方案啊?

回复:其实,我们公司就是针对中小企业,提供安全的产品和解决方案的,我们有私有化部署、SaaS服务。

比如,最近在进行的双十一活动,已经有很多的企业已经在试用我们的(产品),包括我们免费的SaaS服务、私有化部署,已经在使用了。

问题4,双十一活动中,你们如何防止无辜用户被错杀?

回复:在双十一活动中,包括之前参加的历届的一些双十一活动,像用户被错杀,基本上在任何一家活动进行中,可能都会遇到这种错杀的情况,但是比例很低,大部分的黑灰产像刚才提到的95%的,基本上都会我们拦截掉,被无辜错杀的这些用户,也可以完善我们的风控模型,当成一些样本来重新训练我们的模型,因为攻防对抗本来就是在实时的演进过程中。

问题5,对普通的淘宝商家而言,做个活动还得部署风控体系,会不会成本太高?

回复:这个风控体系可以访问我们的官网看一下,这个风控体系集成起来其实是很快的,如果开发投入的话,接入的话,基本上是在天的级别的,成本不会太高,这个风控体系如果是自己整套构建的话,成本会比较高。所以,我们现在实际也有一些私有化产品和SaaS产品,现在接入是很快的,基本上是几天,包括测试、接入、测试,基本上是几天的时间就可以了。

问题6,风控对模拟器的检测是怎么做到的?

回复:具体的方法方式我在端这块儿也不是特别了解的,不过我们产品有端产品和业务风控产品。

我们在端产品上,我们已经能检测到是不是虚拟器、模拟器、虚机,我们都能检测到,具体检测的技术手段,专家会比较清楚,我这块儿主要就是在业务防控这边,可能是相对比较清楚一些。

问题7,是因为有风险数据的积累,所以错杀率低吧?

回复:风险数据积累只是一方面的,整个风控体系其实数据只是最初的一个层次,后面还有多层次的。包括从时间序列上的一些聚合、环境信息上的、模型策略上的,数据这一层面,只能说黑名单只能先拦一道,这是历史数据的一些积累。

比如有一些人在黑名单里边,他可能就永远在黑名单里。所以,数据对我们来说只是一个层次,风控产品是能集成数据的,包括我们风险体系里边有黑名单,也可以集成其它的,比如说策略、模型、指标和其它的。

第三个大的层次,就是对离线关系网、行为的分析,包括特征挖掘,所以数据风险,数据积累只是很小的一方面,应该是风险体系里面的一个手段。

若想获得此次公开课完整PPT,请关注雷锋网旗下微信公众号宅客频道(微信ID:letshome),回复“防羊毛党  ”。

文章点评
相关文章