騰訊胡育輝：千億黑產背後的破局之道

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

背景：5月23-24日，以「煥啓」爲主題的騰訊「雲+將來」峯會再廣州召開，廣東省各級政府機構領導、海內外業內學術專家、合做夥伴及行業大咖悉數到場，共話雲計算與行業數字化新發展。

騰訊安全平臺部專家研究員胡育輝，在24日下午的安全分論壇上，就打擊黑產等業務安全方面，分享了騰訊的經驗與成果，並倡導和業界夥伴聯防聯控，共促安全領域發展。

如下爲胡育輝演講全文：

你們好，我是來自騰訊的胡育輝，今天很高興能在這裏和你們分享騰訊在業務安全方面的一些經驗和思路，但願一塊兒交流，共同促進這個領域的發展。在騰訊近9年的時間裏，我一直從事業務安全相關的工做。前後負責過賬號安全，反欺詐，以及雲業務安全相關工做。

在騰訊業務發展過程當中，咱們發如今DDOS，CC等應用安全以外，還有一類安全變得愈來愈重要。這類安全問題主要是由於產品設計和邏輯上的不嚴謹致使，黑產經過攻擊這些不嚴謹的地方來進行破壞和獲利。好比咱們常見的撞庫、羊毛黨，涉黃賭毒/爆，騙保騙貸等。這些，咱們稱之爲業務安全問題。

隨着移動互聯網發展，愈來愈多的人觸網，同時，競爭卻變得更加激烈，而這恰巧也給了黑產更大的空間和可乘之機。2017年，黑灰產的相關從業人員達到150萬之多，而形成行業直接損失在1000億人民幣。

這是最近的一個案例，可口可樂和騰訊視頻合做的一個活動，經過掃瓶蓋獲取得視頻的會員資格。黑產經過線下收集瓶蓋，編寫專門軟件進行掃碼、兌換、售賣，一週獲利超過百萬級，利潤高達600%。

能夠這麼說，有業務的地方就有業務安全的問題，不管你是否關注，它就在那裏。

那麼，面對如此猖獗的黑產，咱們是如何來應對的呢？ 總結了業界的解決方案，能夠概括爲一個詞：ABS，A是AI，B是big data，S service 即服務。

總體框架如圖所示：

首先，數據是核心，這裏的數據主要包含一些環境數據，行爲數據，用戶生產數據，以及外部數據。好比瀏覽器環境信息，設備信息，賬戶信息，以及在這些環境下的操做信息，如鼠標滑動軌跡，鍵盤的按壓等。另外，用戶產生的如評論，舉報等信息，外部情報信息也是很是重要的。

基於這些數據，再經過計算平臺和AI風控引擎，對這些數據進行分析和挖掘，找出數據之間的相關性，而後進行綜合的風控判斷。

在騰訊，咱們是經過圖數據關係形式，挖掘不一樣數據如賬號，手機號，指紋之間的關聯性，造成一個大的知識圖譜，提供給業務使用。

服務層，主要是根據不一樣行業和場景，來進行具體策略訂製和安全方案組合，提供給業務一套完整的解決方案。

這套系統在咱們的使用過程當中確實能幫助咱們解決大部分問題。

可是，隨着黑產不斷升級，咱們發現這套方案仍是會面臨很多的挑戰。主要表現爲「滯後」，和「被動防護」兩方面。

讓咱們先看看「滯後」的問題，如前面介紹，風控模型是基於數據上的挖掘，這就要求必需要有足夠的樣本和特徵緯度去讓模型學習。所以，在一類新的黑產進入的時候，模型初期是很難識別，而這會形成部分惡意的漏過。

再看看「被動防護」的問題。由於咱們沒法感知到壞人的動向：何時，用什麼手段，攻擊哪一個業務，咱們就不知道何時準備更好的彈藥和武器。

那針對這兩個問題，該如何去解決呢？

結合實際的經驗，咱們提出了一個更優的解決方案：

新方案最主要的是增長了態勢感知模塊。這相似業務安全的天氣預報，經過對黑產的數據分析，挖掘黑產背後的團伙信息，而後經過跟蹤團伙動向，感知惡意走向。同時結合藍軍的測試，並把這些信息反饋給風控系統和業務進行防護和預警。以此來解決滯後和被動防護的問題。

下面我和你們分享下咱們是如何作「態勢感知」的。

首先，核心仍是數據。除了環境，行爲數據外，咱們還引入了情報和輿情數據。經過一些黑產羣，用戶舉報，暗網，論壇爬取的數據，造成情報數據。根據熱點話題分析，新聞報道等造成輿情數據，標記行業趨勢和熱點動向。

其次，基於以上數據，結合騰訊的安全數據，經過關聯擴散，行爲分析，熱點分析等手方法，對背後的團伙進行挖掘和標記，劃分不一樣性質團伙，好比欺詐，羊毛黨，工具團伙，資源團伙等。

而後，對這些團伙的核心節點進行分析，感知團伙的動向。

最後，基於動向信息，經過藍軍進行定向測試，發現業務存在的具體問題，反饋給風控系統，和預警信息到業務。

這樣，經過情報，數據，藍軍之間的相互配合，咱們能夠作到對黑產的可感可控。實現一次作惡，全網布控的效果。而且，能化被動爲主動，讓咱們遊刃有餘。

分享一個基於這套系統的實際案例：

咱們發現賬號處罰量上升，主要是由於這些賬號在刷閱讀，加粉，色情，賭博方面有異常的行爲。經過分析，發現這批賬號主要來自東南亞的越南和緬甸。由於註冊是全部惡意的源頭，因此咱們把精力集中在這裏，但願經過控制源頭來控制惡意。

隨後，經過情報，咱們拿到了黑產的註冊軟件工具，再對軟件特徵分析，結合騰訊相關團隊能力，挖出了註冊的團伙。發現該團伙是以李某和王某夫婦爲核心，經過旗下4家公司來進行註冊、賣號和刷單，上下游接近3000人規模。

挖出註冊團伙後，考慮到手機資源的重要性，咱們順藤摸瓜，繼續挖出了其背後的出卡團伙。發現，因爲東南亞地區運營商不規範，黑灰產從當地大批量購買預付費卡，價格小於1塊錢，只用來接收短信，能夠用半年以上。

再順着這條線索，又挖出了該產業鏈中的其餘團伙，像代理IP，打碼平臺。這樣，整個鏈條的團伙被咱們所有挖出。再對挖出來的核心團伙進行分析，發現註冊團伙和遊戲團伙，營銷刷量團伙、卡商團夥和電商羊毛黨團夥均有互動。

根據這些互動信息，同時結合臥底在黑產中的情報信息。咱們對遊戲，電商等平臺進行了預測和提早的防控。這是咱們當時的一個黑產預警指數圖。通過觀察，最終有66% 流入到了遊戲，37%流向了電商，29% 流向了微營銷的場景。

那麼咱們如何能作到這樣的態勢感知呢？得益於騰訊豐富的數據和產品線，另外從05年開始咱們就面臨着各類業務安全，讓咱們在這裏也積累了一點經驗。同時，咱們有國內最全的手機數據，10億+的月活，以及億級的海外手機數據。

設備指紋方面，基本覆蓋了移動端和web端，天天產生超過25億+的數據。

在IP方面，對國內C端用戶接近100%的覆蓋。

同時也感謝小夥伴對咱們的信任，咱們一塊兒在電商、快消、出行、金融等多個行業進行了合做，並取得了不錯的成績。

安全不是一家獨大，而是須要一塊兒聯防聯控，但願你們一塊兒聯手，共同對抗黑產！

騰訊驗證碼服務面向成長型企業用戶限時免費試用，詳情能夠關注「騰訊防水牆」公衆號（tencent_fsq）

問答
騰訊雲域名安全認證問題？
相關閱讀
2018雲+將來峯會圓桌面對面：以網絡安全之能，造國之重器
全景解析騰訊雲安全：從八大領域輸出全鏈路智慧安全能力
騰訊雲 Windows Server 服務器安全運維與更新

此文已由做者受權騰訊雲+社區發佈，原文連接：https://cloud.tencent.com/dev...

歡迎你們前往騰訊雲+社區或關注雲加社區微信公衆號（QcloudCommunity），第一時間獲取更多海量技術實踐乾貨哦~