腾讯胡育辉：千亿黑产背后的破局之道

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~

背景：5月23-24日，以“焕启”为主题的腾讯“云+将来”峰会再广州召开，广东省各级政府机构领导、海内外业内学术专家、合做伙伴及行业大咖悉数到场，共话云计算与行业数字化新发展。

腾讯安全平台部专家研究员胡育辉，在24日下午的安全分论坛上，就打击黑产等业务安全方面，分享了腾讯的经验与成果，并倡导和业界伙伴联防联控，共促安全领域发展。

如下为胡育辉演讲全文：

你们好，我是来自腾讯的胡育辉，今天很高兴能在这里和你们分享腾讯在业务安全方面的一些经验和思路，但愿一块儿交流，共同促进这个领域的发展。在腾讯近9年的时间里，我一直从事业务安全相关的工做。前后负责过账号安全，反欺诈，以及云业务安全相关工做。

在腾讯业务发展过程当中，咱们发如今DDOS，CC等应用安全以外，还有一类安全变得愈来愈重要。这类安全问题主要是由于产品设计和逻辑上的不严谨致使，黑产经过攻击这些不严谨的地方来进行破坏和获利。好比咱们常见的撞库、羊毛党，涉黄赌毒/爆，骗保骗贷等。这些，咱们称之为业务安全问题。

随着移动互联网发展，愈来愈多的人触网，同时，竞争却变得更加激烈，而这恰巧也给了黑产更大的空间和可乘之机。2017年，黑灰产的相关从业人员达到150万之多，而形成行业直接损失在1000亿人民币。

这是最近的一个案例，可口可乐和腾讯视频合做的一个活动，经过扫瓶盖获取得视频的会员资格。黑产经过线下收集瓶盖，编写专门软件进行扫码、兑换、售卖，一周获利超过百万级，利润高达600%。

能够这么说，有业务的地方就有业务安全的问题，不管你是否关注，它就在那里。

那么，面对如此猖獗的黑产，咱们是如何来应对的呢？ 总结了业界的解决方案，能够概括为一个词：ABS，A是AI，B是big data，S service 即服务。

总体框架如图所示：

首先，数据是核心，这里的数据主要包含一些环境数据，行为数据，用户生产数据，以及外部数据。好比浏览器环境信息，设备信息，账户信息，以及在这些环境下的操做信息，如鼠标滑动轨迹，键盘的按压等。另外，用户产生的如评论，举报等信息，外部情报信息也是很是重要的。

基于这些数据，再经过计算平台和AI风控引擎，对这些数据进行分析和挖掘，找出数据之间的相关性，而后进行综合的风控判断。

在腾讯，咱们是经过图数据关系形式，挖掘不一样数据如账号，手机号，指纹之间的关联性，造成一个大的知识图谱，提供给业务使用。

服务层，主要是根据不一样行业和场景，来进行具体策略订制和安全方案组合，提供给业务一套完整的解决方案。

这套系统在咱们的使用过程当中确实能帮助咱们解决大部分问题。

可是，随着黑产不断升级，咱们发现这套方案仍是会面临很多的挑战。主要表现为“滞后”，和“被动防护”两方面。

让咱们先看看“滞后”的问题，如前面介绍，风控模型是基于数据上的挖掘，这就要求必需要有足够的样本和特征纬度去让模型学习。所以，在一类新的黑产进入的时候，模型初期是很难识别，而这会形成部分恶意的漏过。

再看看“被动防护”的问题。由于咱们没法感知到坏人的动向：何时，用什么手段，攻击哪一个业务，咱们就不知道何时准备更好的弹药和武器。

那针对这两个问题，该如何去解决呢？

结合实际的经验，咱们提出了一个更优的解决方案：

新方案最主要的是增长了态势感知模块。这相似业务安全的天气预报，经过对黑产的数据分析，挖掘黑产背后的团伙信息，而后经过跟踪团伙动向，感知恶意走向。同时结合蓝军的测试，并把这些信息反馈给风控系统和业务进行防护和预警。以此来解决滞后和被动防护的问题。

下面我和你们分享下咱们是如何作“态势感知”的。

首先，核心仍是数据。除了环境，行为数据外，咱们还引入了情报和舆情数据。经过一些黑产群，用户举报，暗网，论坛爬取的数据，造成情报数据。根据热点话题分析，新闻报道等造成舆情数据，标记行业趋势和热点动向。

其次，基于以上数据，结合腾讯的安全数据，经过关联扩散，行为分析，热点分析等手方法，对背后的团伙进行挖掘和标记，划分不一样性质团伙，好比欺诈，羊毛党，工具团伙，资源团伙等。

而后，对这些团伙的核心节点进行分析，感知团伙的动向。

最后，基于动向信息，经过蓝军进行定向测试，发现业务存在的具体问题，反馈给风控系统，和预警信息到业务。

这样，经过情报，数据，蓝军之间的相互配合，咱们能够作到对黑产的可感可控。实现一次作恶，全网布控的效果。而且，能化被动为主动，让咱们游刃有余。

分享一个基于这套系统的实际案例：

咱们发现账号处罚量上升，主要是由于这些账号在刷阅读，加粉，色情，赌博方面有异常的行为。经过分析，发现这批账号主要来自东南亚的越南和缅甸。由于注册是全部恶意的源头，因此咱们把精力集中在这里，但愿经过控制源头来控制恶意。

随后，经过情报，咱们拿到了黑产的注册软件工具，再对软件特征分析，结合腾讯相关团队能力，挖出了注册的团伙。发现该团伙是以李某和王某夫妇为核心，经过旗下4家公司来进行注册、卖号和刷单，上下游接近3000人规模。

挖出注册团伙后，考虑到手机资源的重要性，咱们顺藤摸瓜，继续挖出了其背后的出卡团伙。发现，因为东南亚地区运营商不规范，黑灰产从当地大批量购买预付费卡，价格小于1块钱，只用来接收短信，能够用半年以上。

再顺着这条线索，又挖出了该产业链中的其余团伙，像代理IP，打码平台。这样，整个链条的团伙被咱们所有挖出。再对挖出来的核心团伙进行分析，发现注册团伙和游戏团伙，营销刷量团伙、卡商团伙和电商羊毛党团伙均有互动。

根据这些互动信息，同时结合卧底在黑产中的情报信息。咱们对游戏，电商等平台进行了预测和提早的防控。这是咱们当时的一个黑产预警指数图。通过观察，最终有66% 流入到了游戏，37%流向了电商，29% 流向了微营销的场景。

那么咱们如何能作到这样的态势感知呢？得益于腾讯丰富的数据和产品线，另外从05年开始咱们就面临着各类业务安全，让咱们在这里也积累了一点经验。同时，咱们有国内最全的手机数据，10亿+的月活，以及亿级的海外手机数据。

设备指纹方面，基本覆盖了移动端和web端，天天产生超过25亿+的数据。

在IP方面，对国内C端用户接近100%的覆盖。

同时也感谢小伙伴对咱们的信任，咱们一块儿在电商、快消、出行、金融等多个行业进行了合做，并取得了不错的成绩。

安全不是一家独大，而是须要一块儿联防联控，但愿你们一块儿联手，共同对抗黑产！

腾讯验证码服务面向成长型企业用户限时免费试用，详情能够关注“腾讯防水墙”公众号（tencent_fsq）

问答
腾讯云域名安全认证问题？
相关阅读
2018云+将来峰会圆桌面对面：以网络安全之能，造国之重器
全景解析腾讯云安全：从八大领域输出全链路智慧安全能力
腾讯云 Windows Server 服务器安全运维与更新

此文已由做者受权腾讯云+社区发布，原文连接：https://cloud.tencent.com/dev...

欢迎你们前往腾讯云+社区或关注云加社区微信公众号（QcloudCommunity），第一时间获取更多海量技术实践干货哦~