腾讯安全平台部专家研究员胡育辉:千亿黑产背后的破局之道
背景:5月23-24日,以“煥啟”為主題的騰訊“云+未來”峰會再廣州召開,廣東省各級政府機構領導、海內外業內學術專家、合作伙伴及行業大咖悉數到場,共話云計算與行業數字化新發展。
騰訊安全平臺部專家研究員胡育輝,在24日下午的安全分論壇上,就打擊黑產等業務安全方面,分享了騰訊的經驗與成果,并倡導和業界伙伴聯防聯控,共促安全領域發展。
以下為胡育輝演講全文:
大家早上好!
大家好,我是來自騰訊的胡育輝,今天很高興能在這里和大家分享騰訊在業務安全方面的一些經驗和思路,希望一起交流,共同促進這個領域的發展。在騰訊近9年的時間里,我一直從事業務安全相關的工作。先后負責過帳號安全,反欺詐,以及云業務安全相關工作。
在騰訊業務發展過程中,我們發現在DDOS,CC等應用安全之外,還有一類安全變得越來越重要。這類安全問題主要是因為產品設計和邏輯上的不嚴謹導致,黑產通過攻擊這些不嚴謹的地方來進行破壞和獲利。比如我們常見的撞庫、羊毛黨,涉黃賭毒/爆,騙保騙貸等。這些,我們稱之為業務安全問題。
隨著移動互聯網發展,越來越多的人觸網,同時,競爭卻變得更加激烈,而這恰巧也給了黑產更大的空間和可乘之機。2017年,黑灰產的相關從業人員達到150萬之多,而造成行業直接損失在1000億人民幣。
這是最近的一個案例,可口可樂和騰訊視頻合作的一個活動,通過掃瓶蓋獲取得視頻的會員資格。黑產通過線下收集瓶蓋,編寫專門軟件進行掃碼、兌換、售賣,一周獲利超過百萬級,利潤高達600%。
可以這么說,有業務的地方就有業務安全的問題,無論你是否關注,它就在那里。
那么,面對如此猖獗的黑產,我們是如何來應對的呢? 總結了業界的解決方案,可以歸納為一個詞:ABS,A是AI,B是big data,S service 即服務。
整體框架如圖所示:
首先,數據是核心,這里的數據主要包含一些環境數據,行為數據,用戶生產數據,以及外部數據。比如瀏覽器環境信息,設備信息,帳戶信息,以及在這些環境下的操作信息,如鼠標滑動軌跡,鍵盤的按壓等。另外,用戶產生的如評論,舉報等信息,外部情報信息也是非常重要的。
基于這些數據,再通過計算平臺和AI風控引擎,對這些數據進行分析和挖掘,找出數據之間的相關性,然后進行綜合的風控判斷。
在騰訊,我們是通過圖數據關系形式,挖掘不同數據如帳號,手機號,指紋之間的關聯性,形成一個大的知識圖譜,提供給業務使用。
服務層,主要是根據不同行業和場景,來進行具體策略訂制和安全方案組合,提供給業務一套完整的解決方案。
這套系統在我們的使用過程中確實能幫助我們解決大部分問題。
但是,隨著黑產不斷升級,我們發現這套方案還是會面臨不少的挑戰。主要表現為“滯后”,和“被動防御”兩方面。
?
讓我們先看看“滯后”的問題,如前面介紹,風控模型是基于數據上的挖掘,這就要求必須要有足夠的樣本和特征緯度去讓模型學習。因此,在一類新的黑產進入的時候,模型初期是很難識別,而這會造成部分惡意的漏過。
再看看“被動防御”的問題。因為我們無法感知到壞人的動向:什么時候,用什么手段,攻擊哪個業務,我們就不知道什么時候準備更好的彈藥和武器。
那針對這兩個問題,該如何去解決呢?
?
結合實際的經驗,我們提出了一個更優的解決方案:
新方案最主要的是增加了“態勢感知”模塊。這類似業務安全的天氣預報,通過對黑產的數據分析,挖掘黑產背后的團伙信息,然后通過跟蹤團伙動向,感知惡意走向。同時結合藍軍的測試,并把這些信息反饋給風控系統和業務進行防御和預警。以此來解決滯后和被動防御的問題。
下面我和大家分享下我們是如何做“態勢感知”的。
首先,核心還是數據。除了環境,行為數據外,我們還引入了情報和輿情數據。通過一些黑產群,用戶舉報,暗網,論壇爬取的數據,形成情報數據。根據熱點話題分析,新聞報道等形成輿情數據,標記行業趨勢和熱點動向。
其次,基于以上數據,結合騰訊的安全數據,通過關聯擴散,行為分析,熱點分析等手方法,對背后的團伙進行挖掘和標記,劃分不同性質團伙,比如欺詐,羊毛黨,工具團伙,資源團伙等。
然后,對這些團伙的核心節點進行分析,感知團伙的動向。
最后,基于動向信息,通過藍軍進行定向測試,發現業務存在的具體問題,反饋給風控系統,和預警信息到業務。
?
這樣,通過情報,數據,藍軍之間的相互配合,我們可以做到對黑產的可感可控。實現一次做惡,全網布控的效果。并且,能化被動為主動,讓我們游刃有余。
分享一個基于這套系統的實際案例:
?
我們發現帳號處罰量上升,主要是因為這些帳號在刷閱讀,加粉,色情,賭博方面有異常的行為。通過分析,發現這批帳號主要來自東南亞的越南和緬甸。因為注冊是所有惡意的源頭,所以我們把精力集中在這里,希望通過控制源頭來控制惡意。
隨后,通過情報,我們拿到了黑產的注冊軟件工具,再對軟件特征分析,結合騰訊相關團隊能力,挖出了注冊的團伙。發現該團伙是以李某和王某夫婦為核心,通過旗下4家公司來進行注冊、賣號和刷單,上下游接近3000人規模。
挖出注冊團伙后,考慮到手機資源的重要性,我們順藤摸瓜,繼續挖出了其背后的出卡團伙。發現,由于東南亞地區運營商不規范,黑灰產從當地大批量購買預付費卡,價格小于1塊錢,只用來接收短信,可以用半年以上。
再順著這條線索,又挖出了該產業鏈中的其他團伙,像代理IP,打碼平臺。這樣,整個鏈條的團伙被我們全部挖出。再對挖出來的核心團伙進行分析,發現注冊團伙和游戲團伙,營銷刷量團伙、卡商團伙和電商羊毛黨團伙均有互動。
根據這些互動信息,同時結合臥底在黑產中的情報信息。我們對游戲,電商等平臺進行了預測和提前的防控。這是我們當時的一個黑產預警指數圖。經過觀察,最終有66% 流入到了游戲,37%流向了電商,29% 流向了微營銷的場景。
那么我們如何能做到這樣的態勢感知呢?得益于騰訊豐富的數據和產品線,另外從05年開始我們就面臨著各種業務安全,讓我們在這里也積累了一點經驗。同時,我們有國內最全的手機數據,10億+的月活,以及億級的海外手機數據。
設備指紋方面,基本覆蓋了移動端和web端,每天產生超過25億+的數據。
在IP方面,對國內C端用戶接近100%的覆蓋。?
同時也感謝小伙伴對我們的信任,我們一起在電商、快消、出行、金融等多個行業進行了合作,并取得了不錯的成績。
安全不是一家獨大,而是需要一起聯防聯控,希望大家一起聯手,共同對抗黑產!
騰訊驗證碼服務面向成長型企業用戶限時免費試用,詳情可以關注“騰訊防水墻”公眾號 :
我今天的分享到此為止,謝謝大家!
騰訊前沿技術 | 產品 | 行業信息交流發布平臺
?總結
以上是生活随笔為你收集整理的腾讯安全平台部专家研究员胡育辉:千亿黑产背后的破局之道的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 腾讯企业IT部安全运营中心总监蔡晨:十年
- 下一篇: 微信、QQ都在用的腾讯云EB级对象存储架