1.背景

安全是业务的必要属性,没有安全保障的产品,终究会被市场淘汰;风险控制要服务于业务,减少业务负担。

随着O2O、消费金融、短视频等新兴业务的快速发展,不同互联网企业都在不同程度上遭受黑灰产的攻击,如互金领域的借贷欺诈、短视频领域的色情广告垃圾内容等都给业务本生的发展带来隐患,我们把互联网常见的业务风险可以归纳如下:

营销活动反作弊:各大电商、O2O公司在进行日常的促销运营活动时,通常会发放各种抵用券或者针对新用户进行首单优惠,如:1元肯德基等,这就会吸引黑产来薅羊毛,产生作弊行为,损害平台利益。

交易秩序反刷单:电商网站由于搜索排序较为依赖销量、评价、浏览量等特征,导致平台上的商户为了享受流量红利,通常会寻找刷手,给自己的店铺增加销量以及好评,这就干扰了平台公平的交易秩序,一定程度造成平台广告收入损失,甚至会引发刷单诈骗、套现等行为。除了常见的刷单外,竞对恶意占座,商户导流,跑路,假货等现象也常有发生。

账号资金反欺诈:账号、银行卡作为支付基本属性,经常被黑产通过脱库、洗库、撞库、木马、钓鱼、社会工程学等攻击手段窃取用户账号、银行卡等信息,造成资损。而在互金领域,针对借贷行为,又会有恶意的欺诈事件发生,导致逾期和坏账。

社交内容反垃圾:内容生厂商在开展业务的时候,经常会面临各种垃圾消息,这些垃圾消息以文本、图片、视频等形式为载体,批量、快速的传播包含广告、诈骗、色情、涉政、暴恐等信息,这就在一定程度上破坏了社区的生态健康,降低用户体验。

信息泄漏反爬虫:互联网产品提供的服务日趋同质化,具有竞争关系的厂商互相爬取对方商品、价格、店铺等信息成为业内常见的一种辅助商业决策的手段,这不仅对被爬取厂商的服务器性能造成压力,同时也会造成敏感的商业信息泄漏,并且也会对正常的流量分析造成干扰。

广告流量反舞弊:流量作弊弥漫弥漫在互联网广告行业中,媒体、广告交易平台、代理商为了提高收入,往往会制造虚假的广告流量,造成广告主利益损失或者带来低质流量。

2.黑灰产业链

平台在明处,但攻击者是谁、会在什么时候出现、用什么方式进攻却无法预知。这种“我在明、敌在暗”的现象导致常常只有事件爆发后才能察觉问题,这使得企业和用户的处境相对被动。

2.1上/中游资源提供者

卡商与手机号:卡商指通过各种渠道从运营商或者代理商那里获取到大量手机卡,这些手机号常用于注册各大网站的账号。

料与料主:在黑市中,银行卡信息被统称为“料”,料主常指拥有大批量银行卡信息、手机号和照片等信息的人或团体。

猫池与卡池:简单的可以理解为猫池是是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备。通常配合专用卡池,并且结合配套的软件(酷卡、嘻唰唰),实现sim卡自动换卡。

接码平台:短信语音验证码收发平台,常配合卡商进行合作,通常接收短信的费用为1-5毛不等,语音的价格为1元左右。

打码平台:图像识别平台,通过提供对应的api服务,能够快速的解决各大网站的验证码问题,通常也都会有对应的人工团队进行打码以辅助识别。

恶意插件与制作者:包含各类模拟器以及可以一键清除手机信息,修改定位等数据以用于非法用途的插件和程序。常见的模拟器如:逍遥游mumu,海马玩等,常见的插件如:NZTIG、任我行等。除此之外,市场上的群控软件也成为批量操作的一种常见工具,IP代理也作为一剂黑灰产居家必备的良药。

交易与交流平台:作为分工明细的链条,快速的业内信息的共享、工具的交易平台必不可少,如:账号贩卖信息沟通任务分发等。

除了上述提到的工具平台及对应的团体外,各种伪基站、钓鱼网站、木马病毒等在黑色产业链中也较为常见。

2.2下游利益变现者

这里有深耕行业多年的大佬,也有初出茅庐的菜鸡

这里有靠此养家糊口的全职,也有赚零花钱的宝妈兼职

这里有仅走寻常路的外敌,也有里应外合的企业内鬼,

这里有兢兢业业奋战的个人,也有各司其职的专业化团体,

这里有大小通吃的白加黑,也有挑肥拣瘦的黑吃黑,

这里有占据利益链顶端的蚕食者,也有依赖在链条末端的吸附者,

这里瞬息万变,时刻都在上演“道高一尺,魔高一丈”的戏码。

-烽言
黑色产业链分工

3.风控产品

《孙子兵法·虚实》有云:夫兵形象水,水之行避高而趋下,兵之形避实而击虚;水因地而制流,兵因敌而制胜。如果把风险控制比作为一场战争,那么必须要掌控有力的武器,针对黑灰产的薄弱环节进行针对性攻击。

3.1指纹sdk与js

设备指纹(主动式)是互联网对抗黑产较为关键的维度,通过在网页或移动端APP中集成指纹sdk,收集物理设备和终端环境的多重信息,生成唯一的设备识别码,构建客户身份和所使用设备对应关系,实现互联网风险防范自动化,从而准确的定位风险、控制风险,降低可能的损失。常见的收集信息可以根据平台类型作如下区分:

3.1.1 Android

系统信息:sn、brand、device、model、manufacturer、board、display、buildTime、buildFingerprint等

手机号码状态信息:imei、meid、iccid、msisdn、imsi、cell、mcc、mnc、dBm、simState、simOperatroName、simCountryIso等

定位的相关信息:provider、latitude、longitude、altitude、bear、speed、accuracy等

除上述提到的基本信息外,无线网卡信息、传感器信息、相册信息、包名检测等都会作为常规的采集参数。

3.1.2 iOS

相较于安卓的参数获取,苹果的信息采集被限制较为严格,常见的参数包括:

idfa、idfv、uuid、kernel_version、battery、device_name、localized_model、boot_time、blue、capacity、mcc、mnc等

3.1.3 PC/H5

除了常规的浏览器对象获取到的参数,如:innerHeight、innerWidth、devicePixelRatio、availHeight、availWidth、height、width、colorDepth、locationHref、navigator、referer、timezoneOffset外,还包括各种页面的行为轨迹数据,如:某个元素控件的点击时间、点击坐标、获焦时间、失焦时间、键盘的操作时间戳、鼠标的操作时间戳等

3.2策略平台

在业务端部署完sdk,联调接入各个事件后,就需要风控内部的策略平台针对采集到的设备参数、业务信息、环境数据进行综合分析并给出风险响应,在分析的过程中,受到黑产作业的影响,策略平台必须包含如下的3个特点:精确打击、快速响应、立体防御。

3.2.1业务对接

感知业务存在风险后,需要接入核心风险事件数据:如:注册、登录、修改密码、绑定银行卡、下单、支付、评论、聊天等,通常业务在接入的时候经常存在以下问题:

参数定义含糊、参数名不标准化、参数值不合法、参数漏传、对接wiki不清晰,风控内部对接人员进度不同步、业务对接人无法追踪

针对上述的问题,需要一个专门的业务对接配置平台,进行业务接入约束,保证接入的业务流程标准化,参数含义明确且通用。在业务对接的过程中,通常伴随着开发成本与沟通成本,这要求对接平台提供标准化的接入流程以降低这些成本。

3.2.2规则引擎

业务事件接入后,就需要灵活的规则配置以控制风险,实现工程开发与规则开发解耦,以解决规则开发的效率问题。规则引擎作为风控系统管理策略这一角色的存在,同时也会依赖下游的各种数据服务,包括:累计服务、名单库服务、模型算法服务、敏感词服务或第三方基础数据服务等。规则引擎一般具有以下几个概念:

场景:最小化的事件,比如下单事件中用户参加A营销活动,即A场景,参加B营销活动即B场景,场景的划分一般依据业务需求做到灵活可配置。通常,场景下会有多条规则,形成规则集。

规则:由参数、比较运算符、函数等组成的具有明确含义的判断逻辑,用于判断业务请求是否有风险,通常返回true/false。

参数:组成规则的最小单元,由于规则引擎需要依赖较多的数据服务,一般参数可以分为:普通参数(业务直接传过来的属性)、依赖参数(内部加工的参数,如ip前三段)、名单库参数、敏感词参数等。

决策:一个业务请求在命中规则后,可以存在不同的处罚手段,也就是风控决策,如:拒绝、冻结账号、验证手机号等,业务拿到决策后,才会去执行实际的业务动作。通常情况下,把直接返回给调用方的决策称为同步决策,需要进行内部数据记录或者调用处罚中心等系统执行的决策称为异步决策,如:写入名单库、冻结账号、隐藏评论等。

配置关系:将场景、规则、决策建立起映射关系,实现一个业务请求调用风控后,经过场景下的规则集合的运算后,得到一个最终决策结果,响应给业务方这样的一个流程。配置关系通常可以批量的去操作,如:A场景批量上线n条规则,B场景的配置关系复制到C场景,规则rule_xxx在所有场景下快速offline等。

3.2.3验证中心

规则引擎返回的风险同步决策中,有一部分决策如:验证图片验证码、滑块验证等需要业务在产品层和逻辑层做出比较大的改动,如果每个业务都去实现一遍验证服务,会有以下的弊端:

重复造轮子、验证方式单一且无法统一管理、巨大的业务对接风控的成本

因此统一的验证中心服务作为信息补充验证这一角色,可以很好的解决上述问题,在撞库、短信轰炸等场景下也发挥着显著的效果。常见的验证手段包括:图片验证、滑块验证、短信验证、语音验证。

3.2.4累计服务

在实际业务风险识别场景下,经常会有这样的计数需求以用于规则:

简单计数:一天内渠道为oppo的同一ip累计注册账号数

去重计数:近30分钟同设备id下登录不同的账号数

求和:一个月同uid支付订单的总金额

求标准差:短时间内同ip下注册时间间隔的标准差

累计服务需要满足时间窗口(滑动)、累计key、累计value、前置条件、累计类型灵活可配置,以满足风险识别的需求。

3.2.5数据名单

数据名单顾名思义是一些黑白样本的存储记录,可与规则引擎进行读/写的交互,如:某个uid是否在某个黑样本库中,某个mall_id的某项得分或者将符合某个规则的某个key写入名单库。

名单库的设计通常方案为:库的管理以及库里的记录的管理。库的管理一般需要定义好库的名称、键类型、值类型、库类型(黑/白/会)、组标签。记录的管理一般需要定义好具体的值及有效期和状态。

3.2.6监控报警

针对风控拦截,需要进行实时的流量监控以防止发生误拦截或者及时发现异常攻击的流量,如:统计某个场景下的流量变化,某个规则的命中量同/环比,高于三倍标准差的异常点监测等。通过配和Grafana监控图表,实现监控报警平台的自定义逻辑配置及可视化图表呈现,以短信、邮件、电话的形式及时将对应的告警信息同步给相关人员,保证风控决策高度可依赖。

除了上述的一些基础服务外,风控策略平台中还包括了如下的服务和待开发的需求:

敏感词库:用于反垃圾场景,针对敏感词进行增删查,并且增加了跳次与拓展词功能

可信服务:针对账号方向建立的可信关系,减少不必要的风控干扰,提高用户体验

数据补全:存储A场景下的数据,在B场景下使用,如下单时间与注册时间的比较

态势感知:实时可视化展示风险分布情况

算法模型:灵活的模型发布与特征管理平台

-烽言
风控策略平台

3.3运营平台

3.3.1日志查询

3.3.2处罚工具

3.3.3客诉分析

4.风控策略

dedede

4.1事前

(业务风险意识教育、风险评估、初期过滤)

4.2事中

(手机号、账号、设备、支付账号、报警监控)

4.2.1基于手机相册信息的策略梳理

4.2.2基于传感器信息的策略梳理(1)

4.2.3基于传感器信息的策略梳理(2)

4.2.4基于传感器信息的策略梳理(3)

4.2.5基于地理位置信息的策略梳理(1)

4.2.6基于地理位置信息的策略梳理(2)

4.2.7基于wifi信息的策略梳理

to be continued......

4.3事后

(及时止损、冻结扣款、处罚工具)

5.参考资料

威胁猎人

阿里聚安全

设备指纹

美团点评业务风控系统构建经验

Android Hook技术防范漫谈

作者:韩学标
链接:https://www.jianshu.com/p/5b4b8d465191
来源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。