腾讯安全平台部专家研究员胡育辉：千亿黑产背后的破局之道

背景：5月23-24日，以“焕启”为主题的腾讯“云+未来”峰会再广州召开，广东省各级政府机构领导、海内外业内学术专家、合作伙伴及行业大咖悉数到场，共话云计算与行业数字化新发展。

腾讯安全平台部专家研究员胡育辉，在24日下午的安全分论坛上，就打击黑产等业务安全方面，分享了腾讯的经验与成果，并倡导和业界伙伴联防联控，共促安全领域发展。

以下为胡育辉演讲全文：

大家早上好！

大家好，我是来自腾讯的胡育辉，今天很高兴能在这里和大家分享腾讯在业务安全方面的一些经验和思路，希望一起交流，共同促进这个领域的发展。在腾讯近9年的时间里，我一直从事业务安全相关的工作。先后负责过帐号安全，反欺诈，以及云业务安全相关工作。

在腾讯业务发展过程中，我们发现在DDOS，CC等应用安全之外，还有一类安全变得越来越重要。这类安全问题主要是因为产品设计和逻辑上的不严谨导致，黑产通过攻击这些不严谨的地方来进行破坏和获利。比如我们常见的撞库、羊毛党，涉黄赌毒/爆，骗保骗贷等。这些，我们称之为业务安全问题。

随着移动互联网发展，越来越多的人触网，同时，竞争却变得更加激烈，而这恰巧也给了黑产更大的空间和可乘之机。2017年，黑灰产的相关从业人员达到150万之多，而造成行业直接损失在1000亿人民币。

这是最近的一个案例，可口可乐和腾讯视频合作的一个活动，通过扫瓶盖获取得视频的会员资格。黑产通过线下收集瓶盖，编写专门软件进行扫码、兑换、售卖，一周获利超过百万级，利润高达600%。

可以这么说，有业务的地方就有业务安全的问题，无论你是否关注，它就在那里。

那么，面对如此猖獗的黑产，我们是如何来应对的呢？ 总结了业界的解决方案，可以归纳为一个词：ABS，A是AI，B是big data，S service 即服务。

整体框架如图所示：

首先，数据是核心，这里的数据主要包含一些环境数据，行为数据，用户生产数据，以及外部数据。比如浏览器环境信息，设备信息，帐户信息，以及在这些环境下的操作信息，如鼠标滑动轨迹，键盘的按压等。另外，用户产生的如评论，举报等信息，外部情报信息也是非常重要的。

基于这些数据，再通过计算平台和AI风控引擎，对这些数据进行分析和挖掘，找出数据之间的相关性，然后进行综合的风控判断。

在腾讯，我们是通过图数据关系形式，挖掘不同数据如帐号，手机号，指纹之间的关联性，形成一个大的知识图谱，提供给业务使用。

服务层，主要是根据不同行业和场景，来进行具体策略订制和安全方案组合，提供给业务一套完整的解决方案。

这套系统在我们的使用过程中确实能帮助我们解决大部分问题。

但是，随着黑产不断升级，我们发现这套方案还是会面临不少的挑战。主要表现为“滞后”，和“被动防御”两方面。

让我们先看看“滞后”的问题，如前面介绍，风控模型是基于数据上的挖掘，这就要求必须要有足够的样本和特征纬度去让模型学习。因此，在一类新的黑产进入的时候，模型初期是很难识别，而这会造成部分恶意的漏过。

再看看“被动防御”的问题。因为我们无法感知到坏人的动向：什么时候，用什么手段，攻击哪个业务，我们就不知道什么时候准备更好的弹药和武器。

那针对这两个问题，该如何去解决呢？

结合实际的经验，我们提出了一个更优的解决方案：

新方案最主要的是增加了“态势感知”模块。这类似业务安全的天气预报，通过对黑产的数据分析，挖掘黑产背后的团伙信息，然后通过跟踪团伙动向，感知恶意走向。同时结合蓝军的测试，并把这些信息反馈给风控系统和业务进行防御和预警。以此来解决滞后和被动防御的问题。

下面我和大家分享下我们是如何做“态势感知”的。

首先，核心还是数据。除了环境，行为数据外，我们还引入了情报和舆情数据。通过一些黑产群，用户举报，暗网，论坛爬取的数据，形成情报数据。根据热点话题分析，新闻报道等形成舆情数据，标记行业趋势和热点动向。

其次，基于以上数据，结合腾讯的安全数据，通过关联扩散，行为分析，热点分析等手方法，对背后的团伙进行挖掘和标记，划分不同性质团伙，比如欺诈，羊毛党，工具团伙，资源团伙等。

然后，对这些团伙的核心节点进行分析，感知团伙的动向。

最后，基于动向信息，通过蓝军进行定向测试，发现业务存在的具体问题，反馈给风控系统，和预警信息到业务。

这样，通过情报，数据，蓝军之间的相互配合，我们可以做到对黑产的可感可控。实现一次做恶，全网布控的效果。并且，能化被动为主动，让我们游刃有余。

分享一个基于这套系统的实际案例：

我们发现帐号处罚量上升，主要是因为这些帐号在刷阅读，加粉，色情，赌博方面有异常的行为。通过分析，发现这批帐号主要来自东南亚的越南和缅甸。因为注册是所有恶意的源头，所以我们把精力集中在这里，希望通过控制源头来控制恶意。

随后，通过情报，我们拿到了黑产的注册软件工具，再对软件特征分析，结合腾讯相关团队能力，挖出了注册的团伙。发现该团伙是以李某和王某夫妇为核心，通过旗下4家公司来进行注册、卖号和刷单，上下游接近3000人规模。

挖出注册团伙后，考虑到手机资源的重要性，我们顺藤摸瓜，继续挖出了其背后的出卡团伙。发现，由于东南亚地区运营商不规范，黑灰产从当地大批量购买预付费卡，价格小于1块钱，只用来接收短信，可以用半年以上。

再顺着这条线索，又挖出了该产业链中的其他团伙，像代理IP，打码平台。这样，整个链条的团伙被我们全部挖出。再对挖出来的核心团伙进行分析，发现注册团伙和游戏团伙，营销刷量团伙、卡商团伙和电商羊毛党团伙均有互动。

根据这些互动信息，同时结合卧底在黑产中的情报信息。我们对游戏，电商等平台进行了预测和提前的防控。这是我们当时的一个黑产预警指数图。经过观察，最终有66% 流入到了游戏，37%流向了电商，29% 流向了微营销的场景。

那么我们如何能做到这样的态势感知呢？得益于腾讯丰富的数据和产品线，另外从05年开始我们就面临着各种业务安全，让我们在这里也积累了一点经验。同时，我们有国内最全的手机数据，10亿+的月活，以及亿级的海外手机数据。

设备指纹方面，基本覆盖了移动端和web端，每天产生超过25亿+的数据。

在IP方面，对国内C端用户接近100%的覆盖。

同时也感谢小伙伴对我们的信任，我们一起在电商、快消、出行、金融等多个行业进行了合作，并取得了不错的成绩。

安全不是一家独大，而是需要一起联防联控，希望大家一起联手，共同对抗黑产！

腾讯验证码服务面向成长型企业用户限时免费试用，详情可以关注“腾讯防水墙”公众号 ：

我今天的分享到此为止，谢谢大家！