腾讯安全平台部专家研究员胡育辉:千亿黑产背后的破局之道

背景:5月23-24日,以“焕启”为主题的腾讯“云+未来”峰会再广州召开,广东省各级政府机构领导、海内外业内学术专家、合作伙伴及行业大咖悉数到场,共话云计算与行业数字化新发展。

腾讯安全平台部专家研究员胡育辉,在24日下午的安全分论坛上,就打击黑产等业务安全方面,分享了腾讯的经验与成果,并倡导和业界伙伴联防联控,共促安全领域发展。

以下为胡育辉演讲全文:

大家早上好!

大家好,我是来自腾讯的胡育辉,今天很高兴能在这里和大家分享腾讯在业务安全方面的一些经验和思路,希望一起交流,共同促进这个领域的发展。在腾讯近9年的时间里,我一直从事业务安全相关的工作。先后负责过帐号安全,反欺诈,以及云业务安全相关工作。

在腾讯业务发展过程中,我们发现在DDOS,CC等应用安全之外,还有一类安全变得越来越重要。这类安全问题主要是因为产品设计和逻辑上的不严谨导致,黑产通过攻击这些不严谨的地方来进行破坏和获利。比如我们常见的撞库、羊毛党,涉黄赌毒/爆,骗保骗贷等。这些,我们称之为业务安全问题。

随着移动互联网发展,越来越多的人触网,同时,竞争却变得更加激烈,而这恰巧也给了黑产更大的空间和可乘之机。2017年,黑灰产的相关从业人员达到150万之多,而造成行业直接损失在1000亿人民币。

这是最近的一个案例,可口可乐和腾讯视频合作的一个活动,通过扫瓶盖获取得视频的会员资格。黑产通过线下收集瓶盖,编写专门软件进行扫码、兑换、售卖,一周获利超过百万级,利润高达600%。

可以这么说,有业务的地方就有业务安全的问题,无论你是否关注,它就在那里。

那么,面对如此猖獗的黑产,我们是如何来应对的呢? 总结了业界的解决方案,可以归纳为一个词:ABS,A是AI,B是big data,S service 即服务。

整体框架如图所示:

首先,数据是核心,这里的数据主要包含一些环境数据,行为数据,用户生产数据,以及外部数据。比如浏览器环境信息,设备信息,帐户信息,以及在这些环境下的操作信息,如鼠标滑动轨迹,键盘的按压等。另外,用户产生的如评论,举报等信息,外部情报信息也是非常重要的。

基于这些数据,再通过计算平台和AI风控引擎,对这些数据进行分析和挖掘,找出数据之间的相关性,然后进行综合的风控判断。

在腾讯,我们是通过图数据关系形式,挖掘不同数据如帐号,手机号,指纹之间的关联性,形成一个大的知识图谱,提供给业务使用。

服务层,主要是根据不同行业和场景,来进行具体策略订制和安全方案组合,提供给业务一套完整的解决方案。

这套系统在我们的使用过程中确实能帮助我们解决大部分问题。

但是,随着黑产不断升级,我们发现这套方案还是会面临不少的挑战。主要表现为“滞后”,和“被动防御”两方面。

让我们先看看“滞后”的问题,如前面介绍,风控模型是基于数据上的挖掘,这就要求必须要有足够的样本和特征纬度去让模型学习。因此,在一类新的黑产进入的时候,模型初期是很难识别,而这会造成部分恶意的漏过。

再看看“被动防御”的问题。因为我们无法感知到坏人的动向:什么时候,用什么手段,攻击哪个业务,我们就不知道什么时候准备更好的弹药和武器。

那针对这两个问题,该如何去解决呢?

结合实际的经验,我们提出了一个更优的解决方案:

新方案最主要的是增加了“态势感知”模块。这类似业务安全的天气预报,通过对黑产的数据分析,挖掘黑产背后的团伙信息,然后通过跟踪团伙动向,感知恶意走向。同时结合蓝军的测试,并把这些信息反馈给风控系统和业务进行防御和预警。以此来解决滞后和被动防御的问题。

下面我和大家分享下我们是如何做“态势感知”的。

首先,核心还是数据。除了环境,行为数据外,我们还引入了情报和舆情数据。通过一些黑产群,用户举报,暗网,论坛爬取的数据,形成情报数据。根据热点话题分析,新闻报道等形成舆情数据,标记行业趋势和热点动向。

其次,基于以上数据,结合腾讯的安全数据,通过关联扩散,行为分析,热点分析等手方法,对背后的团伙进行挖掘和标记,划分不同性质团伙,比如欺诈,羊毛党,工具团伙,资源团伙等。

然后,对这些团伙的核心节点进行分析,感知团伙的动向。

最后,基于动向信息,通过蓝军进行定向测试,发现业务存在的具体问题,反馈给风控系统,和预警信息到业务。

这样,通过情报,数据,蓝军之间的相互配合,我们可以做到对黑产的可感可控。实现一次做恶,全网布控的效果。并且,能化被动为主动,让我们游刃有余。

分享一个基于这套系统的实际案例:

我们发现帐号处罚量上升,主要是因为这些帐号在刷阅读,加粉,色情,赌博方面有异常的行为。通过分析,发现这批帐号主要来自东南亚的越南和缅甸。因为注册是所有恶意的源头,所以我们把精力集中在这里,希望通过控制源头来控制恶意。

随后,通过情报,我们拿到了黑产的注册软件工具,再对软件特征分析,结合腾讯相关团队能力,挖出了注册的团伙。发现该团伙是以李某和王某夫妇为核心,通过旗下4家公司来进行注册、卖号和刷单,上下游接近3000人规模。

挖出注册团伙后,考虑到手机资源的重要性,我们顺藤摸瓜,继续挖出了其背后的出卡团伙。发现,由于东南亚地区运营商不规范,黑灰产从当地大批量购买预付费卡,价格小于1块钱,只用来接收短信,可以用半年以上。

再顺着这条线索,又挖出了该产业链中的其他团伙,像代理IP,打码平台。这样,整个链条的团伙被我们全部挖出。再对挖出来的核心团伙进行分析,发现注册团伙和游戏团伙,营销刷量团伙、卡商团伙和电商羊毛党团伙均有互动。

根据这些互动信息,同时结合卧底在黑产中的情报信息。我们对游戏,电商等平台进行了预测和提前的防控。这是我们当时的一个黑产预警指数图。经过观察,最终有66% 流入到了游戏,37%流向了电商,29% 流向了微营销的场景。

那么我们如何能做到这样的态势感知呢?得益于腾讯丰富的数据和产品线,另外从05年开始我们就面临着各种业务安全,让我们在这里也积累了一点经验。同时,我们有国内最全的手机数据,10亿+的月活,以及亿级的海外手机数据。

设备指纹方面,基本覆盖了移动端和web端,每天产生超过25亿+的数据。

在IP方面,对国内C端用户接近100%的覆盖。

同时也感谢小伙伴对我们的信任,我们一起在电商、快消、出行、金融等多个行业进行了合作,并取得了不错的成绩。

安全不是一家独大,而是需要一起联防联控,希望大家一起联手,共同对抗黑产!

腾讯验证码服务面向成长型企业用户限时免费试用,详情可以关注“腾讯防水墙”公众号 :

我今天的分享到此为止,谢谢大家!

原文发布于微信公众号 - 腾讯技术工程(Tencent_TEG)

原文发表时间:2018-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏美团技术团队

美团外卖骑手背后的AI技术

30750
来自专栏新智元

BAT 机器人落地,人工智能应如何崛起?

人工智能需要拥有与我们一样的三观。 新智元点评 2015 百度世界大会的报道引发全球关注,今天英国金融时报 FT 的记者也通过【新智元】的相关报道针对中国人工...

38490
来自专栏镁客网

VR 真的来了,这些必备的入行知识你了解多少?

16140
来自专栏科技向令说

小心!新媒体环境下,营销传播还有几个大坑!

第一件事:7月1日,《关于移动游戏出版服务管理的通知》正式生效。游戏甚至Html5游戏上线前也需要申请游戏版号,这就意味着“围住神经猫”这类H5游戏再想两三天内...

11130
来自专栏云市场·精选汇

赌桌上的小程序

小程序刚上线那天,张小龙发了条朋友圈,配了张iPhone发布会的图,并写下了一个日期:2007.1.9。

18800
来自专栏量子位

GitHub可以不独立,但就不能委身微软?

16940
来自专栏直播软件吧

方维直播源码:直播交友+直播商城+直播婚恋+直播教育

218年伊始又是直播行业蜕变的一年,直播自媒体这个概念早已不是新鲜的代名词,直播所衍生出来的机遇成为新的风口——直播+娱乐+商业+教育+交友+婚恋+的完美结合,...

41500
来自专栏ATYUN订阅号

初创公司Emesent开发自主无人机,可在危险的地下深处测绘

看起来每个行业都在寻找以某种方式使用无人机的方法,但在地下深处的情况就不同了。在矿井或管道的范围内,没有GPS,很少或根本没有光线,现有的无人机也没有用处。但是...

11110
来自专栏FreeBuf

周鸿祎要卖360辣椒水,还把“安全大脑”充公了

2018 ISC 互联网安全大会在北京国家会议中心刚刚落幕。北京的蓝天白云晴空万里、会场里熙熙攘攘来自各国的演讲者和参会者,还有现场涉及网络安全大大小小领域的议...

11530
来自专栏CSDN技术头条

展望 IoT 市场:机器学习能力定生死

机器哪怕价值上亿,也无法替代医生来治病救人;但一个25美元的可穿戴设备却知道你什么时候该去看医生。 1996 年,美国芝加哥的库克郡医院急诊室采用了一种算法来判...

23660

扫码关注云+社区

领取腾讯云代金券