腾讯的黑灰产对抗实践

4 月 20 日，国家互联网应急中心（CNCERT）发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产，报告发现：2019 年监测到各类网络黑产攻击日均 70 万次，电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时，报告还发现：网络黑产活动专业化、自动化程度不断提升，技术对抗越发激烈。

从某种程度上说，黑灰产是笼罩互联网行业的一片阴影，它已经成为互联网的“毒瘤”。

作为国内知名的互联网企业，腾讯有着海量用户，业务广泛，涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中，像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全，腾讯依靠旗下庞大的安全团队，在各条业务线上进行黑灰产的研究、对抗和打击工作，积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产，InfoQ 记者采访了腾讯安全云鼎实验室的技术专家 Karma。

作为一名网络安全人，Karma 入行十余年，他是一名全栈安全工程师，曾在多个安全领域从事一线研究。目前，他就职于腾讯安全云鼎实验室，主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中，光鲜亮丽的互联网世界里，各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者，“甚至不乏直接被黑灰产干倒的正规公司”。

Karma 说，“在我们的黑灰产监测系统里，每天能捕获到亿次级恶意网络行为，攻击范围广。可以说，黑灰产本身就是互联网的一块阴影，互联网越发达，阴影也相应的增大。”

而今年以来，情况略微有变。据他透露，今年受疫情影响，整个黑产市场上基础资源的供应有所收缩，并且由于东南亚博彩黑产受疫情影响导致的连锁效应，以及过去一年国家加大打击力度，“我们观测到，今年的黑灰产整体是稳中有降的，但这并不代表我们的工作可以松懈，因为等环境一适宜，它们又会卷土重来。”他说。

针对黑灰产的活动，Karma 总结出几个特点：

• 潜伏：黑灰产从业者们可能为了一年一次的大型活动，长期闷声不响地圈养一大批账号，只为在关键的几天迅速出击，比如每年几次的大型电商活动。

• 群攻：许多黑灰产攻击单独来看获利并不多，但是从业者会充分发挥“长尾效应”的作用，例如使用一大批账号，通过“人”海战术获得可观的收益，一波操作下来，犹如蝗虫过境。

• 掠夺：绝大多数黑灰产们并不创造价值，他们多以掠夺为生来获得收益，比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

• 无下限：黑灰产本质上是非法的，从业者们为获利更是无所不为，例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步：先搞清 4 大要素

某种意义上，黑灰产就像业务的影子一样，基本不可能“斩尽杀绝”，除非业务也“死掉”。当阳光斜射，影子就变大，唯有烈日高悬时，影子才会变得最小。

“对抗黑灰产也是一样，要想做到烈日高悬，就必须深入研究黑灰产的整个产业链的运作方式。”他说。

如何研究黑灰产？Karma 总结出四个要素：

• 人：从事该项黑灰产的人，他们是谁？他们聚集在哪里？

• 资源：从事该项黑灰产需要什么前置资源？从哪里获取？

• 路径：攻击方法是什么？操作流程是什么样？网络路径是什么样？

• 变现：黑灰产收益是通过什么方式变现？在哪里变现？

在黑灰产对抗过程中，研究者的挑战在于针对某个黑灰产业链，怎样弄清楚这四大要素（人、资源、路径、变现）。因为只有搞清楚这四大要素，研究者才能拥有全景视角，才能在整个黑灰产业链条上寻找最佳对抗点切入。

近几年，在企业上云的同时，“不法分子”也在上云，企图利用云的高效率服务。于是，我们看到黑灰产开始将阵地转移到云上，滥用云上资产。

据悉，2018 年，腾讯云接到个别用户投诉，有云上用户发现自己部署在云上的内容产品打开后排版混乱，并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持，因遭受了黑灰产的攻击所致。

原本一个正常的网站，用户点击一个正常的链接，但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险，造成经济损失，而且也会对企业造成巨大的声誉损失和用户流失，用户可能因产品体验受损而拒绝再次使用。

针对黑灰产的攻击，腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现，黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持，这种作案手法极其隐蔽，规避了大多数互联网企业的安全策略，而这种链路劫持能够发布任意恶性信息，会对社会稳定造成极大危害。

在这个过程中，联合团队利用技术手段分析黑产团伙的作案手法，并搜集不法分子的作案证据，并且与司法机关紧密配合，最终打掉这个犯罪团伙。

黑灰产对抗的技术侧：风控和人工智能

实际上，在黑灰产的对抗中，风控技术非常重要。Karma 认为，一般来说，好的风控和产品的耦合度是比较高的，需要根据产品特征进行定制，“很少存在一套风控系统适合各个产品线的情况”。

在他看来，风控能力一般分为数据和策略两部分。

数据的来源通常分为三类：

• 源自黑灰产业链的研究

直接在产业链研究的渠道上获取精准风控数据，比如黑产手机号、黑产出口 IP 等

• 源自用户恶意行为的分析

针对已知的恶意行为建立模型，筛选出恶意用户的相关数据

• 源自风险数据的关联分析

在上述两类数据的基础上，进行更大范围的关联分析，圈定更多风险数据。

而在策略方面，“策略需要根据产品具体设计，例如社交、游戏和电商等不同的产品线，它会有不同的风控策略体系。”他说。

除了风控技术，机器学习技术在近几年的蓬勃发展，也给安全领域的实践带来了新思路。

Karma 称，“很多风险行为和正常行为单独来看并没有差别。”举个例子，比如正常用户登录和暴力破解登录，它们本质上其实是同一件事，但是一旦频率出现巨大差异，就区分了正常行为和恶意行为。

“举个通俗的例子，我对女朋友很好，大家觉得我是个好人；但如果我同时有 10 个女朋友，那就成了渣男。”他说。

因此，在类似这种宏观视角的群体行为关系下，人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为，比如区分正常访问和恶意爬虫，区分真人游戏还是外挂脚本，区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中，我们从技术层面谈到了打击黑灰产，比如人工智能技术。实际上，除了技术力量，还有一些运营和策略手段可以用来打击黑灰产。

“除技术以外，其实风控能力更多表现在策略上，不同产品线的差别很大。”Karma 说。这里，列举一些思路：

1.核身策略

它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等，这是最基础的风控规则。

2.异常用户特征

长期未登录，只参与本次活动；

设备登录过多个账号的用户；

设备 root 用户；

设备中装有特定作弊相关 app 的用户

…

3.不同用户出现聚集性特征

同 IP；

同 WiFi 地址；

同地理位置；

连续手机号段；

同样的操作路径、速度；

不同用户出现交叉现象，比如互为好友等情况

……

通过定义大量类似的规则，筛选出可疑风险用户群，在相应的产品或活动策略上进行降权处理，都能较好地降低黑灰产给企业带来的经济或口碑损失。

从大方向上，Karma 将黑灰产分为两大类：“手术刀型”和“狼牙棒型”。

• 手术刀型：

目标明确，常以点对点精准攻击为主，典型的表现行为比如入侵、诈骗和游戏外挂等。

• 狼牙棒型：

其特点是没有明确的目标，或者目标非常多，以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产，企业的对策

目前，大部分企业面临的业务安全问题，通常集中在“狼牙棒型”的黑灰产上。Karma 表示，面对产业化、供应链化的黑产团队，攻防对抗将是一场持久战。一般来说，并不存在彻底地打尽黑灰产，“现实情况往往是在成本允许下，将黑灰产占比压到一个比较低的范围”。

那么，在这个基础上，企业要有效的打击黑灰产，最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景，熟悉对方的作恶成本，包括所需的资源、时间、金钱、渠道及收益等。

在业务侧，定位到对方的资源和流量等，予以精准打击。另外，企业也需要想清楚如何建立攻防上的优势，作为主动方，通过低成本的策略提高对方的攻击门槛，例如微信有个辅助注册的策略，正常用户要注册一个新账号很容易找到一个好友辅助，但黑产要批量注册就需要找到大量正常账号，这大幅提高了难度。

黑灰产的发展趋势

从更大的角度，Karma 概括了黑灰产的发展趋势。

1.以量取胜

目前，市面上大部分黑灰产都采取以量取胜，比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者，它们充分利用“长尾效应”，本着“苍蝇腿上也是肉”的原则，把蛋糕做大，未来几年，“这种格局应该都不会有太大变化”。

2.黑产资源平台化

过去几年，这个趋势已经很明显。在黑灰产领域，有很多需求庞大的基础资源，比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商，可以按需取用，极大降低了黑灰产从业者的从业门槛。

甚至在更专业的技术领域，例如游戏外挂开发，也形成了类似的供应链，有专门做通信加密的、做登录验证的、做发卡平台的等，作者只需要专注于核心功能。

Karma 表示，从某种程度上说，这和“云计算”的理念是类似的，让用户不用过度关注资源，只需要专注业务逻辑，“让人产生一种魔幻的殊途同归的既视感“。

3.技术对抗迭代转向资源效率迭代

基于前文提到的资源平台化现象，黑灰产的一个典型变化是，从早期的技术对抗迭代模式，逐渐转向资源效率的迭代。在技术对抗迭代的时代，黑灰产从业者往往通过技术栈来保证自己的优势。

当资源平台化后，黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升，例如早期群控系统需要摆满房间的真实手机，后来被手机硬件厂商整合成箱控，一块主板能切割出几十台手机，再后来直接做成云手机的模式，连实体都不需要。

“很明显，这是一种更加优秀合理的供应链模式，只不过供应的是黑灰产，让人颇感唏嘘。”Karma 感叹道！