写点什么

腾讯的黑灰产对抗实践

  • 2020-07-20
  • 本文字数:4029 字

    阅读完需:约 13 分钟

腾讯的黑灰产对抗实践

4 月 20 日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产,报告发现:2019 年监测到各类网络黑产攻击日均 70 万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。


从某种程度上说,黑灰产是笼罩互联网行业的一片阴影,它已经成为互联网的“毒瘤”。


作为国内知名的互联网企业,腾讯有着海量用户,业务广泛,涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中,像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全,腾讯依靠旗下庞大的安全团队,在各条业务线上进行黑灰产的研究、对抗和打击工作,积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产,InfoQ 记者采访了腾讯安全云鼎实验室的技术专家 Karma。


作为一名网络安全人,Karma 入行十余年,他是一名全栈安全工程师,曾在多个安全领域从事一线研究。目前,他就职于腾讯安全云鼎实验室,主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中,光鲜亮丽的互联网世界里,各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者,“甚至不乏直接被黑灰产干倒的正规公司”。


Karma 说,“在我们的黑灰产监测系统里,每天能捕获到亿次级恶意网络行为,攻击范围广。可以说,黑灰产本身就是互联网的一块阴影,互联网越发达,阴影也相应的增大。”


而今年以来,情况略微有变。据他透露,今年受疫情影响,整个黑产市场上基础资源的供应有所收缩,并且由于东南亚博彩黑产受疫情影响导致的连锁效应,以及过去一年国家加大打击力度,“我们观测到,今年的黑灰产整体是稳中有降的,但这并不代表我们的工作可以松懈,因为等环境一适宜,它们又会卷土重来。”他说。


针对黑灰产的活动,Karma 总结出几个特点:


  • 潜伏:黑灰产从业者们可能为了一年一次的大型活动,长期闷声不响地圈养一大批账号,只为在关键的几天迅速出击,比如每年几次的大型电商活动。

  • 群攻:许多黑灰产攻击单独来看获利并不多,但是从业者会充分发挥“长尾效应”的作用,例如使用一大批账号,通过“人”海战术获得可观的收益,一波操作下来,犹如蝗虫过境。

  • 掠夺:绝大多数黑灰产们并不创造价值,他们多以掠夺为生来获得收益,比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

  • 无下限:黑灰产本质上是非法的,从业者们为获利更是无所不为,例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步:先搞清 4 大要素

某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。


“对抗黑灰产也是一样,要想做到烈日高悬,就必须深入研究黑灰产的整个产业链的运作方式。”他说。


如何研究黑灰产?Karma 总结出四个要素:


  • :从事该项黑灰产的人,他们是谁?他们聚集在哪里?

  • 资源:从事该项黑灰产需要什么前置资源?从哪里获取?

  • 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?

  • 变现:黑灰产收益是通过什么方式变现?在哪里变现?


在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。


近几年,在企业上云的同时,“不法分子”也在上云,企图利用云的高效率服务。于是,我们看到黑灰产开始将阵地转移到云上,滥用云上资产。


据悉,2018 年,腾讯云接到个别用户投诉,有云上用户发现自己部署在云上的内容产品打开后排版混乱,并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持,因遭受了黑灰产的攻击所致。


原本一个正常的网站,用户点击一个正常的链接,但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险,造成经济损失,而且也会对企业造成巨大的声誉损失和用户流失,用户可能因产品体验受损而拒绝再次使用。



针对黑灰产的攻击,腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现,黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持,这种作案手法极其隐蔽,规避了大多数互联网企业的安全策略,而这种链路劫持能够发布任意恶性信息,会对社会稳定造成极大危害。


在这个过程中,联合团队利用技术手段分析黑产团伙的作案手法,并搜集不法分子的作案证据,并且与司法机关紧密配合,最终打掉这个犯罪团伙。

黑灰产对抗的技术侧:风控和人工智能

实际上,在黑灰产的对抗中,风控技术非常重要。Karma 认为,一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制,“很少存在一套风控系统适合各个产品线的情况”。


在他看来,风控能力一般分为数据和策略两部分。


数据的来源通常分为三类:


  • 源自黑灰产业链的研究


直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口 IP 等


  • 源自用户恶意行为的分析


针对已知的恶意行为建立模型,筛选出恶意用户的相关数据


  • 源自风险数据的关联分析


在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。


而在策略方面,“策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。”他说。


除了风控技术,机器学习技术在近几年的蓬勃发展,也给安全领域的实践带来了新思路。


Karma 称,“很多风险行为和正常行为单独来看并没有差别。”举个例子,比如正常用户登录和暴力破解登录,它们本质上其实是同一件事,但是一旦频率出现巨大差异,就区分了正常行为和恶意行为。


“举个通俗的例子,我对女朋友很好,大家觉得我是个好人;但如果我同时有 10 个女朋友,那就成了渣男。”他说。


因此,在类似这种宏观视角的群体行为关系下,人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为,比如区分正常访问和恶意爬虫,区分真人游戏还是外挂脚本,区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中,我们从技术层面谈到了打击黑灰产,比如人工智能技术。实际上,除了技术力量,还有一些运营和策略手段可以用来打击黑灰产。


“除技术以外,其实风控能力更多表现在策略上,不同产品线的差别很大。”Karma 说。这里,列举一些思路:


1.核身策略


它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。


2.异常用户特征


长期未登录,只参与本次活动;


设备登录过多个账号的用户;


设备 root 用户;


设备中装有特定作弊相关 app 的用户



3.不同用户出现聚集性特征


同 IP;


同 WiFi 地址;


同地理位置;


连续手机号段;


同样的操作路径、速度;


不同用户出现交叉现象,比如互为好友等情况


……


通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。


从大方向上,Karma 将黑灰产分为两大类:“手术刀型”和“狼牙棒型”。


  • 手术刀型:


目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。


  • 狼牙棒型:


其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产,企业的对策

目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。Karma 表示,面对产业化、供应链化的黑产团队,攻防对抗将是一场持久战。一般来说,并不存在彻底地打尽黑灰产,“现实情况往往是在成本允许下,将黑灰产占比压到一个比较低的范围”。


那么,在这个基础上,企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。


在业务侧,定位到对方的资源和流量等,予以精准打击。另外,企业也需要想清楚如何建立攻防上的优势,作为主动方,通过低成本的策略提高对方的攻击门槛,例如微信有个辅助注册的策略,正常用户要注册一个新账号很容易找到一个好友辅助,但黑产要批量注册就需要找到大量正常账号,这大幅提高了难度。

黑灰产的发展趋势

从更大的角度,Karma 概括了黑灰产的发展趋势。


1.以量取胜


目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大,未来几年,“这种格局应该都不会有太大变化”。


2.黑产资源平台化


过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。


甚至在更专业的技术领域,例如游戏外挂开发,也形成了类似的供应链,有专门做通信加密的、做登录验证的、做发卡平台的等,作者只需要专注于核心功能。


Karma 表示,从某种程度上说,这和“云计算”的理念是类似的,让用户不用过度关注资源,只需要专注业务逻辑,“让人产生一种魔幻的殊途同归的既视感“。


3.技术对抗迭代转向资源效率迭代


基于前文提到的资源平台化现象,黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。


当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。


“很明显,这是一种更加优秀合理的供应链模式,只不过供应的是黑灰产,让人颇感唏嘘。”Karma 感叹道!


2020-07-20 17:227193
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 353.8 次阅读, 收获喜欢 1799 次。

关注

评论 2 条评论

发布
用户头像
将的好像腾讯用户因为腾讯遭受损失,腾讯可以及时止损一样。
2020-07-28 11:17
回复
本文主要探讨了腾讯在黑灰产对抗中的思路和方法。
2020-07-28 11:29
回复
没有更多了
发现更多内容

概述大数据技术在智能运维中四大挑战

穿过生命散发芬芳

智能运维 9月月更

[Go WebSocket] 单房间的聊天室

HullQin

Go golang 后端 websocket 9月月更

MySQL不同隔离级别,都使用了什么锁?

Java全栈架构师

Java MySQL 数据库 程序员 程序人生

2022-09-07:给你一个由正整数组成的数组 nums 。 数字序列的 最大公约数 定义为序列中所有整数的共有约数中的最大整数。 例如,序列 [4,6,16] 的最大公约数是 2 。 数组的一个

福大大架构师每日一题

算法 rust 福大大

当代用电行为大赏:有人心疼电费,有人靠屋顶光伏“理财”

白洞计划

SD-WAN网络编排原理

阿泽🧸

9月月更 网络编排

如何快速的部署一个静态页面到 Web3.0 上?5 分钟解密

掘金安东尼

前端 Web3.0 9月月更

数据治理(十):Atlas案例演示

Lansonli

数据治理 9月月更

openGauss内核分析:SQL by pass & 经典执行器

华为云开发者联盟

数据库 后端 企业号九月金秋榜

【从零开始学docker】一、Docker的安装,启动以及工作原理

泡泡

云计算 容器 云原生 9月月更

每日一R「22」内存:堆与栈

Samson

学习笔记 ​Rust 9月月更

微信小程序挖坑汇总

Shine

微信小程序

Chrome操作指南——入门篇(一)

Augus

Chrome开发者工具 9月月更

Python图像处理丨认识图像锐化和边缘提取的4个算子

华为云开发者联盟

Python 人工智能 图像处理 企业号九月金秋榜

C++学习------clocale头文件的源码学习

桑榆

c++ 源码阅读 9月月更

Go vs Python,我该选哪一门语言?

宇宙之一粟

Python 编程语言 Go 语言 9月月更

Java进阶(九)正则表达式

No Silver Bullet

Java 正则表达式 9月月更

设计模式的艺术 第四章简单工厂设计模式练习(使用简单工厂模式设计一个可以创建不同几何形状(如圆形、方形和三角形等)的绘图工具,每个图形都具有绘制draw()和擦除erase()两个方法,要求在绘制不支持的几何图形时,提示UnSupportedShape)

代廉洁

设计模式的艺术

NFT开发公司带你了解目前NFT开发属于什么状态

开源直播系统源码

区块链 NFT 数字藏品

SQL 嵌套 N 层太长太难写怎么办?

jiangxl

如何让百度搜索结果显示网站 logo

源字节1号

网站建设 网站开发

数据湖统一元数据与权限

阿里云大数据AI技术

大数据 企业号九月金秋榜

一文带你认知定时消息发布RocketMQ

华为云开发者联盟

云计算 后端 华为云 企业号九月金秋榜

MobTech秒验 Android端如何在授权界面添加短信登录按钮

MobTech袤博科技

android sdk

2022年中国新能源汽车用户体验指数(UEI)

易观分析

新能源汽车 UEI

纠删码在实时视频流中的应用丨Dev for Dev 专栏

声网

音视频 人工智能’

NEO FANTASY:回合制策略游戏在ACGN文化与GameFi中的新探索 09-07

鳄鱼视界

VUE 如何格式化数字

HoneyMoose

Angular tsconfig.json 文件里的 paths 用途

汪子熙

typescript 前端开发 angular SAP UI5 9月月更

【文本检测与识别-白皮书】第一章:技术背景

合合技术团队

文字识别 文本 人工智能’

Unity 关于低版本是否可以引用高版本构建内容的可行性验证

CoderZ

C# dll Unity3D 9月月更

腾讯的黑灰产对抗实践_安全_万佳_InfoQ精选文章