写点什么

腾讯的黑灰产对抗实践

  • 2020-07-20
  • 本文字数:4029 字

    阅读完需:约 13 分钟

腾讯的黑灰产对抗实践

4 月 20 日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产,报告发现:2019 年监测到各类网络黑产攻击日均 70 万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。


从某种程度上说,黑灰产是笼罩互联网行业的一片阴影,它已经成为互联网的“毒瘤”。


作为国内知名的互联网企业,腾讯有着海量用户,业务广泛,涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中,像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全,腾讯依靠旗下庞大的安全团队,在各条业务线上进行黑灰产的研究、对抗和打击工作,积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产,InfoQ 记者采访了腾讯安全云鼎实验室的技术专家 Karma。


作为一名网络安全人,Karma 入行十余年,他是一名全栈安全工程师,曾在多个安全领域从事一线研究。目前,他就职于腾讯安全云鼎实验室,主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中,光鲜亮丽的互联网世界里,各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者,“甚至不乏直接被黑灰产干倒的正规公司”。


Karma 说,“在我们的黑灰产监测系统里,每天能捕获到亿次级恶意网络行为,攻击范围广。可以说,黑灰产本身就是互联网的一块阴影,互联网越发达,阴影也相应的增大。”


而今年以来,情况略微有变。据他透露,今年受疫情影响,整个黑产市场上基础资源的供应有所收缩,并且由于东南亚博彩黑产受疫情影响导致的连锁效应,以及过去一年国家加大打击力度,“我们观测到,今年的黑灰产整体是稳中有降的,但这并不代表我们的工作可以松懈,因为等环境一适宜,它们又会卷土重来。”他说。


针对黑灰产的活动,Karma 总结出几个特点:


  • 潜伏:黑灰产从业者们可能为了一年一次的大型活动,长期闷声不响地圈养一大批账号,只为在关键的几天迅速出击,比如每年几次的大型电商活动。

  • 群攻:许多黑灰产攻击单独来看获利并不多,但是从业者会充分发挥“长尾效应”的作用,例如使用一大批账号,通过“人”海战术获得可观的收益,一波操作下来,犹如蝗虫过境。

  • 掠夺:绝大多数黑灰产们并不创造价值,他们多以掠夺为生来获得收益,比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

  • 无下限:黑灰产本质上是非法的,从业者们为获利更是无所不为,例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步:先搞清 4 大要素

某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。


“对抗黑灰产也是一样,要想做到烈日高悬,就必须深入研究黑灰产的整个产业链的运作方式。”他说。


如何研究黑灰产?Karma 总结出四个要素:


  • :从事该项黑灰产的人,他们是谁?他们聚集在哪里?

  • 资源:从事该项黑灰产需要什么前置资源?从哪里获取?

  • 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?

  • 变现:黑灰产收益是通过什么方式变现?在哪里变现?


在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。


近几年,在企业上云的同时,“不法分子”也在上云,企图利用云的高效率服务。于是,我们看到黑灰产开始将阵地转移到云上,滥用云上资产。


据悉,2018 年,腾讯云接到个别用户投诉,有云上用户发现自己部署在云上的内容产品打开后排版混乱,并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持,因遭受了黑灰产的攻击所致。


原本一个正常的网站,用户点击一个正常的链接,但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险,造成经济损失,而且也会对企业造成巨大的声誉损失和用户流失,用户可能因产品体验受损而拒绝再次使用。



针对黑灰产的攻击,腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现,黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持,这种作案手法极其隐蔽,规避了大多数互联网企业的安全策略,而这种链路劫持能够发布任意恶性信息,会对社会稳定造成极大危害。


在这个过程中,联合团队利用技术手段分析黑产团伙的作案手法,并搜集不法分子的作案证据,并且与司法机关紧密配合,最终打掉这个犯罪团伙。

黑灰产对抗的技术侧:风控和人工智能

实际上,在黑灰产的对抗中,风控技术非常重要。Karma 认为,一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制,“很少存在一套风控系统适合各个产品线的情况”。


在他看来,风控能力一般分为数据和策略两部分。


数据的来源通常分为三类:


  • 源自黑灰产业链的研究


直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口 IP 等


  • 源自用户恶意行为的分析


针对已知的恶意行为建立模型,筛选出恶意用户的相关数据


  • 源自风险数据的关联分析


在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。


而在策略方面,“策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。”他说。


除了风控技术,机器学习技术在近几年的蓬勃发展,也给安全领域的实践带来了新思路。


Karma 称,“很多风险行为和正常行为单独来看并没有差别。”举个例子,比如正常用户登录和暴力破解登录,它们本质上其实是同一件事,但是一旦频率出现巨大差异,就区分了正常行为和恶意行为。


“举个通俗的例子,我对女朋友很好,大家觉得我是个好人;但如果我同时有 10 个女朋友,那就成了渣男。”他说。


因此,在类似这种宏观视角的群体行为关系下,人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为,比如区分正常访问和恶意爬虫,区分真人游戏还是外挂脚本,区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中,我们从技术层面谈到了打击黑灰产,比如人工智能技术。实际上,除了技术力量,还有一些运营和策略手段可以用来打击黑灰产。


“除技术以外,其实风控能力更多表现在策略上,不同产品线的差别很大。”Karma 说。这里,列举一些思路:


1.核身策略


它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。


2.异常用户特征


长期未登录,只参与本次活动;


设备登录过多个账号的用户;


设备 root 用户;


设备中装有特定作弊相关 app 的用户



3.不同用户出现聚集性特征


同 IP;


同 WiFi 地址;


同地理位置;


连续手机号段;


同样的操作路径、速度;


不同用户出现交叉现象,比如互为好友等情况


……


通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。


从大方向上,Karma 将黑灰产分为两大类:“手术刀型”和“狼牙棒型”。


  • 手术刀型:


目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。


  • 狼牙棒型:


其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产,企业的对策

目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。Karma 表示,面对产业化、供应链化的黑产团队,攻防对抗将是一场持久战。一般来说,并不存在彻底地打尽黑灰产,“现实情况往往是在成本允许下,将黑灰产占比压到一个比较低的范围”。


那么,在这个基础上,企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。


在业务侧,定位到对方的资源和流量等,予以精准打击。另外,企业也需要想清楚如何建立攻防上的优势,作为主动方,通过低成本的策略提高对方的攻击门槛,例如微信有个辅助注册的策略,正常用户要注册一个新账号很容易找到一个好友辅助,但黑产要批量注册就需要找到大量正常账号,这大幅提高了难度。

黑灰产的发展趋势

从更大的角度,Karma 概括了黑灰产的发展趋势。


1.以量取胜


目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大,未来几年,“这种格局应该都不会有太大变化”。


2.黑产资源平台化


过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。


甚至在更专业的技术领域,例如游戏外挂开发,也形成了类似的供应链,有专门做通信加密的、做登录验证的、做发卡平台的等,作者只需要专注于核心功能。


Karma 表示,从某种程度上说,这和“云计算”的理念是类似的,让用户不用过度关注资源,只需要专注业务逻辑,“让人产生一种魔幻的殊途同归的既视感“。


3.技术对抗迭代转向资源效率迭代


基于前文提到的资源平台化现象,黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。


当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。


“很明显,这是一种更加优秀合理的供应链模式,只不过供应的是黑灰产,让人颇感唏嘘。”Karma 感叹道!


2020-07-20 17:227408
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 359.2 次阅读, 收获喜欢 1800 次。

关注

评论 2 条评论

发布
用户头像
将的好像腾讯用户因为腾讯遭受损失,腾讯可以及时止损一样。
2020-07-28 11:17
回复
本文主要探讨了腾讯在黑灰产对抗中的思路和方法。
2020-07-28 11:29
回复
没有更多了
发现更多内容

第4周作业_贷款申请用例

园子

互联网金融 小额贷款 去中心化金融借贷系统开发

Elasticsearch 精确匹配与全文搜索

escray

elastic 七日更 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

流媒体传输协议之 RTP(下篇)

阿里云CloudImagine

音视频 流媒体 rtp

你看那个程序员,每年升职加薪,日赚3千

谙忆

产品训练营 - 第四周 - 作业

邹小胖

产品训练营

业务流程与产品文档

王一凡

产品经理训练营

数据结构与算法 - 排序1.冒泡排序

小马哥

Java 排序算法 数据结构与算法

LeetCode题解:297. 二叉树的序列化与反序列化,DFS,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

话题讨论 | 如何获得令人心动的前端offer

我是哪吒

程序员 面试 大前端 话题讨论 二月春节不断更

产品经理 - 第三周作业

LLL777

HTTPS的安全性从何而来?

【得物技术】走进Web3D的世界(1) 画个立方体吧

得物技术

html html5 js WebGL 得物技术

认识 Java 中的队列:Vector、ArrayList、CopyOnWriteArrayList、SynchronizedList

看山

Java 线程安全

马斯克说狗币牛逼,我说idea插件助你盯盘摸鱼

滑板上的老砒霜

比特币 idea插件 Android开发

【STM32】0.96寸OLED显示屏(7针SPI协议)软件模拟SPI

AXYZdong

硬件 stm32 2月春节不断更

5. Python 循环的本质就是一段代码懒得重复写

梦想橡皮擦

Python Python Monad 2月春节不断更 python入门

Java容器--2021面试题系列教程(附答案解析)--大白话解读--JavaPub版本

JavaPub

Java 面试 hashmap javapub

产品经理训练营第四次作业

Jobs

/(ㄒoㄒ)/~~晚了

Nydia

金融科技的碎片化思考(中)

曲水流觞TechRill

金融科技

你真的了解 sync.Mutex吗

Leo叔叔

mutex Go Concurrency Patterns Go 语言

正确面对倦怠感,提升职场战斗力

boshi

职场成长 七日更

极客时间购买课程用例

Geek_a32093

话题讨论 | 你是不是一个特别容易被说服的人?

石云升

话题讨论 2月春节不断更

20210209—生活记录

VC

二月春节不断更

区分重载和重写,轻松掌握 Java 多态

飞天小牛肉

Java 程序员 面试 后端 2月春节不断更

5G点亮工业革命前,2021需要持续点亮5G

脑极体

用例文档练习

王一凡

产品经理

盘点和程序员相关的那些事,让你不再被割韭菜,薅羊毛!

孙叫兽

程序员 程序人生 高薪 话题讨论

深入了解gradle和maven的区别

程序那些事

maven Gradle 程序那些事 构建工具

从“乌鸡”到5G,不仅仅是谐音梗

脑极体

腾讯的黑灰产对抗实践_安全_万佳_InfoQ精选文章