写点什么

腾讯的黑灰产对抗实践

  • 2020-07-20
  • 本文字数:4029 字

    阅读完需:约 13 分钟

腾讯的黑灰产对抗实践

4 月 20 日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产,报告发现:2019 年监测到各类网络黑产攻击日均 70 万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。


从某种程度上说,黑灰产是笼罩互联网行业的一片阴影,它已经成为互联网的“毒瘤”。


作为国内知名的互联网企业,腾讯有着海量用户,业务广泛,涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中,像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全,腾讯依靠旗下庞大的安全团队,在各条业务线上进行黑灰产的研究、对抗和打击工作,积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产,InfoQ 记者采访了腾讯安全云鼎实验室的技术专家 Karma。


作为一名网络安全人,Karma 入行十余年,他是一名全栈安全工程师,曾在多个安全领域从事一线研究。目前,他就职于腾讯安全云鼎实验室,主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中,光鲜亮丽的互联网世界里,各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者,“甚至不乏直接被黑灰产干倒的正规公司”。


Karma 说,“在我们的黑灰产监测系统里,每天能捕获到亿次级恶意网络行为,攻击范围广。可以说,黑灰产本身就是互联网的一块阴影,互联网越发达,阴影也相应的增大。”


而今年以来,情况略微有变。据他透露,今年受疫情影响,整个黑产市场上基础资源的供应有所收缩,并且由于东南亚博彩黑产受疫情影响导致的连锁效应,以及过去一年国家加大打击力度,“我们观测到,今年的黑灰产整体是稳中有降的,但这并不代表我们的工作可以松懈,因为等环境一适宜,它们又会卷土重来。”他说。


针对黑灰产的活动,Karma 总结出几个特点:


  • 潜伏:黑灰产从业者们可能为了一年一次的大型活动,长期闷声不响地圈养一大批账号,只为在关键的几天迅速出击,比如每年几次的大型电商活动。

  • 群攻:许多黑灰产攻击单独来看获利并不多,但是从业者会充分发挥“长尾效应”的作用,例如使用一大批账号,通过“人”海战术获得可观的收益,一波操作下来,犹如蝗虫过境。

  • 掠夺:绝大多数黑灰产们并不创造价值,他们多以掠夺为生来获得收益,比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

  • 无下限:黑灰产本质上是非法的,从业者们为获利更是无所不为,例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步:先搞清 4 大要素

某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。


“对抗黑灰产也是一样,要想做到烈日高悬,就必须深入研究黑灰产的整个产业链的运作方式。”他说。


如何研究黑灰产?Karma 总结出四个要素:


  • :从事该项黑灰产的人,他们是谁?他们聚集在哪里?

  • 资源:从事该项黑灰产需要什么前置资源?从哪里获取?

  • 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?

  • 变现:黑灰产收益是通过什么方式变现?在哪里变现?


在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。


近几年,在企业上云的同时,“不法分子”也在上云,企图利用云的高效率服务。于是,我们看到黑灰产开始将阵地转移到云上,滥用云上资产。


据悉,2018 年,腾讯云接到个别用户投诉,有云上用户发现自己部署在云上的内容产品打开后排版混乱,并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持,因遭受了黑灰产的攻击所致。


原本一个正常的网站,用户点击一个正常的链接,但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险,造成经济损失,而且也会对企业造成巨大的声誉损失和用户流失,用户可能因产品体验受损而拒绝再次使用。



针对黑灰产的攻击,腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现,黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持,这种作案手法极其隐蔽,规避了大多数互联网企业的安全策略,而这种链路劫持能够发布任意恶性信息,会对社会稳定造成极大危害。


在这个过程中,联合团队利用技术手段分析黑产团伙的作案手法,并搜集不法分子的作案证据,并且与司法机关紧密配合,最终打掉这个犯罪团伙。

黑灰产对抗的技术侧:风控和人工智能

实际上,在黑灰产的对抗中,风控技术非常重要。Karma 认为,一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制,“很少存在一套风控系统适合各个产品线的情况”。


在他看来,风控能力一般分为数据和策略两部分。


数据的来源通常分为三类:


  • 源自黑灰产业链的研究


直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口 IP 等


  • 源自用户恶意行为的分析


针对已知的恶意行为建立模型,筛选出恶意用户的相关数据


  • 源自风险数据的关联分析


在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。


而在策略方面,“策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。”他说。


除了风控技术,机器学习技术在近几年的蓬勃发展,也给安全领域的实践带来了新思路。


Karma 称,“很多风险行为和正常行为单独来看并没有差别。”举个例子,比如正常用户登录和暴力破解登录,它们本质上其实是同一件事,但是一旦频率出现巨大差异,就区分了正常行为和恶意行为。


“举个通俗的例子,我对女朋友很好,大家觉得我是个好人;但如果我同时有 10 个女朋友,那就成了渣男。”他说。


因此,在类似这种宏观视角的群体行为关系下,人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为,比如区分正常访问和恶意爬虫,区分真人游戏还是外挂脚本,区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中,我们从技术层面谈到了打击黑灰产,比如人工智能技术。实际上,除了技术力量,还有一些运营和策略手段可以用来打击黑灰产。


“除技术以外,其实风控能力更多表现在策略上,不同产品线的差别很大。”Karma 说。这里,列举一些思路:


1.核身策略


它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。


2.异常用户特征


长期未登录,只参与本次活动;


设备登录过多个账号的用户;


设备 root 用户;


设备中装有特定作弊相关 app 的用户



3.不同用户出现聚集性特征


同 IP;


同 WiFi 地址;


同地理位置;


连续手机号段;


同样的操作路径、速度;


不同用户出现交叉现象,比如互为好友等情况


……


通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。


从大方向上,Karma 将黑灰产分为两大类:“手术刀型”和“狼牙棒型”。


  • 手术刀型:


目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。


  • 狼牙棒型:


其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产,企业的对策

目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。Karma 表示,面对产业化、供应链化的黑产团队,攻防对抗将是一场持久战。一般来说,并不存在彻底地打尽黑灰产,“现实情况往往是在成本允许下,将黑灰产占比压到一个比较低的范围”。


那么,在这个基础上,企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。


在业务侧,定位到对方的资源和流量等,予以精准打击。另外,企业也需要想清楚如何建立攻防上的优势,作为主动方,通过低成本的策略提高对方的攻击门槛,例如微信有个辅助注册的策略,正常用户要注册一个新账号很容易找到一个好友辅助,但黑产要批量注册就需要找到大量正常账号,这大幅提高了难度。

黑灰产的发展趋势

从更大的角度,Karma 概括了黑灰产的发展趋势。


1.以量取胜


目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大,未来几年,“这种格局应该都不会有太大变化”。


2.黑产资源平台化


过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。


甚至在更专业的技术领域,例如游戏外挂开发,也形成了类似的供应链,有专门做通信加密的、做登录验证的、做发卡平台的等,作者只需要专注于核心功能。


Karma 表示,从某种程度上说,这和“云计算”的理念是类似的,让用户不用过度关注资源,只需要专注业务逻辑,“让人产生一种魔幻的殊途同归的既视感“。


3.技术对抗迭代转向资源效率迭代


基于前文提到的资源平台化现象,黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。


当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。


“很明显,这是一种更加优秀合理的供应链模式,只不过供应的是黑灰产,让人颇感唏嘘。”Karma 感叹道!


2020-07-20 17:227242
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 355.6 次阅读, 收获喜欢 1799 次。

关注

评论 2 条评论

发布
用户头像
将的好像腾讯用户因为腾讯遭受损失,腾讯可以及时止损一样。
2020-07-28 11:17
回复
本文主要探讨了腾讯在黑灰产对抗中的思路和方法。
2020-07-28 11:29
回复
没有更多了
发现更多内容

从红黑树的本质出发,彻底理解红黑树!

996小迁

Java 架构 面试 程序人生

多线程问的太深入不知道怎么回答,从volatile开始给你讲清楚

小Q

Java 学习 面试 volatile 多线程

【乘风破浪的开发者】丁一超:从AI实战营出发探索未知的AI世界

华为云开发者联盟

华为 AI modelarts

亿级大表分库分表实战总结(万字干货,实战复盘)

学习 编程 架构 计算机网络

USDT币支付系统开发搭建,区块链承兑商支付平台

13530558032

「Spring Boot 2.4 新特性」一键构建Docker镜像

AI乔治

Java Docker 架构

报告显示国际区块链监管呈三大趋势

CECBC

区块链 货币 监管

刷Github时发现了一本阿里大神的算法笔记!标星70.5K

Java架构师迁哥

数字货币助力支付体系高效运行

CECBC

金融

数字货币钱包开发费用,区块链钱包开发优势

13530558032

覆盖全网的阿里微服务架构有多牛:K8S+实战+笔记+项目教程

Java~~~

Java 程序员 微服务 Spring Cloud 阿里云 K8S

“3+3”看华为云FusionInsight如何引领“数据新基建”持续发展

华为云开发者联盟

数据库 新基建 华为云

那个小白还没搞懂内存溢出,只能用案例说给他听了

田维常

内存溢出

遥感影像处理有高招,“专治”各类花式并发的述求!

华为云开发者联盟

容器 k8s 遥感

React Fiber 是什么?

局外人

react.js 大前端 React

MySQL全面瓦解—子查询和组合查询

比伯

Java 编程 程序员 架构 计算机

这套JVM核心知识你要全都会,月薪还不过18K可以直接跳槽了

小Q

Java 学习 架构 面试 JVM

SQL数据库:CASE表达式

正向成长

CASE表达式

拒招中国程序员后,开源平台 GitLab 又开始大规模封杀开发者账户

Java架构师迁哥

不要拿区块链做挡箭牌

CECBC

区块链

程序员求助:腾讯面试题,64匹马8个跑道,多少轮选出最快的四匹

Java架构师迁哥

《精通lambda表达式:Java多核编程》.pdf

田维常

Lambda

云算力挖矿模式系统开发,云算力平台搭建

13530558032

牛批!2w字的Java集合框架面试题精华集(2020最新版),赶紧收藏。

Java架构之路

Java 程序员 架构 面试 编程语言

Alibaba首发的《Java技术成长笔记》,渴望提升自己的程序员的必备宝典!

Java架构之路

Java 程序员 架构 面试 编程语言

数字货币交易所功能,场外OTC交易所开发公司

13530558032

关于linux操作系统中的buff/cache

程序员架构进阶

Linux cache buffer

SQL数据库:子查询和关联子查询

正向成长

SQL子查询 SQL关联查询

干货!直观地解释和可视化每个复杂的DataFrame操作

计算机与AI

Python pandas 数据处理

anyRTC AI降噪|让声音更清晰

anyRTC开发者

人工智能 AI 音视频 WebRTC RTC

#不吐不快# IT职场里的奇葩经历

InfoQ写作社区官方

职场搞笑 奇葩的经历 热门活动

腾讯的黑灰产对抗实践_安全_万佳_InfoQ精选文章