写点什么

腾讯的黑灰产对抗实践

  • 2020-07-20
  • 本文字数:4029 字

    阅读完需:约 13 分钟

腾讯的黑灰产对抗实践

4 月 20 日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产,报告发现:2019 年监测到各类网络黑产攻击日均 70 万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。


从某种程度上说,黑灰产是笼罩互联网行业的一片阴影,它已经成为互联网的“毒瘤”。


作为国内知名的互联网企业,腾讯有着海量用户,业务广泛,涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中,像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全,腾讯依靠旗下庞大的安全团队,在各条业务线上进行黑灰产的研究、对抗和打击工作,积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产,InfoQ 记者采访了腾讯安全云鼎实验室的技术专家 Karma。


作为一名网络安全人,Karma 入行十余年,他是一名全栈安全工程师,曾在多个安全领域从事一线研究。目前,他就职于腾讯安全云鼎实验室,主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中,光鲜亮丽的互联网世界里,各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者,“甚至不乏直接被黑灰产干倒的正规公司”。


Karma 说,“在我们的黑灰产监测系统里,每天能捕获到亿次级恶意网络行为,攻击范围广。可以说,黑灰产本身就是互联网的一块阴影,互联网越发达,阴影也相应的增大。”


而今年以来,情况略微有变。据他透露,今年受疫情影响,整个黑产市场上基础资源的供应有所收缩,并且由于东南亚博彩黑产受疫情影响导致的连锁效应,以及过去一年国家加大打击力度,“我们观测到,今年的黑灰产整体是稳中有降的,但这并不代表我们的工作可以松懈,因为等环境一适宜,它们又会卷土重来。”他说。


针对黑灰产的活动,Karma 总结出几个特点:


  • 潜伏:黑灰产从业者们可能为了一年一次的大型活动,长期闷声不响地圈养一大批账号,只为在关键的几天迅速出击,比如每年几次的大型电商活动。

  • 群攻:许多黑灰产攻击单独来看获利并不多,但是从业者会充分发挥“长尾效应”的作用,例如使用一大批账号,通过“人”海战术获得可观的收益,一波操作下来,犹如蝗虫过境。

  • 掠夺:绝大多数黑灰产们并不创造价值,他们多以掠夺为生来获得收益,比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

  • 无下限:黑灰产本质上是非法的,从业者们为获利更是无所不为,例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步:先搞清 4 大要素

某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。


“对抗黑灰产也是一样,要想做到烈日高悬,就必须深入研究黑灰产的整个产业链的运作方式。”他说。


如何研究黑灰产?Karma 总结出四个要素:


  • :从事该项黑灰产的人,他们是谁?他们聚集在哪里?

  • 资源:从事该项黑灰产需要什么前置资源?从哪里获取?

  • 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?

  • 变现:黑灰产收益是通过什么方式变现?在哪里变现?


在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。


近几年,在企业上云的同时,“不法分子”也在上云,企图利用云的高效率服务。于是,我们看到黑灰产开始将阵地转移到云上,滥用云上资产。


据悉,2018 年,腾讯云接到个别用户投诉,有云上用户发现自己部署在云上的内容产品打开后排版混乱,并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持,因遭受了黑灰产的攻击所致。


原本一个正常的网站,用户点击一个正常的链接,但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险,造成经济损失,而且也会对企业造成巨大的声誉损失和用户流失,用户可能因产品体验受损而拒绝再次使用。



针对黑灰产的攻击,腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现,黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持,这种作案手法极其隐蔽,规避了大多数互联网企业的安全策略,而这种链路劫持能够发布任意恶性信息,会对社会稳定造成极大危害。


在这个过程中,联合团队利用技术手段分析黑产团伙的作案手法,并搜集不法分子的作案证据,并且与司法机关紧密配合,最终打掉这个犯罪团伙。

黑灰产对抗的技术侧:风控和人工智能

实际上,在黑灰产的对抗中,风控技术非常重要。Karma 认为,一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制,“很少存在一套风控系统适合各个产品线的情况”。


在他看来,风控能力一般分为数据和策略两部分。


数据的来源通常分为三类:


  • 源自黑灰产业链的研究


直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口 IP 等


  • 源自用户恶意行为的分析


针对已知的恶意行为建立模型,筛选出恶意用户的相关数据


  • 源自风险数据的关联分析


在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。


而在策略方面,“策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。”他说。


除了风控技术,机器学习技术在近几年的蓬勃发展,也给安全领域的实践带来了新思路。


Karma 称,“很多风险行为和正常行为单独来看并没有差别。”举个例子,比如正常用户登录和暴力破解登录,它们本质上其实是同一件事,但是一旦频率出现巨大差异,就区分了正常行为和恶意行为。


“举个通俗的例子,我对女朋友很好,大家觉得我是个好人;但如果我同时有 10 个女朋友,那就成了渣男。”他说。


因此,在类似这种宏观视角的群体行为关系下,人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为,比如区分正常访问和恶意爬虫,区分真人游戏还是外挂脚本,区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中,我们从技术层面谈到了打击黑灰产,比如人工智能技术。实际上,除了技术力量,还有一些运营和策略手段可以用来打击黑灰产。


“除技术以外,其实风控能力更多表现在策略上,不同产品线的差别很大。”Karma 说。这里,列举一些思路:


1.核身策略


它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。


2.异常用户特征


长期未登录,只参与本次活动;


设备登录过多个账号的用户;


设备 root 用户;


设备中装有特定作弊相关 app 的用户



3.不同用户出现聚集性特征


同 IP;


同 WiFi 地址;


同地理位置;


连续手机号段;


同样的操作路径、速度;


不同用户出现交叉现象,比如互为好友等情况


……


通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。


从大方向上,Karma 将黑灰产分为两大类:“手术刀型”和“狼牙棒型”。


  • 手术刀型:


目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。


  • 狼牙棒型:


其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产,企业的对策

目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。Karma 表示,面对产业化、供应链化的黑产团队,攻防对抗将是一场持久战。一般来说,并不存在彻底地打尽黑灰产,“现实情况往往是在成本允许下,将黑灰产占比压到一个比较低的范围”。


那么,在这个基础上,企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。


在业务侧,定位到对方的资源和流量等,予以精准打击。另外,企业也需要想清楚如何建立攻防上的优势,作为主动方,通过低成本的策略提高对方的攻击门槛,例如微信有个辅助注册的策略,正常用户要注册一个新账号很容易找到一个好友辅助,但黑产要批量注册就需要找到大量正常账号,这大幅提高了难度。

黑灰产的发展趋势

从更大的角度,Karma 概括了黑灰产的发展趋势。


1.以量取胜


目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大,未来几年,“这种格局应该都不会有太大变化”。


2.黑产资源平台化


过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。


甚至在更专业的技术领域,例如游戏外挂开发,也形成了类似的供应链,有专门做通信加密的、做登录验证的、做发卡平台的等,作者只需要专注于核心功能。


Karma 表示,从某种程度上说,这和“云计算”的理念是类似的,让用户不用过度关注资源,只需要专注业务逻辑,“让人产生一种魔幻的殊途同归的既视感“。


3.技术对抗迭代转向资源效率迭代


基于前文提到的资源平台化现象,黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。


当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。


“很明显,这是一种更加优秀合理的供应链模式,只不过供应的是黑灰产,让人颇感唏嘘。”Karma 感叹道!


2020-07-20 17:227291
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 356.6 次阅读, 收获喜欢 1800 次。

关注

评论 2 条评论

发布
用户头像
将的好像腾讯用户因为腾讯遭受损失,腾讯可以及时止损一样。
2020-07-28 11:17
回复
本文主要探讨了腾讯在黑灰产对抗中的思路和方法。
2020-07-28 11:29
回复
没有更多了
发现更多内容

超级App的构建与技术驱动

没有用户名丶

什么是存算分离架构?

星环科技

存算分离

共建清洁能源岛!华为中国数字能源旗舰峰会海南站盛大举行

Geek_2d6073

最佳实践|如何写出简单高效的 Flink SQL?

Apache Flink

大数据 flink 实时计算

高性能、快响应!火山引擎ByteHouse物化视图功能及入门介绍

字节跳动数据平台

大数据 数据仓库 云原生 Clickhouse 企业号 4 月 PK 榜

内蒙农信携手星环科技建设农信大数据平台,激活金融业务创新

星环科技

数据要素流通

火山引擎 DataLeap 下 Notebook 系列文章三:架构升级详解

字节跳动数据平台

大数据 架构 数据治理 运维‘ 企业号 4 月 PK 榜

开心档之C++ STL 教程

雪奈椰子

Photoshop崩溃怎么办无法打开 Photoshop

互联网搬砖工作者

15年了,我们到底怎样才能用好 Serverless

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

【获奖案例巡展】信创先锋之星——江西金发基于分布式数据库的互联网金融业务系统

星环科技

分布式数据库

详解Redisson分布式限流的实现原理

做梦都在改BUG

Java 分布式限流 redisson

火山引擎DataTester智能发布平台:智能化A/B实验,助力产品快速迭代

字节跳动数据平台

大数据 AB testing实战 A/B 测试 企业号 4 月 PK 榜

用C++编写一个简单的发布者和订阅者

华为云开发者联盟

开发 华为云 华为云开发者联盟 企业号 4 月 PK 榜

SBOM喊话医疗器械网络安全:别慌,我罩你! Part Ⅰ

安势信息

网络安全 SBOM 医疗器械 SBOM应用

Flink 2.0 启航,开启全新篇章

Apache Flink

大数据 flink 实时计算

【获奖案例巡展】科技向善之星——中航电梯5G+大数据管理平台

星环科技

大数据管理

【获奖案例巡展】信创先锋之星——浙江省某市区视频能力中心

星环科技

大数据

【获奖案例巡展】信创先锋之星——中信证券基于国产图数据库构建企业图谱的应用实践

星环科技

国产数据库

AI系统伦理道德风险之透明度验证

陈磊@Criss

开心档之C++ 预处理器

雪奈椰子

开心档之C++ 多态

雪奈椰子

软件测试/测试开发丨Docker 容器技术与常用命令

测试人

Docker 软件测试 自动化测试 测试开发

c4d R2023 让您的三维动画设计更简单~~

真大的脸盆

Mac Mac 软件 三维动画设计 动画设计工具

Neural Filters神经滤镜插件如何安装?PS神经滤镜插件安装教程

互联网搬砖工作者

【获奖案例巡展】信创先锋之星——甘肃省住房和城乡建设厅住建数据大脑

星环科技

数据超脑

iOS描述文件(.mobileprovision)一键申请

雪奈椰子

CutMix&Mixup详解与代码实战

华为云开发者联盟

人工智能 华为云 数据增强 华为云开发者联盟 企业号 4 月 PK 榜

算法题每日一练:连续子数组的最大和

知心宝贝

数据结构 算法 前端 后端 三周年连更

华为云联合多家单位正式开源云原生多沙箱容器运行时Kuasar

华为云开发者联盟

云原生 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

开心档之C++ 引用

雪奈椰子

腾讯的黑灰产对抗实践_安全_万佳_InfoQ精选文章