騰訊胡育輝千億黑產背後的破局之道

以下為胡育輝演講全文：

隨著移動網際網路發展，越來越多的人觸網，同時，競爭卻變得更加激烈，而這恰巧也給了黑產更大的空間和可乘之機。2023年，黑灰產的相關從業人員達到150萬之多，而造成行業直接損失在1000億人民幣。

可以這麼說，有業務的地方就有業務安全的問題，無論你是否關注，它就在那裡。

那麼，面對如此猖獗的黑產，我們是如何來應對的呢？總結了業界的解決方案，可以歸納為乙個詞：abs，a是ai，b是big data，s service 即服務。

整體框架如圖所示：

基於這些資料，再通過計算平台和ai風控引擎，對這些資料進行分析和挖掘，找出資料之間的相關性，然後進行綜合的風控判斷。

服務層，主要是根據不同行業和場景，來進行具體策略訂製和安全方案組合，提供給業務一套完整的解決方案。

這套系統在我們的使用過程中確實能幫助我們解決大部分問題。

但是，隨著黑產不斷公升級，我們發現這套方案還是會面臨不少的挑戰。主要表現為「滯後」，和「被動防禦」兩方面。

讓我們先看看「滯後」的問題，如前面介紹，風控模型是基於資料上的挖掘，這就要求必須要有足夠的樣本和特徵緯度去讓模型學習。因此，在一類新的黑產進入的時候，模型初期是很難識別，而這會造成部分惡意的漏過。

再看看「被動防禦」的問題。因為我們無法感知到壞人的動向：什麼時候，用什麼手段，攻擊哪個業務，我們就不知道什麼時候準備更好的彈藥和**。

那針對這兩個問題，該如何去解決呢？

結合實際的經驗，我們提出了乙個更優的解決方案：

新方案最主要的是增加了態勢感知模組。這類似業務安全的天氣預報，通過對黑產的資料分析，挖掘黑產背後的團夥資訊，然後通過跟蹤團夥動向，感知惡意走向。同時結合藍軍的測試，並把這些資訊反饋給風控系統和業務進行防禦和預警。以此來解決滯後和被動防禦的問題。

下面我和大家分享下我們是如何做「態勢感知」的。

首先，核心還是資料。除了環境，行為資料外，我們還引入了情報和輿情資料。通過一些黑產群，使用者舉報，暗網，論壇爬取的資料，形成情報資料。根據熱點話題分析，新聞報道等形成輿情資料，標記行業趨勢和熱點動向。

然後，對這些團夥的核心節點進行分析，感知團夥的動向。

最後，基於動向資訊，通過藍軍進行定向測試，發現業務存在的具體問題，反饋給風控系統，和預警資訊到業務。

這樣，通過情報，資料，藍軍之間的相互配合，我們可以做到對黑產的可感可控。實現一次做惡，全網布控的效果。並且，能化被動為主動，讓我們游刃有餘。

分享乙個基於這套系統的實際案例：

我們發現帳號處罰量上公升，主要是因為這些帳號在刷閱讀，加粉、色情等方面有異常的行為。通過分析，發現這批帳號主要來自東南亞的越南和緬甸。因為註冊是所有惡意的源頭，所以我們把精力集中在這裡，希望通過控制源頭來控制惡意。

挖出註冊團夥後，考慮到手機資源的重要性，我們順藤摸瓜，繼續挖出了其背後的出卡團夥。發現，由於東南亞地區運營商不規範，黑灰產從當地大批量購買預付費卡，**小於1塊錢，只用來接收簡訊，可以用半年以上。

再順著這條線索，又挖出了該產業鏈中的其他團夥，像**ip，打碼平台。這樣，整個鏈條的團夥被我們全部挖出。再對挖出來的核心團夥進行分析，發現註冊團夥和遊戲團夥，營銷刷量團夥、卡商團夥和電商羊毛黨團夥均有互動。

根據這些互動資訊，同時結合臥底在黑產中的情報資訊。我們對遊戲，電商等平台進行了**和提前的防控。這是我們當時的乙個黑產預警指數圖。經過觀察，最終有66% 流入到了遊戲，37%流向了電商，29% 流向了微營銷的場景。

裝置指紋方面，基本覆蓋了移動端和web端，每天產生超過25億+的資料。

在ip方面，對國內c端使用者接近100%的覆蓋。

同時也感謝小夥伴對我們的信任，我們一起在電商、快消、出行、金融等多個行業進行了合作，並取得了不錯的成績。

安全不是一家獨大，而是需要一起聯防聯控，希望大家一起聯手，共同對抗黑產！

問答

2018雲+未來峰會圓桌面對面：以網路安全之能，造國之重器

騰訊胡育輝 千億黑產背後的破局之道