互联网黑产攻击行为通常具有以下4个典型特点：

• 团伙化：黑产已经从单打独斗发展成了有组织的团伙，通过合理分公协同工作；
• 专业化：黑产上下游之间分工明确，相互协作，拥有大量的作案资源，并且部分从业者具有非常高的技术水平，精通各种自动化脚本编写、逆向破解等，甚至涉及和使用机器学习技术；
• 强对抗性：黑产熟悉主流的风控技术手段，会根据业务实际情况不断试探、挑战和绕过现有的防护体系；
• 跨行业：黑产会在电商、广告、支付、航旅等多个平台流窜作案。

      为了对抗互联网黑产猖獗的攻击、保障业务的健康发展，我们需要创建覆盖业务全流程的防控体系，形成“终端风险识别+云端风险决策+AI”的一体化反欺诈解决方案。

动态防控理念

      在和黑产的对抗过程中，我们总结了很多经验和教训，形成了覆盖全业务流程的防控能力，建立了贯穿事前、事中、事后的动态反欺诈体系。

      在终端设备上，通过设备指纹体系进行设备信息采集、终端智能计算和云端的风险分析，为每一个用户的设备生成丰富的风险标签供业务决策使用。
      在用户操作业务过程中，通过决策引擎为每一笔交易计算风险等级。为了保证决策引擎策略的丰富度和高效率，可以通过实时计算系统做指标计算，决策引擎可以通过各类指标快速完成全局策略的计算。
      当欺诈案件发生时，我们会形成完整的分析结论并整理到案件库，同时对相关证据做溯源和存证，用于后续可能的司法流程。
      整个防控体系建立后，还需要有相应的运营流程驱动它正常地运转和不断地进化。在系统运转的过程中，我们会通过态势感知系统为整体防控效果做监控，当业务指标发生非预期的波动时立即报警。对于防控的效果，策略运营人员会通过机器学习算法离线评估其准确性和风险覆盖率，同时结合欺诈情报从攻击者视角审视整个体系的防控能力和未能覆盖的风险点。

防控体系构建

      通过对反欺诈理念的不断实践，我们逐渐构建了一个三层的反欺诈防控体系，包含终端风控层、分析决策层和数据画像层，同时，威胁情报体系会贯穿这三层。其结构如下图所示。

终端风控层

      终端风控层主要由设备指纹、生物探针和智能验证码构成，其中最重要的一环是设备指纹。
      设备指纹核心能力有以下两点：

• 采集设备硬件信息，使每一台移动设备成为唯一ID，这个ID生成后不会因为用户对设备的日常使用而改变。
• 为每一台移动设备生成风险标签，标记这个设备潜在的业务风险，供分析决策使用。

      生物探针通过采集终端的操作行为、传感器信息等数据综合建模，通过机器学习区分操作业务的是自然人还是自动化工具。智能验证码则是一种常见的风控工具，本质上也是区分操作业务的是否为自然人。

分析决策层

      分析决策凤是各种数据、规则和模型汇总计算的中心。当一次业务请求被发送到决策引擎时，系统将业务数据、终端层采集的数据及生成的设备风险标签、系统风险数据标签等进行规则判断和模型运算，在极短的时间内判断是否阻断该次业务请求。对于一些可以事后判断的业务风险场景来说，后续由离线的风险决策系统进行事后判断。
      分析决策层的实时指标计算系统为决策引擎的决策速度提供了重要的支撑。实时指标计算系统会根据决策引擎的策略配置情况，提前做好大量复杂的运算。例如，系统配置的某条策略可能需要计算某IP在一个较长时间内出现的次数，并且分析出该IP在此时间窗口内关联的用户账号的个数和风险分布情况。这类需要回溯过去一段时间的数据情况进行综合计算的策略，如果不提前计算好相关指标，那么决策引擎在判断风险时就会有非常大的时间开销，以至难以达到实时风控的效果。
      分析决策层的风险动态感知系统侧重于宏观的统计分析，利用业务核心数据、设备信息及风险决策结果等各类数据，通过预置的分析算法模型进行实时、H+1、T+1多种周期结合的分析计算。其核心功能是感知、展示和预测整个业务体系的风险事件变化趋势。当风险决策结果发生非预期的波动时，运营人员就必须人工分析策略漏杀、误杀的情况。运营人员结合数据分析和底层的机器学习的离线计算结果更新风控模型，实时调整决策引擎的风险策略。在推动优化风险策略的同时，风险态势感知系统还可以对黑产攻击事件做预警。

数据画像层

      数据画像层包括黑产攻击事件、黑手机号名单、IP画像、设备画像。黑产使用的手机号、IP、手机设备等资源是相对有限的，会重复用于针对各个不同互联网平台的攻击活动。在为多个客户提供 SaaS 防控的过程中，沉淀黑产风险数据形成画像体系是一个非常有效的“联防联控”技术手段。

版权属于：带翅膀的猫

本文链接：https://www.chengpengper.cn/archives/191/

转载时须注明出处及本声明