上一课介绍了IPDRR的前三部分,重点介绍了风力发电系统的框架、算法和设备指纹技术。 学习这些机制和手段,你已经能识别大部分黑产了。 那么,把识别的结果直接扔到业务上,能自己处理业务吗?
专业的商业安全计划当然做不到这一点。 因为识别黑产是第一步,采取适当手段处理黑产是业务安全长治久安的根本。
那么,关于黑产的处理,有三个参照原则:
采用适当的拦截策略,避免黑产迅速绕过业务安全策略
一定要给予威慑,防止黑产越来越严格
维持情报收集,准备持续与黑产对抗
今天,结合这三个原则,让我们来看看什么样的运营手段能对业务安全起到正面作用,切实打击黑产。
(业务中处理黑产的手段是识别黑产后,运营的第一步一定是业务中处理黑产。 处理手段有很多种,它们能发挥的效果也完全不同。 接下来,具体分析一下这些手段的特点及其效果。
1 .直接监听如第27次所述,黑产的监听方案因识别模式而异。 在同步模式下,可以直接拒绝黑产的下次登录请求。 在异步和脱机模式下,您可以拒绝相应的帐户在登录后继续工作。 这都是直接拦截,拦截后,黑产不能继续使用业务,当然不会对业务造成任何影响。
虽然直接监听的方案简单有效,但我们仍然需要注意,存在误伤损害用户体验的问题。 因此,通常只有在风控识别精度高的情况下,才采用直接监听处理。
(2)通过验证拦截进行黑产的验证方式有人机验证和同人验证两种。
首先是人机验证。
人机验证的目的是区分人与机器的操作,防止黑产利用机器自动获取业务利益。
人机验证的验证码,应该很熟悉。 最常见的是图像验证码。 在进行图像验证时,我们可以很容易地识别变形的数字和文字,但不会机器。
但是,随着深度学习的发展,图像识别技术越来越准确,图像认证码变得不那么可靠。 近年流行的滑块验证码。
验证滑块时,系统会提示您拖动滑块以滑动到目标点。 但是,由于人在滑动过程中不能匀速直线运动,滑动轨迹在速度、方向等特性上有一定的变动,机器产生笔直的滑动轨迹。 根据这个特征,可以判定是人还是机器。
人机验证结束后,谈谈同人验证吧。
同人验证主要是区分进行操作的是不是用户本人,防止账号盗用。
例如,当我们在异地登录邮箱时,网站经常要求我们验证邮件。 这是因为同步模式的风力控制系统判定我们的登录操作可疑,所以网站会通过邮件验证您是否在本人操作。
除了邮件验证,还有很多常见的产品方案。 例如,在异地登录时,微信会要求您在很多用户列表中找到朋友。 美团要求你在很多订单中找到自己点的订单等。
另外,人脸识别、声纹识别等基于生物信息的验证方式也进一步完善了同人验证方式。 而且,由于其良好的用户体验感,现在各APP应用都重点采用了它们。
验证不会妨碍普通用户使用业务,而且即使发生误伤验证的影响也比较小,因此得到了更广泛的应用。
但是,是否选择和拦截验证方式,取决于验证方式本身的安全性,也就是验证方式能否起到阻止黑产的效果。 如果黑产能以低成本通过验证,就不能发挥任何拦截效果和作用,也不是最佳的拦截方案。
(3.虚假数据拦截直接拦截和验证拦截是生活中常见的拦截方式,在此,我们再介绍一种爬虫场景中常见的拦截方式。 这是以假数据的形式拦截黑产的行为。
例如,在酒店和机票等业务中,通常尝试获取竞争对手的价格数据,使自己的价格比竞争对手占优势。 所以,当风控意识到请求来自爬行动物时,会直接返回虚假的价格数据来误导爬行动物。
对于爬行动物场景,我们之所以不采用直接拦截或验证拦截方式,是因为这些拦截方式被爬行动物发现,之后爬行动物试图绕过这两种方式。 但是,如果使用假数据,爬行动物可能会认为自己成功获取了数据,而不会特意绕道。
另外,在捕获业务数据的过程中,爬虫不会直接攻击业务的常规流程。 所以,即使这些假数据被拿走,我们也没有任何损失。
好处很明显,但使用假数据的成本很高。 这是因为机票、酒店这样的业务有成千上万的价格数据,如何设定合理的假数据,不会明显偏离正常值,不会被爬虫发现,不会过于接近真实值,也不会泄露机密信息。 这必然需要业务方面投入足够的能源进行设置。
为了了解这三种拦截手段,我们把它们的特点汇编成一张表,供大家参考。
总之,风力发电系统在识别黑产后,可以在业务中以拦截、验证、伪数据的形式处理。 相比之下,验证是应用范围最广的处理方式,可以根据场景需求和风控准确性选择不同的验证方式。
(业务以外处理黑产的运营手段(知己知彼百战不殆。 确保业务安全,除了在业务上采取适当手段处理黑产外,还需要了解黑产。 这就需要我们采取业务以外的运营手段获取黑产的信息。 在某些情况下,业务以外的运营手段可以从根本上根除黑产。 寻常的运气
营手段有 3 种,分别是情报收集、钓鱼执法和案件打击。下面,我们一一来看。 ▌1. 情报收集掌握和了解黑产的动向和手段,是做好业务安全防御的必要基础。情报收集需要运营人员对微博、贴吧等公开信息源保持监控,加入一些“羊毛群”,甚至打入一些黑产交流群。
通过这些方式,你就能够知道外界是否对你的业务发起了攻击,从而及时发现漏洞,补全业务安全防御体系。
▌2. 钓鱼执法情报收集需要我们打入黑产内部,但是打入内部需要一定的运气,并没有什么固定的方法能够帮助我们找到黑产团伙。因此,面对狡猾的黑产,我们可以采取钓鱼执法这样的手段。
比如说,在微博上,你经常会看到有人提供买小号、买粉丝这样的服务。毫无疑问,这些服务对业务来说是非法的。那业务安全就需要知道这些黑产是如何突破防御体系,进而发起攻击的。
这个时候,钓鱼执法就是一个非常有效的方案了。举个例子,我们可以花钱去买一批小号,这样,我们就得到了一批被黑产掌握的账号,然后就可以去分析这些账号的历史行为了。
具体怎么分析呢?比如,我们可能会发现这批账号都在某一个时刻修改了密码,那么,我们就可以推测这些账号是在这个时刻被盗号的。在明确了盗号的时间和方式之后,你就可以有针对性地分析当时的数据情况,从而能发现黑产突破业务安全的防御体系的方式,然后有针对性地去完善即可。
这里有一点需要你注意,钓鱼执法的结果只能够帮助你完善业务安全能力,并不能作为案件打击的依据。如果你想要对这类已知的黑产进行打击,就必须基于钓鱼获得的部分信息,去挖掘出黑产整体的行为,才能够找到被法律认可的犯罪事实。
▌3. 案件打击随着《网络安全法》的推出,国家对于安全的把控越来越严格,各地的网安、网信办等机构,都纷纷出手开始打击黑产团伙。因此,对于业务运营来说,借助法律方式打击黑产也是一个十分有效的方案。比如去年微博成功打击的“星援”案件,就是警方直接抓捕了刷明星热度的一伙黑产。
那接下来,我就结合这个案件和你一起分析一下,想要成功发起一次案件打击,需要具备的基础条件。
首先,想要打击黑产,你得知道黑产是谁。你可能会认为这是警方的工作。但事实上,警方不熟悉你的业务,无法接触你的系统,排查起来会很困难。因此,通常需要由业务人员找出打击的目标是谁,再交由警方进行后续的处理。
比如,微博业务人员先是发现有人在刷转发、评论、点赞等,然后基于对这些账号的行为分析和用户的访谈,发现这些操作是由“星缘”这款 App 产生的,而“星缘”App 又对应到了一家公司。排查到这里,警方就可以对这家公司进行线下抓捕和打击了。
其次,你要明确业务损失的金额或者黑产的收益金额。因为法院的最终判决主要还是依靠直接金额的大小,只有金额明确了,你才能够推动警方去协助你打击黑产。
现金类业务(如:红包、优惠券、支付等)的金额很好衡量,我们直接统计黑产成功获取的金额即可。但是,对于非现金类的业务(如:登录、评论等),我们无法准确地衡量一个用户或者一次评论的价值,因此很难给出一个可信的金额损失数目。
这个时候,我们可以通过黑产的收益来评估,比如黑产通过盗号或者刷评论,赚取了多少收益。这些收益属于非法收益,可以用来作为法院评判犯罪事实的参考依据。
在“星缘”一案中,最终评判的依据就是黑产通过提供非法服务获利上百万元。
最后,axdlq找到了目标、明确了损失的金额之后,你还要提供证据。但是对于网络犯罪来说,需要提供什么样的证据,其实是一个相对模糊的部分。尽管如此,我还是根据经验总结了 3 种常见的证据形式。
黑产服务器上的日志和其名下的资产记录是最有力的证据,它们是由警方实施抓捕后获得的信息,因此具备极高的可信度。同时,黑产的日志也能够直接表明它们的所作所为,不存在任何狡辩的空间。
在内容侵权相关的案件中比较常见的公开侵权数据。比如,竞争对手的信息流中,出现了自家公司生产的内容,这就是竞争对手采取恶意手段爬取我方数据,侵犯我方版权的明确证据。
自身服务器日志。在案件打击过程中,公司也同样需要提供一份日志作为黑产发起攻击的证明。在大部分的案件打击中,前两种证据已经能够提供直接证明了,公司提供的自身服务器日志,更多的是为警方办案提供辅助支持。
▌总结好了,今天的内容讲完了。我们一起来回顾一下,你需要掌握的重点内容。
和基础安全一样,运营工作对于业务安全的长期发展意义重大。业务安全中的运营工作主要分为两个方面:业务中的黑产处理和业务之外对黑产信息的挖掘和打击。
在业务中处理黑产时,我们采取更加间接的方式,比如,验证码和返回假数据,能够大大降低风控误伤对正常用户的影响,同时也能够增加黑产绕过风控的难度。
在业务之外,通过情报收集和钓鱼执法,能够为风控系统提供持续的数据支撑,帮助风控系统完善自身的策略。除此之外,还能够通过司法手段,对黑产实施线下打击,从根本上打击黑产的嚣张气焰。
最后,我们来看一道思考题。
除了我今天讲的这几种验证方式,你还见过哪些验证方式,它们的用户体验和难度如何?你能够想办法自动化地进行验证吗?
欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!
▌下一讲Web安全:如何评估用户数据和资产数据面临的威胁?