周斌：营销风控的创新实践与安全之道

原创

腾讯云开发者社区技术沙龙

修改于 2019-01-02 14:44:39

1.8K0

12月15日，由腾讯云主办的首届“腾讯腾讯云开发者社区开发者大会”在北京举行。本届大会以“新趋势•新技术•新应用”为主题，汇聚了超40位技术专家，共同探索人工智能、大数据、物联网、小程序、运维开发等热门技术的最新发展成果，吸引超过1000名开发者的参与。

我今天讲的话题其实很有意思，可能各位对安全有很多的了解，不管是入侵、渗透测试、攻击。我今天想跟大家分享一下，腾讯云在业务安全这一层推出的一些产品和我们之前的在业务安全对抗的一些经验。

在今天正式跟大家分享之前，我想介绍一下腾讯在安全方面看到的一些数据情况。

每年我们在国内因为安全遭受的损失非常多，移动应用的影响力已经超过电脑应用，而主要互联网黑产也迁移到手机平台。恶意手机应用、病毒暗扣话费、流量劫持等移动端黑产给用户和商家营销活动造成了巨大损失。所以我们需要一个新的安全视角，帮助业务能够稳定的运营和发展。

面对如此强大的黑产攻击，怎么去构建整体的安全体系，腾讯云安全天御做了以下思考：

构建“云端”、“终端”、“威胁情报”相互协同的全链路业务安全体系。“云端”更像一个人思考的大脑，它可以通过“AI”技术，强大的“云计算力”，去深入的分析黑产流量的特征，通过“AI”技术让黑产无所遁行。

“终端”更像一个人的四肢，它可以去了解黑产在“业务”的生存环境下，所使用的破坏工具，做到及时的预警和清理。

“威胁情报”就像人身体的血液和五官，它首先去感知和发现黑产的玩法和变种，再把对应的玩法输送给大脑和四肢，以至于对黑产采取对应的措施。

“云端”、 “终端”、“威胁情报”互相协作，使得安全像一个巨人一样，面对黑产的攻击立于不败之地。

首先从移动端开始，大家知道现在移动端的安全问题非常多，其实一开始提到的数据是各种恶意的病毒、扣费，这种恶意的行为非常猖獗，不管是安卓、iOS，甚至包括外部类的应用，其实都有不同业务风险的存在。就我们目前拿到的数据来看，一半以上的APP里面都有不同的漏洞，这涉及到用户敏感数据的泄露、资料的获取。所以我们希望用一整套的终端安全机制保证移动端的安全，首先对APP进行终端加固的环节，进行加固完成以后，我们需要进行一个应用的安全检测，通过从代码、扫描、权限等检测。这是在终端的第一步，当我们把终端进行一个有效的防护以后，就要开始进行第二步，第二步是从情报-感知端来进行。

情报的感知，首先第一块是蜜罐，我们通过蜜罐的系统自动收集大量的情报，通过我们的算法快速了解黑产的动向，最后结合云端和终端的能力进行链路的识别与拦截。

随着技术对抗的升级，黑产作恶手段也在不断进化，伪造正常流量薅商家平台“羊毛”。在初级阶段，黑产还只是利用“猫池”(GSM MODEM池，用于短信集群收发的专业设备)、验证码识别器等设备作弊，搜刮商家优惠福利；中级阶段黑产违法行为变本加厉，通过“手机墙”等批量进行刷单、刷APP下载量，利用伪造的“漂亮”数据骗取商家的推广费用；到了高级阶段，黑产更是毫无忌惮，直接通过植入木马病毒完成自动刷量，榨取不同的网赚平台的推广费用，以致造成商家正常的费用预算频频超支，损失惨重。

从分析的维度上来看，我们会发生对安全来讲是一个动态变化的过程，没有办法通过静止的策略防御动态的变化，所以我们需要持续的动静变化。

无论“黑产”使用什么样的手段、什么样的工具（动态的过程），他们都在做同一件事情——伪装“正常流量”。这也意味着他们在设备、环境、行为上会出现异于“正常人”的特征。

最右边的图上每一个点都代表了正常的用户，通过图的计算，平台进行分析以后，会看到大量的机器人恶意行为，在这个图上会呈现出不一样的特点。这里可以看到有几个不同的颜色，比如粉色、绿色、黄色，最终在图里面把差异化的行为抓取出来，就把高危的用户进行了识别。

在与黑产的这个对抗的过程中，行业都会提到“AI建模”，但是“模型”是静止的，而黑产对抗的手段却在不断升级，导致很多安全同仁都在忙于“救火”，这种状态一是不够高效、二是永远处于被动状态。腾讯云天御以自身的 AI 能力优势，提出“迁移学习”的动态建模，通过“对黑产手段的感知”及时发现黑产变种，再结合异常流量发现平台，自动找出黑产的恶意特征，把恶意流量从正常流量中分离出来，完成建模对抗，使得原来处于被动的“安全”，变为“自动”、“主动”的安全，让黑产“无计可施”。