当前位置：首页 > news >正文

Web安全 - 构建全面的业务安全保护防御体系

news 2025/9/14 10:49:36

文章目录

业务安全概述
业务安全 vs. 基础安全
业务安全的防护
- 业务安全的防护策略
- - 1. 用户资源对抗的技术实现与优化
  - 2. IP资源对抗的技术实现与优化
  - 3. 设备资源对抗的技术实现与优化
  - 4. 操作资源对抗的技术实现与优化
  - 实际应用场景中的策略
- 典型场景
- - 业务场景 1：新用户注册场景
  - 业务场景 2：登录与敏感操作场景
  - 业务场景 3：在线支付与交易场景
  - 业务场景 4：大促活动参与场景
- 评估反馈数据
- - 1. 评估的关键指标
  - 2. 数据收集与分析
  - 3. 基于数据的优化建议
- 业务安全的本质：资源对抗
业务安全中的 IPDRR 防御框架
- 邀约活动的威胁评估
- 提升黑产攻击成本的安全产品方案
风控系统设计
- 风控系统的背景与重要性
- 风控系统的核心模块
- - 1. 前端 SDK 数据采集
  - 2. 规则引擎的工作原理
  - - 工作模式
  - 3. 技术选型
  - 4. 验证流程的重要性
- 规则引擎的设计挑战
- 风控人员的角色与职责
- 风控系统小结
机器学习
- 机器学习的能力和局限
- 无监督学习在安全领域的应用
- 有监督学习的应用与挑战
- 具体应用建议
- 分析与建议
设备指纹
- 设备指纹的优势
- 设备指纹的主要挑战
- 信息采集
- 设备指纹计算
- 异常设备识别
- 小结
安全运营
- 业务中处理黑产的手段
- 业务之外处理黑产的运营手段
- 风控系统与运营策略结合
- 小结

业务安全概述

业务安全是公司为了保护其业务流程和用户增长而制定的防护措施，主要应对的是黑产（黑色产业）的攻击。相比传统的基础安全，业务安全的特点更加复杂，主要体现在两个方面：攻击者的产业化和资源对抗。

业务安全 vs. 基础安全

在基础安全中，主要针对技术漏洞，黑客通过发现和利用这些漏洞，入侵系统或窃取数据。这类攻击通常依赖于单一或小规模的攻击手段，重视技术技巧。而业务安全的攻击来自黑产，攻击者形成了一个完整的产业链，从上游的资源获取到下游的盈利手段，覆盖了大量的自动化和资源型操作。

黑客 vs. 黑产

黑客：依赖技术漏洞，强调技术对抗，单人或小组作战。
黑产：注重资源获取，形成上下游的产业化链条，依赖大量用户、IP、设备等资源的批量操作。

在这里插入图片描述

业务安全的防护

在业务安全防护中，核心思路是通过增加黑产的攻击成本，削弱其获利空间。这种资源对抗分为四大方面：

用户资源对抗：黑产需要大量虚假身份来注册、登录等。对抗手段主要是通过黑名单管理和身份验证技术（如手机号、身份证号的验证），提高注册成本。
IP资源对抗：通过限制IP、追踪IP异常活动来识别黑产操作，但由于IP变化频繁，目前主要依靠代理IP监控手段。
设备资源对抗：黑产常通过模拟器或群控设备操作大量账号，防护措施包括设备指纹技术，用于识别虚拟设备和可疑行为。
操作资源对抗：黑产使用自动化工具（比如按键精灵）来批量操作应用，常见防护措施是使用验证码、行为分析等方式，确保操作难以完全自动化。

业务安全的防护策略

1. 用户资源对抗的技术实现与优化

1.1. 实现：用户身份验证与黑名单

身份验证：实现用户身份资源的关键手段是通过严格的身份验证，防止黑产使用虚假或批量身份注册。常见的技术包括手机号绑定、身份证号验证、银行卡绑定等。
- 手机号验证：基于运营商提供的实名制手机号验证接口，确保手机号与身份信息匹配。
- 身份证验证：通过接入政府或者第三方的身份证验证服务，确认用户身份的合法性。
- 银行卡验证：通过银行卡绑定和验证，确保交易的真实性。
黑名单管理：通过内部收集和外部采购黑名单，将已知的黑产账号、手机号、设备等加入黑名单，自动拦截其进一步操作。
- 外部采购：使用市场上的黑名单服务（如反欺诈平台）来扩展已知的黑产名单。
- 内部收集：利用机器学习模型分析用户行为，自动识别异常注册、登录行为并加入黑名单。

1.2. 优化方案

多因素验证（MFA）：通过短信、邮件、或APP内验证，提高账户的安全性，减少单一验证点被绕过的可能性。
行为分析与动态黑名单：使用机器学习模型，对用户的登录、注册、支付等行为进行持续监控，通过分析异常行为（如频繁注册、频繁交易等），动态更新黑名单。
生物识别技术：利用生物识别（如指纹、面部识别等）验证真实用户身份，防止黑产批量注册。

2. IP资源对抗的技术实现与优化

2.1. 实现：IP监控与代理识别

IP限制：通过限制单一IP的注册、登录次数来减少批量操作。通常应用于频繁出现异常活动的IP地址。
代理IP识别：通过检测HTTP请求的头信息、响应时间等来识别代理IP。常用方法包括检测IP源地址、时区偏差、以及与已知代理IP数据库进行比对。
地理位置验证：结合地理位置和IP数据，对位于高风险地区的IP进行额外验证，或直接拦截其操作。

2.2. 优化方案

秒拨IP检测：黑产常通过秒拨技术获取大量IP资源。为了应对这一现象，系统可以根据短时间内频繁出现的新IP地址进行监控，并将这些IP标记为可疑。
IP信誉评分：通过大数据分析，给每个IP赋予信誉评分。高风险IP（如来自代理或秒拨的IP）会有较低的分数，从而触发额外的安全措施或直接拦截。
动态IP封禁策略：设计动态的封禁规则，基于IP的历史行为、行为特征以及用户反馈来调整封禁策略。例如，同一IP段下的多个异常用户行为可以作为封禁的依据。

3. 设备资源对抗的技术实现与优化

3.1. 实现：设备指纹与虚拟设备识别

设备指纹：通过收集设备的硬件信息、软件版本、浏览器指纹、字体、分辨率等多维特征，生成唯一的设备指纹，并用于追踪用户的设备操作。
虚拟设备检测：通过检测操作系统行为、磁盘读写模式、虚拟机特征等方式识别模拟器和虚拟设备。常见的识别技术包括CPU指令集检测、图形处理单元（GPU）分析等。

3.2. 优化方案

设备指纹防碰撞技术：对于设备指纹的防碰撞，通过添加随机噪声或其他难以仿造的特征，防止黑产通过伪造指纹躲避追踪。
机器学习识别虚拟设备：构建机器学习模型，结合设备指纹、行为特征等多维数据，进一步区分真实设备和虚拟设备。模型可以从设备的使用模式、网络行为、硬件配置等方面进行分析。
持久设备标识：利用更难改变的硬件参数（如硬盘序列号、网卡MAC地址等），生成更稳定的设备标识，防止黑产通过频繁更换设备信息来绕过检测。

4. 操作资源对抗的技术实现与优化

4.1. 实现：自动化工具检测与验证码

自动化工具检测：通过检测用户的行为模式、鼠标移动轨迹、点击频率等，识别自动化工具的使用。例如，通过分析用户的输入频率、点击模式，判断是否为“按键精灵”类工具操作。
验证码系统：使用图片验证码、滑块验证码等验证工具，强制用户完成交互任务，确保操作是由人类完成，而非机器自动化操作。
行为分析：通过追踪用户的操作行为，包括访问路径、页面停留时间、操作频率等，识别异常行为模式。

4.2. 优化方案

无感知验证码：通过行为分析实现“无感知”验证码，避免用户体验的损害。通过检测用户的鼠标轨迹、页面访问逻辑，后台自动判断是否为自动化工具，并根据风险等级动态生成验证码。
基于AI的行为验证：通过AI模型对用户的操作行为进行深度分析，识别机器和人的操作差异。AI可以综合考虑鼠标操作的轨迹平滑度、点击间隔的随机性等因素。
加强自动化工具对抗技术：如结合系统日志、网络层数据分析等手段，进一步发现自动化脚本的特征，通过分析网络包行为或系统资源调用来识别自动化工具。

实际应用场景中的策略

在这里插入图片描述

新用户注册场景：采用严格的用户身份验证和行为分析，结合设备指纹和IP信誉评分，在注册过程中对可能的黑产操作进行筛查。
活动参与场景：为防止黑产批量参与“薅羊毛”活动，系统可以结合设备指纹、IP限制、以及无感知验证码等多层防护措施，识别异常参与行为。
支付与交易场景：通过多因素验证、黑名单、行为分析等手段，确保支付操作的安全，防止虚假交易或批量操作。

典型场景

业务场景 1：新用户注册场景

安全威胁

黑产批量注册虚假账号，企图通过优惠活动、薅羊毛或进行欺诈行为。
虚假用户通过爬虫或其他自动化工具频繁尝试注册。

组合防护措施

手机号验证：通过第三方短信服务进行实名制手机号验证，确保每个手机号只能注册一个账户。
- 优化：允许用户使用微信、支付宝等第三方账号进行一键登录，减少用户输入环节，提升注册效率。
设备指纹：收集设备的硬件和软件信息，通过设备指纹防止同一设备批量注册。
- 优化：对新设备首次注册时，引入“设备冷却期”，在短时间内限制同设备的多次注册请求。
IP资源控制：限制每个IP地址在短时间内的注册数量，检测秒拨IP或代理IP的使用。
- 优化：对普通用户无感知，只有在频繁注册的情况下触发验证码验证，从而提升体验。
验证码防护：引入无感知验证码，利用用户行为特征判断是否为自动化工具操作，只有当系统检测到异常时，才触发验证码验证。
- 优化：使用滑块验证码等低干扰的验证方式，在检测到可疑行为后进一步确认用户身份。
行为分析：通过机器学习模型分析用户的注册行为，比如注册时间、填写表单的速度等，自动识别异常行为。
- 优化：无感知的行为分析手段避免增加用户负担，仅对可疑用户进行深度验证。

综合策略：

前期检测（被动验证）：通过手机号验证和设备指纹进行初步筛查，确保大部分用户可以快速完成注册。
后期增强（主动验证）：行为异常时触发IP资源控制、验证码验证等策略，防止批量注册和自动化工具操作。

业务场景 2：登录与敏感操作场景

安全威胁

恶意用户使用爬虫或工具对登录接口进行暴力破解，尝试获取用户账户。
真实用户的账户被盗，导致资金损失或信息泄露。

组合防护措施

多因素验证（MFA）：引入多因素验证机制，尤其在用户进行敏感操作（如资金转账、修改密码等）时，要求通过短信、邮件或动态验证码二次确认。
- 优化：用户可以选择更便捷的验证方式，如通过微信、指纹或面部识别进行快速验证，提升体验。
IP信誉评分：根据IP的历史记录与行为特征，对IP进行评分，低分IP会被要求进行额外验证（如验证码、MFA）。
- 优化：为可信IP提供无感知的登录体验，减少不必要的验证步骤。
设备信任机制：使用设备指纹对设备进行打分，系统可以记住用户已信任的设备，在下次登录时无需额外验证。
- 优化：用户首次登录新设备时，需要进行二次验证，后续在该设备上操作时，直接通过。
行为分析与风控：通过对用户的操作习惯进行行为分析，比如登录时间、位置、设备等特征。当检测到异常行为（如异地登录或设备频繁更换）时，系统触发风控策略，要求额外的身份验证。
- 优化：用户登录平常的设备和位置时，可以直接跳过这些验证流程，避免不必要的复杂操作。

综合策略：

常规登录（被动保护）：在可信环境中，提供顺畅的登录体验，结合设备信任机制减少不必要的多次验证。
异常登录（主动保护）：当用户登录行为不符合常规模式时，触发多因素验证和行为分析，防止账户被盗。

业务场景 3：在线支付与交易场景

安全威胁

黑产利用盗用的账户或支付信息进行非法交易，导致资金损失。
恶意用户通过自动化工具进行大量小额支付，造成平台压力或欺诈。

组合防护措施

支付限额和频次控制：对单个账户的每日支付金额和支付次数进行限制，尤其是新注册的账户，避免批量小额支付造成资金风险。
- 优化：对于长期使用的老用户，系统可以动态调整限额和频次，允许更多支付自由。
设备指纹与交易监控：在支付时收集用户设备指纹，结合交易监控系统，识别设备与交易金额、频次的异常行为。如果同一设备频繁进行小额支付，系统会触发风控。
- 优化：对可信设备的用户，尤其是通过可信支付渠道（如支付宝、微信）的支付行为，减少频繁验证，提供便捷支付体验。
实时风险评估：引入实时风控系统，利用大数据分析用户的支付行为、支付设备、IP、地理位置等多维数据，评估每次交易的风险。高风险交易会被要求进行额外的身份验证。
- 优化：通过无感知的风控策略，低风险用户可以快速完成支付，而高风险用户需进行二次确认（如短信验证码）。
行为验证与黑名单：将黑产行为、设备指纹、IP加入黑名单，系统实时监控交易行为，尤其对异常交易进行人工审核或自动拦截。
- 优化：普通用户在黑名单检测过程中无感知，只对高风险用户触发额外验证或人工审核。

综合策略：

常规支付（被动验证）：可信用户可以轻松完成支付，尤其在常用设备上，系统会自动通过设备指纹和交易历史进行快速验证。
高风险支付（主动验证）：当检测到支付频次、金额或设备异常时，触发风险评估，结合多因素验证，确保交易的安全性。

业务场景 4：大促活动参与场景

安全威胁

恶意用户批量注册虚假账号，利用机器人工具参与大促活动获取优惠券。
黑产通过秒拨IP或虚拟设备，进行高频活动参与，压低正常用户的获奖概率。

组合防护措施

设备指纹与IP资源控制：对每个设备、IP参与活动的次数进行限制，防止同一设备或IP批量参与。
- 优化：对于普通用户，系统只在异常参与行为时才进行限制，以免影响正常活动体验。
秒拨IP检测与代理IP识别：通过监控IP切换频次和IP来源，检测秒拨IP或代理IP，并限制其活动参与次数。
- 优化：对来自可信IP的用户减少限制，减少参与活动时的额外验证步骤。
行为分析与机器人检测：结合用户的参与行为（如参与频率、点击速度等）进行行为分析，自动检测并拦截自动化工具或批量操作。
- 优化：通过机器学习不断优化检测模型，降低误判率，保证正常用户的参与流畅度。
活动次数与奖励限额：对每个账户的参与次数和活动奖励进行限额，防止黑产通过大量账户获取不合理的优惠。
- 优化：对于长期活跃的用户，提供更高的参与次数和奖励限额，提升用户体验。

综合策略：

初级防护（被动限制）：对所有参与者进行设备指纹、IP检测，通过秒拨IP和代理IP识别初步过滤异常参与者。
深度防护（主动检测）：通过行为分析、机器人检测等手段进一步识别黑产操作，在活动参与的后期增强检测力度。

评估反馈数据

1. 评估的关键指标

安全相关指标

安全事件发生率：在各个业务场景中，评估由于黑产攻击、自动化工具或账户盗取导致的安全事件数量，如虚假注册、暴力破解登录、非法交易等。
- 目标：在安全措施部署后，安全事件发生率应显著下降。
风控触发率：记录风控策略（如验证码、二次验证）的触发频率，衡量策略的覆盖面是否足够。
- 目标：风控触发率应合理控制在安全风险高的场景下，避免过度影响正常用户。

用户体验相关指标

用户流失率：监控因安全验证流程过多或过于复杂导致的用户流失情况，如新用户注册中断、用户放弃支付等。
- 目标：用户流失率应保持在合理范围内，安全验证不应成为主要流失原因。
操作成功率：评估用户在各个环节的操作成功率，如注册完成率、登录成功率、支付成功率等。
- 目标：优化验证流程后，操作成功率应有所提升。
用户投诉率：通过分析用户的投诉记录，关注用户对安全策略的反感度，如验证码频率、二次验证的不便等。
- 目标：用户投诉率应显著下降，尤其是投诉集中在特定安全环节时。

2. 数据收集与分析

数据来源

日志分析：通过服务器日志，分析安全事件、风控触发、操作成功率等数据，监控黑产攻击和风控策略的表现。
- 实例：在新用户注册场景中，通过分析设备指纹、IP资源控制的数据，评估是否成功阻挡了大量虚假注册。
用户反馈与调研：收集用户反馈和满意度调查，重点关注在支付、登录等敏感操作中的用户体验。
- 实例：调查用户对多因素验证和验证码体验的反馈，是否频繁触发，是否影响用户的操作流畅度。
安全事件报告：对所有已发现的安全事件（如账户被盗、资金损失等）进行统计，分析事件发生的原因和防护策略的有效性。
- 实例：分析在线支付场景中，黑产是否绕过了设备指纹与风控系统进行非法交易。

数据分析方法

A/B测试：在不同用户群体中测试不同的安全策略组合，分析对安全性和用户体验的影响。
- 实例：在部分用户中引入较严格的风控措施，另一部分用户保留较宽松的策略，比较用户流失率和安全事件的变化。
机器学习模型分析：通过机器学习模型，分析用户行为数据，自动识别正常用户与可疑用户的行为模式，减少误判率。
- 实例：在登录与敏感操作场景中，通过分析用户的操作习惯和设备特征，预测登录成功率与安全风险。

3. 基于数据的优化建议

针对新用户注册场景的优化

问题：过多的验证码或设备指纹限制，可能导致用户在注册过程中流失。
优化：可以根据用户的历史数据、行为特征，适度降低验证难度，并通过机器学习模型提高异常行为检测的准确度，减少对普通用户的干扰。

针对登录与敏感操作场景的优化

问题：多因素验证频繁触发可能引发用户反感，尤其在低风险操作中。
优化：可以引入更加智能的风险评估系统，根据用户设备和登录习惯动态调整验证强度，在低风险情况下自动通过登录或操作请求。

针对在线支付与交易场景的优化

问题：部分用户在进行频繁小额支付时，风控系统过于敏感，导致支付被阻止或频繁触发验证。
优化：对于可信用户（如老用户或高频支付用户），可降低小额支付时的验证强度，通过设备信任机制和交易历史记录优化用户支付体验。

针对大促活动场景的优化

问题：黑产攻击时，风控措施对普通用户造成了过多限制，影响参与体验。
优化：加强秒拨IP与代理IP的检测手段，优化设备指纹采集技术，降低对普通用户参与活动的干扰。此外，可针对黑产行为引入更高频率的验证与拦截。

业务安全的本质：资源对抗

业务安全防护的核心在于通过提高黑产的资源获取和操作成本，阻止其获利。例如，增强用户身份验证可以使黑产在注册新用户时投入更多资源，验证码等措施则增加了黑产自动化操作的难度，从而降低了他们的获利能力。

在这里插入图片描述

业务安全和基础安全在本质上就有很大的不同：在基础安全中，黑客将技术作为核心竞争力；在业务安全中，黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源，谁就能窃取公司更大的利益。

因此，作为防守方，我们在关注业务安全的时候，也应当将关注的重点放在如何提高黑产的资源成本上，这样才能够为公司提供有力的业务安全防护

业务安全中的 IPDRR 防御框架

在这里插入图片描述

NIST 的 IPDRR 安全框架原本应用于基础安全防护，但在业务安全中同样具有指导意义。IPDRR（Identify, Protect, Detect, Respond, Recover）模型可以帮助我们从多个维度全面应对黑产攻击，构建纵深防御体系：

Identify（识别）：
业务安全中的识别阶段与基础安全类似，重点是进行威胁评估，发现黑产可能通过业务逻辑窃取资源的路径和成本。对于业务场景，如红包、优惠券发放、邀约活动等，识别黑产的目标点尤为重要。
- 业务风险点识别：例如，识别出黑产通过大量注册小号参与邀约活动的风险。
- 获利点分析：黑产主要的利益驱动点是公司提供的现金红包或其他优惠。
Protect（保护）：
保护阶段的核心是通过设计安全产品方案来提升黑产的攻击成本。例如，通过双因子认证、验证码等手段提高账户安全性，或为特定业务场景设计复杂的防护流程，如延迟提现或增加参与条件。
- 举措：在登录场景中加入二次验证，或在活动中延迟红包发放时机。
Detect（检测）：
检测主要依赖于风控系统实时监控用户行为，快速识别异常操作。通过大数据分析和机器学习模型，可以有效检测出黑产的异常活动，如频繁注册或可疑提现。
- 监控工具：使用行为分析和反欺诈模型检测异常交易和操作。
Respond（响应）：
一旦检测到黑产攻击，系统需要迅速响应，通过封禁账号、拦截操作、限制提现等方式，阻止黑产进一步获利。
- 响应措施：实时冻结可疑账号，防止提现或转移资金。
Recover（恢复）：
恢复阶段包括对业务损失的修复，如将被盗账号返还给原用户，退回已经发放的红包等。这也涉及到通过运营策略恢复正常业务流程。
- 举措：将资金从黑产账号中回收到公司资源池。

邀约活动的威胁评估

以邀约活动为例，业务安全中的威胁评估需要综合考虑以下五个关键因素：

业务目标：
邀约活动的目的是通过用户邀请获取新用户，从而实现用户增长。黑产会通过批量注册小号刷邀约奖励。
黑产获利程度：
黑产通过参与活动获取红包，获利金额可能较低（每次几块到十几块不等），但通过大规模注册小号，累积利润可观。
实时性要求：
对于邀约活动，拦截时机至关重要。如果实时拦截会增加用户体验的损害（如频繁的验证码或验证要求），因此更适合在关键节点（如提现阶段）进行拦截。
漏判影响：
如果黑产未被及时识别，可能会导致资金损失，但不会影响正常用户的使用，因此漏判的影响较低。
误伤影响：
误伤正常用户则会导致用户对活动失去信任，影响用户体验和公司声誉。避免误伤是邀约活动防护中的核心要务。

在此场景中，防御策略应着重放宽前期检测，确保用户能顺利完成活动流程，同时在提现阶段引入更严格的验证，以降低黑产成功获利的可能性。

提升黑产攻击成本的安全产品方案

在应对黑产时，通过增加资源成本可以有效遏制黑产的攻击。例如：

登录安全产品方案：
增加短信验证或多因子认证，显著增加黑产在盗号中的资源成本。黑产必须绕过多个验证关卡，增加了其攻击难度。
满减红包产品方案：
- 领取条件：例如要求用户完成多次订单才能领取大额红包，有效提升黑产参与的复杂度。
- 满减金额：调整为满 10.01 减 10，相较于直接满 10 减 10，黑产需要额外付出资金完成订单，成本更高。
- 有效期：缩短红包有效期，黑产无法迅速获利，降低了他们利用红包牟利的空间。
邀约活动安全方案：
提高奖励获取的难度，如要求新用户连续活跃多天，或在提现时设置更严格的验证措施，这些都可以显著提高黑产的攻击成本。

风控系统设计

风控系统的背景与重要性

产品方案属于事前的防控，是从根本上提高黑产操作的成本；风控系统属于事中的防控，是在检测到黑产行为时才进行拦截

在当今复杂的互联网业务中，黑产（黑色产业链）通过各种方式试图侵入应用和系统，窃取敏感信息或谋取经济利益。为了在不影响正常用户体验的情况下，精准地拦截这些恶意行为，风控系统被引入作为一种核心的安全防护手段。与传统产品方案（如通过多重验证手段来提升安全性）不同，风控系统采用数据分析和智能判定，能够动态识别并处理恶意操作，保持平衡。

在这里插入图片描述

风控系统的核心模块

1. 前端 SDK 数据采集

风控系统的起点在于数据采集。前端SDK通过集成到用户的设备中，能够收集用户身份信息、行为轨迹、设备指纹等关键数据。这些数据不仅包括基本的用户输入行为，还涉及设备属性、点击轨迹等。这些采集到的丰富数据为后续的特征提取和风控判定提供了基础。

在这里插入图片描述

2. 规则引擎的工作原理

在风控系统中，规则引擎扮演了核心角色，通过分析采集到的海量数据来识别异常行为或潜在的黑产活动。规则引擎通常依赖两方面来完成判定：

特征提取：例如，用户在特定时间内进行了多少次登录尝试、是否有不同设备反复登录同一账户等，这些都属于行为特征。
规则判定：基于提取的特征，风控团队设定相应的规则，例如：“同一设备在一分钟内进行5次失败登录应视为异常。”

工作模式

规则引擎有三种常见的工作模式：

同步模式：实时判定，登录前进行判断，确保拦截黑产。但其侵入性较高，会影响正常业务流程。
异步模式：用户可先行登录，后续判断其行为是否合法，若为黑产则进行封号或强制退出登录。该模式兼顾了用户体验与风控。
离线模式：通过更长时间的数据积累进行分析，准确率更高，但处理时效较低。适用于风险较低的操作。

3. 技术选型

灵活性过高又会大大提高规则管理的复杂性，是个矛盾。

通过 Redis 完成实时计算；通过 Flink 完成异步计算；通过 Hive 完成离线计算等.
最出名的开源规则引擎Drools：并没有提供十分高效的规则管理工具，并不是一个适用于风控系统的规则引擎
开源的风控系统中 Nebula ：提供各种用来增加修改规则的 Web 页面。
也可以使用Aviator、QLExpress、Groovy等在Java 中提供动态开发支持的语言，来进行底层的规则执行，在此基础之上，我们再去封装自己理解的规则管理。这样一来，我们就实现了灵活性和复杂度的平衡

在这里插入图片描述

总结来说，规则引擎是风控系统的核心。想要做好一个规则引擎，我们需要思考清楚两件事情：
第一，规则引擎以什么样的模式接入业务；
第二，如何进行规则管理.

4. 验证流程的重要性

即使规则引擎判断某些行为为异常，也不能立即拦截。这是因为规则引擎永远存在“误伤”的风险。通过加入验证流程，如滑块验证码、短信验证等方式，可以减少误伤率。

例如，对于密码多次输入错误的情况，可能是用户忘记了密码，而非黑产攻击。此时，简单的滑块验证就能区分人机操作，避免不必要的封禁。

规则引擎的设计挑战

灵活性与复杂性的平衡
规则引擎设计的难点之一是如何有效管理大量的规则，同时确保其高效执行。现有工具如Drools、Nebula等虽然能够提供规则定义与执行的框架，但它们在规则管理上的灵活性与易用性较差。一个完善的规则引擎应当支持业务定制，同时又不应增加过多的操作复杂性。使用Java中的动态开发语言（如Aviator、QLExpress等）进行规则开发，是常见的解决方案。
工作模式的选择
在不同的业务场景下，规则引擎的工作模式需要灵活选择。例如，在提现等敏感操作时，必须使用同步模式，以防资金流失，而在登录或低风险操作中，异步或离线模式则可以通过更多的数据来提升识别精度。

风控人员的角色与职责

风控系统的运营需要多方面的支持，主要包括：

策略人员：负责数据分析与规则迭代。随着黑产手段的不断升级，规则需要持续更新，以保持有效性。
运营人员：处理用户投诉与监控舆情，确保风控系统在用户中保持良好的口碑，并应对黑产在社交媒体上的公开挑衅。
应急响应人员：当系统出现大规模误伤或安全漏洞时，紧急处理和修复，避免公司产生更大的损失。

风控系统小结

在这里插入图片描述

一个完整的风控系统包括前端SDK、规则引擎、验证流程等多个环节。通过动态采集用户数据、结合不同的工作模式、有效管理规则，风控系统能够在保持用户体验的前提下，精准拦截黑产行为。同时，风控人员的持续投入、规则的迭代优化，是确保系统长期有效运行的关键。

机器学习

机器学习的能力和局限

机器学习主要用于总结经验和模式，但不能创新，因此它的应用效果取决于安全人员的知识和技能。
机器学习不擅长应对“未知的威胁”，只能通过已有的规则或模式来挖掘已知威胁。

无监督学习在安全领域的应用

无监督学习的核心是挖掘数据的分布特征，可以发现离群点或聚集特征。常用于识别潜在的异常行为，但无法直接断定这些异常就是攻击。
实际场景中，通过监控注册账号行为或服务器访问外部服务数量等聚类特征，可以间接提示异常。

有监督学习的应用与挑战

有监督学习需要大量的标签数据，挑战在于标签的准确性和效率。手动标记数据成本高且不全面，打标标准存在偏差。
合理的打标方案：通过追踪攻击结果（如数据的CIA影响）自动生成标签数据，并不断迭代优化模型。

具体应用建议

在这里插入图片描述

基于RASP（Runtime Application Self-Protection）直接追踪攻击的后果，生成高效的标签数据，让WAF不断优化其拦截规则。
在业务安全中，通过签名校验、设备监控等机制为异常行为打标，持续更新风控系统。

分析与建议

在这里插入图片描述

无监督学习的场景适用性：无监督学习适合监控数据异常，特别是在黑产利用批量操作的情况下。通过分析行为聚类，尽管无法直接判断恶意行为，但可以作为风险预警工具，辅助人工分析。
有监督学习的闭环改进：有监督学习在安全领域的闭环需要有效的标签体系支持。通过追踪攻击行为的后果（如数据泄露或服务宕机）进行打标，可以提高模型的有效性，并通过WAF和RASP等工具的反馈形成持续优化的机制。
持续对抗策略：黑产与风控系统的对抗是长期的，有监督学习通过迭代不断优化规则，结合无监督学习的异常检测能力，可以提高应对新兴威胁的效率。避免直接拦截标记的恶意行为，降低黑产对抗力度。

设备指纹

设备指纹在风控系统中的作用至关重要。设备指纹是一种通过采集设备的硬件、软件及动态特征，为设备生成唯一标识的技术。它不仅能识别设备的唯一性，还能对设备的异常行为进行追踪与判断，尤其在防御黑产方面起到了重要作用。设备指纹的稳定性和唯一性是其技术设计的关键要素。

设备指纹的优势

唯一性高：设备的使用痕迹和特征因个体不同而独特。
稳定性强：硬件特征不易改变，设备指纹长期有效。
信息丰富：涵盖从硬件到应用的多层次信息，有助于准确判定设备身份。

设备指纹的主要挑战

设备重置后保持不变：恢复出厂设置后，设备ID会改变，因此不能依赖系统ID进行设备追踪。
设备更新后保持不变：黑产可能通过更换硬件来伪造设备，设备指纹需要在一定的变动下保持稳定。

信息采集

设备指纹的信息采集涉及四个方面：

软件ID：如iOS的IDFA、Android的IMEI等，但这些ID可能被用户重置或限制访问。
软件静态特征：包括操作系统版本、应用信息等，虽然这些信息易变，但能帮助识别设备的唯一性。
硬件静态特征：如主板、CPU等，通常不易变动，因此具备稳定性。
硬件动态特征：基于设备硬件特性（如传感器的偏差）进行识别，有较好的稳定性。

设备指纹计算

通过上述信息的采集，系统可以计算出设备的唯一指纹。该过程涉及相似度计算（如欧式距离、联合概率分布等算法）来判断设备是否为同一设备，进而为其生成或更新设备指纹。

异常设备识别

风控系统还通过设备指纹识别异常设备，方法包括：

系统信息识别：基于系统参数识别虚拟机。
硬件识别：虚拟机缺乏真实硬件支持，表现为传感器异常、相机无法拍照等。
系统状态识别：通过设备的充电状态、网络位置等信息，识别批量操控的设备。

小结

在这里插入图片描述

设备指纹技术在风控系统中扮演着识别与追踪设备的关键角色。通过结合硬件与软件特征，风控系统可以对设备实现稳定且唯一的标识，并有效识别异常设备，防范黑产攻击。

设备指纹的设计和实现需要兼顾稳定性和唯一性，同时不断迭代应对黑产伪造设备的对抗措施。

安全运营

业务中处理黑产的手段

直接拦截
- 在识别出黑产后，直接拦截是最简单有效的手段，可以立即切断黑产的活动。对于同步识别模式，直接拒绝登录或操作请求，而异步模式下可以锁定账号。尽管有效，但直接拦截的风险在于可能会误伤正常用户，因此通常在风控系统识别率较高时使用。
验证拦截
- 人机验证与同人验证是常见的验证方式，前者用于区分机器与人类操作，后者用于确认操作者是否为账号持有人。滑块验证等技术通过分析操作轨迹区分人类与机器，短信验证和生物识别（如人脸识别、声纹识别）则提高了验证的精准性。验证拦截的优势是其对正常用户影响较小，适用范围广，但验证技术本身的安全性和抗黑产能力需慎重考虑。
假数据拦截
- 在爬虫场景中，通过返回虚假的业务数据（如酒店或机票价格）误导黑产是有效的策略。假数据既能避免直接拦截或验证时被识别，也能降低黑产绕过防御的动机。但生成合理的假数据成本较高，需平衡虚假数据与真实业务数据的差异性。

业务之外处理黑产的运营手段

情报收集
持续监控公开信息源（如微博、贴吧）以及黑产交流群，有助于运营人员掌握黑产动向，及时采取应对措施并完善防御系统。情报收集是对抗黑产的基础手段。

钓鱼执法
通过假装购买黑产服务（如账号或粉丝）来获取黑产的操作方式，然后反向分析其行为漏洞。这一手段能为风控系统提供宝贵数据，但钓鱼执法需谨慎，避免引发不必要的法律风险。

案件打击
借助法律手段与警方协作，能够从根本上打击黑产团伙。要确保此类行动成功，需要提供明确的目标、损失金额以及确凿的证据。公司需帮助警方定位黑产源头，确保案件中的财务损失有清晰的估算。

风控系统与运营策略结合

风控系统的核心作用是提高黑产识别的准确度，以便为后续处理提供依据。通过结合上述拦截与验证手段，以及对外的情报收集与案件打击，企业可以建立一个长期有效的防御体系。

小结

在这里插入图片描述

黑产识别后处理的三大手段：直接拦截、验证拦截、假数据拦截。
业务外的三大运营手段：情报收集、钓鱼执法、案件打击。
风控系统作为核心，需结合各种手段灵活应对黑产攻击。

在这里插入图片描述

文章目录

业务安全概述

业务安全 vs. 基础安全

业务安全的防护

业务安全的防护策略

1. 用户资源对抗的技术实现与优化

2. IP资源对抗的技术实现与优化

3. 设备资源对抗的技术实现与优化

4. 操作资源对抗的技术实现与优化

实际应用场景中的策略

典型场景

业务场景 1：新用户注册场景

业务场景 2：登录与敏感操作场景

业务场景 3：在线支付与交易场景

业务场景 4：大促活动参与场景

评估反馈数据

1. 评估的关键指标

2. 数据收集与分析

3. 基于数据的优化建议

业务安全的本质：资源对抗

业务安全中的 IPDRR 防御框架

邀约活动的威胁评估

提升黑产攻击成本的安全产品方案

风控系统设计

风控系统的背景与重要性

风控系统的核心模块

1. 前端 SDK 数据采集

2. 规则引擎的工作原理

工作模式

3. 技术选型

4. 验证流程的重要性

规则引擎的设计挑战

风控人员的角色与职责

风控系统小结

机器学习

机器学习的能力和局限

无监督学习在安全领域的应用

有监督学习的应用与挑战

具体应用建议

分析与建议

设备指纹

设备指纹的优势

设备指纹的主要挑战

信息采集

设备指纹计算

异常设备识别

小结

安全运营

业务中处理黑产的手段

业务之外处理黑产的运营手段

风控系统与运营策略结合

小结

相关文章：