在對抗黑產(chǎn)的風(fēng)控中，如何找到行之有效的風(fēng)控方法一向是個難題。筆者結(jié)合自己的經(jīng)驗(yàn)為我們提供了兩個切入點(diǎn)：一是基于業(yè)務(wù)流程去思考風(fēng)控方法，二是基于治理流程去思考風(fēng)控方法。

這篇文章將會從產(chǎn)品和運(yùn)營視角，針對風(fēng)控的方法和手段進(jìn)行闡述，目的就是將多年與黑產(chǎn)對抗的經(jīng)驗(yàn)總結(jié)和分享出來。

一方面讓大眾了解一般互聯(lián)網(wǎng)行業(yè)在業(yè)務(wù)安全上付出的努力，和我們這群站在產(chǎn)品背后的安全人。另一方面也想與各行業(yè)的安全從業(yè)者共享我們在對抗過程中積累出的行之有效的風(fēng)控方法，希望對大家產(chǎn)生幫助。最后也希望借助這篇文章去搭建起安全行業(yè)內(nèi)大家溝通的橋梁，一起為互聯(lián)網(wǎng)安全貢獻(xiàn)一份力，為“天下無賊”的愿景而前進(jìn)。

一、黑產(chǎn)行業(yè)與特點(diǎn)介紹

1. 黑產(chǎn)行業(yè)規(guī)模與產(chǎn)值

據(jù)統(tǒng)計(jì)，截止至2017年，中國黑灰產(chǎn)業(yè)從業(yè)人員已超150萬，年產(chǎn)值達(dá)千億級別。從業(yè)者分布前三為廣東、江蘇和浙江。

2. 黑產(chǎn)特點(diǎn)：有利益存在的地方就有黑產(chǎn)存在

黑產(chǎn)遍布在互聯(lián)網(wǎng)的各個領(lǐng)域，無論一個平臺提供的是什么樣的產(chǎn)品，只要這個產(chǎn)品可以帶來收益轉(zhuǎn)化的可能性，這個平臺就會成為黑產(chǎn)的攻擊目標(biāo)。

• 如果平臺做流量分發(fā)，那么黑產(chǎn)就會攫取流量進(jìn)行多次轉(zhuǎn)化，可能是進(jìn)行線下欺詐，也可能是流量二次分發(fā)轉(zhuǎn)化成直接利益。
• 如果平臺做的是交易，那么黑產(chǎn)就會變成羊毛黨將原本給予用戶的優(yōu)惠轉(zhuǎn)化成自己的利益。
• 如果平臺上存在著有價值的數(shù)據(jù)，黑產(chǎn)就會通過各種手段獲取數(shù)據(jù)進(jìn)行倒賣。

總之對于黑產(chǎn)來說，產(chǎn)品是什么不重要，利益才是唯一的思考方式。

3. 黑產(chǎn)組織的分工

為了攫取更多的利益，黑產(chǎn)會不斷優(yōu)化他們的攻擊模式和團(tuán)隊(duì)分工。每個團(tuán)隊(duì)專攻一個垂直方向是效率最優(yōu)解，效率的提升就代表著成本的降低間接影響著最終收益。所以黑產(chǎn)會分化成很多個小團(tuán)伙，每個小團(tuán)伙會專門攻擊一個方向，最大可能的榨取這部分的所有價值。

以通常的業(yè)務(wù)場景舉例，黑產(chǎn)主要分化以下幾種：

通過販賣數(shù)據(jù)獲利：這部分黑產(chǎn)會通過抓取手段不斷的去獲取web端的信息，通過數(shù)據(jù)販賣來獲利。這里面存在競爭對手也存在著專業(yè)黑產(chǎn)團(tuán)隊(duì)

通過販賣賬號獲利：這部分黑產(chǎn)團(tuán)隊(duì)會著重攻擊全站的注冊和登錄環(huán)節(jié)，不間斷的通過各種手段注冊賬號，盜取賬號。再將賬號轉(zhuǎn)賣給下游黑產(chǎn)進(jìn)行獲利。

通過認(rèn)證進(jìn)行獲利：這部分黑產(chǎn)通過一些不法手段獲取公民隱私數(shù)據(jù)，通過攻擊個人認(rèn)證和企業(yè)認(rèn)證的環(huán)節(jié)完成白號到認(rèn)證賬號的轉(zhuǎn)變。因?yàn)榇蟛糠謽I(yè)務(wù)都有前置認(rèn)證的條件，所以完成認(rèn)證的賬號價值可能是白號的100到500倍以上。

通過發(fā)布信息獲利：這部分會利用QQ群或者一些黑產(chǎn)論壇社區(qū)承接需求，通過信息發(fā)布服務(wù)收取服務(wù)費(fèi)用。一般發(fā)布的內(nèi)容都是違規(guī)或欺詐內(nèi)容。這部分也是黑產(chǎn)對抗最激烈的部分。

通過線下欺詐獲利：這部分黑產(chǎn)群體就是黑產(chǎn)鏈條中最底層的組成部分，同時也是數(shù)量最龐大的群體。他們通過虛假信息進(jìn)行站內(nèi)到微信或者QQ或者線下的轉(zhuǎn)化，由此完成欺詐行為獲取直接金錢收益。

上面是跟業(yè)務(wù)安全對抗的黑產(chǎn)群體的一個簡要畫像，其實(shí)真實(shí)的情況要比描述的復(fù)雜很多，很多分工是有交叉或重合的部分，或者存在著更細(xì)的分工。同時也存在著一群不直接攻擊網(wǎng)站,但是為這些黑產(chǎn)從業(yè)者提供所需資源的群體，比如一些卡商，隱私數(shù)據(jù)的二道販子等。

4. 只要有獲利的可能，對抗就不會停止

只要平臺存在著價值，就一定有產(chǎn)生利益的可能性，有可能性對抗就會永遠(yuǎn)進(jìn)行下去。與黑產(chǎn)的對抗是一場戰(zhàn)爭，只有當(dāng)黑產(chǎn)的收益沒法覆蓋成本的時候，對抗才會逐漸減少。這個時候黑產(chǎn)會向另外的平臺或產(chǎn)品進(jìn)行轉(zhuǎn)移。

二、業(yè)務(wù)風(fēng)控的治理經(jīng)驗(yàn)

1. 風(fēng)控的核心點(diǎn)

上文提到，只有當(dāng)黑產(chǎn)的收益無法覆蓋成本的時候，對抗才會減弱和轉(zhuǎn)移。那分析黑產(chǎn)的成本組成就是一個比較重要的事情。

黑產(chǎn)的成本按照比較粗的粒度可以分為兩類：

第一類是人力成本，一切黑產(chǎn)技術(shù)的研發(fā)，欺詐的實(shí)施等等環(huán)節(jié)都離不開人的參與。

第二類是資源成本，黑產(chǎn)想要完成攻擊要準(zhǔn)備很多的資源，比如IP、手機(jī)號、設(shè)備、身份證信息、銀行卡、企業(yè)信息等等。每一步的黑產(chǎn)攻擊都絕對離不開資源的支持。

所以我們看到，如果想要讓黑產(chǎn)的成本不斷攀升，我們只需要去提升黑產(chǎn)的人力成本或者資源成本就好。兩者對比起來，對人力成本的控制效果難以預(yù)估，難度頗大，受影響因素大。而對資源成本的控制對于企業(yè)來講簡單可行并且行之有效。

所以通過上面的分析，我們可以得出一個結(jié)論——風(fēng)控的核心在于對黑產(chǎn)資源的打擊。

另外補(bǔ)充一點(diǎn)，資源之所以稱之為資源，需要具有穩(wěn)定的唯一性和不可再生的特征，一旦一個資源被打擊，這個資源在業(yè)務(wù)中就再也不會為黑產(chǎn)帶來利益。

2. 風(fēng)控治理的切入點(diǎn)

當(dāng)遇到需要解決的風(fēng)控問題時，基于我們一直以來的經(jīng)驗(yàn)，我們會推薦從以下兩個方向去分別思考和解決。第一個是基于業(yè)務(wù)流程去思考風(fēng)控方法，第二個是基于治理流程去思考風(fēng)控方法。

1. 基于業(yè)務(wù)流程的風(fēng)控治理方法

在介紹這種方法之前，需要普及兩個前提：

1）如果一個用戶是黑用戶，那么他在所有的業(yè)務(wù)流程中產(chǎn)生某種行為的目的極大概率上是為了提升最終獲利轉(zhuǎn)化，那么他在每一個業(yè)務(wù)節(jié)點(diǎn)上產(chǎn)生的行為都大概率是異常的。

2）我們無法指望在一個業(yè)務(wù)節(jié)點(diǎn)上解決所有的安全問題。

所以基于業(yè)務(wù)流程去思考風(fēng)控治理的時候，我們首先要繪制出來完整的用戶行為路徑。繪制用戶行為路徑的目的是摸清每一個可能產(chǎn)生異常行為的業(yè)務(wù)位置，并且通過每一個位置的分析去逐步打擊最終實(shí)現(xiàn)治理效果。

以信息的發(fā)布為例，我們可以繪制出這樣路徑：

根據(jù)這個路徑我們一般會產(chǎn)生這樣的解決方案：

1）當(dāng)用戶只產(chǎn)生流量沒有實(shí)際UserID產(chǎn)生時，分析流量分布和瀏覽行為，提取異常數(shù)據(jù)流入注冊環(huán)節(jié)作為輔助數(shù)據(jù)。

2）當(dāng)用戶注冊時，分析這次注冊是否為正常注冊，如果產(chǎn)生批量注冊、養(yǎng)號等異常行為，針對賬戶或相關(guān)資源進(jìn)行高危標(biāo)記。如果判斷不了，數(shù)據(jù)留存轉(zhuǎn)入登錄環(huán)節(jié)進(jìn)行判斷。

3）當(dāng)用戶登錄時，判斷登錄行為是否異常，是否是撞庫、爆破、異常環(huán)境等。如果是，核驗(yàn)賬號身份，并且做出標(biāo)記流轉(zhuǎn)至發(fā)布環(huán)節(jié)判斷。

4）當(dāng)用戶發(fā)布時，判斷發(fā)布行為和內(nèi)容兩部分是否異常。如果異常則阻止發(fā)布或者進(jìn)行挑戰(zhàn)。并且將數(shù)據(jù)同步至全部環(huán)節(jié)作為輔助。

5）當(dāng)產(chǎn)生申訴投訴時，回歸策略準(zhǔn)召率進(jìn)行相應(yīng)優(yōu)化并且妥善處理相關(guān)異議。將確認(rèn)的數(shù)據(jù)同步至全部環(huán)節(jié)作為輔助。

可以看到按照這種方法去思考，我們沒有在一個業(yè)務(wù)環(huán)節(jié)中去解決所有的安全問題，而是將用戶的行為進(jìn)行拆分，在每一個業(yè)務(wù)節(jié)點(diǎn)都努力將問題率控制在最低，這樣就達(dá)到了各個擊破的效果。這種方法在黑產(chǎn)每一個動作上都產(chǎn)生了影響，因?yàn)楹诋a(chǎn)追求高效，有不同的團(tuán)隊(duì)分工，所以黑產(chǎn)在行為上不是連貫的而是分離的，所以黑產(chǎn)想完全消除掉這種影響成本非常巨大。這樣也就能產(chǎn)生比較好的風(fēng)控效果。

基于這個方法的總結(jié)和核心注意事項(xiàng)：

1）每一個關(guān)鍵的業(yè)務(wù)節(jié)點(diǎn)，都應(yīng)盡可能有效的完成風(fēng)險控制，不能將所有的風(fēng)控問題寄托在一個業(yè)務(wù)節(jié)點(diǎn)的風(fēng)控治理中。

2）每個業(yè)務(wù)節(jié)點(diǎn)的數(shù)據(jù)串聯(lián)是重中之重，當(dāng)前業(yè)務(wù)節(jié)點(diǎn)產(chǎn)生的所有有效結(jié)論，都應(yīng)該流入下一個業(yè)務(wù)節(jié)點(diǎn)作為輔助特征。下游節(jié)點(diǎn)產(chǎn)生的確切結(jié)論，也應(yīng)反哺上游判斷。

3）關(guān)于異常行為的處理方法：

① 離獲利轉(zhuǎn)化越遠(yuǎn)的業(yè)務(wù)節(jié)點(diǎn)，越不應(yīng)該做直接阻斷和強(qiáng)對抗。比如在注冊環(huán)節(jié)直接攔截注冊行為，我們就相當(dāng)于為黑產(chǎn)提供了試錯機(jī)制，只要一個賬戶注冊能突破現(xiàn)有策略，那么這個業(yè)務(wù)節(jié)點(diǎn)的風(fēng)控就相當(dāng)于完全淪陷。針對這樣的業(yè)務(wù)風(fēng)控，我們需要做的是做出有效的標(biāo)記并完成流轉(zhuǎn)。讓阻斷、封禁、刪帖這種類似的處理方法在最后的轉(zhuǎn)化關(guān)鍵節(jié)點(diǎn)中完成，這樣會給將黑產(chǎn)作弊或攻擊的成本提升N倍。

② 各種挑戰(zhàn)方式，比如驗(yàn)證碼等，如不能明確得出風(fēng)險結(jié)論，則用來采集數(shù)據(jù)作為后續(xù)的風(fēng)控輔助數(shù)據(jù)。

③ 因?yàn)楹诋a(chǎn)分工在行為路徑上分離的特點(diǎn)，不定時的確認(rèn)用戶在各個業(yè)務(wù)環(huán)節(jié)中的身份一致性是一個好方法。

④ 處理方法應(yīng)該有輕有重去適用各種策略準(zhǔn)召率的情況，處理要盡量做到可以限制每一個關(guān)鍵業(yè)務(wù)環(huán)節(jié)的權(quán)限。

4）盡量做到有限資源被明確定性之后，一切業(yè)務(wù)環(huán)節(jié)都參照相關(guān)定性去完善識別能力。

如果說，上面提到的基于業(yè)務(wù)流程的風(fēng)控治理是在確保風(fēng)控的效果，那么下面介紹的基于治理流程的風(fēng)控方法就是進(jìn)入到每一個風(fēng)控節(jié)點(diǎn)去確保效率。

2. 基于治理流程的風(fēng)控思考方法

當(dāng)我們基于治理流程去思考的時候，我們需要介紹下在任何一個需要風(fēng)控的業(yè)務(wù)場景中，面對風(fēng)險我們的一般的治理流程：

如果當(dāng)我們只考慮某一個具體的風(fēng)控業(yè)務(wù)場景時，我們最好的方法是——通過去不斷提升每一個治理環(huán)節(jié)的效率去提升整體風(fēng)控的效率，風(fēng)控的效率提升了，我們就可以在有限的時間內(nèi)做出更多有效的決策用于黑產(chǎn)對抗，頻率越快給黑產(chǎn)帶來的成本增加越高。

所以基于這種思考方法，我們要做的就是針對每一個風(fēng)控環(huán)節(jié)制定產(chǎn)品解決方案，將效率做到極致。下面就是在通常的業(yè)務(wù)中關(guān)于這個流程的一些整理：

1. 風(fēng)險發(fā)現(xiàn)環(huán)節(jié)：發(fā)現(xiàn)什么、怎么發(fā)現(xiàn)、怎么快速發(fā)現(xiàn)是核心痛點(diǎn)。

（1）發(fā)現(xiàn)什么：什么是我們要解決的安全或風(fēng)控問題，就發(fā)現(xiàn)什么。

1. 安全漏洞
2. 垃圾信息
3. 重大輿情
4. 黑產(chǎn)資源

（2）怎么發(fā)現(xiàn)：通過什么樣的手段來發(fā)現(xiàn)風(fēng)險

1. SRC、漏洞掃描器（漏洞）
2. 聚類分析、信息巡檢抽檢（垃圾信息）
3. 輿情抓取分析（重大輿情）
4. IP畫像、手機(jī)號畫像（黑產(chǎn)資源）
5. 一些第三方提供的威脅感知能力

（3）怎么快速發(fā)現(xiàn)：整個監(jiān)測預(yù)警機(jī)制的搭建

2. 風(fēng)險分析環(huán)節(jié)：如何快速分析產(chǎn)生決策是核心痛點(diǎn)。

對應(yīng)著一些核心能力：智能分析平臺、風(fēng)控引擎、算法孵化平臺。

3. 風(fēng)險處置環(huán)節(jié)

如何處置：

我們將用戶所有的權(quán)益進(jìn)行總結(jié)。以電商網(wǎng)站為例，用戶可以擁有：發(fā)布的權(quán)益、瀏覽的權(quán)益、賬戶使用的權(quán)益、推廣的權(quán)益等，在每一個關(guān)鍵的權(quán)益上都需要有著靈活的處理方法。

處置哪些：

所有資源類的唯一性數(shù)據(jù)都是處置的范圍，處置的時間范圍應(yīng)該覆蓋過去和未來，當(dāng)一個資源被定性成黑產(chǎn)，那么相關(guān)的所有資源都會被處理，最大程度的提升黑產(chǎn)對抗成本。

一些核心能力：聚類處理、社區(qū)挖掘、策略回溯。

4. 效果回歸

通過對已產(chǎn)生效果的策略生命周期進(jìn)行監(jiān)控，隨時關(guān)注在業(yè)務(wù)中的準(zhǔn)召率，并及時作出優(yōu)化。

以上就是在風(fēng)控業(yè)務(wù)中常用的兩個切入點(diǎn)，不同的思考方法適合不同的風(fēng)控階段。

比如對于風(fēng)控初期的業(yè)務(wù)，到處救火是常態(tài)，可能基于業(yè)務(wù)流程的思考方法更加適合，這樣就可以從整體上去思考快速建立起一套比較有效的風(fēng)控體系。

如果對于風(fēng)控穩(wěn)定期的業(yè)務(wù)，可能更加追求穩(wěn)定和可控，基于治理流程的思考方法可以幫助業(yè)務(wù)進(jìn)一步的提升風(fēng)控能力，讓每一步產(chǎn)品動作都會產(chǎn)生價值沉淀，每一步的沉淀都會讓風(fēng)控這件事情變得更加得心應(yīng)手。

寫在最后

以上是我在風(fēng)控這個領(lǐng)域中積累出的一些比較行之有效的方法論，但是因?yàn)闀r間原因很多風(fēng)控執(zhí)行的細(xì)節(jié)、一些核心技術(shù)的架構(gòu)和實(shí)現(xiàn)方法都沒有做具體的介紹，后續(xù)如果有時間，可能會分別針對某一個細(xì)節(jié)方向相關(guān)的風(fēng)控經(jīng)驗(yàn)和產(chǎn)品架構(gòu)做一些分享。

本文由 @gology 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自 Unsplash，基于 CC0 協(xié)議