随着互联网的发展,越来越多的互联网公司在安全上面的投入也愈发重视,作为服务端的java开发工程师在开发业务的过程中对安全方面的能力也越来越高
安全对抗是成本对抗,黑产欺诈行为从技术含量和防御门槛来说,可分为四代:
从第一代黑产说起
防御方法
- 加入设备唯一ID+IP段异常聚集检测+简单规则
核心问题
- 如何唯一标识一台设备?
- IP段范围如何选取?
- 大网关IP处理?
坏人伪造设备ID,IP也开始跨段,怎么办?
第二代黑产
防御方法
- 模拟器环境检测+行为规则引擎 核心问题
- 上百设备特征如何组合识别模拟器?
- 哪些手机CPU架构就是X86的?
- 如何识别行为高频/稳定等异常?
人放弃PC模拟,而用真机多开+模拟 点击,怎么办?
第三代黑产——先看行为
大量点IP+海量手机+拟真设备ID,简单行为策略已经捉襟见肘
第三代黑产——再看设备
底层数据篡改+APP多开,设备特征需深挖
防御方法
- IP/手机风险库+设备篡改/APP多开检
测+行为规则引擎
核心问题
- 上百设备特征如何深挖识别篡改/多开?
- 篡改/多开里有没有正常用户场景?
- IP/手机风险库如何建设?
坏人还有什么办法绕过这些防御手段?
第四代黑产
真设备+海量拨号IP+海量卡池手机,充满未知,怎么识别?设备农场识别利器——社群发现
好人是各种各样的好
- 人群不同、地域不同、设备不同、喜好不同…… 坏人是相似的坏,团伙作案,关键是关联关系
- 若干账号资源、若干代理IP/VPS、若干设备农场、若干目标路径……
- 同在一批IP上、同在一批设备上、发布同一批内容……
- 基于图算法的社群发现+规则/有监督
黑产在快速变迁
某客户黑产在十一之后,从一代直接迁移至四代,已呈现典型的四代为主(70%)、二/三代为辅(近30%)的黑产分布
反欺诈技术伴随黑产攻防一起发展,可分为三代
第三代——无监督+有监督
基于图的社群发现
1.设备群体发现,结合路径聚集,专治设备农场
2.无监督算法,无需提供标签/手工标注样本,防范未知风险
第一代——纯规则
1.设备唯一ID+规则引擎
2.第二代(对应二/三代黑产)——有监督
设备风险识别+统计学习引擎
1.设备ID+纯规则直接用于检测,覆盖率和准确率都很有限
2.需对欺诈行为有深入了解,人工调整规则,且不能及时有效应对欺诈手段变化
对抗黑产的过程没有一劳永逸、需要不断的去提升技能与黑产的行为进行对抗、随着技术的不断发展黑产的技术也日益提升。我们只有提升的风控能力不断的与黑产对抗、提升黑产的作弊成本。