Web安全 - 构建全面的业务安全保护防御体系

文章目录

业务安全概述
业务安全 vs. 基础安全
业务安全的防护
- 业务安全的防护策略
- - 1. 用户资源对抗的技术实现与优化
  - 2. IP资源对抗的技术实现与优化
  - 3. 设备资源对抗的技术实现与优化
  - 4. 操作资源对抗的技术实现与优化
  - 实际应用场景中的策略
- 典型场景
- - 业务场景 1：新用户注册场景
  - 业务场景 2：登录与敏感操作场景
  - 业务场景 3：在线支付与交易场景
  - 业务场景 4：大促活动参与场景
- 评估反馈数据
- - 1. 评估的关键指标
  - 2. 数据收集与分析
  - 3. 基于数据的优化建议
- 业务安全的本质：资源对抗
业务安全中的 IPDRR 防御框架
- 邀约活动的威胁评估
- 提升黑产攻击成本的安全产品方案
风控系统设计
- 风控系统的背景与重要性
- 风控系统的核心模块
- - 1. 前端 SDK 数据采集
  - 2. 规则引擎的工作原理
  - - 工作模式
  - 3. 技术选型
  - 4. 验证流程的重要性
- 规则引擎的设计挑战
- 风控人员的角色与职责
- 风控系统小结
机器学习
- 机器学习的能力和局限
- 无监督学习在安全领域的应用
- 有监督学习的应用与挑战
- 具体应用建议
- 分析与建议
设备指纹
- 设备指纹的优势
- 设备指纹的主要挑战
- 信息采集
- 设备指纹计算
- 异常设备识别
- 小结
安全运营
- 业务中处理黑产的手段
- 业务之外处理黑产的运营手段
- 风控系统与运营策略结合
- 小结

业务安全概述

业务安全是公司为了保护其业务流程和用户增长而制定的防护措施，主要应对的是黑产（黑色产业）的攻击。相比传统的基础安全，业务安全的特点更加复杂，主要体现在两个方面：攻击者的产业化和资源对抗。

业务安全 vs. 基础安全

在基础安全中，主要针对技术漏洞，黑客通过发现和利用这些漏洞，入侵系统或窃取数据。这类攻击通常依赖于单一或小规模的攻击手段，重视技术技巧。而业务安全的攻击来自黑产，攻击者形成了一个完整的产业链，从上游的资源获取到下游的盈利手段，覆盖了大量的自动化和资源型操作。

黑客 vs. 黑产

黑客：依赖技术漏洞，强调技术对抗，单人或小组作战。
黑产：注重资源获取，形成上下游的产业化链条，依赖大量用户、IP、设备等资源的批量操作。

在这里插入图片描述

业务安全的防护

在业务安全防护中，核心思路是通过增加黑产的攻击成本，削弱其获利空间。这种资源对抗分为四大方面：

用户资源对抗：黑产需要大量虚假身份来注册、登录等。对抗手段主要是通过黑名单管理和身份验证技术（如手机号、身份证号的验证），提高注册成本。
IP资源对抗：通过限制IP、追踪IP异常活动来识别黑产操作，但由于IP变化频繁，目前主要依靠代理IP监控手段。
设备资源对抗：黑产常通过模拟器或群控设备操作大量账号，防护措施包括设备指纹技术，用于识别虚拟设备和可疑行为。
操作资源对抗：黑产使用自动化工具（比如按键精灵）来批量操作应用，常见防护措施是使用验证码、行为分析等方式，确保操作难以完全自动化。

业务安全的防护策略

1. 用户资源对抗的技术实现与优化

1.1. 实现：用户身份验证与黑名单

身份验证：实现用户身份资源的关键手段是通过严格的身份验证，防止黑产使用虚假或批量身份注册。常见的技术包括手机号绑定、身份证号验证、银行卡绑定等。
- 手机号验证：基于运营商提供的实名制手机号验证接口，确保手机号与身份信息匹配。
- 身份证验证：通过接入政府或者第三方的身份证验证服务，确认用户身份的合法性。
- 银行卡验证：通过银行卡绑定和验证，确保交易的真实性。
黑名单管理：通过内部收集和外部采购黑名单，将已知的黑产账号、手机号、设备等加入黑名单，自动拦截其进一步操作。
- 外部采购：使用市场上的黑名单服务（如反欺诈平台）来扩展已知的黑产名单。
- 内部收集：利用机器学习模型分析用户行为，自动识别异常注册、登录行为并加入黑名单。

1.2. 优化方案

多因素验证（MFA）：通过短信、邮件、或APP内验证，提高账户的安全性，减少单一验证点被绕过的可能性。
行为分析与动态黑名单：使用机器学习模型，对用户的登录、注册、支付等行为进行持续监控，通过分析异常行为（如频繁注册、频繁交易等），动态更新黑名单。
生物识别技术：利用生物识别（如指纹、面部识别等）验证真实用户身份，防止黑产批量注册。

2. IP资源对抗的技术实现与优化

2.1. 实现：IP监控与代理识别

IP限制：通过限制单一IP的注册、登录次数来减少批量操作。通常应用于频繁出现异常活动的IP地址。
代理IP识别：通过检测HTTP请求的头信息、响应时间等来识别代理IP。常用方法包括检测IP源地址、时区偏差、以及与已知代理IP数据库进行比对。
地理位置验证：结合地理位置和IP数据，对位于高风险地区的IP进行额外验证，或直接拦截其操作。

2.2. 优化方案

秒拨IP检测：黑产常通过秒拨技术获取大量IP资源。为了应对这一现象，系统可以根据短时间内频繁出现的新IP地址进行监控，并将这些IP标记为可疑。
IP信誉评分：通过大数据分析，给每个IP赋予信誉评分。高风险IP（如来自代理或秒拨的IP）会有较低的分数，从而触发额外的安全措施或直接拦截。
动态IP封禁策略：设计动态的封禁规则，基于IP的历史行为、行为特征以及用户反馈来调整封禁策略。例如，同一IP段下的多个异常用户行为可以作为封禁的依据。

3. 设备资源对抗的技术实现与优化

3.1. 实现：设备指纹与虚拟设备识别

设备指纹：通过收集设备的硬件信息、软件版本、浏览器指纹、字体、分辨率等多维特征，生成唯一的设备指纹，并用于追踪用户的设备操作。
虚拟设备检测：通过检测操作系统行为、磁盘读写模式、虚拟机特征等方式识别模拟器和虚拟设备。常见的识别技术包括CPU指令集检测、图形处理单元（GPU）分析等。

3.2. 优化方案

设备指纹防碰撞技术：对于设备指纹的防碰撞，通过添加随机噪声或其他难以仿造的特征，防止黑产通过伪造指纹躲避追踪。
机器学习识别虚拟设备：构建机器学习模型，结合设备指纹、行为特征等多维数据，进一步区分真实设备和虚拟设备。模型可以从设备的使用模式、网络行为、硬件配置等方面进行分析。
持久设备标识：利用更难改变的硬件参数（如硬盘序列号、网卡MAC地址等），生成更稳定的设备标识，防止黑产通过频繁更换设备信息来绕过检测。

4. 操作资源对抗的技术实现与优化

4.1. 实现：自动化工具检测与验证码

自动化工具检测：通过检测用户的行为模式、鼠标移动轨迹、点击频率等，识别自动化工具的使用。例如，通过分析用户的输入频率、点击模式，判断是否为“按键精灵”类工具操作。
验证码系统：使用图片验证码、滑块验证码等验证工具，强制用户完成交互任务，确保操作是由人类完成，而非机器自动化操作。
行为分析：通过追踪用户的操作行为，包括访问路径、页面停留时间、操作频率等，识别异常行为模式。

4.2. 优化方案

无感知验证码：通过行为分析实现“无感知”验证码，避免用户体验的损害。通过检测用户的鼠标轨迹、页面访问逻辑，后台自动判断是否为自动化工具，并根据风险等级动态生成验证码。
基于AI的行为验证：通过AI模型对用户的操作行为进行深度分析，识别机器和人的操作差异。AI可以综合考虑鼠标操作的轨迹平滑度、点击间隔的随机性等因素。
加强自动化工具对抗技术：如结合系统日志、网络层数据分析等手段，进一步发现自动化脚本的特征，通过分析网络包行为或系统资源调用来识别自动化工具。

实际应用场景中的策略

在这里插入图片描述

新用户注册场景：采用严格的用户身份验证和行为分析，结合设备指纹和IP信誉评分，在注册过程中对可能的黑产操作进行筛查。
活动参与场景：为防止黑产批量参与“薅羊毛”活动，系统可以结合设备指纹、IP限制、以及无感知验证码等多层防护措施，识别异常参与行为。
支付与交易场景：通过多因素验证、黑名单、行为分析等手段，确保支付操作的安全，防止虚假交易或批量操作。

典型场景

业务场景 1：新用户注册场景

安全威胁

黑产批量注册虚假账号，企图通过优惠活动、薅羊毛或进行欺诈行为。
虚假用户通过爬虫或其他自动化工具频繁尝试注册。

组合防护措施

手机号验证：通过第三方短信服务进行实名制手机号验证，确保每个手机号只能注册一个账户。
- 优化：允许用户使用微信、支付宝等第三方账号进行一键登录，减少用户输入环节，提升注册效率。
设备指纹：收集设备的硬件和软件信息，通过设备指纹防止同一设备批量注册。
- 优化：对新设备首次注册时，引入“设备冷却期”，在短时间内限制同设备的多次注册请求。
IP资源控制：限制每个IP地址在短时间内的注册数量，检测秒拨IP或代理IP的使用。
- 优化：对普通用户无感知，只有在频繁注册的情况下触发验证码验证，从而提升体验。
验证码防护：引入无感知验证码，利用用户行为特征判断是否为自动化工具操作，只有当系统检测到异常时，才触发验证码验证。
- 优化：使用滑块验证码等低干扰的验证方式，在检测到可疑行为后进一步确认用户身份。
行为分析：通过机器学习模型分析用户的注册行为，比如注册时间、填写表单的速度等，自动识别异常行为。
- 优化：无感知的行为分析手段避免增加用户负担，仅对可疑用户进行深度验证。

综合策略：

前期检测（被动验证）：通过手机号验证和设备指纹进行初步筛查，确保大部分用户可以快速完成注册。
后期增强（主动验证）：行为异常时触发IP资源控制、验证码验证等策略，防止批量注册和自动化工具操作。

业务场景 2：登录与敏感操作场景

安全威胁

恶意用户使用爬虫或工具对登录接口进行暴力破解，尝试获取用户账户。
真实用户的账户被盗，导致资金损失或信息泄露。

组合防护措施

多因素验证（MFA）：引入多因素验证机制，尤其在用户进行敏感操作（如资金转账、修改密码等）时，要求通过短信、邮件或动态验证码二次确认。
- 优化：用户可以选择更便捷的验证方式，如通过微信、指纹或面部识别进行快速验证，提升体验。
IP信誉评分：根据IP的历史记录与行为特征，对IP进行评分，低分IP会被要求进行额外验证（如验证码、MFA）。
- 优化：为可信IP提供无感知的登录体验，减少不必要的验证步骤。
设备信任机制：使用设备指纹对设备进行打分，系统可以记住用户已信任的设备，在下次登录时无需额外验证。
- 优化：用户首次登录新设备时，需要进行二次验证，后续在该设备上操作时，直接通过。
行为分析与风控：通过对用户的操作习惯进行行为分析，比如登录时间、位置、设备等特征。当检测到异常行为（如异地登录或设备频繁更换）时，系统触发风控策略，要求额外的身份验证。
- 优化：用户登录平常的设备和位置时，可以直接跳过这些验证流程，避免不必要的复杂操作。

综合策略：

常规登录（被动保护）：在可信环境中，提供顺畅的登录体验，结合设备信任机制减少不必要的多次验证。
异常登录（主动保护）：当用户登录行为不符合常规模式时，触发多因素验证和行为分析，防止账户被盗。

业务场景 3：在线支付与交易场景

安全威胁

黑产利用盗用的账户或支付信息进行非法交易，导致资金损失。
恶意用户通过自动化工具进行大量小额支付，造成平台压力或欺诈。

组合防护措施

支付限额和频次控制：对单个账户的每日支付金额和支付次数进行限制，尤其是新注册的账户，避免批量小额支付造成资金风险。
- 优化：对于长期使用的老用户，系统可以动态调整限额和频次，允许更多支付自由。
设备指纹与交易监控：在支付时收集用户设备指纹，结合交易监控系统，识别设备与交易金额、频次的异常行为。如果同一设备频繁进行小额支付，系统会触发风控。
- 优化：对可信设备的用户，尤其是通过可信支付渠道（如支付宝、微信）的支付行为，减少频繁验证，提供便捷支付体验。
实时风险评估：引入实时风控系统，利用大数据分析用户的支付行为、支付设备、IP、地理位置等多维数据，评估每次交易的风险。高风险交易会被要求进行额外的身份验证。
- 优化：通过无感知的风控策略，低风险用户可以快速完成支付，而高风险用户需进行二次确认（如短信验证码）。
行为验证与黑名单：将黑产行为、设备指纹、IP加入黑名单，系统实时监控交易行为，尤其对异常交易进行人工审核或自动拦截。
- 优化：普通用户在黑名单检测过程中无感知，只对高风险用户触发额外验证或人工审核。

综合策略：

常规支付（被动验证）：可信用户可以轻松完成支付，尤其在常用设备上，系统会自动通过设备指纹和交易历史进行快速验证。
高风险支付（主动验证）：当检测到支付频次、金额或设备异常时，触发风险评估，结合多因素验证，确保交易的安全性。

业务场景 4：大促活动参与场景

安全威胁

恶意用户批量注册虚假账号，利用机器人工具参与大促活动获取优惠券。
黑产通过秒拨IP或虚拟设备，进行高频活动参与，压低正常用户的获奖概率。

组合防护措施

设备指纹与IP资源控制：对每个设备、IP参与活动的次数进行限制，防止同一设备或IP批量参与。
- 优化：对于普通用户，系统只在异常参与行为时才进行限制，以免影响正常活动体验。
秒拨IP检测与代理IP识别：通过监控IP切换频次和IP来源，检测秒拨IP或代理IP，并限制其活动参与次数。
- 优化：对来自可信IP的用户减少限制，减少参与活动时的额外验证步骤。
行为分析与机器人检测：结合用户的参与行为（如参与频率、点击速度等）进行行为分析，自动检测并拦截自动化工具或批量操作。
- 优化：通过机器学习不断优化检测模型，降低误判率，保证正常用户的参与流畅度。
活动次数与奖励限额：对每个账户的参与次数和活动奖励进行限额，防止黑产通过大量账户获取不合理的优惠。
- 优化：对于长期活跃的用户，提供更高的参与次数和奖励限额，提升用户体验。

综合策略：

初级防护（被动限制）：对所有参与者进行设备指纹、IP检测，通过秒拨IP和代理IP识别初步过滤异常参与者。
深度防护（主动检测）：通过行为分析、机器人检测等手段进一步识别黑产操作，在活动参与的后期增强检测力度。

评估反馈数据

1. 评估的关键指标

安全相关指标

安全事件发生率：在各个业务场景中，评估由于黑产攻击、自动化工具或账户盗取导致的安全事件数量，如虚假注册、暴力破解登录、非法交易等。
- 目标：在安全措施部署后，安全事件发生率应显著下降。
风控触发率：记录风控策略（如验证码、二次验证）的触发频率，衡量策略的覆盖面是否足够。
- 目标：风控触发率应合理控制在安全风险高的场景下，避免过度影响正常用户。

用户体验相关指标

用户流失率：监控因安全验证流程过多或过于复杂导致的用户流失情况，如新用户注册中断、用户放弃支付等。
- 目标：用户流失率应保持在合理范围内，安全验证不应成为主要流失原因。
操作成功率：评估用户在各个环节的操作成功率，如注册完成率、登录成功率、支付成功率等。
- 目标：优化验证流程后，操作成功率应有所提升。
用户投诉率：通过分析用户的投诉记录，关注用户对安全策略的反感度，如验证码频率、二次验证的不便等。
- 目标：用户投诉率应显著下降，尤其是投诉集中在特定安全环节时。

2. 数据收集与分析

数据来源

日志分析：通过服务器日志，分析安全事件、风控触发、操作成功率等数据，监控黑产攻击和风控策略的表现。
- 实例：在新用户注册场景中，通过分析设备指纹、IP资源控制的数据，评估是否成功阻挡了大量虚假注册。
用户反馈与调研：收集用户反馈和满意度调查，重点关注在支付、登录等敏感操作中的用户体验。
- 实例：调查用户对多因素验证和验证码体验的反馈，是否频繁触发，是否影响用户的操作流畅度。
安全事件报告：对所有已发现的安全事件（如账户被盗、资金损失等）进行统计，分析事件发生的原因和防护策略的有效性。
- 实例：分析在线支付场景中，黑产是否绕过了设备指纹与风控系统进行非法交易。

数据分析方法

A/B测试：在不同用户群体中测试不同的安全策略组合，分析对安全性和用户体验的影响。
- 实例：在部分用户中引入较严格的风控措施，另一部分用户保留较宽松的策略，比较用户流失率和安全事件的变化。
机器学习模型分析：通过机器学习模型，分析用户行为数据，自动识别正常用户与可疑用户的行为模式，减少误判率。
- 实例：在登录与敏感操作场景中，通过分析用户的操作习惯和设备特征，预测登录成功率与安全风险。

3. 基于数据的优化建议

针对新用户注册场景的优化

问题：过多的验证码或设备指纹限制，可能导致用户在注册过程中流失。
优化：可以根据用户的历史数据、行为特征，适度降低验证难度，并通过机器学习模型提高异常行为检测的准确度，减少对普通用户的干扰。

针对登录与敏感操作场景的优化

问题：多因素验证频繁触发可能引发用户反感，尤其在低风险操作中。
优化：可以引入更加智能的风险评估系统，根据用户设备和登录习惯动态调整验证强度，在低风险情况下自动通过登录或操作请求。

针对在线支付与交易场景的优化

问题：部分用户在进行频繁小额支付时，风控系统过于敏感，导致支付被阻止或频繁触发验证。
优化：对于可信用户（如老用户或高频支付用户），可降低小额支付时的验证强度，通过设备信任机制和交易历史记录优化用户支付体验。

针对大促活动场景的优化

问题：黑产攻击时，风控措施对普通用户造成了过多限制，影响参与体验。
优化：加强秒拨IP与代理IP的检测手段，优化设备指纹采集技术，降低对普通用户参与活动的干扰。此外，可针对黑产行为引入更高频率的验证与拦截。

业务安全的本质：资源对抗

业务安全防护的核心在于通过提高黑产的资源获取和操作成本，阻止其获利。例如，增强用户身份验证可以使黑产在注册新用户时投入更多资源，验证码等措施则增加了黑产自动化操作的难度，从而降低了他们的获利能力。

在这里插入图片描述

业务安全和基础安全在本质上就有很大的不同：在基础安全中，黑客将技术作为核心竞争力；在业务安全中，黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源，谁就能窃取公司更大的利益。

因此，作为防守方，我们在关注业务安全的时候，也应当将关注的重点放在如何提高黑产的资源成本上，这样才能够为公司提供有力的业务安全防护

业务安全中的 IPDRR 防御框架

在这里插入图片描述

NIST 的 IPDRR 安全框架原本应用于基础安全防护，但在业务安全中同样具有指导意义。IPDRR（Identify, Protect, Detect, Respond, Recover）模型可以帮助我们从多个维度全面应对黑产攻击，构建纵深防御体系：

Identify（识别）：
业务安全中的识别阶段与基础安全类似，重点是进行威胁评估，发现黑产可能通过业务逻辑窃取资源的路径和成本。对于业务场景，如红包、优惠券发放、邀约活动等，识别黑产的目标点尤为重要。
- 业务风险点识别：例如，识别出黑产通过大量注册小号参与邀约活动的风险。
- 获利点分析：黑产主要的利益驱动点是公司提供的现金红包或其他优惠。
Protect（保护）：
保护阶段的核心是通过设计安全产品方案来提升黑产的攻击成本。例如，通过双因子认证、验证码等手段提高账户安全性，或为特定业务场景设计复杂的防护流程，如延迟提现或增加参与条件。
- 举措：在登录场景中加入二次验证，或在活动中延迟红包发放时机。
Detect（检测）：
检测主要依赖于风控系统实时监控用户行为，快速识别异常操作。通过大数据分析和机器学习模型，可以有效检测出黑产的异常活动，如频繁注册或可疑提现。
- 监控工具：使用行为分析和反欺诈模型检测异常交易和操作。
Respond（响应）：
一旦检测到黑产攻击，系统需要迅速响应，通过封禁账号、拦截操作、限制提现等方式，阻止黑产进一步获利。
- 响应措施：实时冻结可疑账号，防止提现或转移资金。
Recover（恢复）：
恢复阶段包括对业务损失的修复，如将被盗账号返还给原用户，退回已经发放的红包等。这也涉及到通过运营策略恢复正常业务流程。
- 举措：将资金从黑产账号中回收到公司资源池。

邀约活动的威胁评估

以邀约活动为例，业务安全中的威胁评估需要综合考虑以下五个关键因素：

业务目标：
邀约活动的目的是通过用户邀请获取新用户，从而实现用户增长。黑产会通过批量注册小号刷邀约奖励。
黑产获利程度：
黑产通过参与活动获取红包，获利金额可能较低（每次几块到十几块不等），但通过大规模注册小号，累积利润可观。
实时性要求：
对于邀约活动，拦截时机至关重要。如果实时拦截会增加用户体验的损害（如频繁的验证码或验证要求），因此更适合在关键节点（如提现阶段）进行拦截。
漏判影响：
如果黑产未被及时识别，可能会导致资金损失，但不会影响正常用户的使用，因此漏判的影响较低。
误伤影响：
误伤正常用户则会导致用户对活动失去信任，影响用户体验和公司声誉。避免误伤是邀约活动防护中的核心要务。

在此场景中，防御策略应着重放宽前期检测，确保用户能顺利完成活动流程，同时在提现阶段引入更严格的验证，以降低黑产成功获利的可能性。

提升黑产攻击成本的安全产品方案

在应对黑产时，通过增加资源成本可以有效遏制黑产的攻击。例如：

登录安全产品方案：
增加短信验证或多因子认证，显著增加黑产在盗号中的资源成本。黑产必须绕过多个验证关卡，增加了其攻击难度。
满减红包产品方案：
- 领取条件：例如要求用户完成多次订单才能领取大额红包，有效提升黑产参与的复杂度。
- 满减金额：调整为满 10.01 减 10，相较于直接满 10 减 10，黑产需要额外付出资金完成订单，成本更高。
- 有效期：缩短红包有效期，黑产无法迅速获利，降低了他们利用红包牟利的空间。
邀约活动安全方案：
提高奖励获取的难度，如要求新用户连续活跃多天，或在提现时设置更严格的验证措施，这些都可以显著提高黑产的攻击成本。

风控系统设计

风控系统的背景与重要性

产品方案属于事前的防控，是从根本上提高黑产操作的成本；风控系统属于事中的防控，是在检测到黑产行为时才进行拦截

在当今复杂的互联网业务中，黑产（黑色产业链）通过各种方式试图侵入应用和系统，窃取敏感信息或谋取经济利益。为了在不影响正常用户体验的情况下，精准地拦截这些恶意行为，风控系统被引入作为一种核心的安全防护手段。与传统产品方案（如通过多重验证手段来提升安全性）不同，风控系统采用数据分析和智能判定，能够动态识别并处理恶意操作，保持平衡。

在这里插入图片描述

风控系统的核心模块

1. 前端 SDK 数据采集

风控系统的起点在于数据采集。前端SDK通过集成到用户的设备中，能够收集用户身份信息、行为轨迹、设备指纹等关键数据。这些数据不仅包括基本的用户输入行为，还涉及设备属性、点击轨迹等。这些采集到的丰富数据为后续的特征提取和风控判定提供了基础。

在这里插入图片描述

2. 规则引擎的工作原理

在风控系统中，规则引擎扮演了核心角色，通过分析采集到的海量数据来识别异常行为或潜在的黑产活动。规则引擎通常依赖两方面来完成判定：

特征提取：例如，用户在特定时间内进行了多少次登录尝试、是否有不同设备反复登录同一账户等，这些都属于行为特征。
规则判定：基于提取的特征，风控团队设定相应的规则，例如：“同一设备在一分钟内进行5次失败登录应视为异常。”

工作模式

规则引擎有三种常见的工作模式：

同步模式：实时判定，登录前进行判断，确保拦截黑产。但其侵入性较高，会影响正常业务流程。
异步模式：用户可先行登录，后续判断其行为是否合法，若为黑产则进行封号或强制退出登录。该模式兼顾了用户体验与风控。
离线模式：通过更长时间的数据积累进行分析，准确率更高，但处理时效较低。适用于风险较低的操作。

3. 技术选型

灵活性过高又会大大提高规则管理的复杂性，是个矛盾。

通过 Redis 完成实时计算；通过 Flink 完成异步计算；通过 Hive 完成离线计算等.
最出名的开源规则引擎Drools：并没有提供十分高效的规则管理工具，并不是一个适用于风控系统的规则引擎
开源的风控系统中 Nebula ：提供各种用来增加修改规则的 Web 页面。
也可以使用Aviator、QLExpress、Groovy等在Java 中提供动态开发支持的语言，来进行底层的规则执行，在此基础之上，我们再去封装自己理解的规则管理。这样一来，我们就实现了灵活性和复杂度的平衡

在这里插入图片描述

总结来说，规则引擎是风控系统的核心。想要做好一个规则引擎，我们需要思考清楚两件事情：
第一，规则引擎以什么样的模式接入业务；
第二，如何进行规则管理.

4. 验证流程的重要性

即使规则引擎判断某些行为为异常，也不能立即拦截。这是因为规则引擎永远存在“误伤”的风险。通过加入验证流程，如滑块验证码、短信验证等方式，可以减少误伤率。

例如，对于密码多次输入错误的情况，可能是用户忘记了密码，而非黑产攻击。此时，简单的滑块验证就能区分人机操作，避免不必要的封禁。

规则引擎的设计挑战

灵活性与复杂性的平衡
规则引擎设计的难点之一是如何有效管理大量的规则，同时确保其高效执行。现有工具如Drools、Nebula等虽然能够提供规则定义与执行的框架，但它们在规则管理上的灵活性与易用性较差。一个完善的规则引擎应当支持业务定制，同时又不应增加过多的操作复杂性。使用Java中的动态开发语言（如Aviator、QLExpress等）进行规则开发，是常见的解决方案。
工作模式的选择
在不同的业务场景下，规则引擎的工作模式需要灵活选择。例如，在提现等敏感操作时，必须使用同步模式，以防资金流失，而在登录或低风险操作中，异步或离线模式则可以通过更多的数据来提升识别精度。

风控人员的角色与职责

风控系统的运营需要多方面的支持，主要包括：

策略人员：负责数据分析与规则迭代。随着黑产手段的不断升级，规则需要持续更新，以保持有效性。
运营人员：处理用户投诉与监控舆情，确保风控系统在用户中保持良好的口碑，并应对黑产在社交媒体上的公开挑衅。
应急响应人员：当系统出现大规模误伤或安全漏洞时，紧急处理和修复，避免公司产生更大的损失。

风控系统小结

在这里插入图片描述

一个完整的风控系统包括前端SDK、规则引擎、验证流程等多个环节。通过动态采集用户数据、结合不同的工作模式、有效管理规则，风控系统能够在保持用户体验的前提下，精准拦截黑产行为。同时，风控人员的持续投入、规则的迭代优化，是确保系统长期有效运行的关键。

机器学习

机器学习的能力和局限

机器学习主要用于总结经验和模式，但不能创新，因此它的应用效果取决于安全人员的知识和技能。
机器学习不擅长应对“未知的威胁”，只能通过已有的规则或模式来挖掘已知威胁。

无监督学习在安全领域的应用

无监督学习的核心是挖掘数据的分布特征，可以发现离群点或聚集特征。常用于识别潜在的异常行为，但无法直接断定这些异常就是攻击。
实际场景中，通过监控注册账号行为或服务器访问外部服务数量等聚类特征，可以间接提示异常。

有监督学习的应用与挑战

有监督学习需要大量的标签数据，挑战在于标签的准确性和效率。手动标记数据成本高且不全面，打标标准存在偏差。
合理的打标方案：通过追踪攻击结果（如数据的CIA影响）自动生成标签数据，并不断迭代优化模型。

具体应用建议

在这里插入图片描述

基于RASP（Runtime Application Self-Protection）直接追踪攻击的后果，生成高效的标签数据，让WAF不断优化其拦截规则。
在业务安全中，通过签名校验、设备监控等机制为异常行为打标，持续更新风控系统。

分析与建议

在这里插入图片描述

无监督学习的场景适用性：无监督学习适合监控数据异常，特别是在黑产利用批量操作的情况下。通过分析行为聚类，尽管无法直接判断恶意行为，但可以作为风险预警工具，辅助人工分析。
有监督学习的闭环改进：有监督学习在安全领域的闭环需要有效的标签体系支持。通过追踪攻击行为的后果（如数据泄露或服务宕机）进行打标，可以提高模型的有效性，并通过WAF和RASP等工具的反馈形成持续优化的机制。
持续对抗策略：黑产与风控系统的对抗是长期的，有监督学习通过迭代不断优化规则，结合无监督学习的异常检测能力，可以提高应对新兴威胁的效率。避免直接拦截标记的恶意行为，降低黑产对抗力度。

设备指纹

设备指纹在风控系统中的作用至关重要。设备指纹是一种通过采集设备的硬件、软件及动态特征，为设备生成唯一标识的技术。它不仅能识别设备的唯一性，还能对设备的异常行为进行追踪与判断，尤其在防御黑产方面起到了重要作用。设备指纹的稳定性和唯一性是其技术设计的关键要素。

设备指纹的优势

唯一性高：设备的使用痕迹和特征因个体不同而独特。
稳定性强：硬件特征不易改变，设备指纹长期有效。
信息丰富：涵盖从硬件到应用的多层次信息，有助于准确判定设备身份。

设备指纹的主要挑战

设备重置后保持不变：恢复出厂设置后，设备ID会改变，因此不能依赖系统ID进行设备追踪。
设备更新后保持不变：黑产可能通过更换硬件来伪造设备，设备指纹需要在一定的变动下保持稳定。

信息采集

设备指纹的信息采集涉及四个方面：

软件ID：如iOS的IDFA、Android的IMEI等，但这些ID可能被用户重置或限制访问。
软件静态特征：包括操作系统版本、应用信息等，虽然这些信息易变，但能帮助识别设备的唯一性。
硬件静态特征：如主板、CPU等，通常不易变动，因此具备稳定性。
硬件动态特征：基于设备硬件特性（如传感器的偏差）进行识别，有较好的稳定性。

设备指纹计算

通过上述信息的采集，系统可以计算出设备的唯一指纹。该过程涉及相似度计算（如欧式距离、联合概率分布等算法）来判断设备是否为同一设备，进而为其生成或更新设备指纹。

异常设备识别

风控系统还通过设备指纹识别异常设备，方法包括：

系统信息识别：基于系统参数识别虚拟机。
硬件识别：虚拟机缺乏真实硬件支持，表现为传感器异常、相机无法拍照等。
系统状态识别：通过设备的充电状态、网络位置等信息，识别批量操控的设备。

小结

在这里插入图片描述

设备指纹技术在风控系统中扮演着识别与追踪设备的关键角色。通过结合硬件与软件特征，风控系统可以对设备实现稳定且唯一的标识，并有效识别异常设备，防范黑产攻击。

设备指纹的设计和实现需要兼顾稳定性和唯一性，同时不断迭代应对黑产伪造设备的对抗措施。

安全运营

业务中处理黑产的手段

直接拦截
- 在识别出黑产后，直接拦截是最简单有效的手段，可以立即切断黑产的活动。对于同步识别模式，直接拒绝登录或操作请求，而异步模式下可以锁定账号。尽管有效，但直接拦截的风险在于可能会误伤正常用户，因此通常在风控系统识别率较高时使用。
验证拦截
- 人机验证与同人验证是常见的验证方式，前者用于区分机器与人类操作，后者用于确认操作者是否为账号持有人。滑块验证等技术通过分析操作轨迹区分人类与机器，短信验证和生物识别（如人脸识别、声纹识别）则提高了验证的精准性。验证拦截的优势是其对正常用户影响较小，适用范围广，但验证技术本身的安全性和抗黑产能力需慎重考虑。
假数据拦截
- 在爬虫场景中，通过返回虚假的业务数据（如酒店或机票价格）误导黑产是有效的策略。假数据既能避免直接拦截或验证时被识别，也能降低黑产绕过防御的动机。但生成合理的假数据成本较高，需平衡虚假数据与真实业务数据的差异性。