顶象防御云业务安全情报中心监测发现，某线上教育培训类平台课件遭遇大规模盗取。被盗取的课件，经加工处理后，进行低价转售，严重损害了平台的合法权益。

---

飞速发展的在线教育和看不见的风险

随着5G、视频编解码等技术融合，教育+直播模式的普及，在线教育行业作为近年来发展最为迅速的行业之一。中国互联网络信息中心（CNNIC）第50次《中国互联网络发展状况统计报告》显示，截至2022年6月，我国网民规模达10.51亿。从2015年12月到2022年6月，在线教育用户规模从1.10亿增长到3.77亿。数据显示，在线教育市场规模保持逐年增长的态势，2019年在线教育市场规模已突破4000亿元，而疫情进一步加快在线教育，预计2025年中国在线教育市场规模将达到8000亿元，年复合增长率达11.4%。

在线教育迅猛推广的同时，由此带来的知识产权保护问题日益凸显。顶象防御云业务安全情报中心监测发现，某教育公司的大量课件被黑灰产盗取，然后通过文库网站、电商平台、网盘等方式低价出售。9.9元钱甚至就可以购买到售价万元的课程。

教育课件是开发人员创作的智力成果，具有独创性，属于著作权法保护的作品。盗取网课不仅窃取开发创作者的劳动成果，给教育公司造成经济损失，更严重侵蚀社会创新动力，给消费者造成损害，严重破坏行业生态健康。

---

黑灰产盗课的方式

顶象防御云业务安全情报中心发现，黑灰产盗取课程主要有三个方式：盗载、翻录、共享账号。

批量下载课件。部分大型的教育平台的课程视频，附带了相关的课程课件等，黑灰产在注册并完成登录账号后，通过专门的下载工具快速批量下载页面中的视频课程，还能够根据需求选择视频的清晰度、字幕，选择下载配套的课程附件。

针对部分只在线播放的课程的平台，黑灰产通过在浏览器中加入相关的扩展插件，获取m3u8文件的地址（一种索引文件，用来解析对应的放在服务器上的视频网络地址），在对视频进行解密、合并、分片后，就可以实现视频课程的批量下载。

翻录直播课程。黑灰产以正常售价购买课程，进入线上授课教室后，通过录屏等方式进行线上直播课程翻录。直播课程或者部分工具无法下载的加密课程，黑产通过录屏软件或者外接设备，以翻录的形式进行课程盗取。市面上类似的录屏软件有几十款，其中部分软件首要宣传点正是录播。按照教程，即可快速完成录制操作。

即使一些教育平台限制录屏，黑产仍然会针对付费会员提供相关的破解禁录教程。此外，部分浏览器自带录屏功能，能够对于浏览器中播放的视频进行一键开启录制，实现边播边录。

账号共享。对于部分既无法下载也无法录屏的高价课程，黑灰产购买课程后，采用账号共享的方式，让更多人查看该课程。

---

黑灰产变现方式

顶象防御云业务安全情报中心发现，黑灰产的销售方式主要有四类种：直接销售、代理销售、售卖工具、账号共享。

销售课程。盗取到课程课件后，黑灰产会对内容进行分类梳理打包，并上传至网盘、复制到U盘，然后过自销和代理两个方式对外销售。直销。黑灰产通过社区论坛、电商平台、社群进行推广，买家可以直接下单或私信购买。消费者下单后，黑灰产会提供相应的网盘链接。针对想要在本地查看的购买者，黑灰产还提供U盘存储，以快递形式发送。

代理销售。黑灰产以课程代理形式招募分销商，每卖出一份课程，代理商即可获得一部分的佣金。上千元的正版课程，在课程代理手中通常几十块甚至几块钱就能买下。

工具售卖。针对部分想自己翻录、下载课程的买家，黑灰产提供课程爬取、翻录的软件、设备工具等，并会附赠具体的操作教程。部分软件还以会员制的形式进行售卖。成为充值会员后，在会员期中有专门客服进行一对一指导，并会不断更新软件和最新教程。对于工具操作能力有限的用户，黑产还提供课程代下载、代录屏等服务。

账号共享。因为不少平台的用户协议中也明确了用户不得将课程内容、教材等私自进行转发和分享给他人的规定。黑灰产通过购买一份资料转发给多人，并收取一定的拼课费用，甚至可以实现自己的0元购课。

---

课程课件受著作权保护

网络课程可以自用，但以盈利为目的录制转售构成侵权，具体来说是严重侵犯了网络课程制作方的版权。

《著作权法》第五十三条第一款规定，未经著作权人许可，复制、发行、表演、放映、广播、汇编、通过信息网络向公众传播其作品的　应当根据情况，承担本法第五十二条规定的民事责任。

2020年11月16日，最高人民法院印发《关于加强著作权和与著作权有关的权利保护的意见》特别提到：在作品、表演、录音制品上以通常方式署名的自然人、法人和非法人组织，应当推定为该作品、表演、录音制品的著作权人或者与著作权有关的权利的权利人，但有相反证据足以推翻的除外。

《意见》特别提到：高度重视互联网、人工智能、大数据等技术发展新需求，依据著作权法准确界定作品类型，把握好作品的认定标准，依法妥善审理体育赛事直播、网络游戏直播、数据侵权等新类型案件，促进新兴业态规范发展。

---

多方面保障在线课程安全

顶象防御云业务安全情报中心建议，首先要把权属关系理清楚，保留好作者的原始创作文档，及时进行版权登记。其次，应对侵权行为时要积极取证。需要注意的是，取证时除了要证明侵权行为存在，还要证明侵权的主体和侵权的情节。再次，对于网络侵权盗版，权利人可以根据实际情况，通过民事诉讼、行政投诉以及向公安机关报案等多种渠道维权。

针对在线课件特征，顶象防御云业务安全情报中心，建议在技术做如下防御。

终端环境监测。针对批量爬虫、翻录类的作弊软件，网课教育平台的客户端可集成安全SDK，使其定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、root、越狱等风险能够做到有效监控和拦截。

客户端安全防护。网课教育平台平台的APP和网页，可以分别部署H5混淆防护及端安全加固，以保障客户端安全。

传输安全保障。黑灰产在业务通信传输的环节，可能会尝试篡改、爬取报文数据。通过对通讯链路的加密，可防止终端安全检测模块的数据被篡改和冒用。

风控引擎防控。针对批量爬虫的风险特征，可将网课平台中课程查询、课程点播/下载等场景的请求接入业务安全风控系统。同时将终端采集的设备指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的安全防控策略，有效地对风险进行识别和拦截。