[read]风控要略——互联网业务反欺诈之路

=Start=

缘由:

整理一下周末这两天看的《风控要略——互联网业务反欺诈之路》这本书,方便以后有需要的时候进一步学习参考。

正文:

参考解答:

之前在记录《[read]互联网安全建设从0到1》这篇文章的时候,曾经有过几句感慨——现在市面上没有1本书能够完全覆盖大型互联网企业安全的所有内容,一方面是因为现在企业中安全涉及的领域越来越多,很难有一个人或是一个团队可以完全覆盖;另一方面就是很多企业安全团队不论是出于保密还是什么原因,很多东西不能写或是不能写透。

不过,反过来想想,何必非得要在1本书中覆盖所有的内容?如果你想较为系统地了解某个方向的内容,最好的方式还是找对应领域中的评价比较好的几本书对比来看,然后再找一些具体做过这个方向的同学深入沟通一下,有机会的话自己再实际上手试试(事情非亲自做不知难)。效果肯定会比单独阅读1本大而全(但很难深入)的书要好。

业务安全一般属于互联网企业中比较重要和核心的岗位(因为涉及到钱的问题),如果你不是具体做这一块工作的同学,是很难有机会了解他们在做什么的(因为有保密的需求,他们的组织架构在企业中是隐藏的——大部分人无法看到,他们做的事情你就更难了解到了)。虽然我也是做安全的,但主要做的还是偏传统基础安全方向,业务安全啥的有一定了解,但也知道的比较浅,这次借着阅读《风控要略》这本书的过程,大致系统的学习一下互联网企业面临的常见业务安全问题及其应对思路和方法,方便以后参考。


全书共17章,分为4个部分(洞察黑产(第1-2章)、体系构建(第3-11章)、实战教程(第12-13章)和新的战场(第14-17章))。其中我个人觉得写的非常好(或者说让我了解了一些之前我不是太清楚的名词/手法)的地方主要有:第2章、第3-4章的大部分内容、第5章、第9-11章、第13-15章的部分内容。整体来说书中介绍的很多内容都让我受益匪浅,值得推荐给各位想对业务安全有所了解和涉猎的同学阅读,开卷有益。


前言

很多问题的产生并不是因为黑产团伙的技术有多么高明,而是因为防御方不能够很好地帮助客户理解业务风险。

本书主要分为洞察黑产、体系构建、实战教程和新的战场4个部分。
第1部分介绍了黑产欺诈团伙的运作套路和攻击手段;
第2部分总结了我们在构建反欺诈技术体系过程中沉淀的实践经验;
第3部分分享了我们和黑产对抗的多个实战案例,以及机器学习算法的综合运用;
第4部分介绍了我们在物联网、内容安全、隐私合规等方面的实践和对海外厂商的观察。

希望读者通过阅读本书,可以对互联网反欺诈的行业现状有一个系统而具体的认识。业务安全的真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险和防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果。如果读者正在关注该领域或从事相关工作,我们相信本书一定能够为您提供帮助。

引言 互联网业务安全概述

当前中国互联网安全产业大体可以分为「基础安全」和「业务安全」两个领域。

从互联网诞生至2014年,互联网安全行业关注的热点基本都聚焦在「网络安全」、「系统安全」和「应用安全」这三大基础安全领域上。

2014年前后,随着互联网业务的爆发式发展,黑产团伙开始从“攻击渗透系统获利”的传统套路进化到“利用业务风控缺失进行大规模牟利”的模式,并且逐渐形成规模庞大、分工明确的黑色产业链。

在2014年之后的几年时间里,互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战,涉及游戏、电商、支付、视频直播甚至共享单车等几乎所有互联网业务领域。双方在拉锯战中互有胜负,直到公安机关”净网行动”全面展开后,黑产的嚣张气焰才得到有效遏制。

第一部分 洞察黑产

第1章 黑产发展态势

1.1 黑产组织结构
1.2 黑产成员分布
1.3 黑产专业化分工
1.4 黑产攻击规模
1.5 电信欺诈黑产
1.6 本章小结

第2章 黑产武器库概览

2.1 虚假号码
2.1.1 猫池
2.1.2 短信验证码
2.1.3 接码平台
2.1.4 空号注册
2.1.5 流量卡和物联网卡
2.1.6 手机rom后门

2.2 代理IP
2.3 设备伪造工具
2.3.1 改机工具
2.3.2 多开工具
2.3.3 Root/越狱工具
2.3.4 Xposed
2.3.5 Cydia Substrate
2.3.6 Frida
2.3.7 硬改工具
2.3.8 脱机挂
2.3.9 备份恢复/抹机恢复
2.3.10 模拟器
2.3.11 定制浏览器
2.3.12 自动化脚本

2.4 其他工具
2.4.1 位置伪造工具
2.4.2 群控
2.4.3 工具集
2.5 本章小结

虚假手机号、代理IP、设备信息伪造、群控、(+虚假身份信息)……

第二部分 体系构建

第3章 反欺诈体系建设思路

3.1 动态防控理念
3.2 防控体系构建
3.3 本章小结

运营驱动+红蓝对抗,形成一个可以动态闭环、不断进化的防控体系。

第4章 风控核心组件设备指纹

4.1 设备指纹的原理
4.2 设备指纹的技术实现
4.2.1 Android设备指纹
4.2.2 iOS设备指纹
4.2.3 Web设备指纹
4.2.4 设备ID生成与恢复逻辑
4.2.5 被动式识别技术
4.3 代码保护
4.3.1 JS代码混淆技术
4.3.2 Android/iOS SDK加固保护
4.4 本章小结

在当前的情况下,设备指纹可以认为是互联网反欺诈对抗的核心(如果没有一个唯一且稳定的设备指纹标识——包括但不限于异常环境检测能力、自我保护防破解、唯一性/稳定性……,那在此基础上做的检测/防护策略,如同于浮沙建高台——看上去很美好实际却很脆弱)。

稳定性 vs. 唯一性 需要根据各自公司的业务实际情况进行权衡,没有最好的办法,只有最合适的选择。

第5章 基于用户行为的生物探针

5.1 生物探针
5.2 无感认证
5.2.1 无感认证的基础
5.2.2 无感认证的构建
5.3 生物探针的应用场景
5.4 本章小结

你【知道】什么;你【拥有】什么;你【是】谁;你的【行为模式】。

传感器-sensor

第6章 智能验证码的前世今生

6.1 验证码的诞生
6.1.1 验证码的本质
6.1.2 验证码的发展
6.2 验证码的攻防
6.2.1 字符验证码的识别
6.2.2 新型验证码的识别
6.2.3 对抗黑产的方案
6.3 设计一款优秀的验证码
6.3.1 设计标准
6.3.2 设计实战
6.4 本章小结

一系列绝大部分人类能够解答,但机器无法回答的问题。

Easy for Human, Hard for Bot, A better experience.

第7章 风控中枢决策引擎系统

7.1 规则引擎
7.1.1 脚本引擎
7.1.2 开源规则引擎
7.1.3 商业规则引擎
7.1.4 几种规则引擎实现方案的对比
7.2 规则管理
7.3 规则推送
7.4 规则执行
7.5 外部系统集成
7.6 灰度测试
7.7 本章小结

Groovy vs. Drools vs. JRules

灰度验证规则的效果和影响范围,避免对线上业务造成重大影响。

第8章 海量数据的实时指标计算

8.1 实时指标计算概述
8.2 实时指标计算方案
8.2.1 基于数据库SQL的计算方案
8.2.2 基于事件驱动的计算方案
8.2.3 基于实时计算框架的计算方案
8.2.4 实时指标计算方案对比
8.3 反欺诈实时指标计算实践
8.3.1 实时指标计算引擎原型
8.3.2 数据拆分计算
8.3.3 分片计算
8.3.4 引入Flink
8.3.5 Lambda架构
8.4 反欺诈实时指标计算系统
8.5 本章小结

第9章 风险态势感知系统

9.1 基于统计分析的方法
9.1.1 核心风控指标数据
9.1.2 核心业务数据

9.2 基于无监督学习的方法
9.3 基于欺诈情报的方法
9.4 预警系统
9.5 本章小结

第10章 风险数据名单体系

10.1 名单体系的价值
10.2 名单体系的设计
10.3 名单体系的生命周期
10.4 名单体系质量管理
10.5 本章小结

第11章 欺诈情报体系

11.1 情报采集
11.1.1 数据情报
11.1.2 技术情报
11.1.3 事件情报

11.2 情报分析
11.3 本章小结

第三部分 实战教程

第12章 机器学习算法的使用

12.1 机器学习的广泛应用
12.2 机器学习的落地过程
12.2.1 特征工程
12.2.2 模型选择
12.2.3 模型训练
12.2.4 工程化和业务落地
12.3 机器学习实战案例
12.3.1 案例一:黑产设备群控网络挖掘
12.3.2 案例二:黑产用户行为聚类分析
12.3.3 案例三:金融在线申请反欺诈
12.4 本章小结

第13章 互联网反欺诈实战

13.1 典型反欺诈业务场景风险分析
13.1.1 垃圾注册风险识别
13.1.2 批量登录风险识别
13.1.3 “薅羊毛”风险识别
13.1.4 裂变拉新作弊风险识别
13.1.5 “任务”作弊风险识别
13.1.6 恶意退单风险识别

13.2 解决方案设计示例
13.2.1 电商薅羊毛
13.2.2 裂变拉新
13.3 策略部署
13.3.1 策略配置
13.3.2 策略迭代
13.4 运营监控
13.4.1 监控预警报表
13.4.2 态势感知
13.4.3 情报监控
13.5 本章小结

第四部分 新的战场

第14章 物联网时代的风控

14.1 物联网安全态势
14.2 物联网安全威胁分析
14.2.1 云端平台安全威胁
14.2.2 网络通信安全威胁
14.2.3 设备终端安全威胁
14.2.4 物联网安全监管要求
14.3 物联网安全风险控制体系建设思路
14.4 物联网安全风险态势感知系统
14.5 本章小结

云、管、端。

第15章 内容安全与合规

15.1 内容安全合规概述
15.2 文本内容安全
15.2.1 敏感词系统
15.2.2 基于NLP的AI模型
15.3 图像内容安全
15.3.1 图像分类
15.3.2 敏感人物识别
15.3.3 图像文字识别
15.4 语音内容安全
15.4.1 有语义语音
15.4.2 无语义语音
15.5 视频内容安全
15.5.1 视频内容安全处理流程
15.5.2 关键帧提取
15.6 内容安全工程
15.7 内容安全系统的评价指标
15.8 本章小结

文本、图像、语音、视频,工程化能力和注意事项。

第16章 风控与数据合规使用

16.1 网络安全立法进程
16.2 个人数据合规使用
16.2.1 用户隐私政策
16.2.2 数据安全流转
16.3 数据合规技术创新实践
16.3.1 数据匿名查询
16.3.2 区块链共享黑名单
16.4 本章小结

第17章 海外风控公司

17.1 Arkose Labs
17.2 Sift
17.3 Forter
17.4 Shape Security
17.5 Okta
17.6 本章小结

取法乎上得其中,学习对标国外同行的先进经验。


参考链接:

风控要略——互联网业务反欺诈之路
https://item.jd.com/12946188.html

欢迎来到风控时代
https://www.zhihu.com/roundtable/risk

互联网金融平台如何反欺诈?
https://www.zhihu.com/question/29177586

消费信贷风控中的反欺诈体系
https://zhuanlan.zhihu.com/p/96778969

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4964.html

《[read]风控要略——互联网业务反欺诈之路》上的2个想法

  1. 2020上半年出行行业黑灰产研究报告
    https://mp.weixin.qq.com/s/sQJRZZonTF7bjCs1jd_H9A
    `
    # 报告背景
    衣食住行渗透在每个国民的日常生活,随着我国经济水平的快速发展及国民生活水平的提升,对于出行有了更高的要求。在庞大需求的刺激下,出行服务的公司如雨后春笋般崛起,提供打车,租车,顺风车等各类便捷出行服务。

    为了快速占领市场,各出行企业平台陆续推出了用户优惠补贴,司机入住奖励等多种活动,依附于该行业的黑灰产业链分工明确,合作紧密已发展成一定规模。当大量用户涌入平台时,是敌是友一时难以分辨,暗流涌动之下多家企业平台已遭受攻击。

    报告将围绕出行打车行业的黑产产业链分布,攻击手法还原,典型作弊工具分析,黑产变化趋势等多个角度,阐述出行打车行业2020年黑产最新动态。希望本报告能给该行业的安全风控从业者带来一些防控体系建设新思路。

    # 报告重点
    * 报告中提到的攻击数据来自20+出行企业,截取头部企业做为案例分析。
    * 当前黑产的攻击目标仍为出行行业的一些头部企业,攻击占比高达54.45%。
    * 第三方打车平台,如高*地图/腾*地图正在逐渐成为黑产攻击的目标。
    * 攻击出行平台所需要的各类料子信息(包含身份认证,信用卡,支付绑定等)所有料子全部购买只需6元。

    # 目录
    1. 出行行业现状
    2. 出行行业风险分布
    3. 出行行业常见黑色产业链
    4. 出行行业常用黑产资源
    5. 出行行业典型黑产工具分析
    6. 出行行业攻击方式总结
    7. 出行行业攻击成本
    8. 出行行业黑产变化趋势
    9. 出行行业防控建议
    10. 附录:黑话&术语

    六、出行行业攻击方式
    1.利用低版本应用作案
    2.绑定海外信用卡绕过预支付
    3.利用业务漏洞绕过预支付

    八、出行行业黑产变化趋势
    1. 从公开接码到线下对接
    2. 自动化工具与真人作弊相结合
    3. 黑产目标渠道逐渐转向小程序端
    4. 业务逻辑漏洞仍为黑产的攻击点

    九、出行行业防控建议
    1.外部情报布控
    2.内部数据分析
    3.业务流程梳理

    线报平台:为羊毛党提供最新薅羊毛、赚钱活动的信息平台。
    接码平台:用于接收手机验证码的平台。
    发卡平台:提供虚拟软件、卡密、数据等资源的自动交易平台。
    打码平台:用于自动化识别验证码的平台。
    众包平台:用于链接上游发布任务及下游真人作弊的平台。
    新型众包平台:提供接口给开发者/羊毛党使用的真人作弊平台,涉及到第三方账号的授权。
    料子:公民个人相关信息,涉及姓名、身份证、银行卡、手机号等数据。
    毛c:国际信用卡,可用于账号绑定及交易。
    卡商:提供手机号资源的供应商。
    `

  2. node-machine-id
    https://www.npmjs.com/package/node-machine-id
    `
    Cross-platform unique machine (desktop) id discovery

    Module based on OS native UUID/GUID which used for internal needs.

    (在不需要提升/申请权限,不依赖硬件组件的基础上的一个【相对】靠谱的方法)All others approaches requires elevated rights or much depends on hardware components, but this approach summarize the methods of selecting the most reliable unique identifier

    # Windows
    Win32/64 uses key MachineGuid in registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography (can be changed by administrator but with unpredictable consequences)
    It is generated during OS installation and won’t change unless you make another OS updates or reinstall. Depending on the OS version it may contain the network adapter MAC address embedded (plus some other numbers, including random), or a pseudorandom number.

    # macOS (mac平台上的设备指纹相对来说是最好做的,直接用命令或是其他方式读取设备序列号即可)
    OSx uses IOPlatformUUID (the same Hardware UUID) ioreg -rd1 -c IOPlatformExpertDevice
    Value from I/O Kit registry in IOPlatformExpertDevice class

    # Linux
    Linux uses /var/lib/dbus/machine-id (can be changed by root but with unpredictable consequences) http://man7.org/linux/man-pages/man5/machine-id.5.html
    The /var/lib/dbus/machine-id file contains the unique machine ID of the local system that is set during installation. The machine ID is a single newline-terminated, hexadecimal, 32-character, lowercase machine ID string. When decoded from hexadecimal, this corresponds with a 16-byte/128-bit string.

    The machine ID is usually generated from a random source during system installation and stays constant for all subsequent boots. Optionally, for stateless systems, it is generated during runtime at early boot if it is found to be empty.

    The machine ID does not change based on user configuration or when hardware is replaced.
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注