您好,欢迎来到 空包网!请 登录 / 免费注册 新手必看
空包网

空包网黑产:专抓电商黑产的捕快

发布时间:2020-03-25 来源:空包网
  空包网黑产:再过两个月,又将迎来一年一度的双十一,在这场购物狂欢中,想买到超值物品,除了拼手速之外,还要有好的运气。你或许不知道的是,在你的电脑对面,有一顶“白帽子”在维护着网络秩序,把插队的“薅羊毛党”剔除队伍。维择科技中国区总经理吴中在2019世界人工智能大会 “信息安全的AI时代”论坛接受钱报记者采访时表示,维择科技利用无监督机器学习,提前应对快速演变的欺诈模式在AI时代,实现信息安全离不开生态链各个领域的协同配合。目前AI很热,但本质还要回归到技术跟业务的结合,方案要能落地。
  
  黄金十月:电商狂欢,黑产盛宴
  
  每年的双十一前1个月,都是薅羊毛党的盛宴,这也是他赚钱最丰厚的时间段,被小黑们称为“黄金十月”。小黑是一个卡商,他手中握有大量电话卡的人,为了保证卡随时在线,将其养在“猫池”中。这些号码可以批量注册电商平台账号,可以接收验证码,甚至可以识别“语音验证码”。
  
  在短短一个月时间内,小黑将会在自己10平米的小作坊中,持续申请数万个账号,一个电话号码可以反复利用,同时注册多个电商平台账号。注册账号的目的,就是为了去电商平台抢优惠券和特价货物。
  
  空包网黑产:卡商给电商平台发起的双11购物节带来的黑产狂欢节,提供了最初的“弹药”,而另一边,还有人专门提供“武器”。有了账号和密码,如果手动登录去抢优惠券或抢低价促销产品,可能抢到吗?“根本不可能,你看哪个平台优惠活动,不是秒没?”黑客小C称,要想抢到,就需要专门的软件。一些技术不错的黑客,研发“抢货软件”,往外销售。
  
  去年12月,星巴克发起免费注册换咖啡的活动,结果遭遇黑产疯狂“薅羊毛”,营销活动不到一天,紧急下线。一个月后,拼多多也报警称,推出的百元优惠券遭黑灰产批量盗取,“实际资损大概率低于千万元”。
  
  原本为用户准备的优惠折扣,却被“羊毛党”盯上,利用平台的优惠漏洞低价买进高价卖出,大量获利。其实,这是企业遭遇在线欺诈的缩影。
  
  根据相关资料显示,2019年一个单月,黑灰产虚假注册主流电商平台账号达到1545980个,其中虚假GG账号约占40%;黑灰产针对主流电商平台接口的攻击量达到134743987次,其中爬虫攻击占42.62%,攻击登陆接口(批量登录和撞库)占13.30%;针对主流电商平台黑灰产工具样本新增768种,其中辅助类工具占54%,信息采集工具占22%,抢购工具占16.7%,账号注册类工具占7.3%。
  
  无论是对于一家互联网企业还是网络安全厂商而言,在与网络黑产的对抗中最大的挑战莫过于“威胁是在不断变化的”。
  
  空包网黑产:当安全研究者在不断创新技术抵御攻击时,网络攻击者也在变幻手段试图绕过防线。之前有黑产人员已用上AI技术可在毫秒级内破解验证码,从而绕过互联网公司设置的账户登录安全策略。
  
  吴中告诉钱报记者,以前黑产使用虚拟机注册号码,后来发展出猫池批量注册。所谓猫池(Modem POOL)是指将相当数量的Modem使用特殊的拨号请求接入设备连接在一起,可同时接受多个用户拨号连接的设备。
  
  为了逃避平台监管,一些黑产人员还会借助“群控”设备,将恶意注册的虚拟账号模拟正常用户行为,比如定期更新朋友圈、发布消息、加好友等,俗称“养号”。
  
  那么在面对这样一个不断变化的对手时,最好的对抗手段显然不是毫不作为地等待对手的下次攻击。但对于大多数电商平台来说,只是在被动遭受一次又一次的攻击之后,填补修复漏洞、更新病毒库,以此来完善自身的防御体系,继而应对下一次攻击。这种“亡羊补牢”式的对抗方式已经远远无法适应当前日益严峻的威胁形势。
  
  空包网黑产:维择科技:使用几天脱敏数据,就可揪出“坏人”
  
  “我们使用无监督机器学习引擎,在数据中,好分散,坏人扎堆,无需提前预定标签,机器就会将异常的模式和用户,筛选出来,应对位置的风险。”曾在微软中国研究院工作的吴中说, AI技术助力于提升平台的风控体系。
  
  为了对抗黑产,整个行业在过往大多数采取了常规性的风控手法,从最早的黑名单和规则库。复杂的策略和规则起到了一定的作用,但仍然难以解决黑产领域不断推陈出新的新的注册手法和手段。在注册过程中乔装打扮成正常注册用户的黑产账户越来越多,对于大量群组欺诈无法做到准确检测,对于潜伏“坏”用户无法提前预警。虽然也采用社交网络分析和有监督学习来挖掘风险,但有监督学习由于只能识别已知欺诈,滞后性比较强。而坏人的手法又变化多端,层出不穷,所以只能检测到有限的欺诈用户。
  
  吴中表示:“无监督机器学习的优势在于,一是不依赖于过往的标签,去发掘未知的欺诈;二是能够在欺诈行为发现的初期,比如注册时,就捕捉它的异常行为;三是,相对于有监督学习来讲,能够通过群组的异常行为共性,来总结规则,有更好的可解释性。”
  
  无论是日常购物还是6.18以及双11这种大促的关键时刻,DataVisor维择科技独有的无监督机器学习引擎赋能下的反欺诈AI平台均可以发现大批账户注册时所出现的各类“不同寻常的行为”,而这些行为往往都来自各种恶意账户,正是“坏”注册用户不法占用用户优惠券和秒杀促销的黑手! 注册是所有欺诈场景的入口,在此阶段查封批量注册、恶意注册,在源头阻挡后续攻击,在最早期辨识出“坏”用户,做到未雨绸缪,防患于未然。
  
  去年,某电商平台将其注册用户数据在脱敏后,导入到DataVisor维择科技的反欺诈平台。原始数据只有十几个维度特征,经过反欺诈平台的自动衍生之后,可以获得上百个新的特征。之后这些全方位描述账号的特征进入到DataVisor无监督检测引擎,引擎通过对特征自动分析,在高维空间对所有新注册账号进行聚类,并自动检测高度关联的可疑聚类,最终输出可疑欺诈群组。与传统欺诈检测方法往往只有一个分数不同,DataVisor无监督检测引擎最终输出的是欺诈团伙,除了有分数之外,还会输出所有相关联的账号以及他们之间的可疑关联特征,也就是被检测为欺诈团伙的理由。这种可解释性,为客户审核提供了有力的依据。
  
  DataVisor维择科技的AI工程师发现,虽然账户注册每天都有千千万万,但有一个普遍的现象就是,坏注册用户都是“扎堆”做坏事,不管如何伪装自己,但每个群组之间都会有若干关联,被“无监督机器学习技术”这双火眼金睛一下子就分辨出来。
  
  比如,有一类是“非机器行为的大规模注册群组"。工程师们发现,在一个固定的时间段里,比如注册时间为10月7日、10月8日18:00与19:00两个时间段;在同一个地点,IP地址都在广东如河源、揭阳,这两个地方在专家规则里被标注为黑产高发地,手机号码前缀都一样,且为虚拟运营商(170),且设备信息有大部分都有重复使用的情况,那么这一批注册账户就被DataVisor维择科技反欺诈平台判定为“不怀好意”的坏用户。
  
  再比如,还有一类是“用户名相似群组”。DataVisor在检测出的数据中,发现这样一个群组,人数总计293人。其中有以下活动特征:所有人的注册时间都集中在12月4日0:00-1:00这一个小时,注册来源都是快速注册,注册类型一致,都是手机注册,其用户名格式相似且异常,都是3-5位随机字母+4位数字,还有一点,其IP地址均一致,定位于江苏南京。对于这种用户,因为有类似格式用户名,由于他们的用户名采取了变换,GG的风控体系,有监督机器学习下,大多数是没有办法检测到。但经过DataVisor无监督机器学习检测之后,最终被判定为坏用户。
  
  DataVisor维择科技的无监督机器学习技术,相对于有监督机器学习技术,最厉害的一招必杀技就是可以有效识别潜伏用户。
  
  吴中表示,AI技术是可以应用于金融风控的各个环节的,AI技术发展至今,并不是某个技术要取代另一个,较早的“黑名单、白名单”、“专家规则”,以及“有监督学习算法”都依然有他们的适用场景和存在价值。实际上这些模式在风控的各个阶段或各个方面是互补的作用,做好风控需要结合AI的各个技术打好组合拳,有效快速覆盖已知欺诈,并检测未知团伙欺诈。
  
  技术落地才是硬道理
  
上一篇文章              下一篇文章