雷鋒網(wǎng)第一次接觸 DataVisor 是在一次三家企業(yè)聯(lián)合對(duì)抗黑產(chǎn)的合作發(fā)布會(huì)上。

當(dāng)時(shí)，移動(dòng)互聯(lián)網(wǎng)公司 APUS 、主打“可信ID”的安全服務(wù)商數(shù)字聯(lián)盟以及 DataVisor 成立了一個(gè)“三家公司的聯(lián)盟”，希冀以分享黑產(chǎn)數(shù)據(jù)的方式來(lái)打擊共同的敵人，詳情可見(jiàn)雷鋒網(wǎng)此前發(fā)布的的報(bào)道《搞垮黑產(chǎn)？三家企業(yè)想聯(lián)手試試》。DataVisor 是一家反欺詐檢測(cè)服務(wù)提供商，他們?yōu)槁?lián)盟提供的是無(wú)監(jiān)督反欺詐算法。

最近，他們又打包發(fā)布了一款號(hào)稱是自己無(wú)監(jiān)督反欺詐算法“mini”版的新產(chǎn)品 UML Essentials。這家 2013 年在美國(guó)硅谷成立、創(chuàng)始人中有兩位專家來(lái)自微軟硅谷研究院的公司及其算法有什么獨(dú)特之處？他們對(duì)新產(chǎn)品有何部署？

雷鋒網(wǎng)和 DataVisor 中國(guó)區(qū)總經(jīng)理吳中聊了聊。

到底是哪些壞人在壞我的好事

作為雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道的讀者，想必你對(duì)黑產(chǎn)早已不陌生。

某銀行推出了一款金融 App，推廣期爭(zhēng)取了一筆巨額費(fèi)用，以為撒錢能吸引客戶下載、注冊(cè)。萬(wàn)萬(wàn)沒(méi)想到，90% 的費(fèi)用全被羊毛黨薅走了。這種案例很常見(jiàn)，就算是知名的電商公司，也經(jīng)常遇到“魔高一丈”，大額優(yōu)惠券通通被欺詐團(tuán)隊(duì)刷走轉(zhuǎn)賣的情況。

有意思的是，現(xiàn)在“抱團(tuán)圍攻”的現(xiàn)象比較明顯。黑產(chǎn)欺詐人員會(huì)先通過(guò)虛假注冊(cè)、身份盜用等形式獲取大批賬號(hào)的使用權(quán)，然后利用群控軟件或者網(wǎng)絡(luò)眾包的形式進(jìn)行團(tuán)伙欺詐，他們常用貓池、手機(jī)墻、模擬器、刷機(jī)等手段和工具躲避傳統(tǒng)黑名單和基于設(shè)備規(guī)則的檢測(cè)。

他們還是分工合理、流水作業(yè)的“高度團(tuán)結(jié)”狀態(tài)——專門注冊(cè)、養(yǎng)號(hào)、囤號(hào)，潛伏并積攢正常的用戶行為，待時(shí)機(jī)成熟再發(fā)起攻擊。大規(guī)模注冊(cè)、賬號(hào)盜取、垃圾內(nèi)容、虛假評(píng)論、薅羊毛、應(yīng)用安裝欺詐等玩得不要更666。

于是，被盯上的銀行、廠商就想搞清楚一個(gè)問(wèn)題：到底是哪些壞人在壞我的好事？

為了回答這個(gè)問(wèn)題，不少?gòu)S商提出了自己的反欺詐方案。

第一代規(guī)則系統(tǒng)，需要對(duì)欺詐行為有深入了解。

第二代設(shè)備指紋黑名單，可能被虛擬機(jī)等逃避檢測(cè)。

第三代有標(biāo)簽的機(jī)器學(xué)習(xí)系統(tǒng)，需要大量人工標(biāo)注數(shù)據(jù)訓(xùn)練檢測(cè)模型。

“傳統(tǒng)的欺詐檢測(cè)方法，如規(guī)則引擎、設(shè)備指紋、有監(jiān)督機(jī)器學(xué)習(xí)、半監(jiān)督機(jī)器學(xué)習(xí)，都有一個(gè)共同的局限性，需要在攻擊發(fā)生后，根據(jù)已知攻擊模式和樣本，檢測(cè)未來(lái)的攻擊。”吳中提出，這就是他們提出無(wú)監(jiān)督學(xué)習(xí)系統(tǒng)的初衷之一——在沒(méi)有標(biāo)簽的情況下，提前阻止未知欺詐。

黑產(chǎn)的“套路”VS 算法的“套路”

DataVisor 用這種算法進(jìn)行反欺詐的依據(jù)是，任何欺詐團(tuán)伙在開(kāi)展欺詐時(shí)都有“套路”。

這個(gè)套路可能會(huì)不停地變化，但是它想一直搞下去的話，總會(huì)有一些套路去控制一堆這樣的套路，去做類似的事情。所以通過(guò)這一點(diǎn)，DataVisor 嘗試在沒(méi)有標(biāo)簽的情況下，很快地抓到新型攻擊。

DataVisor 稱，它的無(wú)監(jiān)督學(xué)習(xí)算法有三個(gè)優(yōu)勢(shì)：

自動(dòng)產(chǎn)生規(guī)則，免除費(fèi)時(shí)的人工規(guī)則調(diào)試。

自動(dòng)產(chǎn)生標(biāo)簽，用于機(jī)器訓(xùn)練檢測(cè)模型。

有效自動(dòng)挖掘和檢測(cè)各種已知、未知的欺詐行為。

我們來(lái)看看，它是如何做到的。

如果我們盯著一個(gè)點(diǎn)看，會(huì)發(fā)現(xiàn)這個(gè)點(diǎn)就是那么平平無(wú)奇，沒(méi)有特點(diǎn)，如果視野拉遠(yuǎn)一些，這個(gè)點(diǎn)和周圍的點(diǎn)連接起來(lái)，可能能形成一些規(guī)律，你會(huì)發(fā)現(xiàn)，這些點(diǎn)可能組成了一張世界地圖，或者一張有規(guī)則的圖像。

當(dāng)然，現(xiàn)實(shí)的黑產(chǎn)行為中，可能沒(méi)有這么有“藝術(shù)感”和“規(guī)則感”的結(jié)果。

更多的結(jié)果是，我們可能看到的是這樣的行為模式：

吳中和他的同事們會(huì)把所有的用戶放在一個(gè)圖上全局地分析，研究其中的關(guān)聯(lián)性，所有的點(diǎn)可能被連接起來(lái)，這就是一個(gè)聚類的過(guò)程。

接下來(lái)，他們需要分析的是，那些點(diǎn)和聚類是代表好的行為，哪些則是有異常的，自動(dòng)形成標(biāo)簽。

“一個(gè)犯罪團(tuán)伙控制一堆帳號(hào)去做的話，它的行為與正常用戶的行為不一樣，沒(méi)有一個(gè)個(gè)獨(dú)立的例子，都是按照某一個(gè)套路做，這種套路可能通過(guò)機(jī)器腳本、動(dòng)包、群控等攻略的方式實(shí)現(xiàn)，我們?cè)倏疵總€(gè)帳號(hào)的行為，就會(huì)發(fā)現(xiàn)它們會(huì)有很高的不正常的相似與具體性，通過(guò)這種判斷和數(shù)據(jù)統(tǒng)計(jì)，就可以把好壞斟酌出來(lái)。”吳中說(shuō)。

這種判斷不需要人工干預(yù)，機(jī)器判斷派上了用場(chǎng)。它的原則是，機(jī)器會(huì)一直跟進(jìn)這種行為和數(shù)據(jù)的變化，判斷其是不是一直是正常的。

這些點(diǎn)又是怎么來(lái)的？

DataVisor 會(huì)提取動(dòng)態(tài)用戶脫敏后的數(shù)據(jù)特征。一是用戶的行為特征，比如用戶做一些事件的順序、頻率、時(shí)間點(diǎn)。二是設(shè)備相關(guān)，比如用戶在做一些事情時(shí)，與其相關(guān)的 IP地址，設(shè)備模型的相對(duì)分布。三是用戶的靜態(tài)畫面背景，比如昵稱等公開(kāi)的信息。

這些自動(dòng)生成的標(biāo)簽準(zhǔn)確度和精細(xì)度又能達(dá)到哪種程度？

這和不同客戶的需求及隨后的措施相關(guān)。比如，一些社交網(wǎng)站的注冊(cè)要求根據(jù)這個(gè)結(jié)果進(jìn)行帳號(hào)的封停，那么準(zhǔn)確率就要求達(dá)到 99%以上。如果只是依據(jù)一個(gè)或者幾個(gè)標(biāo)簽來(lái)進(jìn)行風(fēng)險(xiǎn)提示，那么準(zhǔn)確率可能只要達(dá)到95%，以求達(dá)到更大的用戶覆蓋率。

吳中透露，這些數(shù)據(jù)多數(shù)來(lái)源于客戶自己平臺(tái)的數(shù)據(jù)，但這是一個(gè)可選的選項(xiàng)，如果還需要提升判斷模型的效果，可以借助其他的數(shù)據(jù)。“這些人想要進(jìn)行大規(guī)模攻擊，就會(huì)有一些隱形的套路，我們的算法會(huì)自動(dòng)發(fā)現(xiàn)這樣的情況，不需要事先知道到底是哪一種套路?！彼f(shuō)。

但是，道高一尺，魔高一丈。如果吳中等人可以根據(jù)記錄數(shù)據(jù)的變化，實(shí)現(xiàn)“跟隨式”發(fā)現(xiàn)，黑產(chǎn)難道不能實(shí)時(shí)抹掉自己的蹤跡？

事實(shí)上，現(xiàn)在也有很多刷機(jī)裝備可以做到一秒“清零”，但有些設(shè)備只能抹掉中間一部分痕跡，黑產(chǎn)很難從每一個(gè)維度、渠道進(jìn)行有利于自己的操作，如果真的能做到，這樣會(huì)極大增加對(duì)方的成本，高到它做這個(gè)生意已經(jīng)沒(méi)有什么錢賺。

因此，這又回到了對(duì)抗的本質(zhì)——沒(méi)有什么最終的勝利，安全對(duì)抗永遠(yuǎn)只能最大限度地提高對(duì)方的成本，讓對(duì)方要么放棄，要么尋找其他降低成本的方式。

不過(guò)，這種“早期預(yù)警”到底能提前多久？

吳中解釋：“利用傳統(tǒng)方式感知這個(gè)東西，一般得在這個(gè)平臺(tái)上發(fā)展到一定程度，再收集一些樣本訓(xùn)練，上線要測(cè)試，一般要一兩個(gè)月才能上線，如果可以自動(dòng)發(fā)現(xiàn)這個(gè)問(wèn)題，在社交和電商互聯(lián)網(wǎng)場(chǎng)景中，可能只要幾十個(gè)帳號(hào)數(shù)就可以發(fā)現(xiàn)規(guī)律，金融場(chǎng)景下，這種數(shù)量更少，一般只需要 10 個(gè)以下，因?yàn)樵谶@個(gè)場(chǎng)景里，每做成一單收益會(huì)比較大。以一個(gè)客戶交易平臺(tái)的服務(wù)為例，我們可以把發(fā)現(xiàn)欺詐的時(shí)間提前 48 小時(shí)?！?/p>

“mini”版算法看中的是哪塊市場(chǎng)

本月 27 日， DataVisor 發(fā)布了 DataVisor UML Essentials。

吳中告訴雷鋒網(wǎng)，他們此次推出mini版產(chǎn)品的目的，實(shí)際是為了把自己在安全領(lǐng)域里面幾個(gè)承諾的場(chǎng)景，比如大規(guī)模注冊(cè)、用戶獲取，以及反洗錢領(lǐng)域的積累轉(zhuǎn)化成一個(gè)SaaS 服務(wù)，降低企業(yè)在使用反欺詐服務(wù)的門檻。

第一個(gè)特點(diǎn)是，DataVisor 會(huì)在產(chǎn)品的初期聚焦于大規(guī)模注冊(cè)場(chǎng)景，注冊(cè)幾乎是所有互聯(lián)網(wǎng)服務(wù)的一個(gè)入口，他們會(huì)把這個(gè)場(chǎng)景做深、做細(xì)。在產(chǎn)品發(fā)展中后期再引入更多的場(chǎng)景，讓中小企業(yè)根據(jù)自己業(yè)務(wù)的發(fā)展選取更多的服務(wù)。

我們來(lái)劃下重點(diǎn)，針對(duì)的是中小企業(yè)。

第二個(gè)特點(diǎn)，讓用戶自主服務(wù)，因?yàn)檫@是一個(gè) SaaS 服務(wù)，昝瀟希望，在使用欺詐服務(wù)的流程中，用戶自己參與、把控，減少用戶切入的時(shí)間。雷鋒網(wǎng)認(rèn)為，從廠商角度看，這也意味著降低提供商的服務(wù)成本。

第三個(gè)特點(diǎn)， UML Essentials 是開(kāi)放性的，模型會(huì)自動(dòng)調(diào)優(yōu)，降低人工服務(wù)耗費(fèi)的時(shí)間。

第四個(gè)特點(diǎn)，支撐DataVisor UML Essentials的數(shù)據(jù)處理平臺(tái)構(gòu)建于主流云計(jì)算基礎(chǔ)設(shè)施之上，支持AWS、阿里云等平臺(tái)的架構(gòu)。

“中國(guó)很多中小企業(yè)正在發(fā)展，它們本身的技術(shù)能力還沒(méi)有那么成熟，也想用這些比較好的 AI 或者是技術(shù)，但是價(jià)格上又不能太高，如果要接入相關(guān)產(chǎn)品，自己的團(tuán)隊(duì)又沒(méi)有能力同時(shí)做很多事情，也很難接受很長(zhǎng)周期根據(jù)每個(gè)業(yè)務(wù)細(xì)粒度地做長(zhǎng)期的接入和調(diào)優(yōu)，所以我們降低了應(yīng)用門檻。”吳中道出了這項(xiàng)產(chǎn)品的主打受眾以及最初的目的。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。