雷鋒網(wǎng)編者按：每年的“雙11”不僅是各大電商平臺最重要的節(jié)日，也是各路黑產(chǎn)從業(yè)者賺錢的“好時機”。羊毛黨、黃牛黨、盜號黨、欺詐黨等輪番上陣，手段五花八門，攻擊方式更是層出不窮。

就在大家熬著夜、盯在電腦前等著搶各類優(yōu)惠券和“秒殺”商品時，黑產(chǎn)從業(yè)者也深諳“有需求就有市場”的道理，組織擼貨大軍在“雙11”這一天瘋狂匯聚，搶券秒貨。據(jù)“一本財經(jīng)”報道，一張減30的券，能賣到8塊，有人在“雙11”活動中可以賺到20萬，真是薅上一天，夠吃一年！

在這條“薅羊毛”的產(chǎn)業(yè)鏈中，有提供各家電商賬號的卡商，有開發(fā)“搶貨軟件”的黑客，還有各大 QQ群中指揮千萬“羊毛黨”的“羊頭”……在各路人馬的分工協(xié)作下，商家的“返利”“促銷”，被黑產(chǎn)分食殆盡。

那么，這些黑產(chǎn)的現(xiàn)狀和新的發(fā)展趨勢有哪些？如何通過技術(shù)手段對其進行防范？

11 月 9 日，雷鋒網(wǎng)宅客頻道（微信ID : letshome）邀請了頂象技術(shù)風(fēng)控產(chǎn)品技術(shù)負責(zé)人張曉科，他通過列舉那些被“薅羊毛”的實例，來為大家講解在營銷推廣時該如何防范羊毛黨。

嘉賓介紹

張曉科是頂象技術(shù)的風(fēng)控產(chǎn)品技術(shù)負責(zé)人，資深的業(yè)務(wù)安全專家。此前服務(wù)于阿里巴巴，長期專注業(yè)務(wù)安全防控、高并發(fā)、高性能的架構(gòu)設(shè)計和研究，在阿里安全從事過交易欺詐、惡意行為、活動反作弊和旺旺安全，還有案件庫等安全防控業(yè)務(wù)，擁有比較豐富的業(yè)務(wù)安全實踐經(jīng)驗和互聯(lián)網(wǎng)高性能架構(gòu)經(jīng)驗。2017 年 4 月底加入頂象，主要負責(zé)業(yè)務(wù)安全產(chǎn)品的技術(shù)研究。

以下是公開課總結(jié)文實錄+視頻，在不妨礙原意的表達上，雷鋒網(wǎng)略有刪節(jié)，視頻附在文末：

若想獲得此次公開課完整 PPT，請關(guān)注微信公眾號宅客頻道（微信ID：letshome），回復(fù)“防羊毛黨 ”。

今天主要分享的內(nèi)容是以下四點：

第一點，薅羊毛的一些案例、危害。

第二點，薅羊毛的形勢、趨勢和一些產(chǎn)業(yè)鏈。

第三點，營銷廣時該如何防范羊毛黨。

第四點，針對羊毛黨，怎么做到多方面的防控。

薅羊毛的案例、危害

案例一，返還雙倍的天貓積分的生日禮包（針對電商）。

在 2015 年的“雙11”，黑客利用 6 家店鋪，冒充 10 萬多個天貓商城會員，通過虛假刷單了 14 億，獲取了 7億多積分，總共騙取天貓 671 億萬元。

黑客主要是利用了天貓積分規(guī)則的一些漏洞，規(guī)則是會員在生日當(dāng)天購買商品，天貓會送消費者雙倍的購物積分，除了購物積分外還享有同等數(shù)額的生日積分，如果發(fā)生退款、退貨，消費者只需要返還購物的這部分積分，天貓贈送的生日積分仍然保留在消費者的賬號里。

舉個例子，假如我花 5000 塊錢買了一個電子產(chǎn)品，除了贈送我 5000 外，天貓商城還會額外贈送我 5000 的生日積分，然后我退貨，商家也確認退款，我只需要把 5000 的購物積分返還給天貓，生日積分依然留在我的賬號里。

黑客首先購買一些自動化工具和大量的賬號，通過工具激活這些賬號，并把大量賬號的生日都更改成符合活動的日期，然后他在自己的店鋪里放置多個虛擬商品，有低額、高額的，通過自動化工具拍下一些高額的商品，從而獲取購物積分和額外的生日積分，再自動退款，把購物積分返還給天貓，這樣他就額外獲取了生日積分。最后用生日積分來購買自家的虛擬商品進行套現(xiàn)。

案例二，ofo推出小黃車搶現(xiàn)金紅包活動（針對共享行業(yè)）

今年 4 月份，ofo 劃定了一個紅包車區(qū)域，在這個區(qū)域里隨便打開一輛小黃車，騎行 10 分鐘以上并超過 500米，就能獲得一個隨機紅包，金額最低一兩塊，最高五千塊。

黑客通過手機模擬器，并安裝一些虛擬的定位軟件，把自己的 GPS 位置定位到紅包區(qū)域里，然后打開ofo軟件，輸入ofo單車的一些編號，等待 10 分鐘，再把自己的 GPS 位置定位在 500 米之外，這樣結(jié)束用車就可以得到騎行的紅包。

羊毛黨或?qū)I(yè)殺手利用這些模擬器可以同時登錄幾個、幾十個，或者更多的賬號來刷紅包，這樣就做到足不出戶，日薅千元。

案例三，壹文財富被曝逾期。

在去年 5 月 27 號的時候，壹文財富發(fā)布公告稱，平臺遭遇了不法人員冒用其他人員的信息進行注冊投資，法務(wù)部門已經(jīng)凍結(jié)了投資金額在 540-800 元一些賬戶的賬號，要求手持身份證和提現(xiàn)銀行卡的賬戶進行實名認證。

它這個公告一推出，好多羊毛黨出現(xiàn)反彈，在一些論壇上發(fā)一些帖子，一些投資者看到也會產(chǎn)生一些恐慌情緒，隨后壹文財富就遭遇了擠對，導(dǎo)致它后期到期的投資資金回款遭遇延期兌付，形成連鎖反應(yīng)。

其實，它的背后根本原因是，它在拉新的時候產(chǎn)生了大量的羊毛黨賬號，而且這些資金投資期限很短，基本上對它活動資金上帶來了壓力，特別是在新興的一些中小網(wǎng)貸，都會采取這種做法，在快速獲客和吸納資金方面推廣一些活動，通過和廣告商和其它的第三方平臺，甚至還直接和羊毛黨的團長（羊頭） 進行一些合作，談一些推廣的提成。

這些團長（羊頭）通過 QQ 群或者其它在線群發(fā)布一些任務(wù)，里面的羊毛黨就會進行投資、注冊，羊毛黨完成注冊后拿著截圖來給團長看，會直接返現(xiàn)他一部分推廣的資金，同時這個羊毛黨投資的錢也可以拿到一些利息，包括后期一些投資的紅包。這就完成了整個的接單、注冊投資、交單返現(xiàn)，這就是薅羊毛的過程。

羊毛黨的危害

通過上面這三個案例，我們可以很直觀地感覺到羊毛黨的危害。

1、運營成本高，推廣費用在短時間都被羊毛黨薅干，導(dǎo)致資損。

2、本來推廣的費用是給正常用戶的一些福利，結(jié)果被羊毛黨薅走，影響正常用戶的體驗和一些網(wǎng)站活動的口碑。

3、對服務(wù)器帶來一定的壓力，嚴重的話會導(dǎo)致服務(wù)器宕機，影響活動的正常進行。

前段時間就有一家 P2P 的公司，活動剛開始就導(dǎo)致了羊毛黨集中過來薅羊毛，結(jié)果導(dǎo)致它的服務(wù)器直接宕機，活動3個小時內(nèi)甚至一段時間內(nèi)，基本上都是直接關(guān)閉、停止活動了。

4、對網(wǎng)站平臺，羊毛黨的資金，復(fù)投率比較低，他通過短期的投資拿到一些紅包、投資券返現(xiàn)之后，基本上就直接兌付、走人，換其它平臺繼續(xù)。所以，到期有幾種兌付的風(fēng)險。像有一些網(wǎng)站平臺都會受到這些資金的影響，導(dǎo)致自己跑路。

羊毛黨的形式

最初是線下會出現(xiàn)一些優(yōu)惠活動，限時優(yōu)惠、滿減折扣，還有一些成團的團購，最初羊毛黨在這個范圍的時候還比較小。

后面，就演變成線上線下同時進行，只不過最初線下可能會多一些。隨著電商的發(fā)展，在線上也會有各種活動，比如拉新、注冊新用戶紅包，或者是邀請好友返現(xiàn)，每個好友邀請一個得多少的現(xiàn)金紅包，還有優(yōu)惠券、滿減券、點券，這是電商時代。

到14年左右開始，隨著 P2P 的出現(xiàn)，又出現(xiàn)了新形式的薅羊毛，也是通過拉新和募集資金邀請新用戶，有投資體驗金、邀請用戶的一些返現(xiàn)。互金這一塊兒主要是拉新、引流、募集資金。

羊毛黨的趨勢

1、初期是小作坊。

一個人有多個賬號，邀請親朋好友可以拿到一些返現(xiàn)紅包、邀請紅包。這個在電商時代比較典型，也是商家愿意看到的一些正常引流方式。

2、包工頭。

一個稍具有規(guī)模的羊毛黨的團體，接到單，對某個店鋪進行交易量的刷單，還有一些廣告任務(wù)。這個規(guī)模主要是以學(xué)生、家庭主婦為主，擼個小錢，最典型的可能就是一些注冊賬號，綁定一些身份證賬號或者是銀行卡號，還有是做一些人臉認證，還包括一些下單的刷單交易、點擊廣告。

其實，在這一塊兒有比較多的欺詐產(chǎn)生。之前經(jīng)常會看到新聞，學(xué)生被騙，或者是某某被騙，主要也是在這里，他刷單自己投入資金，前期他投資會給他一定的返現(xiàn)，隨著后面投的錢多，就會被騙，會遇到直接拿著錢跑路的情況。

3、專業(yè)刷手。

這個團體已經(jīng)是比較專業(yè)的了，基本上已經(jīng)形成了上下游完整的產(chǎn)業(yè)鏈。

像專業(yè)刷手，是一個團隊，可以直接對活動進行狂擼、狂薅，月入萬元是很輕松的，甚至是更多。這個比較典型的場景就像 O2O、電商，還有在共享、互聯(lián)網(wǎng)、互金等。在互聯(lián)網(wǎng)業(yè)務(wù)全面開花，規(guī)模也成型了。

14年之后，開始出現(xiàn)針對互金的羊毛黨。

主要就是有一些內(nèi)部平臺，因為內(nèi)部人員也想拉新、募集資金，可能就和羊毛團的團長直接談判，談判一些拉新的返現(xiàn)，還有一些能力不強的團長（羊頭），可能還有一些上級的代理，這個代理可能是一些廣告公司或者第三方平臺。

隨著政策的收緊，包括網(wǎng)站平臺的跑路，羊毛黨也有風(fēng)險的，所以這一塊兒相對比 14、15年，15 年是羊毛黨發(fā)展最好的，現(xiàn)在羊毛黨也有一些風(fēng)險。

“薅羊毛”的產(chǎn)業(yè)鏈

剛才我們講到，專業(yè)刷子有已成型的產(chǎn)業(yè)鏈。

產(chǎn)業(yè)鏈，主要是各種活動信息的共享，還有薅羊毛經(jīng)驗的交流。網(wǎng)上有好多社區(qū)、論壇、QQ 群，群里會有羊頭，他從平臺內(nèi)部或者上級代理拿一些任務(wù)，進行任務(wù)分發(fā)。

職業(yè)刷手也會在論壇或群里發(fā)一些作案的手法還有教程出售，由黑客來尋找漏洞，制作一些軟件和工具。比如批量注冊的軟件、刷單的軟件、IP 的代理、各種模擬器、群控軟件等。

有了這些工具之后，職業(yè)的刷手還需要一些賬號，賬號有卡商和專門出售賬號的團伙，卡商基本上會從運營商內(nèi)部或者代理處拿一些卡，有專業(yè)的設(shè)備來養(yǎng)卡。

賬號基本上從地下施工庫，還有一些黑客進行一些脫庫、撞庫包括一些木馬來采集的一些用戶的隱私信息。

還有一些釣魚網(wǎng)站，當(dāng)然還有一部分就是內(nèi)鬼泄漏一些我們的用戶隱私信息。比如，大家之前經(jīng)常接到一些廣告電話，包括從房產(chǎn)中介、甚至是物業(yè)都會泄露一些用戶信息。還有一些批量的注冊軟件注冊一些賬號。

這些賬號也分等級，不同等級的賬號賣的價格不一樣，有些最初的賬號可能信息有限，還有一批賬號可能綁定了一些身份證、銀行卡，這個賬號可能質(zhì)量稍微高一些，賣的價錢貴一些。也專門有團伙來進行賬號的清洗，還有對賬號進行養(yǎng)白，養(yǎng)白就是這些白賬號可以正常地參加活動或其它的交易。

接碼平臺，主要就是有工具、賬號之后，注冊的時候我們一般都會收到短信驗證或者是用圖文驗證、或者是語音說幾句話，這個有專業(yè)的接碼平臺，我們發(fā)的這些信息直接就通過卡上的號碼，直接被電腦提取到一個軟件上，這個軟件后面就有一些人工進行讀碼，讀取到我這個短信是多少，然后再返回給前端的軟件。

最后面的就是一些套現(xiàn)和協(xié)助銷贓，比如說我們在某一次活動搞的一些充值卡、優(yōu)惠卡，這個銷贓的時候會折扣收買給代理商、店鋪，比如說充值卡，充值卡搶到的是多少面額的，可能折扣賣給商家，商家再以一定的折扣再賣給用戶，中間就會賺取一些差價。

還有一些實物的二手市場的一些轉(zhuǎn)賣，這個是信息共享的一些論壇和 QQ 群，基本上各種活動信息，包括一些網(wǎng)盤上的工具，還有一些 QQ 群，基本上都是信息的共享和任務(wù)的分發(fā)。

這個是接碼平臺，接碼平臺上面也有好些像針對不同網(wǎng)站的項目，可能每接受一次驗證碼的價格也不一樣，基本上都在幾毛錢左右。

群控軟件，大家可以看一下上面左側(cè)的這張圖，這個是主控設(shè)備，右側(cè)和下側(cè)基本上就是一些被控的設(shè)備，基本上通過主空設(shè)備做操作，就能同步到所有的設(shè)備上，通過這個就可以登錄多個賬號進行一些操作。

產(chǎn)業(yè)鏈攻防的對抗情況

最開始的就是弱防護，弱防護基本像專業(yè)殺手或者是黑灰產(chǎn)就通過模擬器，基本上就可以達到集中式的一些方位，或者做一些薅羊毛的事情。

隨著弱防護加上了，我們基本上能知道的一些基礎(chǔ)手段，比如說設(shè)備識別，識別 IMEI 號或者是其它一些信息甄別這個設(shè)備。這個也有針對性地出現(xiàn)了一些設(shè)備牧場，設(shè)備牧場的這種攻擊，基本上在一部分上就繞過了你對真機的檢測，因為他這塊兒放的就是真機。

驗證（電話驗證），電話驗證我們就會上下形成一些短信，包括一些語音驗證，這是攻的手段，防的手段也有專業(yè)的設(shè)備，比如說貓池，卡商就會把一些卡放到貓池的設(shè)備上，可以簡單理解成虛擬的手機，手機設(shè)備可以插多張卡，他這個設(shè)備連接到電腦，就可以直接讀取上行的短信，并且他下行發(fā)短信。

后期的一些防范手段又出現(xiàn)了各種驗證碼，像圖文的、文字、問答式的，包括現(xiàn)在出現(xiàn)了一些滑動的行為式的，還有點擊式的。攻的手段也有打碼平臺，后臺是人工打碼，就是人工來識別驗證碼。所以，攻防對抗是不斷在持續(xù)演進。

除了產(chǎn)業(yè)鏈這些攻防對抗的手段，我們還需要做哪些？

1、端上做保護。

比如說針對一些批量刷接口的情況，可以做一些接口協(xié)議上的保護，還有業(yè)務(wù)邏輯上的一些防護，比如一些活動的一些邏輯防護（推理的一些算法，或函數(shù)之類的）。

2、完善產(chǎn)品邏輯。

比如剛才的薅樣毛案例一，天貓商城的生日積分，它就是業(yè)務(wù)規(guī)則上有漏洞，包括有些產(chǎn)品邏輯上也有漏洞，比如限制這個活動只能參加一次，或者一天只能參加幾次，這個是業(yè)務(wù)上的漏洞。還有開發(fā)代碼上有一些漏洞，實際上也是邏輯上的遺漏。

3、防撞庫和脫庫、用戶的信息保護。

主要是進行一些弱密檢測，還有泄露的一些賬號，包括黑灰產(chǎn)拿賬號進行撞庫清洗，這塊兒也要做一些防護。

我們前兩年經(jīng)常會看到某些大型網(wǎng)站，被黑客脫庫，所以這塊兒我們在數(shù)據(jù)安全上也要做一些保護，包括像密碼類一些敏感數(shù)據(jù)的加密，不能原文來進行存儲，這樣的話即使被撞庫了，他拿到真實密碼的成本也會高一些。

怎么來防范羊毛黨（針對雙十一、雙十二以及日常的一些活動）

我就結(jié)合一些實際的經(jīng)驗，主要從活動前、活動中、活動后，列了一些方案。

活動前。我們一定要對活動的方案進行全面檢查，并且找專業(yè)的安全人員來進行一些 review。

1、完善業(yè)務(wù)邏輯。比如領(lǐng)取現(xiàn)金紅包，可以限制一天領(lǐng)取的次數(shù)，包括整個活動期間的領(lǐng)取次數(shù)，還有金額的限制。

2、設(shè)置活動門檻。比如說，我們這次活動針對的新用戶的，限定是綁定手機或者是綁定身份證號的才能參與；規(guī)則上也要設(shè)置，比如同手機或者同設(shè)備只能參加一次；權(quán)益額度的設(shè)置，比如有 5 元、10 元、1 元的。最后，還有一個活動解釋權(quán)，一旦我們發(fā)現(xiàn)有一些可疑的賬號，我們可以對它做一些處理。

3、端上做些安全防控。剛才也講到了，大家經(jīng)常會忽視掉端上的，以為端上做一些加固就可以達到一定的安全水平，其實這只是心理上的一些安慰?，F(xiàn)在比較專業(yè)的黑灰產(chǎn)對于一般的加固很難做防護了，現(xiàn)在基本上看黑灰產(chǎn)做一些批量注冊、刷活動也好，他基本上都繞過了這個安全，通過直接解析你的協(xié)議來進行一些刷接口。

我今天也看到了一篇文章，像 ofo 的鎖通過藍牙和手機服務(wù)端進行通信，驗證之后獲取一把鎖的鑰匙，通過藍牙傳給鎖的硬件，就可以達到開鎖。其實，它這個藍牙的協(xié)議就被破解了，所以它在這種協(xié)議保護上肯定做得不夠。

4、業(yè)務(wù)應(yīng)用一定要增加風(fēng)險識別能力。我們對正常的用戶請求能識別出他的請求是正常的還是可疑的，或者就是異常有問題的，我們可以實時對這個活動做一些相響應(yīng)。

活動中。主要還是對活動權(quán)益的消耗速度做一些監(jiān)控。

1、建立活動監(jiān)控。

這個很重要，比如我們可以監(jiān)控每 5 分鐘、每小時，甚至每一分鐘我們權(quán)益的消耗速度，比如我推廣分用，我本來預(yù)算一天投放的金額假如是 100 萬，但是你遇到一些羊毛黨，可能在一分鐘基本上就把你的預(yù)算領(lǐng)一大半，甚至是領(lǐng)完。

2、有能力動態(tài)調(diào)整領(lǐng)取的概率。

比如像抽獎類的，我們可以動態(tài)調(diào)整一些中獎概率，根據(jù)活動權(quán)益消耗的速度來動態(tài)調(diào)整（概率和發(fā)放數(shù)量）。

3、建立風(fēng)險大盤。

在活動中我們可以檢測這個風(fēng)險的一些情況，對于惡意請求我們能做到心中有數(shù)，知道這個惡意請求來自哪個地域、甚至是來自哪個城市，包括他集中的 IP 或集中的設(shè)備是怎樣的，甚至他的賬號有什么特征。

4、服務(wù)器的自我保護機制。

包括大家基本上能力了解到，像天貓雙十一，它的服務(wù)器都有一些流量控制，或者限流、降級，基本上它能保證部分用戶的正常使用，而不是說遭到羊毛黨或惡意請求之后，整個服務(wù)器不可用，導(dǎo)致所有用戶都不能參加活動。

活動后。這是容易忽視的地方，活動后可能這個權(quán)益被羊毛黨甚至是其他惡意的用戶領(lǐng)取了，但是活動后我們也可以對他做一些監(jiān)控和各控制。

比如領(lǐng)取權(quán)利的使用。我們可以限制一些使用的范圍，比如滿100或幾百才能使用，像理財產(chǎn)品我們可以提高一些門檻，比如投資1萬以上才能使用某些折扣券或者是理財券，半年期或者一年期起。

權(quán)益的一些使用方式也要做一些監(jiān)控，它是不是集中在某些店鋪來集中消耗，看一下權(quán)益消耗的占比，也能發(fā)現(xiàn)一些問題，可以及時低止損。

針對羊毛黨，怎么進行多方面防護

1、業(yè)務(wù)。

活動前的一些評審和預(yù)案，就是在活動開始前要做一些安全評審，包括活動的玩法有沒有漏洞，還有活動運營中的一些預(yù)案，怎么應(yīng)對一些突發(fā)情況。

比如我投入的一些預(yù)算的消耗，甚至一些比如說針對服務(wù)器，或者是活動進行中的一些異常情況都要有應(yīng)對方案。還包括活動前的一些黑板名單的一些準備，比如某些特定高價值的用戶，還有比較低質(zhì)量、長久不活躍的用戶，看我們的活動目的是怎樣的，要準備一些名單，有定向的一些運營方案。

2、技術(shù)風(fēng)控體系。（很重要的一方面）

風(fēng)控體系這塊兒就可以對我們的某些活動，避免一些惡意的薅羊毛、黃牛甚至其它的一些惡意行為（比如欺詐），都可以做一些保護。

這個活動的前端保護主要就是剛才講到的端上的一些保護，對業(yè)務(wù)邏輯的一些防護，還有接口協(xié)議上的一些防護，還有系統(tǒng)的一些自我保護，就是防止惡意流量直接壓垮服務(wù)器，包括我們實時風(fēng)險的一些識別，及時阻斷惡意請求，避免我們后續(xù)的運營的一些成本，比如說怎么發(fā)放獎品、甚至一些獎品的使用。

活動中對風(fēng)險大盤的監(jiān)測（也很重要）。我們及時要做到心中有數(shù)，知道我們現(xiàn)在活動的一些情況，正常用戶、惡意用戶或者疑似用戶的一些訪問情況。還有事后風(fēng)險的一些報告分析、實施的分析。

3.法律上對活動做一定程度上的保護。

特別是最近的網(wǎng)絡(luò)安全法發(fā)布之后，其實對個人隱私，個人私密信息還有一些信息數(shù)據(jù)的惡意獲取方面都有規(guī)定。已經(jīng)有一些人因為這些違反法律而受到罰款、拘役等。

這個實施風(fēng)控體系要求還是比較高的，先要做好一個完整的，或者是比較成熟的一個防控體系，最重要的幾點。

1、穩(wěn)定性。

做一些保證，不能因為風(fēng)控體系的引入，導(dǎo)致正常的業(yè)務(wù)邏輯走不通，或者是運行過程中導(dǎo)致各種使用不了的情況。

2、性能。

一定要在毫秒級就要返回，不能用戶在一次抽獎或者一次領(lǐng)紅包進來之后，業(yè)務(wù)系統(tǒng)請求風(fēng)控體系，就在這里卡上很長一段時間，這個在用戶體驗上就非常不好。

3、風(fēng)險識別的一些層次和維度。（最重要）

風(fēng)險基本上，像我們公司提供多環(huán)節(jié)、多維度地來進行一些防控，包括從這張圖上也可以看到，下面藍色的，就是一些業(yè)務(wù)活動，比如說前端像APP，或者是web、H5頁面，它直接調(diào)接口，就請求到業(yè)務(wù)系統(tǒng)里，這是沒有風(fēng)控體系，是這樣的一個流程。

風(fēng)控體系就是上面綠色的這一部分，首先從端上我們也會先做一些保護，保護我們一些業(yè)務(wù)邏輯，比如像web、H5上面就可以做一些像 js 的一些加固，包括 APP、端上的一些加固和保護，接口協(xié)議也會做一些保護，還包括抗 constID 布點，我們也設(shè)備指紋，能定位到一臺設(shè)備。

有端的防護之后，業(yè)務(wù)請求過來我們就通過實施決策，我們有多層次的，我們可以記時間序列有一些策略，還有一些請求的來源分析，包括我們剛才提到的，布點的設(shè)備指紋，還有其它的一些環(huán)境信息，我們可以關(guān)聯(lián)做一些策略，包括三方一些風(fēng)險的一些數(shù)據(jù)，比如說像IP、手機號，剛才提到的活動前的一些白名單的準備。還有歷史風(fēng)險也可以做一些關(guān)系上的挖掘。

二次驗證，二次驗證主要是在實時風(fēng)險決策的時候，我們會對一些疑似的請求做一些二次驗證。因為，實時防控不可能做到百分之百，可能有一部分人是比較疑似的，我們會通過比如說短信驗證，或者是滑動驗證，或者是其它的比如說是實行輸入身分證號、密碼，就說這種認證手段再進行一次疑似的一些確認。

最后，就是智能分析，這個主要就是結(jié)合實事的數(shù)據(jù)和歷史的行為數(shù)據(jù)，我們可能在一個更長跨度的時間序列上做一些行為上的分析和關(guān)系上以及各種特征上的一些挖掘，來補充這種維度數(shù)據(jù)，輔助我們實施決策的一些準確率。這塊兒就涉及到線下的一些建模和一些特征挖掘。

這塊兒就是風(fēng)控體系的一些架構(gòu)。

1、互聯(lián)網(wǎng)環(huán)境。

暴露在互聯(lián)網(wǎng)環(huán)境，移動手機像安卓、IOS甚至其它的一些IOT設(shè)備，還包括一些H5頁面，還有像PC上的Web頁面，因為暴露在互聯(lián)網(wǎng)的環(huán)境，基本上可以理解成，就是黑灰產(chǎn)在手里，所以這一塊兒我們架構(gòu)上有端安全上的防護（這會兒要先做）。

2、企業(yè)的私有化環(huán)境里。

就屬于業(yè)務(wù)系統(tǒng)這一部分，請求這個首先要接受一個網(wǎng)關(guān)，這個網(wǎng)關(guān)的作用就是，有一些惡意請求，或者一些非正常的請求，包括協(xié)議上，更為識別，他這次調(diào)用就是非法調(diào)用，我們網(wǎng)關(guān)層就可以攔截大量的非法請求，防止它把壓力傳到業(yè)務(wù)系統(tǒng)，導(dǎo)致業(yè)務(wù)系統(tǒng)宕機影響活動進行。

所以，在網(wǎng)關(guān)這個節(jié)點上，我們就可以做一些惡意的流量，做一些攔截，剩下的一部分流量可以流進業(yè)務(wù)系統(tǒng)。

業(yè)務(wù)系統(tǒng)的最下面這一部分就是整個風(fēng)控體系，業(yè)務(wù)系統(tǒng)通過WebAPI就可以接入風(fēng)控體系，風(fēng)控體系主要分了這幾部分。

部分一，實時決策。

實時決策就是剛才提到的，通過業(yè)務(wù)系統(tǒng)請求WebAPI一個請求進來，比如說用戶注冊或者抽獎的一個請求進來，我就可以實時判斷他這次請求是正常的，還是有風(fēng)險的，或者是有一定的嫌疑。

實時決策的右邊，策略模型管理和智能分析。這塊兒我們進行多層次的防護，比如記憶時間序列的、記憶行為的、記憶名單的、記憶關(guān)系的、記憶環(huán)境信息的，統(tǒng)一的策略和模型我們是在這兩塊兒進行處理。

部分二，策略模型。

主要是靈活做一些靈活的策略的配置，還有我們線下訓(xùn)練的模型的一些在線服務(wù)，可以多綜合地來識別這次請求。

部分三，智能分析。

主要是針對歷史行為、關(guān)系網(wǎng)，還包括其它特征的挖掘，還有異常點的檢測，做一些離線分析。

實時決策和策略模型這塊，基本上針對的是實時和進線的，智能分析這一塊側(cè)重在離線，就是更長期的一個行為上的判斷。這塊兒也是我們多維度、多層次的一個防控的設(shè)計。

部分四，智能監(jiān)控。

我們可以實時監(jiān)控到整個風(fēng)險的一些情況，還有智能分析的一些數(shù)據(jù)情況，還有整個風(fēng)險的態(tài)勢，就是一些趨勢，包括其它的一些各種監(jiān)控功能，還有一些未定性監(jiān)控包括一些報表，可能都在我們智能監(jiān)控這塊兒會有。

上面這個風(fēng)控管理控制臺，這個主要是給安全管理員使用，他用來管理，剛才提到的上面的一些安全策略或者一些指標、模型、名單、統(tǒng)籌的風(fēng)險大盤情況，包括地域分布的，地域城市，包括IP、設(shè)備情況、用戶情況，基本上通過這個控制臺都可以做統(tǒng)一的一些管理。

整個體系最上面，大數(shù)據(jù)基礎(chǔ)架構(gòu)這邊，我們自己整套體系都是基于數(shù)據(jù)平臺來做的，包括數(shù)據(jù)存儲上，海量數(shù)據(jù)存儲還有一些計算，都是在底層的一個架構(gòu)上來給一個支撐，這個是整個風(fēng)險體系的一個架構(gòu)。

剛才提到的多層次、多維度的防控體系，這個多層次決策體系：

1、實時決策。

提供毫秒級的一些相應(yīng)，利用一些策略和請求的一些實時計算，同步識別風(fēng)險，直接阻斷惡意風(fēng)險，正常用戶直接放過，有疑似的風(fēng)險會通過一些二次驗證，比如驗證碼、短信或其它驗證方式進行一些驗證。

2、進線分析。

我們會有秒級、分鐘級、小時級、天級、月級的一些計算，我們會計算各種特征，為實時決策這一塊兒提供一些指標參數(shù)。

指標主要對一些，像安全策略，會使用到多個特征，指標是安全策略里面的某一個特征項，這個指標主要是對實時數(shù)據(jù)做一些初步的加工，來更方便地給這個安全策略使用。

進線分析，也可以從多維度來監(jiān)測安全的一些狀態(tài)，能及時發(fā)現(xiàn)一些異常，并給據(jù)報警。

3、離線挖掘。

就可以根據(jù)各種離線數(shù)據(jù)做一些模型的訓(xùn)練、特征挖掘，為實時決策還有離線的一些處置，提供一些依據(jù)。比如，后面的一些特征挖掘、模型平臺訓(xùn)練、用戶的一些風(fēng)險畫像、設(shè)備風(fēng)險畫像，還有一些關(guān)系網(wǎng)的一些挖掘、計算。這個是多層次的決策分析。

還有剛才提到的，除了多層次的一些防護，我們還要對活動中的數(shù)據(jù)做一些監(jiān)控，還有一些管理，我們這個有風(fēng)險。

1、風(fēng)險大盤。

我們通過風(fēng)險大盤就可以直觀地來看我們一些風(fēng)險的現(xiàn)狀和風(fēng)險的一個趨勢展示，可以讓管理員登錄系統(tǒng)，第一時間能夠快速地獲取到目前系統(tǒng)的一些風(fēng)險的情況。

2、事件接入。

事件接入主要是針對活動，前端請求進來的一些接入引檔，怎么來接入這個風(fēng)控，包括我們預(yù)設(shè)的一些指標、策略，還有預(yù)設(shè)的其它的一些模型的使用和配置。

3、策略配置。

主要就是控制臺，就是剛才的最上方，給管理員操作的一個風(fēng)控控制臺，提供了詳細的策略的配置界面，管理員就可以根據(jù)各種風(fēng)險類型，來選擇這個系統(tǒng)，使用哪些默認的策略，也可以自定義一些安全的策略和規(guī)則。

策略配置這塊兒，我們也可以引入一些觀察模式和灰度模式，讓策略上線過程中，我們可以不影響正常業(yè)務(wù)使用，只是做效果的觀察，也可以導(dǎo)入少量的灰度流量進來進行一些驗證。

4、監(jiān)控與報告。

系統(tǒng)提供了自動化的監(jiān)控的能力，我們可以從左圖上看到，我們實施的風(fēng)險情況、正常請求情況、趨勢圖，也可以持續(xù)監(jiān)測一些關(guān)鍵的指標，一旦發(fā)生異常情況，我們就可以直接觸發(fā)我們的監(jiān)控，可以得到通知。

這個報表功能也可以定制化一些日報、周報、月報的能力，幫助管理者可以更好地掌握業(yè)務(wù)安全的一些狀態(tài)。

像風(fēng)控體系剛才也提到了，不可能做到百分之百地識別這種風(fēng)險，所以會有一些疑似的風(fēng)險，針對這些疑似的風(fēng)險，可能我們會采取一些后續(xù)的二次驗證。最傳統(tǒng)的驗證流程，不管是正常用戶、一次客戶、惡意用戶，統(tǒng)一是彈出一些驗證碼、短信驗證、語音驗證，基本上對正常用戶也會有一些打擾，我們公司有無感驗證，主要是結(jié)合我們后臺的一個智能風(fēng)險識別體系，我們可以通過風(fēng)控引擎，多層次、多環(huán)節(jié)來區(qū)分這些用戶，正常識別用戶，正常用戶的合，不需要通過其它任何操作，可以直接通過正常的業(yè)務(wù)請求，大幅度提升了用戶體驗，基本上正常用戶是沒有任何感知的。

無感驗證（正常用戶沒任何感知），疑似用戶，基本上超過90%的正常用戶基本上是無需要驗證打擾的，對于疑似用戶的風(fēng)險請求，我們就記憶行為特征的一些驗證技術(shù)，實時確認請求的真實性，發(fā)現(xiàn)這個請求意有疑似風(fēng)險的時候我們會彈出驗證，讓他來輸入一些驗證碼，或者是進行一些滑動驗證，或者上行短信進行驗證，這個基本上就可以實時攔截超過 95% 的一些惡意請求。

無感驗證就兩個層次：

層次一，正常用戶不打擾，直接過去了。

層次二，對可疑的用戶驗證完之后，確認它是可信的身份之后，下次再防衛(wèi)就不需要再滑動或者再認證，直接就通過了。

基本內(nèi)容就是這些。

我們目前也在招聘一些職位，包括j'ava工程師、大數(shù)據(jù)開發(fā)、安卓、前端、算法工程師、算法專家，都有相應(yīng)的崗位，大家可以訪問一下我們的官網(wǎng)了解一下頂象技術(shù)。

<答疑環(huán)節(jié)>

問題1，這些羊毛黨都是專職的嗎？都是哪些人在做呢？

回復(fù)：羊毛黨也有區(qū)分的，比如是“羊腿”、“羊頭”這些東西，基本上也是有層次感的，像剛才介紹過的一些小作坊或者個人的，這些羊毛黨，他也基本上就是在校學(xué)生或者家庭主婦，也是從一些信息共享的論壇或者QQ群里賺一些零花錢，可能這些是相對比較業(yè)余的，也只是看一些經(jīng)驗，有一些活動就參加一下。

有專職的，職業(yè)的羊毛黨，就是做職業(yè)刷手，這種職業(yè)刷手的也收入基本上都是很高的，這些人通過我們的檢測來看，各種團伙啊，這種年齡層次上還是比較年輕，學(xué)歷也是初中、高中，甚至不到高中，甚至是小學(xué)畢業(yè)、初中畢業(yè)，但基本上都很聰明，這些人很有想法、能找到平臺或規(guī)則的漏洞。

問題2，現(xiàn)在對薅羊毛的黑客會有一些畫像嗎？從哪幾個維度來做畫像？

回復(fù)：剛才也講到了，我們上面有個分析平臺，就是在實時防控上，可能會基于時間序列，我們做一些短期的實時指標，或者一些訓(xùn)練好的模型，甚至一些名單，或者一些環(huán)境信息、進線指標我們也可以做一些分析。在離線分析這一塊兒，我們會綜合他的各種行為，包括常用訪問頁面行為、登錄行為、點擊的行為、環(huán)境關(guān)系上的、訪問的一些軌跡、行為上，我們會對用戶做一些畫像，還有綜合他的各種維度信息。

具體的維度，比如說環(huán)境信息、設(shè)備信息、賬號信息、關(guān)系、行為上的一些分析。

問題3，有沒有針對中小企業(yè)的解決方案??？

回復(fù)：其實，我們公司就是針對中小企業(yè)，提供安全的產(chǎn)品和解決方案的，我們有私有化部署、SaaS服務(wù)。

比如，最近在進行的雙十一活動，已經(jīng)有很多的企業(yè)已經(jīng)在試用我們的（產(chǎn)品），包括我們免費的SaaS服務(wù)、私有化部署，已經(jīng)在使用了。

問題4，雙十一活動中，你們?nèi)绾畏乐篃o辜用戶被錯殺？

回復(fù)：在雙十一活動中，包括之前參加的歷屆的一些雙十一活動，像用戶被錯殺，基本上在任何一家活動進行中，可能都會遇到這種錯殺的情況，但是比例很低，大部分的黑灰產(chǎn)像剛才提到的95%的，基本上都會我們攔截掉，被無辜錯殺的這些用戶，也可以完善我們的風(fēng)控模型，當(dāng)成一些樣本來重新訓(xùn)練我們的模型，因為攻防對抗本來就是在實時的演進過程中。

問題5，對普通的淘寶商家而言，做個活動還得部署風(fēng)控體系，會不會成本太高？

回復(fù)：這個風(fēng)控體系可以訪問我們的官網(wǎng)看一下，這個風(fēng)控體系集成起來其實是很快的，如果開發(fā)投入的話，接入的話，基本上是在天的級別的，成本不會太高，這個風(fēng)控體系如果是自己整套構(gòu)建的話，成本會比較高。所以，我們現(xiàn)在實際也有一些私有化產(chǎn)品和SaaS產(chǎn)品，現(xiàn)在接入是很快的，基本上是幾天，包括測試、接入、測試，基本上是幾天的時間就可以了。

問題6，風(fēng)控對模擬器的檢測是怎么做到的？

回復(fù)：具體的方法方式我在端這塊兒也不是特別了解的，不過我們產(chǎn)品有端產(chǎn)品和業(yè)務(wù)風(fēng)控產(chǎn)品。

我們在端產(chǎn)品上，我們已經(jīng)能檢測到是不是虛擬器、模擬器、虛機，我們都能檢測到，具體檢測的技術(shù)手段，專家會比較清楚，我這塊兒主要就是在業(yè)務(wù)防控這邊，可能是相對比較清楚一些。

問題7，是因為有風(fēng)險數(shù)據(jù)的積累，所以錯殺率低吧？

回復(fù)：風(fēng)險數(shù)據(jù)積累只是一方面的，整個風(fēng)控體系其實數(shù)據(jù)只是最初的一個層次，后面還有多層次的。包括從時間序列上的一些聚合、環(huán)境信息上的、模型策略上的，數(shù)據(jù)這一層面，只能說黑名單只能先攔一道，這是歷史數(shù)據(jù)的一些積累。

比如有一些人在黑名單里邊，他可能就永遠在黑名單里。所以，數(shù)據(jù)對我們來說只是一個層次，風(fēng)控產(chǎn)品是能集成數(shù)據(jù)的，包括我們風(fēng)險體系里邊有黑名單，也可以集成其它的，比如說策略、模型、指標和其它的。

第三個大的層次，就是對離線關(guān)系網(wǎng)、行為的分析，包括特征挖掘，所以數(shù)據(jù)風(fēng)險，數(shù)據(jù)積累只是很小的一方面，應(yīng)該是風(fēng)險體系里面的一個手段。

若想獲得此次公開課完整PPT，請關(guān)注雷鋒網(wǎng)旗下微信公眾號宅客頻道（微信ID：letshome），回復(fù)“防羊毛黨  ”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。