京东信息安全部面向账号安全的黑产攻防体系是如何建设的?

导读:3月12日,2020信息安全网络峰会在线上进行直播,本风控官有幸听了京东信息安全部用户与账号组安全专家Woody的分享,他从一个“安全人”的角度分享了对一个好的账号防护体系必备要素的认知和理解,同时也介绍了电商行业复杂业务场景下的账号安全/风控建模经验,以及黑灰产对抗的实战案例,以下内容是本风控官在直播时做的记录。

一、黑灰产攻防背景

现在的不少平台都会通过各种营销活动去做拉新留存,Woody称,有利益的地方就会有犯罪,黑灰产会操控大量账号,去攫取本应该归属正常用户的收益。

今天的黑灰产一直在不断进化,他们不断改进软件,实现工具自动化,工具的便利化以及利益的驱使,使得黑灰产几乎无处不在。通过京东安全体系的数据发现,黑灰产攻击呈现如下三个特点:每三名注册用户中,就混有一个机器人;盗号、诈骗、盗刷每时每刻都会发生;各类账号每年产生的恶意订单达数百亿元。

二、“安全”与“风控”体系

在过去的一年里,京东全年交易总额(GMV)超2万亿人民币,活跃用户超过3.6亿。面对如此庞大的规模下,京东的账号主要分成三块,分别是京东零售、京东数科、京东云与AI等。账号防护体系由两块组成,一块是账号安全,另外一块是账号风控。

那什么是“账号安全”和“账号风控”,是怎么定义的?

Woody表示,“账号安全”他们的定义是指“坏人”用“好人的账号”;“账号风控”则指的是“坏人”用“坏人的账号。”前者指的是,京东要防止黑灰产使用“好人”(正常用户)的账号从事风险行为,比如套取优惠券等。后者则是要通过一套体系,去控制坏人用他们自己自建的账号做坏事。

为此,京东构建了具有“开放性”、“全面性”和“层次性”的账号攻防体系,各要素见下:

○ 开放性:案件调查、黑库系统、金融风控、订单风控、舆情系统和客服系统;

○ 全面性:注册阶段、登录阶段、营销场景、订单阶段和支付阶段;

○ 层次性:基础防护模型、定向防护模型和应急对抗模型;

全面性上包括了注册、登录和交易环节,防止用他人手机号注册、盗号、诈骗/盗刷等现象出现,避免机器注册、异常登录、刷券/薅营销活动/黄牛订单等。

开放性上则是跟外界的体系多去交换信息,比如说客户系统和舆情系统。初步的信息有来自客户系统的受害用户信息,也有来自通过舆情系统获得的黑产活动信息,这些信息通过账号防护体系,会在两个环节产生作用,一个是同步防护数据在订单环节进行拦截,另外一个是限制受害账号金融权益进行止损。做好这些后,还有最后一个步骤,那就是达到刑事标准的,就协助案件调查组联合警方进行线下调查,接着京东也会做黑IP、黑手机号和黑设备数据库的积累。

“好的安全体系必须是立体的。”Woody表示,层次上,则是建立了多层级递推防护体系:

○ 基础防护模型:异地、异设备行为模型;批量行为模型;

○ 定向防护模型:针对某业务模型;

○ 应急对抗模型:Metis模型;

Woody解读到,基础防护模型,犹如一张大网,网住普通的攻击;定向防护模型,则如一尊大炮,对黑灰产进行打击;而应急对抗模型,则是一杆狙击枪,锁定某个具体的黑灰产团伙,去做定向的对抗。

三、“人工”与“智能”模型

接下来,Woody详细谈了下京东账号安全正在应用的Metis模型。

他首先提及“人工”与“智能”模型的优缺点。他认为,人工模型的优点是产出快速、针对性强;而缺点是防护性较低,有一定滞后性。智能模型的优点则是召回率稳定、具有一定的前瞻性,缺点则是迭代较慢、建模成本高。

Woody表示,京东的Metis模型则是属于“人工”-“智能”模型,拥有四个优点,分别是:

○ 高效应:更新速度3H内;

○ 强对抗:更新频率数次/周;

○ 准识别:准确率99%+;

○ 广应用:反用他人手机号注册、反盗号、反诈骗多模块;

那Metis——这个“人工”与“智能”模型机制是什么样的?

一共是四块:


第一块是获取黑样本,依据业务经验或所提供黑样本的数据共性,定位样本账号中异常的登录数据。这块的数据来源是客户投诉、业务反馈和舆情信息等;


第二块是分析数据和产出模型,包括业务分析、数理统计和智能评分。Woody举了一个例子来说明这块工作。他说,曾遇到一款伪造苹果设备的工具,此软件相较真实设备,各参数伪装极其真实,基于单一数据难以识别。他们通过统计量数据分析,找到伪装的固定值、聚集值或异常值,整合多种规则建立智能打分模型,提升模型健壮性,增加黑产破解度。


第三块是快速验证,通过风险值、客服系统、时序分析来进行。这里重点说下时序分析,黑灰产用户与正常用户还是有些区别的,黑灰产活动轨迹非常规律。比如说,正常用户偶尔会在深夜访问下服务,但黑灰产可能就非常明显——深夜就没有任何活动痕迹,这就属于不太正常。


最后则是持续跟踪,统计数据报表和舆情信息。上图横轴是时间,纵轴是黑产活跃量。其中色块绿色是一个版本,进行黑产打击后,后面颜色就有变化了,说明有效果。

四、案例分享

Woody结合实际情况也做了一个某次大促前突发的恶性批量盗号事件案例分享。

他说,当时的背景是,外部某第三方账号体系数据泄露,黑灰产大规模撞库盗号下单。因而使得盗号客诉量最高值较平时激增近百倍,与此同时也有多家友商同期受到侵害。

他们信息安全部两天就从无到有搭建起Metis应急对抗模型。大促前两天,处置量由全量转为灰度50%,大促前两小时全量开启,结果很不错,Woody说:“大促当天盗号客诉量下降了90%以上。”

分享完案例后,Woody最后总结了账号安全黑产攻防上的三点认知:

○ 没有绝对完美的模型,也没有无坚不摧的体系;

○ 有利益存在的地方就永远会滋生犯罪;

○ 黑灰产也会随之不断进化,战斗不会停歇。

【声明】文章来源于网上采集整理,如有侵权,请邮件反馈yidunmarket@126.com,我们将尽快核实修改。