前言
从2018年开始,我和高岳、孙奇一起从事业务安全产品设计、研发的工作。在此之前,高岳是移动安全方面的专家,孙奇是资深的Java 架构师,而我则是从事黑客攻防对抗的工程师。于我们而言,这是一段非常美好的经历,非常感谢命运的安排。
因为个人兴趣和工作需要,我们和很多朋友就互联网业务安全进行了深入交流。他们有的是互联网公司的产品研发人员和运营人员,有的是传统金融机构互联网线上业务拓展推广人员,也有的是专业风控和安全从业者。从与他们的沟通交流中,我们学到了很多业务领域的知识,同时也发现大家对互联网黑产及互联网业务安全体系构建缺乏深入了解。我们常常听到这样的话:“投入了很多资源构建互联网业务安全体系,购买了专业公司的风控产品和服务,但是依然没能阻止网络黑产无情的攻击。”
在实际项目中,我们也遇到了一些困扰:产品POC 测试严重脱离业务场景实际需求,错误的策略部署导致产品无法正常发挥防御能力。我们在复盘时常常反思这些问题,是不是可以通过某些方式帮助客户更全面地理解业务风险的脉络和黑产攻击的套路。很多问题的产生并不是因为黑产团伙的技术有多么高明,而是因为防御方不能够很好地帮助客户理解业务风险。
2019年3月的某一天,高岳提议写一本全面介绍互联网业务反欺诈体系构建和实践经验的书籍,这个建议点燃了我们心中的火焰。我们立即开始整理资料并写作,经过8个多月的努力,我们在2020年的春节前完成了这本书稿。
本书主要分为洞察黑产、体系构建、实战教程和新的战场4个部分。第1部分介绍了黑产欺诈团伙的运作套路和攻击手段;第2部分总结了我们在构建反欺诈技术体系过程中沉淀的实践经验;第3部分分享了我们和黑产对抗的多个实战案例,以及机器学习算法的综合运用;第4部分介绍了我们在物联网、内容安全、隐私合规等方面的实践和对海外厂商的观察。
希望读者通过阅读本书,可以对互联网反欺诈的行业现状有一个系统而具体的认识。业务安全的真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险和防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果。如果读者正在关注该领域或从事相关工作,我们相信本书一定能够为您提供帮助。
我们相信本书将成为中国互联网历史中一个微小但坚硬的符号。以当前互联网的进化速度,若干年后本书介绍的风控体系可能会被新技术完全重构,行业态势也会有很大的不同。后来者可以通过本书观察和体会行业与技术的演进轨迹,进而把握未来的发展趋势。
用工作之外的时间把自己的想法变成数十万字的图书,是一件非常考验耐心的事情。除了三位主要作者,还有以下几位同学坚持参与撰写本书的部分内容。
· 李克勤、章岚撰写了“第2章 黑产武器库概览”、“第10章 黑风险数据名单体系”和“第11章 黑欺诈情报体系”章节的初稿。
· 郭嵩、彭亮撰写了“第4章 黑风控核心组件设备指纹”中Web 设备指纹和JS 混淆相关内容的初稿。
· 赵峰撰写了“第5章 基于用户行为的生物探针”章节的初稿。
· 江杰撰写了“第6章 黑智能验证码的前世今生”章节的初稿。
· 贺海军、王明英撰写了“第12章 黑机器学习算法的使用”实战案例相关的内容。
· 刘莹撰写了“第13章 黑互联网反欺诈实战”章节的初稿。
在稿件完成之际,有特别多想感谢的朋友。在过去的一年中,罗小果等同事运作的项目,促使我们对业务安全防御体系有了更深入的思考,使得本书的整体框架更具有逻辑性。在完成初稿后,陈钧衍等多位技术同事给出了很多非常好的修改建议。感谢电子工业出版社的策划编辑符隆美,感谢我们的同事韬哥、伟哥、艺严等,感谢“蓝星技术群”的互联网安全同行,没有你们的鼓励和帮助,也许就不会有这本书的面世。
作为互联网安全从业者,回顾这几年走过的路,黑产的技术发展和规模膨胀给我们带来了很大的压力,同时也让我们有了更大的动力去构建更加有效的安全防御产品体系。在此我们向互联网安全行业中诸多提携我们成长的前辈和守望相助的朋友们致敬,他们是alert7、binw、cnhawk、coolc、cy07、flashsky、huiwang、instruder、kevin1986、lake2、lenx、linkboy、marcohp、mkliu、oldjun、pix、rozero、scz、tb、xi4oyu、xundi、方斌、丁丽萍、顾孔希、高亮、何艺、刘进、林鹏、马坤、聂君、秦波、王彬、王任飞、王英健、阎文斌、杨珉、赵弼政等等(排名不分前后),还有很多很多行业拓荒者和同行者,在此难以一一列举。
由于作者写作水平有限,书中难免存在疏漏与不足之处,恳请读者批评指正。就本书覆盖的内容而言,在反爬虫、反洗钱、业务生态秩序安全治理及用户安全心智建设等深水区没有进行深入阐述,我们也是心有遗憾并且希望能够在下一本书中弥补,敬请期待。
马传雷