雷鋒網(wǎng)第一次接觸 DataVisor 是在一次三家企業(yè)聯(lián)合對抗黑產(chǎn)的合作發(fā)布會上。

當(dāng)時，移動互聯(lián)網(wǎng)公司 APUS 、主打“可信ID”的安全服務(wù)商數(shù)字聯(lián)盟以及 DataVisor 成立了一個“三家公司的聯(lián)盟”，希冀以分享黑產(chǎn)數(shù)據(jù)的方式來打擊共同的敵人，詳情可見雷鋒網(wǎng)此前發(fā)布的的報道《搞垮黑產(chǎn)？三家企業(yè)想聯(lián)手試試》。DataVisor 是一家反欺詐檢測服務(wù)提供商，他們?yōu)槁?lián)盟提供的是無監(jiān)督反欺詐算法。

最近，他們又打包發(fā)布了一款號稱是自己無監(jiān)督反欺詐算法“mini”版的新產(chǎn)品 UML Essentials。這家 2013 年在美國硅谷成立、創(chuàng)始人中有兩位專家來自微軟硅谷研究院的公司及其算法有什么獨(dú)特之處？他們對新產(chǎn)品有何部署？

雷鋒網(wǎng)和 DataVisor 中國區(qū)總經(jīng)理吳中聊了聊。

到底是哪些壞人在壞我的好事

作為雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道的讀者，想必你對黑產(chǎn)早已不陌生。

某銀行推出了一款金融 App，推廣期爭取了一筆巨額費(fèi)用，以為撒錢能吸引客戶下載、注冊。萬萬沒想到，90% 的費(fèi)用全被羊毛黨薅走了。這種案例很常見，就算是知名的電商公司，也經(jīng)常遇到“魔高一丈”，大額優(yōu)惠券通通被欺詐團(tuán)隊刷走轉(zhuǎn)賣的情況。

有意思的是，現(xiàn)在“抱團(tuán)圍攻”的現(xiàn)象比較明顯。黑產(chǎn)欺詐人員會先通過虛假注冊、身份盜用等形式獲取大批賬號的使用權(quán)，然后利用群控軟件或者網(wǎng)絡(luò)眾包的形式進(jìn)行團(tuán)伙欺詐，他們常用貓池、手機(jī)墻、模擬器、刷機(jī)等手段和工具躲避傳統(tǒng)黑名單和基于設(shè)備規(guī)則的檢測。

他們還是分工合理、流水作業(yè)的“高度團(tuán)結(jié)”狀態(tài)——專門注冊、養(yǎng)號、囤號，潛伏并積攢正常的用戶行為，待時機(jī)成熟再發(fā)起攻擊。大規(guī)模注冊、賬號盜取、垃圾內(nèi)容、虛假評論、薅羊毛、應(yīng)用安裝欺詐等玩得不要更666。

于是，被盯上的銀行、廠商就想搞清楚一個問題：到底是哪些壞人在壞我的好事？

為了回答這個問題，不少廠商提出了自己的反欺詐方案。

第一代規(guī)則系統(tǒng)，需要對欺詐行為有深入了解。

第二代設(shè)備指紋黑名單，可能被虛擬機(jī)等逃避檢測。

第三代有標(biāo)簽的機(jī)器學(xué)習(xí)系統(tǒng)，需要大量人工標(biāo)注數(shù)據(jù)訓(xùn)練檢測模型。

“傳統(tǒng)的欺詐檢測方法，如規(guī)則引擎、設(shè)備指紋、有監(jiān)督機(jī)器學(xué)習(xí)、半監(jiān)督機(jī)器學(xué)習(xí)，都有一個共同的局限性，需要在攻擊發(fā)生后，根據(jù)已知攻擊模式和樣本，檢測未來的攻擊?！眳侵刑岢?，這就是他們提出無監(jiān)督學(xué)習(xí)系統(tǒng)的初衷之一——在沒有標(biāo)簽的情況下，提前阻止未知欺詐。

黑產(chǎn)的“套路”VS 算法的“套路”

DataVisor 用這種算法進(jìn)行反欺詐的依據(jù)是，任何欺詐團(tuán)伙在開展欺詐時都有“套路”。

這個套路可能會不停地變化，但是它想一直搞下去的話，總會有一些套路去控制一堆這樣的套路，去做類似的事情。所以通過這一點(diǎn)，DataVisor 嘗試在沒有標(biāo)簽的情況下，很快地抓到新型攻擊。

DataVisor 稱，它的無監(jiān)督學(xué)習(xí)算法有三個優(yōu)勢：

自動產(chǎn)生規(guī)則，免除費(fèi)時的人工規(guī)則調(diào)試。

自動產(chǎn)生標(biāo)簽，用于機(jī)器訓(xùn)練檢測模型。

有效自動挖掘和檢測各種已知、未知的欺詐行為。

我們來看看，它是如何做到的。

如果我們盯著一個點(diǎn)看，會發(fā)現(xiàn)這個點(diǎn)就是那么平平無奇，沒有特點(diǎn)，如果視野拉遠(yuǎn)一些，這個點(diǎn)和周圍的點(diǎn)連接起來，可能能形成一些規(guī)律，你會發(fā)現(xiàn)，這些點(diǎn)可能組成了一張世界地圖，或者一張有規(guī)則的圖像。

當(dāng)然，現(xiàn)實(shí)的黑產(chǎn)行為中，可能沒有這么有“藝術(shù)感”和“規(guī)則感”的結(jié)果。

更多的結(jié)果是，我們可能看到的是這樣的行為模式：

吳中和他的同事們會把所有的用戶放在一個圖上全局地分析，研究其中的關(guān)聯(lián)性，所有的點(diǎn)可能被連接起來，這就是一個聚類的過程。

接下來，他們需要分析的是，那些點(diǎn)和聚類是代表好的行為，哪些則是有異常的，自動形成標(biāo)簽。

“一個犯罪團(tuán)伙控制一堆帳號去做的話，它的行為與正常用戶的行為不一樣，沒有一個個獨(dú)立的例子，都是按照某一個套路做，這種套路可能通過機(jī)器腳本、動包、群控等攻略的方式實(shí)現(xiàn)，我們再看每個帳號的行為，就會發(fā)現(xiàn)它們會有很高的不正常的相似與具體性，通過這種判斷和數(shù)據(jù)統(tǒng)計，就可以把好壞斟酌出來?！眳侵姓f。

這種判斷不需要人工干預(yù)，機(jī)器判斷派上了用場。它的原則是，機(jī)器會一直跟進(jìn)這種行為和數(shù)據(jù)的變化，判斷其是不是一直是正常的。

這些點(diǎn)又是怎么來的？

DataVisor 會提取動態(tài)用戶脫敏后的數(shù)據(jù)特征。一是用戶的行為特征，比如用戶做一些事件的順序、頻率、時間點(diǎn)。二是設(shè)備相關(guān)，比如用戶在做一些事情時，與其相關(guān)的 IP地址，設(shè)備模型的相對分布。三是用戶的靜態(tài)畫面背景，比如昵稱等公開的信息。

這些自動生成的標(biāo)簽準(zhǔn)確度和精細(xì)度又能達(dá)到哪種程度？

這和不同客戶的需求及隨后的措施相關(guān)。比如，一些社交網(wǎng)站的注冊要求根據(jù)這個結(jié)果進(jìn)行帳號的封停，那么準(zhǔn)確率就要求達(dá)到 99%以上。如果只是依據(jù)一個或者幾個標(biāo)簽來進(jìn)行風(fēng)險提示，那么準(zhǔn)確率可能只要達(dá)到95%，以求達(dá)到更大的用戶覆蓋率。

吳中透露，這些數(shù)據(jù)多數(shù)來源于客戶自己平臺的數(shù)據(jù)，但這是一個可選的選項(xiàng)，如果還需要提升判斷模型的效果，可以借助其他的數(shù)據(jù)。“這些人想要進(jìn)行大規(guī)模攻擊，就會有一些隱形的套路，我們的算法會自動發(fā)現(xiàn)這樣的情況，不需要事先知道到底是哪一種套路。”他說。

但是，道高一尺，魔高一丈。如果吳中等人可以根據(jù)記錄數(shù)據(jù)的變化，實(shí)現(xiàn)“跟隨式”發(fā)現(xiàn)，黑產(chǎn)難道不能實(shí)時抹掉自己的蹤跡？

事實(shí)上，現(xiàn)在也有很多刷機(jī)裝備可以做到一秒“清零”，但有些設(shè)備只能抹掉中間一部分痕跡，黑產(chǎn)很難從每一個維度、渠道進(jìn)行有利于自己的操作，如果真的能做到，這樣會極大增加對方的成本，高到它做這個生意已經(jīng)沒有什么錢賺。

因此，這又回到了對抗的本質(zhì)——沒有什么最終的勝利，安全對抗永遠(yuǎn)只能最大限度地提高對方的成本，讓對方要么放棄，要么尋找其他降低成本的方式。

不過，這種“早期預(yù)警”到底能提前多久？

吳中解釋：“利用傳統(tǒng)方式感知這個東西，一般得在這個平臺上發(fā)展到一定程度，再收集一些樣本訓(xùn)練，上線要測試，一般要一兩個月才能上線，如果可以自動發(fā)現(xiàn)這個問題，在社交和電商互聯(lián)網(wǎng)場景中，可能只要幾十個帳號數(shù)就可以發(fā)現(xiàn)規(guī)律，金融場景下，這種數(shù)量更少，一般只需要 10 個以下，因?yàn)樵谶@個場景里，每做成一單收益會比較大。以一個客戶交易平臺的服務(wù)為例，我們可以把發(fā)現(xiàn)欺詐的時間提前 48 小時?！?/p>

“mini”版算法看中的是哪塊市場

本月 27 日， DataVisor 發(fā)布了 DataVisor UML Essentials。

吳中告訴雷鋒網(wǎng)，他們此次推出mini版產(chǎn)品的目的，實(shí)際是為了把自己在安全領(lǐng)域里面幾個承諾的場景，比如大規(guī)模注冊、用戶獲取，以及反洗錢領(lǐng)域的積累轉(zhuǎn)化成一個SaaS 服務(wù)，降低企業(yè)在使用反欺詐服務(wù)的門檻。

第一個特點(diǎn)是，DataVisor 會在產(chǎn)品的初期聚焦于大規(guī)模注冊場景，注冊幾乎是所有互聯(lián)網(wǎng)服務(wù)的一個入口，他們會把這個場景做深、做細(xì)。在產(chǎn)品發(fā)展中后期再引入更多的場景，讓中小企業(yè)根據(jù)自己業(yè)務(wù)的發(fā)展選取更多的服務(wù)。

我們來劃下重點(diǎn)，針對的是中小企業(yè)。

第二個特點(diǎn)，讓用戶自主服務(wù)，因?yàn)檫@是一個 SaaS 服務(wù)，昝瀟希望，在使用欺詐服務(wù)的流程中，用戶自己參與、把控，減少用戶切入的時間。雷鋒網(wǎng)認(rèn)為，從廠商角度看，這也意味著降低提供商的服務(wù)成本。

第三個特點(diǎn)， UML Essentials 是開放性的，模型會自動調(diào)優(yōu)，降低人工服務(wù)耗費(fèi)的時間。

第四個特點(diǎn)，支撐DataVisor UML Essentials的數(shù)據(jù)處理平臺構(gòu)建于主流云計算基礎(chǔ)設(shè)施之上，支持AWS、阿里云等平臺的架構(gòu)。

“中國很多中小企業(yè)正在發(fā)展，它們本身的技術(shù)能力還沒有那么成熟，也想用這些比較好的 AI 或者是技術(shù)，但是價格上又不能太高，如果要接入相關(guān)產(chǎn)品，自己的團(tuán)隊又沒有能力同時做很多事情，也很難接受很長周期根據(jù)每個業(yè)務(wù)細(xì)粒度地做長期的接入和調(diào)優(yōu)，所以我們降低了應(yīng)用門檻。”吳中道出了這項(xiàng)產(chǎn)品的主打受眾以及最初的目的。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。