羊毛党已经产业化、规模化、专业化
随着互联网、智能设备及各种新生业务的飞速发展,越来越多的业务模式开始呈现线上化,虚拟网络给人们带来了便捷、高效的同时也衍生出了一类职业——网络黑灰产;他们为获得利益不断侵蚀各大网站,影响网站业务的安全,导致网站用户体验变差,营销资金丢失,用户信任度降低等一系列的问题。其中互联网营销一直以来都面对羊毛党的挑战,根据FreeBuf 2017年底发布的调查报告,2017年前3季度, 中国至少发生了6亿次薅羊毛行为,覆盖110万个羊毛党团伙,超过400万个手机号。覆盖直播、短视频、电商、支付等各个互联网行业。
所谓道高一尺魔高一丈,羊毛党早已经开始产业化、规模化、专业化发展。产业规模上,借助中国人口红利,大规模的羊毛通讯工具群也在不断建立,采用分工协作、雇佣分发的模式,将上百万的人纳入到薅羊毛的灰色产业中。专业技术上,无论是手机号注册、验证码校验还是设备监测,羊毛党的对应技术手段也是不断发展,手机池、养号、打码平台、NLP、甚至人工智能等都被积极应用。
阿里云业务识别 - 用户行为分析概述
阿里云业务识别
阿里云风险识别(Fraud Detection)基于阿里巴巴安全团队多年风控技术的积累,结合阿里云、淘宝、支付宝等平台的风险运营经验,为企业用户提供智能、轻量、成熟的业务风控解决方案,快速解决业务安全风险,降低损失。
阿里云日志服务
阿里云的日志服务(log service)是针对日志类数据的一站式服务,无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能,提升运维、运营效率。日志服务主要包括 实时采集与消费、数据投递、查询与实时分析 等功能,适用于从实时监控到数据仓库的各种开发、运维、运营与安全场景:
目前,阿里云风险识别(Fraud Detection)与日志服务打通,对外开放风控实时调用的请求与结果的日志,并提供基于日志服务报表的用户行为分析功能。同时提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。
发布地域
- 国内
适用客户
- 拥有大量注册、登录的终端客户,并经常组织互联网营销活动的娱乐、电商、支付或互联网服务公司。
- 提供互联网资讯、服务的,需要检验终端客户注册与登录安全性的银行、证券、电商、互联网服务的公司。
- 拥有自己的安全运营中心(SOC),需要收集风险结果日志进行中央运营管理的企业,如大型地产、电商、金融公司、政府类机构等。
- 拥有较强技术能力,需要基于云上资产的日志进行深度分析、对告警进行自动化处理的企业,如IT、游戏、金融公司等。
功能优势
业务识别基于日志的用户行为分析具备如下优势:
- 配置简单:轻松配置即可实现实时日志的实时采集。
- 实时分析:依托日志服务产品,提供开箱即用的报表并自带交互挖掘支持,从0到1, 让您对业务服务的风险拥有更全更深入的视角。
- 实时告警:支持基于特定指标定制准实时的监测与告警,确保在关键业务发生异常时能第一时间响应。
- 生态体系:支持对接其他生态如实时计算、云存储、可视化等方案,进一步挖掘数据价值。
- 费用:免费提供180天实时请求日志与结果的存储。
开通前提
- 开通日志服务
- 开通业务识别的增强版本
限制说明
业务识别所存储的日志库属于专属的日志库,有如下限制:
- 用户无法通过API/SDK等方式写入数据,或者修改日志库的属性(例如存储周期等)
- 其他日志库的功能,例如查询、统计、报警、流式消费等均支持与一般日志库无差别
- 日志服务对专属日志库不进行任何收费,但日志服务本身需处于可用状态(不超期欠费)
- 后期会升级并发布内置的报表.
使用场景
1.了解业务总体风险浓度与趋势,主要风险标签类型
可以交互式查询,例如查看总体平均浓度:
__topic__: saf_access_log and score >= 0 | select round(avg(score),1) as score_level可以基于instance_id筛选出特定业务查看:
| 字段instance_id值 | 对应业务 |
|---|---|
| account_abuse_pro | 注册风险 |
| account_takeover_pro | 登录风险 |
| coupon_abuse_pro | 营销风险 |
也可以直接查看报表风险大盘:
2. 追踪分析个体行为、活跃地理与设备细节等
基于日志分析个体的业务风险,可以通过风险大盘中的个体列表点击进入个体分析报表,或者直接在个体分析中输入个体的特征信息(如手机号码、邮箱等)开始分析:
也可以在日志服务的日志库中进行交互式查询,例如查询所有安卓设备的高风险用户:
__topic__: saf_access_log and score >= 65 and device_info.platform: Android
交互式查询,支持标准SQL92语法,并融合多种扩展分析函数:
3. 实时监测并告警,及时响应服务与业务异常
在日志服务高级管理中,当发生调用时发生非200的错误时能够第一时间响应,确保运维顺利。或者针对特定业务的终端高风险行为实时监测并告警,例如每5分钟超过10个高风险登录事件时告警:
__topic__: saf_access_log and score >= 65 and instance_id: account_takeover_pro | select count(1) as pv having pv > 10
支持多种告警模式(例如钉钉、短信等),并支持自定义告警内容模板:
4. 输出安全网络日志到自建数据与计算中心
支持将日志导出到您的SOC、OSS或者流式计算引擎当中,具体可以参考这篇最佳实践。
尝鲜试用
我们提供了业务识别用户行为分析的大盘的功能演示,您可以尝鲜试用:
https://promotion.aliyun.com/ntms/act/logdoclist.html?wh_ttid=pc
直达链接:
进一步参考
我们会陆续发布业务识别的行为分析的最佳实践,敬请期待。