打击“薅羊毛”，看唯品会的黑灰产对抗实践

互联网的快速发展，既给人们的生活带来很大便利，又催生了黑灰产这样的畸形产物。

如果你对黑灰产不太了解，但“薅羊毛”一词，相信很多人对它并不陌生。

2019 年初，拼多多因优惠券出现 bug，一夜之间被“羊毛党”薅走 200 多亿。这件事情，不仅让人们对拼多多的电商安全产生怀疑，而且为“羊毛党”的行为所震惊。

在《2018 双十一前夕电商行业黑灰产研究报告》中，威胁猎人指出：

黑灰产从诞生、发展到现今高度成熟的整个历程中，电商行业扮演了重要的角色，在海量的新用户红包、优惠券、代金券、打折商品、秒杀活动等“真金白银“的驱使下，黑灰产大军变得越来越庞大。

同样在这份报告中，威胁猎人的数据表明，在 2018 年双十一前夕：

黑灰产虚假注册主流电商平台账号达到 1545980 个；

黑灰产针对主流电商平台接口的攻击量达到 134743987 次，其中爬虫攻击占 42.62%；

针对主流电商平台黑灰产工具样本新增 768 种。

事实上，黑灰产已经成为电商平台面临的主要安全威胁。黑灰产不仅干扰了正常的电商购物环境，而且直接影响到人们的网上购物体验。

关于电商安全和黑灰产，InfoQ 记者有很多疑问：

现在，电商安全现状如何？与 5 年前相比，有何变化？如何理解电商面临的安全问题？黑灰产现在有哪些特点？呈现一个怎样的发展趋势？电商企业该如何对待它？如何去识别和打击黑灰产？对电商平台而言，黑灰产最大的影响是什么？

带着这些疑问，InfoQ 记者专访了唯品会安全经理方斌。

据悉，唯品会 2013 年正式组建安全团队，方斌于 2014 年加入，并与唯品会安全团队一起成长。今年 10 月，他将在QCon全球软件开发大会（上海站）2019分享题为《电商复杂场景下的黑灰产对抗实践》的演讲。

据他介绍，唯品会安全团队经历了从 0 到 1，最高峰团队成员达到 60+，涉及应用安全、基础安全、业务安全、监控响应、安全产品、安全开发和安全管理，甚至有专业的安全项目团队管理安全的所有项目。

现状：电商安全变好，安全形势越来越紧张

今天，人们的生活和工作都离不开电商。

在方斌看来，随着电商行业的快速发展，网购、网上支付等新领域正被大家熟悉和认同。对电商而言，保障一个安全、健康的线上购物环境显得尤为重要。

他说，“现在的电商安全受大环境影响，逐渐变得越来越好，从保护购物环境安全到用户隐私安全，这些都是各大电商企业非常重要的指标。”

不过，方斌也坦承，与 5 年前相比，电商面对的安全形势也越来越紧张。5 年前，黑灰产采用人工刷单模式，现在的黑灰产，已经开始使用 AI 刷单、自动化智能刷单，这也促使电商安全在对抗黑灰产的过程中需要不断进步、不断升华。

电商安全的大敌：黑灰产

作为电商平台来说，其核心业务是线上购物平台。电商面临的安全问题即是业务面对的安全问题。

据方斌介绍，电商平台当前面临的主要安全威胁是黑灰产。

所谓网络黑灰产，指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是，“黑产”指的是直接触犯国家法律的网络犯罪，“灰产”则是游走在法律边缘，往往为“黑产”提供辅助的争议行为。

据悉，网络黑灰产已形成年产值达千亿级别的庞大“黑金”利益链，并通过上中下游的严密分工构建起了一个密切协作的网络，轻则让企业遭受数千万元损失，重则让企业直接破产。

对电商平台而言，黑灰产不仅干扰了正常的电商购物环境，而且直接影响到普通用户的网上购物体验。

他说，“在现今的电商安全挑战中，黑灰产是属于干扰正常购物体验、影响正常用户线上购物的一个业务挑战。作为电商企业，需要有专业的安全团队、风控团队去对抗它，并且这个过程是长期的。”

我们以唯品会为例，进一步介绍其风控措施。

据方斌介绍，跟各大互联网企业一样，唯品会的风控初期，因各类系统不完善，导致我们在阻断事件需要利用多个不同系统来进行，但在后期，“我们不断完善系统的建设和检测能力，现在已经做到基本上无需人工参与，即可打击黑灰产的恶意刷单行为。”他说。

在《2018 双十一前夕电商行业黑灰产研究报告》中，威胁猎人将电商黑灰产分为四类：以账号为核心的黑灰产、以流量为核心的黑灰产、以变现为核心的黑灰产和以信息为核心的黑灰产。

在黑灰产业链中，账号是基石，其数量和质量很大程度上决定了黑灰产的投入产出比，在电商行业更是如此。在双十一前夕，黑灰产会储备大量的电商平台账号，这些账号往往被用于刷销量、刷好评、秒杀特价商品和抢优惠券等。

不过，随着技术的发展，黑灰产也在进化，它们变得更加强大。

方斌表示，“在对抗黑灰产的过程中，我们发现黑灰产也在不断进步，利用一切可利用的信息，形成自动化刷单，无需人工参与，甚至有的黑灰产团队利用 AI 技术再刷单。”

黑灰产是唯品会乃至所有电商企业面临的挑战，并且还存在因自身业务特征到产生“hold 库存”的挑战。

“面临这些挑战时，我们也是通过各种维度去打击，包括审单、砍单、机器学习、AI 等先进技术去打击。”他说。

同时，他也提到，打击黑灰产不是一家电商平台的事情，需要各大企业联合起来，互助互补，弥补各家企业在打击黑灰产维度上的缺陷。

对于文章开篇提到的拼多多一事，方斌指出：

各大电商平台初期都会经历”薅羊毛“，唯品会也一样。

主要是因为初期业务发展迅速，业务安全、风控检测等能力无法全面覆盖，而业务方安全意识较薄弱，从而使一些领券接口未经风控检测暴露出去，给企业带来一定损失。

作为安全人员，尤其是电商安全人员，从来都不敢忽视任何细节。

“这件事情发生后，各企业包括电商公司的安全人员应该要引起特别重视，安全事件往往发生在那些易被忽视的细节上，所以我们要举一反三，排除各类接口的安全隐患，加速风控能力的建设，保障业务健康运行。“他说。

新复杂环境，电商平台的安全在哪里？

今天，中国的电商环境越来越复杂，这种复杂性表现在多方面，比如用户行为习惯的改变、新零售的兴起、多场景的融合等等。

这种复杂性同样会传导到安全上。那问题来了，这种情况下，电商平台该如何保障系统安全、业务安全？

在方斌看来，电商平台讲究业务优先，要以业务为主，保障业务安全健康的运行。并且，安全是多面性质的，特别是企业安全、电商安全，不能忽视任何一个微小的细节。不仅是在业务安全、风控检测能力上，还要保障好产品安全、系统安全。

以唯品会为例，其系统安全以 SDL 为模型，力保每个上线的项目都需经过安全评审。安全评审不仅仅是做代码评审，还包括需求评审、服务器的基线评审。

SDL，全称 Security Development Lifecycle，中文即安全开发生命周期。它指的是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。

他说，“安全评审的重点是在需求评审环节。在需求评审过程中，我们针对业务的需求提出安全要求，提前规避安全风险点，从而使项目能快速上线运行。在业务安全建设上，确保可疑风险点已对接风控检测，从而在业务场景中拦截到刷单等恶意行为。”

在 QCon 上海 2019 的演讲中，方斌老师将为你介绍唯品会独特的业务模式下的安全问题、“黑色星期五”的缘由和黑灰产的多样性。如何识别黑灰产？如果在面对不断有新活动、新玩法、日日促销的电商复杂场景下，能否快速保障系统安全、业务安全，打击黑、灰产？点此了解答案。