风控体系中情报系统的设计与实践

邵付东@威胁猎人 DataFunSummit#2023 邵付东 •2007年毕业于西安交通大学•曾担任腾讯反欺诈实验室总监•现任威胁猎人COO•对抗过木马、钓鱼，研究过业务防刷、金融风控和反诈骗对抗系统，积累了十年多安全从业经验 目录CONTENT 01风控攻防对抗中的挑战02风控体系中的情报03基于知识图谱的情报系统设计及实践 01 风控攻防对抗中的挑战 DataFunSummit#2023 企业面临的风险多样化 刷量、刷单黄牛、抢单、外挂内容盗取钓鱼仿冒 黑产的整体产业链组织和分工很细致，攻防不对等 黑产从业人员超150万人，组织化、分工化，围绕获利场景和攻防技术在持续迭代演进 营销欺诈风险的对抗演化 对风险事后建模会导致风控系统增加MTTD时间 •好人和坏人有不同点，坏人和坏人有共同点 •时间、频率、IP、设备、账号、行为画像特征 基于黑灰产的情报提高攻防对抗效率 02 风控体系中的情报 DataFunSummit#2023 风控体系中的情报架构 情报：谁在使用什么资源和手段进行攻击获利 情报示例 洗钱银行卡 情报示例 秒拨IP 攻击工具 账号交易情报示例 限制黑产养号、卖号 账号-密码-机型-串码 增强黑产设备识别能力模拟器/改机 情报示例 真人众包 API接口攻击 爬取该用户在平台留下的信息，从而勾勒出用户画像。 03 基于知识图谱的情报系统设计及实践 全链路情报源+情报挖掘引擎构建情报系统 深度报告 风险预警 情报搜索 •攻击产业链分析、行业的作恶成本分析等从蓝军角度对攻防的深度解读 •恶意注册、营销作弊、支付欺诈、交易洗钱、攻击工具等风险 •攻击事件中涉及到的IP、号码、域名、邮箱、工具、关键词等支持搜索溯源分析 API风险监测引擎 情报挖掘引擎 攻击资源手机号IP工具代理蜜罐 套利变现 攻击手法 内外部情报源 数据交易电信诈骗营销套利 批量爬取撞库/爆破恶意注册 情报系统示例 构建从攻击准备到套利变现全链路情报 情报源需要持续运营投入 构建API风险的感知和溯源能力 工具自动化发现+人工深度分析 •内置秒拨IP平台绕过IP风控•内置打码平台绕过人机识别验证码•破解和伪造接口签名算法•破解和伪造设备指纹 •硬编码的接口参数•固定的操作步骤•应用包名+签名•前后接口参数不一致 访问接口A： 访问接口B： 基于黑产知识图谱引擎提高情报挖掘效率 核心人员发现引擎 新情报源发现引擎 •新的数据交易论坛•新的工具发布的网盘•新的手机号、IP发布渠道 •高价值情报来自核心的黑产•基于图算法找到核心人员 黑话发现引擎 新攻击要素发现引擎 •汉字变种很多，需要及时发现变形的关键词•基于新词相似度监测，人工审核 •供应风险手机号、IP、银行卡等黑产随着攻防在不断变化，及时发现新的攻击要素 社区划分 图神经网络 传播模型 网络测度 异常识别 •节点风险•节点分类 •随机游走•PPR•异构网络 •LPA•Louvain •GCN•随机游走•HinSage •PageRank•度中心•聚类系数•Closeness 图谱挖掘 借助自动化过滤能力，提高人工运营效率 国内实卡发送可接30-50W机房稳定到达率98 可接CP BC PZ 6H QP WZ需要的请拍下详谈。 CPBCPZ6HQPWZ彩票博彩（菠菜）配资六合彩棋牌网赚====== 总结：情报让风险感知更快一步 基于知识图谱提高情报挖掘效率 感谢聆听