去哪儿风控安全产品的探索之路

这篇具有很好参考价值的文章主要介绍了去哪儿风控安全产品的探索之路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

原创文章,转载请标注。https://blog.csdn.net/leeboyce/article/details/135468055

李建威。2017年7月以春招暑期实习生的身份加入去哪儿网,毕业后一直在从事抓取与反抓取相关工作,先后负责搭建过智能打码、设备指纹以及环境检测等服务。目前主要负责反爬风控的基础安全产品建设。对各类作弊原理感兴趣。

声明

原创文章,转载请标注。https://blog.csdn.net/leeboyce/article/details/135468055
《码头工人的一千零一夜》是一位专注于技术干货分享的博主,追随博主的文章,你将深入了解业界最新的技术趋势,以及在Java开发和安全领域的实用经验分享。无论你是开发人员还是对逆向工程感兴趣的爱好者,都能在《码头工人的一千零一夜》找到有价值的知识和见解。

0x01-前言

本文主要介绍反爬风控相关基础安全产品演变过程中的思考。

文章以总-分的形式讲述,主要分为三部分:(1)产品演变;(2)环境检测;(3)检测分析。

希望其中一些思考能够给大家带来启发。

懂的不多,做的太少。欢迎批评、指正。

0x02-基础安全产品

产品演变

一、问题

​ 在19年之前Qunar的反爬虫、反作弊等场景是业务线各自为战。作为机票反爬最早期的参与者之一,在负责机票App反爬期间就有一个问题一直在困扰我,我的工作一直在不断、重复地编写识别策略,工作量的多少完全取决于爬虫量的多少,防御完全陷入被动局面。是否有办法从根本上解决这类重复性劳动问题。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

二、例子

举个例子。下图中蓝色(CRITICAL)代表已识别为疑似用户。黄色(ATTACK)代表已识别为异常用户。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫
每一次蓝黄交替,就代表一次攻防对抗,就意味着需要进行一次策略的调整。策略例子:

(1)发现某个参数拼写错误;

​(2)发现某个设备信息缺失;

​(3)发现某个账号对应的IP数量过多。

​类似的一次策略调整就需要投入0.5-1pd的人力进行代码编写、发布和验证。

三、思考

​ 重复性劳动注定会使团队陷入被动忙碌且无积累的状态,如何破解这一局面?

​ 比较幸运的是,我在刚毕业的第一年在负责智能打码平台时有研究过几大安全厂商的三代验证码,在此过程中使我具备了一定的逆向技能,让我在解决这一问题上有些新的想法和思路。

1、现象看本质

以上例子举例:

我们的问题是发现某个参数拼写错误,现象是拼写错误,但其实我们本质最应该关注的问题是为什么参数会被篡改通过什么方式进行篡改的
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫
解决方法:

(1)方法一:解决现象问题。写判断策略识别拼写错误的异常请求。这种解决方案只能够解决单次问题,下次同类型问题出现还是得通过编写类似策略来解决。

(2)方法二:解决本质问题。弄清楚为什么会被篡改,用什么方式进行篡改的。进行针对性的检测就可以一次性解决类似问题。

2、提升作弊门槛
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

如同社会金字塔结构,作弊人群金字塔也一样,原理、工具的创造者是少数。如果能够从作弊工具和作弊原理层面去识别作弊者,就可以提升作弊门槛,从根本上解决重复且被动防御的问题。

四、解决

​ 从上述思考的两点出发,“本质”其实就是将问题特征梳理出来,“作弊门槛”的提升方式就是找到问题背后的原理。

以反爬场景为例

​ 我大概将爬虫特征分为四类。

1、问题特征分类一

(1)具有一定规模的数据才有价值;

(2)抓取设备出于成本考虑,需要控制设备数量。

结合以上特征点,我们需要解决的问题是:如何标记真实的设备。

2、问题特征分类二

(1)防护代码会被分析;

(2)安全数据会被篡改。

结合以上特征点,我们需要解决的问题是:如何保证数据的真实性。

3、问题特征分类三

(1)机器自动化抓取;

(2)拦截数据与模拟请求。

结合以上特征点,我们需要解决的问题是:如何更高效准确地识别异常设备环境。

4、问题特征分类四

(1)容器外模拟请求。

结合以上特征点,我们需要解决的问题是:如何识别脱离容器请求。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫
最后我们将需要解决的问题去孵化安全产品,通过安全产品的方式识别某一类型作弊者,这样即使出现了新的“现象”,我们也能通过最“本质”的原理将他们识别出来。

环境检测

因为这中间涉及到的点非常多,篇幅有限,我觉得可以拿比较有意思的安全产品中的环境检测来详细聊聊。

一、是什么

基于应用当前运行环境,检测设备是否存在作弊风险。

二、为什么

原因有以下两点:

(1)作弊机器一定会篡改应用运行环境;

(2)通过对作弊原理的检测,能从根本上解决作弊问题,将被动防御转换为主动防御。

三、怎么做

我总结为以下三点:

(1)作弊原理分析;

(2)作弊特征提取;

(3)特征检测服务化。

四、作弊原理分析

我把作弊分析分为两部分。分别是作弊设备分析作弊方式分析
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

1、作弊设备分析

​ 通过作弊设备分析应用外部运行环境风险。
​ 我把作弊设备大致分为三种:真机、模拟器以及云手机。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

真机-应用多开

通过修改应用名称或运行于多开容器中,使得可以在同一台设备内同时运行多个相同的应用。(常见多开应用有VirtualApp、小米分身等)。

模拟器

通过软件模拟移动设备硬件操作,使得App可以直接运⾏在PC上。(常见模拟器有腾讯模拟器、夜神模拟器等)

云手机

通过ARM服务器以及虚拟化技术,在云端虚拟的原生手机实例。(常见有百度云手机、红手指云手机等)

2、作弊方式分析

​ 作弊方式分析应用内部被篡改的风险。我把作弊方式大致分为两种:篡改和非篡改。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

重打包

​ 重打包是指将应用反编译后,修改或添加代码后从新打包,将其安装至设备上,应用运行时就会被加载。

HOOK

​ 当程序在执行某段代码时,控制其执行恶意代码。这种篡改就被称为HOOK。

自动化工具

​ 基于Google/苹果发布的自动化测试框架,进行一些列如点击、滑动、键盘输入等操作。

检测分析

​ 由于篇幅关系,不能对其中细节过多展开讲。我选择比较有意思的作弊方式中的动态篡改进行详细分析。

一、介绍

​ 无论是Android还是iOS端,不同分层的代码都有不同的HOOK框架及其对应的原理。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

二、分析

​ 框架和原理有很多,框架以Xposed为例,HOOK原理以Inline HOOK为例来进行分析。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

1、框架检测-Xposed

(1)要了解Xposed框架,需要先来学习下什么是Zygote。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

​ Init是内核启动的第一个用户进程,zygote是由init创建的进程。zygote所对应的具体可执行程序是app-process,所对应的源文件是app-main.cpp。所有的app进程都是由zygote进程fork出来的。

(2)接下来了解一下Xposed的初始化过程
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

(3)Xposed代码分析

​ 疑问1:Xposed到底修改了什么?
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

​ 答案1:

a. Xposed为了在系统启动时优先加载xposed模块和hook系统资源。会将原本的ZygoteInit类替换为XposedBridge类。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

b. 函数执行顺序的变化,就会在堆栈中体现出来。
​ 疑问2:Xposed到底加载了什么?
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

​ 答案2:
a. 加载核心代码libxposed_art.so。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫
b. 其核心代码对应的特征就必定会出现在运行内存中。

2、原理检测-INLINE HOOK

(1)Android Inline Hook框架源码

去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

(2)Inline Hook原理分析

核心代码含义

​ 1)LDR PC, [PC, 4] :将地址为PC + 4的连续4个字节的数据读入PC寄存器;

​ 2)[PC, 4] :以PC寄存器为锚点,加上一个偏移量来标识绝对地址。(PC相对寻址);

​ 3)LDR PC, hook函数地址:将hook函数地址读入PC寄存器中,实现函数跳转;

​ 4)指令偏移量变化原因:三级流水线取值与执行之间相差2条指令,所以偏移量需要调整。

汇编指令
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

​ ARM架构下CPU三级流水线:CPU运行被拆分为三个步骤分别为取址、转义、执行,步骤可以近似理解为三个并行线程。取址与执行之间相差2条指令。例如:执行到0x00006004时,pc寄存器取值0x00006012。

(3)Inline Hook流程
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

了解原理之后,只需要在必经之路埋下检测点就可以达到对作弊方式进行原理性检测的目的。

3、服务化

​ 通过场景分析问题,根据问题提出解决方案,根据方案孵化出目标安全产品。将孵化出的基础安全产品提供给上游业务风控使用。由基础安全产品提供专业能力,能够降低业务安全参与人员的门槛,上游系统能够更加聚焦于业务防护本身。
去哪儿风控安全产品的探索之路,业务安全,安全,网络,系统架构,爬虫,网络爬虫

0x03-思考

(1)以攻促防。从业务安全场景出发,从作弊者角度思考问题,从数据、原理发现解决问题。不断进行攻防对抗,才能使研发人员和系统不断成长。

(2)真人化。真人化的演变过程是从协议破解到模拟器,再到真机,目前正在朝真人众包方向发展。如何定义与识别真实用户和作弊者是新的难题。

0x04-结尾

《码头工人的一千零一夜》是一位专注于技术干货分享的博主,追随博主的文章,你将深入了解业界最新的技术趋势,以及在Java开发和安全领域的实用经验分享。无论你是开发人员还是对逆向工程感兴趣的爱好者,都能在《码头工人的一千零一夜》找到有价值的知识和见解。

软件工程没有银弹,逆向工程永远胜利。

懂得不多,做得太少。欢迎批评、指正。文章来源地址https://www.toymoban.com/news/detail-787910.html

到了这里,关于去哪儿风控安全产品的探索之路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 腾讯安全周斌:用模型对抗,构建新一代业务风控免疫力

    6月13日,腾讯安全联合IDC发布“数字安全免疫力”模型框架,主张将守护企业数据和数字业务两大资产作为企业安全建设的核心目标。腾讯安全副总裁周斌出席研讨论坛并发表主题演讲,他表示, 在新技术的趋势影响下,黑灰产的攻击行为会进一步模拟真人行为,传统基于过

    2024年02月09日
    浏览(37)
  • 【腾讯云 TDSQL-C Serverless 产品体验】聚焦业务价值之在Serverless上的探索和实践

    【腾讯云 TDSQL-C Serverless 产品体验】聚焦业务价值之在Serverless上的探索和实践 简介:随着公司商城的业务规模量的逐渐增长,对系统服务的弹性诉求越来越强烈,通过借助腾讯云TDSQL-C Serverless最佳落地实践如何对企业有效的降低成本,提高效率。 公司在今年上半年开发了一

    2024年02月08日
    浏览(42)
  • 网络安全产品之认识入侵防御系统

    由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。

    2024年01月22日
    浏览(41)
  • 网络安全产品之认识入侵检测系统

    随着计算机网络技术的快速发展和网络攻击的不断增多,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。因此,入侵检测系统作为新一代安全保障技术,成为了传统安全防护措施的必要、有效的补充。《安全防御

    2024年01月21日
    浏览(54)
  • 验证码,让风控系统更安全

    风控系统指通过识别、评估、管理风险,可以帮助企业和个人降低风险,提高安全性。在金融领域,风控可以帮助金融机构识别和评估信用风险、市场风险、操作风险等,从而降低金融机构的损失。在保险领域,风控可以帮助保险公司识别和评估保险风险,从而提高保险公司

    2024年02月03日
    浏览(47)
  • 上海控安SmartRocket系列产品推介(六):SmartRocket PeneX汽车网络安全测试系统

    产品概述 上海控安汽车网络安全测试系统PeneX(Penetrator X)是一款支持对整车及车辆零部件及子系统实施网络安全测试的系统,其包含硬件安全、软件系统安全、车内通信及车外通信四大安全测试系统;支持合规性测试,包含国内外的法规及标准;提供实验室部署方案及便携

    2024年02月09日
    浏览(45)
  • 探索网络爬虫:技术演进与学习之路

    在信息时代,网络爬虫技术作为获取和处理网络数据的重要手段,已经成为数据科学、机器学习和许多商业应用的基石。从简单的HTML页面抓取到复杂的动态内容采集,爬虫技术经历了迅速的发展。本文将探索当前最新的爬虫技术,以及为有志于此领域的学习者提供一个清晰的

    2024年04月15日
    浏览(37)
  • “源擎”云原生分布式核心业务系统有什么产品优势?

    “源擎”核心系统 利用云原生、分布式、微服务技术,基于企业架构设计思想,构建了基础服务、业务服务、交易中心以及系列支撑组件,包含业务架构和多个微服务应用。 业务架构中, 交易中心 为银行提供了更灵活的选择,支持产品粒度的功能可替换,同时也能快速引入

    2023年04月26日
    浏览(45)
  • 【验证码逆向专栏】某验深知 V2 业务风控逆向分析

    本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关! 本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲

    2023年04月13日
    浏览(43)
  • 区块链系统探索之路:比特币核心的编译和探索

    前几节我们研究了椭圆曲线,有限域等比特币和区块链所依赖的底层算法。问题在于这些算法不是独立存在,而是作为模块嵌入到整个区块链的体系之中。因此不了解区块链的体系组成或应用场景,那么我们就很难理解这些算法衍生出来的概念或者基于他们的作用,所以本节

    2024年02月16日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包