《風控要略——互聯網業務反欺詐之路》全面、繫統地介紹了互聯網業務安全行業全貌，內容包括互聯網業務安全發展歷程、黑產攻擊態勢、業務風險防控方案、機器學習算法的使用以及行業未來發展走向等。

《風控要略——互聯網業務反欺詐之路》是一本全面描述互聯網業務反欺詐體繫的書籍，全書主要分為洞察黑產、體繫構建、實戰教程和新的戰場4個部分。第1部分介紹了黑產欺詐團伙的運作套路和攻擊手段；第2部分總結了我們在構建反欺詐技術體繫過程中沉澱的實踐經驗；第3部分分享了我們和黑產對抗的多個實戰案例，以及機器學習算法的綜合運用；第4部分介紹了我們在物聯網、內容安全、隱私合規等方面的實踐和對海外廠商的觀察。
讀者通過仔細閱讀《風控要略——互聯網業務反欺詐之路》，可以對互聯網反欺詐的過去、現在和未來有一個繫統的認識。希望《風控要略——互聯網業務反欺詐之路》能夠為正在關注該領域或從事相關工作的讀者提供有價值的參考。《風控要略——互聯網業務反欺詐之路》適合互聯網投資人、創業者、產品經理、運營人員和安全風控人員閱讀。

馬傳雷

曾任同盾科技反欺詐研究院執行院長、廣州中國科學院軟件應用技術研究所電子數據取證實驗室特聘專家，還曾擔任騰訊安全應急響應中心技術負責人、綠盟科技安全技術部總監等職務，國內知名安全專家。

孫奇

曾任同盾科技反欺詐產品研發總監，浙江大學碩士，知名Java架構師、Qcon全球開發者大會講師。

高嶽

東南大學碩士，曾任同盾科技移動安全產品研發總監，也曾在騰訊安全平臺部負責移動產品安全檢測能力建設和安全產品研發，業務安全專家。

互聯網與現實生活已呈融合發展之勢，我們從中獲得了極大的便利，同時也埋下了諸多的安全隱患。虛擬與現實的交融隱藏著重重罪惡的身影，其中，互聯網業務欺詐就如同一個毒瘤，讓企業與個人遭受損失。本書作者及其團隊身處對抗欺詐的一線，多年來積累了豐富的實戰案例與從業經驗。作者在本書中對互聯網業務反欺詐技術進行了深入的探討，生動還原了欺詐團伙的真實生態，繫統總結了其慣用的各種犯罪手法與套路，詳細論述了一繫列較好的反欺詐技術體繫和實施方案，對未來新興技術領域的態勢和應用思路進行了較為繫統的前瞻性研究與探索。本書行文流暢、事例有趣、邏輯清晰、內容全面，對相關領域從業者而言，是一本在管理和技術層面上都具備很高參考價值的優秀書籍。

李建華 上海交通大學網絡安全技術研究院院長、信息內容分析技術國家工程實驗室主任

黑產和風控繫統就是一對矛和盾，始終伴隨著線上金融業務的發展。正所謂 “道高一尺，魔高一丈”，新欺詐手段和新的防控技術交相出現，不斷博弈。有關黑產的技術、工具等信息不少，但是都不算完整，且缺乏繫統性。本書的幾位作者長期在安全行業奮戰，有著豐富的實戰經驗，對黑產行業和技術的研究很深入。本書繫統地介紹了黑產技術和反欺詐等安全繫統建設的策略和技術，非常實用，值得認真學習。

李懷根 廣發銀行研發中心總經理

互聯網反欺詐是個跨安全、數據、風控等多學科的新興領域，作者高屋建瓴，以時間為軸，繫統化介紹互聯網反欺詐領域的過去、現在和未來，並配以案例，詳細說明互聯網反欺詐工作中風險分析、設計防範、策略部署和運營監控等內容，深入淺出，是當下互聯網反欺詐領域難得一見的專業書籍。

高亮 移動集團智慧家庭運營中心高級安全專家

該書覆蓋了移動安全、JS代碼混淆、代碼虛擬機保護，以及運用機器學習識別自動機等相關技術，內容豐富，值得業內人員深入研讀。

楊珉 國家973項目首席科學家、復旦大學計算機科學技術學院副院長

該書的物聯網安全相關章節全面介紹了物聯網生態面臨的安全風險，通過多個真實案例的分析讓讀者有了比較具體的認識。在介紹物聯網安全和風控體繫建設方案時，作者在充分借鋻傳統安全攻防方法論的基礎上，深度融合了數據分析的思路，形成了一個創新性的物聯網生態安全建設方案，非常值得讀者參考和借鋻。

王濱 研究員級高級工程師、海康威視副總裁

技術升級推進了業務的發展，深入了解互聯網業務反欺詐是每一個風控從業人員的必修課。本書干貨滿滿、誠意十足，值得每一位互聯網風控從業人員品讀。

王彬 華住集團信息安全副總裁

這是一本非常專業的關於互聯網風控業務的圖書，凝結了作者長期與黑產鬥爭、建設風控體繫的寶貴經驗，是值得業務安全從業者甚至業務人員細讀的、不可多得的好書！

林鵬 獵豹移動安全總監

我認識馬傳雷近20年，見證著他在傳統安全甲方、乙方的長期實戰經歷，也見證著他從傳統安全到風控反欺詐的轉型。這本書凝聚了其風控團隊與黑產鬥爭的心血，將寶貴經驗毫無保留的成體繫化進行總結與提煉，是一部集大成之作，值得互聯網企業的風控部門學習借鋻。

oldjun T00ls.net聯合創始人

引言 互聯網業務安全概述 1

第一部分 洞察黑產

第1章 黑產發展態勢 8

1.1 黑產組織結構 8

1.2 黑產成員分布 11

1.3 黑產專業化分工 12

1.4 黑產攻擊規模 13

1.5 電信欺詐黑產 15

1.6 本章小結 16

第2章 黑產武器庫概覽 17

2.1 虛假號碼 17

2.1.1 貓池 18

2.1.2 短信驗證碼 20

2.1.3 接碼平臺 21

2.1.4 空號注冊 22

2.1.5 流量卡和物聯網卡 22

2.1.6 手機rom後門 23

2.2 代理IP 23

2.3 設備偽造工具 25

2.3.1 改機工具 25

2.3.2 多開工具 26

2.3.3 Root/越獄工具 27

2.3.4 Xposed 28

2.3.5 Cydia Substrate 28

2.3.6 Frida 28

2.3.7 硬改工具 29

2.3.8 脫機掛 29

2.3.9 備份恢復/抹機恢復 30

2.3.10 模擬器 32

2.3.11 定制瀏覽器 33

2.3.12 自動化腳本 34

2.4 其他工具 35

2.4.1 位置偽造工具 35

2.4.2 群控 36

2.4.3 工具集 42

2.5 本章小結 43

第二部分 體繫構建

第3章 反欺詐體繫建設思路 46

3.1 動態防控理念 46

3.2 防控體繫構建 47

3.3 本章小結 50

第4章 風控核心組件設備指紋 51

4.1 設備指紋的原理 51

4.2 設備指紋的技術實現 52

4.2.1 Android設備指紋 52

4.2.2 iOS設備指紋 54

4.2.3 Web設備指紋 56

4.2.4 設備ID生成與恢復邏輯 58

4.2.5 被動式識別技術 61

4.3 代碼保護 62

4.3.1 JS代碼混淆技術 63

4.3.2 Android/iOS SDK加固保護 77

4.4 本章小結 92

第5章 基於用戶行為的生物探針 93

5.1 生物探針 94

5.2 無感認證 95

5.2.1 無感認證的基礎 96

5.2.2 無感認證的構建 97

5.3 生物探針的應用場景 100

5.4 本章小結 100

第6章 智能驗證碼的前世今生 102

6.1 驗證碼的誕生 102

6.1.1 驗證碼的本質 103

6.1.2 驗證碼的發展 105

6.2 驗證碼的攻防 108

6.2.1 字符驗證碼的識別 108

6.2.2 新型驗證碼的識別 112

6.2.3 對抗黑產的方案 115

6.3 設計一款優秀的驗證碼 117

6.3.1 設計標準 117

6.3.2 設計實戰 118

6.4 本章小結 122

第7章 風控中樞決策引擎繫統 123

7.1 規則引擎 123

7.1.1 腳本引擎 124

7.1.2 開源規則引擎 125

7.1.3 商業規則引擎 125

7.1.4 幾種規則引擎實現方案的對比 126

7.2 規則管理 127

7.3 規則推送 128

7.4 規則執行 129

7.5 外部繫統集成 129

7.6 灰度測試 130

7.7 本章小結 131

第8章 海量數據的實時指標計算 132

8.1 實時指標計算概述 132

8.2 實時指標計算方案 135

8.2.1 基於數據庫SQL的計算方案 135

8.2.2 基於事件驅動的計算方案 135

8.2.3 基於實時計算框架的計算方案 136

8.2.4 實時指標計算方案對比 141

8.3 反欺詐實時指標計算實踐 141

8.3.1 實時指標計算引擎原型 141

8.3.2 數據拆分計算 144

8.3.3 分片計算 147

8.3.4 引入Flink 148

8.3.5 Lambda架構 148

8.4 反欺詐實時指標計算繫統 149

8.5 本章小結 151

第9章 風險態勢感知繫統 152

9.1 基於統計分析的方法 153

9.1.1 核心風控指標數據 154

9.1.2 核心業務數據 156

9.2 基於無監督學習的方法 157

9.3 基於欺詐情報的方法 158

9.4 預警繫統 159

9.5 本章小結 160

第10章 風險數據名單體繫 161

10.1 名單體繫的價值 162

10.2 名單體繫的設計 162

10.3 名單體繫的生命周期 166

10.4 名單體繫質量管理 168

10.5 本章小結 168

第11章 欺詐情報體繫 169

11.1 情報采集 169

11.1.1 數據情報 170

11.1.2 技術情報 171

11.1.3 事件情報 174

11.2 情報分析 175

11.3 本章小結 179

第三部分 實戰教程

第12章 機器學習算法的使用 182

12.1 機器學習的廣泛應用 182

12.2 機器學習的落地過程 183

12.2.1 特征工程 183

12.2.2 模型選擇 187

12.2.3 模型訓練 195

12.2.4 工程化和業務落地 197

12.3 機器學習實戰案例 198

12.3.1 案例一：黑產設備群控網絡挖掘 198

12.3.2 案例二：黑產用戶行為聚類分析 205

12.3.3 案例三：金融在線申請反欺詐 212

12.4 本章小結 220

第13章 互聯網反欺詐實戰 221

13.1 典型反欺詐業務場景風險分析 221

13.1.1 垃圾注冊風險識別 222

13.1.2 批量登錄風險識別 223

13.1.3 “薅羊毛”風險識別 225

13.1.4 裂變拉新作弊風險識別 227

13.1.5 “任務”作弊風險識別 229

13.1.6 惡意退單風險識別 229

13.2 解決方案設計示例 231

13.2.1 電商薅羊毛 233

13.2.2 裂變拉新 236

13.3 策略部署 239

13.3.1 策略配置 239

13.3.2 策略迭代 241

13.4 運營監控 241

13.4.1 監控預警報表 241

13.4.2 態勢感知 242

13.4.3 情報監控 243

13.5 本章小結 244

第四部分 新的戰場

第14章 物聯網時代的風控 246

14.1 物聯網安全態勢 246

14.2 物聯網安全威脅分析 247

14.2.1 雲端平臺安全威脅 248

14.2.2 網絡通信安全威脅 249

14.2.3 設備終端安全威脅 250

14.2.4 物聯網安全監管要求 253

14.3 物聯網安全風險控制體繫建設思路 254

14.4 物聯網安全風險態勢感知繫統 256

14.5 本章小結 260

第15章 內容安全與合規 261

15.1 內容安全合規概述 261

15.2 文本內容安全 263

15.2.1 敏感詞繫統 264

15.2.2 基於NLP的AI模型 267

15.3 圖像內容安全 271

15.3.1 圖像分類 271

15.3.2 敏感人物識別 276

15.3.3 圖像文字識別 285

15.4 語音內容安全 286

15.4.1 有語義語音 286

15.4.2 無語義語音 287

15.5 視頻內容安全 288

15.5.1 視頻內容安全處理流程 289

15.5.2 關鍵幀提取 289

15.6 內容安全工程 290

15.7 內容安全繫統的評價指標 291

15.8 本章小結 292

第16章 風控與數據合規使用 293

16.1 網絡安全立法進程 293

16.2 個人數據合規使用 294

16.2.1 用戶隱私政策 295

16.2.2 數據安全流轉 296

16.3 數據合規技術創新實踐 298

16.3.1 數據匿名查詢 298

16.3.2 區塊鏈共享黑名單 299

16.4 本章小結 300

第17章 海外風控公司 302

17.1 Arkose Labs 302

17.2 Sift 304

17.3 Forter 305

17.4 Shape Security 306

17.5 Okta 308

17.6 本章小結 313

從2018年開始，我和高嶽、孫奇一起從事業務安全產品設計、研發的工作。在此之前，高嶽是移動安全方面的專家，孫奇是資深的Java架構師，而我則是從事黑客攻防對抗的工程師。於我們而言，這是一段非常美好的經歷，非常感謝命運的安排。

因為個人興趣和工作需要，我們和很多朋友就互聯網業務安全進行了深入交流。他們有的是互聯網公司的產品研發人員和運營人員，有的是傳統金融機構互聯網線上業務拓展推廣人員，也有的是專業風控和安全從業者。從與他們的溝通交流中，我們學到了很多業務領域的知識，同時也發現大家對互聯網黑產及互聯網業務安全體繫構建缺乏深入了解。我們常常聽到這樣的話：“投入了很多資源構建互聯網業務安全體繫，購買了專業公司的風控產品和服務，但是依然沒能阻止網絡黑產無情的攻擊。”

在實際項目中，我們也遇到了一些困擾：產品POC測試嚴重脫離業務場景實際需求，錯誤的策略部署導致產品無法正常發揮防御能力。我們在復盤時常常反思這些問題，是不是可以通過某些方式幫助客戶更全面地理解業務風險的脈絡和黑產攻擊的套路。很多問題的產生並不是因為黑產團伙的技術有多麼高明，而是因為防御方不能夠很好地幫助客戶理解業務風險。

2019年3月的某一天，高嶽提議寫一本全面介紹互聯網業務反欺詐體繫構建和實踐經驗的書籍，這個建議點燃了我們心中的火焰。我們立即開始整理資料並寫作，經過8個多月的努力，我們在2020年的春節前完成了這本書稿。

本書主要分為洞察黑產、體繫構建、實戰教程和新的戰場4個部分。第1部分介紹了黑產欺詐團伙的運作套路和攻擊手段；第2部分總結了我們在構建反欺詐技術體繫過程中沉澱的實踐經驗；第3部分分享了我們和黑產對抗的多個實戰案例，以及機器學習算法的綜合運用；第4部分介紹了我們在物聯網、內容安全、隱私合規等方面的實踐和對海外廠商的觀察。

希望讀者通過閱讀本書，可以對互聯網反欺詐的行業現狀有一個繫統而具體的認識。業務安全的真正力量是內生的，專業的安全風控公司可以提供工具、平臺和策略建議，但是隻有業務方真正理解風險和防控思路，纔能在與黑產的對抗中設計好業務規則、運營好安全策略，取得較好的效果。如果讀者正在關注該領域或從事相關工作，我們相信本書一定能夠為您提供幫助。

我們相信本書將成為中國互聯網歷史中一個微小但堅硬的符號。以當前互聯網的進化速度，若干年後本書介紹的風控體繫可能會被新技術完全重構，行業態勢也會有很大的不同。後來者可以通過本書觀察和體會行業與技術的演進軌跡，進而把握未來的發展趨勢。

用工作之外的時間把自己的想法變成數十萬字的圖書，是一件非常考驗耐心的事情。除了三位主要作者，還有以下幾位同學堅持參與撰寫本書的部分內容。

\u0097 李克勤、章嵐撰寫了“第2章 黑產武器庫概覽”、“第10章 風險數據名單體繫”和“第11章 欺詐情報體繫”章節的初稿。

\u0097 郭嵩、彭亮撰寫了“第4章 風控核心組件設備指紋”中Web設備指紋和JS混淆相關內容的初稿。

\u0097 趙峰撰寫了“第5章 基於用戶行為的生物探針”章節的初稿。

\u0097 江傑撰寫了“第6章 智能驗證碼的前世今生”章節的初稿。

\u0097 賀海軍、王明英撰寫了“第12章 機器學習算法的使用”實戰案例相關的內容。

\u0097 劉瑩撰寫了“第13章 互聯網反欺詐實戰”章節的初稿。

在稿件完成之際，有特別多想感謝的朋友。在過去的一年中，羅小果等同事運作的項目，促使我們對業務安全防御體繫有了更深入的思考，使得本書的整體框架更具有邏輯性。在完成初稿後，陳鈞衍等多位技術同事給出了很多非常好的修改建議。感謝電子工業出版社的策劃編輯符隆美，感謝我們的同事韜哥、偉哥、藝嚴等，感謝“藍星技術群”的互聯網安全同行，沒有你們的鼓勵和幫助，也許就不會有這本書的面世。

作為互聯網安全從業者，回顧這幾年走過的路，黑產的技術發展和規模膨脹給我們帶來了很大的壓力，同時也讓我們有了更大的動力去構建更加有效的安全防御產品體繫。在此我們向互聯網安全行業中諸多提攜我們成長的前輩和守望相助的朋友們致敬，他們是alert7、binw、cnhawk、coolc、cy07、flashsky、huiwang、instruder、kevin1986、lake2、lenx、linkboy、marcohp、mkliu、oldjun、pix、rozero、scz、tb、xi4oyu、xundi、方斌、丁麗萍、顧孔希、高亮、何藝、劉進、林鵬、馬坤、聶君、秦波、王彬、王任飛、王英健、閻文斌、楊珉、趙弼政等等（排名不分前後），還有很多很多行業拓荒者和同行者，在此難以一一列舉。

由於作者寫作水平有限，書中難免存在疏漏與不足之處，懇請讀者批評指正。就本書覆蓋的內容而言，在反爬蟲、反洗錢、業務生態秩序安全治理及用戶安全心智建設等深水區沒有進行深入闡述，我們也是心有遺憾並且希望能夠在下一本書中彌補，敬請期待。

馬傳雷