信息來源：比特網

阿里集團以過千億的雙十一驕人戰(zhàn)績拉開了一年一度狂歡購物季的序幕。從現(xiàn)在起直到春節(jié)期間，買買買和促銷打折一直都是主旋律。眾商家使出渾身解數，推出各式補貼和優(yōu)惠紅包，亮出種種招數吸引流量和消費者。然而，網絡上總有一種黑洞一樣的不法勢力存在，目標直接對準了商家的行銷補貼，你越補貼，他越吸食。整個促銷季下來，辛苦策劃的活動招來的卻是一幫羊毛黨，大把投入的人民幣卻沒能帶來真實的用戶流量，少則數十萬多則上千萬的行銷資源打了水漂，還要面對消費者指責活動欺騙。面對無孔不入的黑產分子、流失的行銷資源和受損的商譽，電商們苦不堪言，有口難辯。

日漸膨脹的黑色產業(yè)鏈

對于電商平臺來講，網絡之上的購物盛宴有多狂歡，隱匿網絡之下的黑色產業(yè)鏈就有多瘋狂!這不是聳人聽聞。根據電商自己的統(tǒng)計，節(jié)日促銷期間60%的網絡流量來自自動化攻擊而不是正常的訪問流量。根據中國互聯(lián)網絡信息中心發(fā)布的最新數據顯示，2015年黑產收入達到千億級級別，2015年全球網絡犯罪的年成本為3萬億美元 。賽門鐵克發(fā)布的第21期《互聯(lián)網安全威脅報告》(ISTR)中指出，2015年網站每天會遭遇超過100萬個網頁攻擊，因管理員未能及時安裝最新補丁，約75%的網站存在安全漏洞，這使得攻擊者得以不斷利用網站中的漏洞來感染更多用戶。

在利益的驅使下，黑色產業(yè)像毒瘤一樣擴散開來。不法分子利用黑客技術輕而易舉地入侵相關網站的服務器或者站點，通過盜號、工具販售及數據買賣等方式獲取不法所得，絞盡腦汁地“榨取”著商家的利益。在眾多行業(yè)中，電商以人多、錢多的特點成為黑產分子的首選目標，每逢電商節(jié)日促銷之時，就是黑產分子興風作浪的覬覦之際。黑產分子們巧取豪奪的手法不外乎以下幾種。

竊取和倒賣數據庫信息：通過拖庫盜取賬號及密碼等敏感數據等，在攻破數據庫后，轉手進行倒賣，這常見的黑客賺錢途徑。

撞庫：黑客通過各種渠道獲得大量注冊用戶名和密碼數據后，利用自動化程序對電商網站實施撞庫攻擊、賬號盜用，導致用戶信息及資金蒙受巨額損失。

黃牛黨：緊盯電商平臺的打折、秒殺、贈送、抵用券等促銷活動，活動一旦上線，職業(yè)黃牛團伙就會利用軟件將其秒殺，再高價售出，商家投入的大量資源和資金，結果往往成為黃牛們的分食盛宴。

“薅羊毛”:羊毛黨們在網上刷取優(yōu)惠活動資源，凡有活動就薅，不計風險，混跡于電商、外賣、網貸等各大平臺上，通過獲得諸多的免費機會，再以低于市場價的價格轉賣給需要的人，從中牟利。一些小平臺在一次優(yōu)惠活動中就能夠直接被薅干，進而破產。

其實不需要懂得多少黑客技術，不法分子就能在黑色產業(yè)鏈中分得一杯羹。根據Gartner報告，到2020年，全球將有30%的企業(yè)被黑產從業(yè)者或者黑客直接入侵。黑產不僅令企業(yè)蒙受了巨大的經濟損失，更讓企業(yè)的商譽、信譽掃地?？箵艉诋a，已經是包括電商在內的所有企業(yè)必須面對的首要任務。

傳統(tǒng)的網絡安全被動乏力

在浩浩蕩蕩的黑產分子面前，傳統(tǒng)的網絡安全手段遭遇了前所未有的滑鐵盧，顯得被動又滯后?；谔卣鳈z測的安全技術曾經是基本的安全理念。但是當前這一理念在各種自動化的海量攻擊面前失去了效力，攻擊者會研制使用專門工具，針對特定目標發(fā)起攻擊，防護者并沒有機會提前在別的地方見識過這種攻擊方法，因此根本無法提前提取出特征，而且很多專門的攻擊程序，使用一次以后也不會再用了。

“黑名單”和“白名單”是傳統(tǒng)網絡安全另外常用的方法。通過利用“黑名單”或者“白名單”類型進行篩選，以減少用戶風險。不過對用戶網絡之外的整個世界進行描述本身就是一件困難和不完善的事情，“黑名單”和“白名單”根本無法對付隱蔽并且數目龐大的羊毛黨和黃牛黨的攫取。對于“薅羊毛”、“刷單”等不法行為，現(xiàn)有的安全技術不能將其從正常的訪問流量當中區(qū)別開來，也不能針對正常的交易過程提供保護。

此外，傳統(tǒng)的安全手段對個人隱私數據保護不利，攻破相關數據庫造成信息泄露的事件屢屢發(fā)生。一個交易過程中的各種數據，如賬號信息、密碼信息、手機號碼、銀行信息等，只要有利用價值，都會被黑客盯上，從而成為被竊取的目標，并且很快得逞。

對付黑產，電商急需安全新思路

龐大的用戶群體和大量的現(xiàn)金流動讓電商被網絡攻擊、黑客入侵、惡意刷單等不法行為步步緊逼;尤其在節(jié)日促銷的重要節(jié)點上，電商面臨的挑戰(zhàn)將更加突出和嚴峻。面對這樣的行業(yè)特點和嚴苛需求，電商平臺不僅要在業(yè)務層面保護自己的行銷資源不被惡意侵占，還要保護用戶的數據不被竊取，保護每一個交易鏈條不被篡改。針對低等級羊毛黨群體，電商只需要調整一下活動規(guī)則就能防住，但是對付高級職業(yè)刷客和專業(yè)黑客，電商平臺就得借助全新的安全技理念和技術，通過更加精準而專業(yè)的安全技術加以防范了。

作為業(yè)界最前沿的互聯(lián)網動態(tài)安全保護解決方案提供商，瑞數信息( River Security)提供全球領先的主動、動態(tài)防護安全技術，首創(chuàng)的“動態(tài)安全”主動防御理念可以有效抵御各類自動化攻擊或模擬合法操作的交易欺詐行為，改變了長期以來“攻擊易、防守難”的被動局面，讓黑客完全陷入被動，讓防御變得主動、高效、可靠、簡單。

瑞數信息打造的動態(tài)安全產品以‘先發(fā)制人，掌握先機’的防護哲學徹底顛覆攻防態(tài)勢，大幅提升黑客針對企業(yè)門戶的攻擊難度，包括撞庫、薅羊毛、短信轟炸、掃描攻擊、刷評論、刷下載量、假百度爬蟲等，有效保護了商家的促銷活動和促銷收益。同時，通過大數據分析，瑞數動態(tài)安全可以幫助企業(yè)透視網站的安全風險，發(fā)現(xiàn)更多的安全威脅與攻擊，并根據網站安全狀態(tài)部署相應的防護策略，為企業(yè)在線業(yè)務提供全程安全防護。

作為國內第一家專注于動態(tài)安全的廠商，瑞數信息動態(tài)安全系統(tǒng)(RAS)會架設在web服務器與終端之間，通過動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)令牌四大技術功能來實現(xiàn)在一次交易過程中對交易環(huán)境和業(yè)務數據的主動防護。

動態(tài)封裝，讓攻擊者無從下手!對網頁底層代碼做動態(tài)封裝，隱藏攻擊入口，升攻擊難度?！?RAS 每次都采用不同的封裝算法，將在發(fā)起訪問請求時對網頁底層代碼的動態(tài)加密封裝，對試圖掃描漏洞的攻擊者隱藏攻擊入口。

動態(tài)驗證，讓職業(yè)刷客無工具可用!運行環(huán)境驗證，有效甄別“人”還是“自動化”攻擊，打擊自動化攻擊的有效工具。—— RAS 通過對個人PC和移動設備的指紋采集，以及對主流瀏覽器的屬性和環(huán)境變量進行超過16萬種組合的隨機抽取，來驗證客戶端的合法性，識別機器人并提升攻擊者使用自動化工具冒充合法客戶端的難度。

動態(tài)混淆，杜絕了交易篡改!對客戶端敏感數據進行混淆，保護數據傳輸安全，保護終端請求內容及交易內容。——在交易過程中， RAS使用一次性的混淆算法與密鑰組合，對終端請求內容(cookie、url、表單等數據)進行動態(tài)混淆加密，以防止通過中間人攻擊進行的請求偽造或竊聽/篡改交易內容。

動態(tài)令牌，保護正常交易!一次性動態(tài)令牌，確保執(zhí)行正確的業(yè)務邏輯，保障業(yè)務邏輯正確運行。 RAS 通過對動態(tài)令牌合法性的校驗，來防止攻擊行為的發(fā)生。

當前，瑞數信息RAS系統(tǒng)部署在Top 10的電商平臺中，平均每天可阻擋高達1200萬個惡意交易，以及4500萬個交易欺詐行為。

購物季給電商的幾點安全忠告

瑞數信息建議電商認清黑產的危害和發(fā)展趨勢，針對黑產逐步從無序、粗暴轉向“團伙化、專業(yè)化、碎片化、眾包化”的態(tài)勢，從網站架構、業(yè)務風控以及網絡安全等技術入手，通過制定相應的安全防范規(guī)則，為平臺用戶制作全流程、全方位的風險畫像，對黑產做到“知己知彼”，主動將其“扼殺”在萌芽時期。此外，借助第三方安全廠商的創(chuàng)新動態(tài)安全解決方案，可以讓電商更有效率的阻擋黑產，把更多資源投放在電商的核心業(yè)務。只有積極主動地采取有力的措施，才能杜絕黃牛黨和羊毛黨,才能真正把優(yōu)惠和福利傳遞給消費者，實現(xiàn)業(yè)務的良性發(fā)展。