这是我参与[第五届青训营]伴学笔记活动的第10天
国内黑产介绍
常见的黑产类型:
诈骗,薅羊毛,黄牛,博彩,引流,跑分,木马,钓鱼,病毒,拖库,盗号,勒索软件
黑产团伙的发展趋势:
规模化,组织化,平台化
常见的黑产技术分析
利用业务逻辑漏洞替换数据包进行的黑产,如:
2018年某银行业务逻辑漏洞
人脸识别对抗:
从照片到3D人脸模型,使用现有的2D->3D技术将照片转化为动图或者三维可动图像通过人脸识别检测,达到一些黑灰产的目的。
地理位置对抗:
通过修改地理位置来获取一些不正当利益。例如,定位打卡,摇一摇附近的人同时修改定位来做大量的广告。进行出租车抢单活动,抢到对应的订单之后将订单“付费”转移。
安全防护体系的建设
安全防护一般分为事前,事中,事后三个时期。
事前:
情报监控,暗网,贴吧,TG,破解论坛。对应的防护手段有,SDLC,漏洞扫描。
事中:
渗透测试,威胁感知。其中威胁感知较为常用,一般可以通过用户行为异常检测,接口数据异常检测,恶意流量检测来起到感知作用,并且快速进行应对。另一方面风控和安全策略也是黑产防护上不可或缺的一环。
事后:
事后防护一般效果有限,但可以起到对现有安全防护策略和体系的完善作用。一般有威胁建模,攻击溯源的方式。\
对于黑产安全防护一般有一些常用的方法可以使用。比如:验证码,安全SDK,代理检测,人脸识别,黑产名单,WAF,IDS,DLP,终端安全防护,行为审计。其中用户代理检测通过检测用户代理字符串来确定实际使用的浏览器。在每一次HTTP请求过程中,用户代理字符串是作为响应首部发送的,而且该字符串可以通过JavaScript的navigator.userAgent属性访问。在服务器端,通过检测用户代理字符串来确定用户使用的浏览器是一种常用而且广为接受的做法。
