成喆 发布时间: 2019-01-18 12:25:00 浏览 407 评论 1
安全
日志
互联网
电商
Image
aliyun
运营
报表
存储
用户行为分析
风控
薅羊毛
羊毛党
风险识别
黑色产业
摘要: 目前, 阿里云风险识别与日志服务打通, 对外开放风控实时调用的请求与结果的日志, 并提供基于日志服务报表的用户行为分析功能. 同时提供基于日志服务的查询分析, 报表报警, 下游计算对接与投递的能力.
羊毛党已经产业化, 规模化, 专业化
随着互联网, 智能设备及各种新生业务的飞速发展, 越来越多的业务模式开始呈现线上化, 虚拟网络给人们带来了便捷, 高效的同时也衍生出了一类职业 -- 网络黑灰产; 他们为获得利益不断侵蚀各大网站, 影响网站业务的安全, 导致网站用户体验变差, 营销资金丢失, 用户信任度降低等一系列的问题. 其中互联网营销一直以来都面对羊毛党的挑战, 根据 FreeBuf 2017 年底发布的调查报告, 2017 年前 3 季度, 中国至少发生了 6 亿次薅羊毛行为, 覆盖 110 万个羊毛党团伙, 超过 400 万个手机号. 覆盖直播, 短视频, 电商, 支付等各个互联网行业.
所谓道高一尺魔高一丈, 羊毛党早已经开始产业化, 规模化, 专业化发展. 产业规模上, 借助中国人口红利, 大规模的羊毛通讯工具群也在不断建立, 采用分工协作, 雇佣分发的模式, 将上百万的人纳入到薅羊毛的灰色产业中. 专业技术上, 无论是手机号注册, 验证码校验还是设备监测, 羊毛党的对应技术手段也是不断发展, 手机池, 养号, 打码平台, NLP, 甚至人工智能等都被积极应用.
阿里云业务识别 - 用户行为分析概述
阿里云业务识别
阿里云风险识别 (Fraud Detection) 基于阿里巴巴安全团队多年风控技术的积累, 结合阿里云, 淘宝, 支付宝等平台的风险运营经验, 为企业用户提供智能, 轻量, 成熟的业务风控解决方案, 快速解决业务安全风险, 降低损失.
阿里云日志服务
阿里云的日志服务 (log service) 是针对日志类数据的一站式服务, 无需开发就能快捷完成海量日志数据的采集, 消费, 投递以及查询分析等功能, 提升运维, 运营效率. 日志服务主要包括 实时采集与消费, 数据投递, 查询与实时分析 等功能, 适用于从实时监控到数据仓库的各种开发, 运维, 运营与安全场景:
目前, 阿里云风险识别 (Fraud Detection) 与日志服务打通, 对外开放风控实时调用的请求与结果的日志, 并提供基于日志服务报表的用户行为分析功能. 同时提供基于日志服务的查询分析, 报表报警, 下游计算对接与投递的能力.
发布地域
国内
适用客户
拥有大量注册, 登录的终端客户, 并经常组织互联网营销活动的娱乐, 电商, 支付或互联网服务公司.
提供互联网资讯, 服务的, 需要检验终端客户注册与登录安全性的银行, 证券, 电商, 互联网服务的公司.
拥有自己的安全运营中心(SOC), 需要收集风险结果日志进行中央运营管理的企业, 如大型地产, 电商, 金融公司, 政府类机构等.
拥有较强技术能力, 需要基于云上资产的日志进行深度分析, 对告警进行自动化处理的企业, 如 IT, 游戏, 金融公司等.
功能优势
业务识别基于日志的用户行为分析具备如下优势:
配置简单: 轻松配置即可实现实时日志的实时采集.
实时分析: 依托日志服务产品, 提供开箱即用的报表并自带交互挖掘支持, 从 0 到 1, 让您对业务服务的风险拥有更全更深入的视角.
实时告警: 支持基于特定指标定制准实时的监测与告警, 确保在关键业务发生异常时能第一时间响应.
生态体系: 支持对接其他生态如实时计算, 云存储, 可视化等方案, 进一步挖掘数据价值.
费用: 免费提供 180 天实时请求日志与结果的存储.
开通前提
开通日志服务
开通业务识别的增强版本
限制说明
业务识别所存储的日志库属于专属的日志库, 有如下限制:
用户无法通过 API/SDK 等方式写入数据, 或者修改日志库的属性(例如存储周期等)
其他日志库的功能, 例如查询, 统计, 报警, 流式消费等均支持与一般日志库无差别
日志服务对专属日志库不进行任何收费, 但日志服务本身需处于可用状态(不超期欠费)
后期会升级并发布内置的报表.
使用场景
1. 了解业务总体风险浓度与趋势, 主要风险标签类型
可以交互式查询, 例如查看总体平均浓度:
__topic__: saf_access_log and score>= 0 | select round(avg(score),1) as score_level
可以基于 instance_id 筛选出特定业务查看:
字段 instance_id 值 | 对应业务 |
---|---|
account_abuse_pro | 注册风险 |
account_takeover_pro | 登录风险 |
coupon_abuse_pro | 营销风险 |
也可以直接查看报表风险大盘:
2. 追踪分析个体行为, 活跃地理与设备细节等
基于日志分析个体的业务风险, 可以通过风险大盘中的个体列表点击进入个体分析报表, 或者直接在个体分析中输入个体的特征信息 (如手机号码, 邮箱等) 开始分析:
也可以在日志服务的日志库中进行交互式查询, 例如查询所有安卓设备的高风险用户:
__topic__: saf_access_log and score>= 65 and device_info.platform: Android
交互式查询, 支持标准 SQL92 语法, 并融合多种扩展分析函数:
3. 实时监测并告警, 及时响应服务与业务异常
在日志服务高级管理中, 当发生调用时发生非 200 的错误时能够第一时间响应, 确保运维顺利. 或者针对特定业务的终端高风险行为实时监测并告警, 例如每 5 分钟超过 10 个高风险登录事件时告警:
__topic__: saf_access_log and score>= 65 and instance_id: account_takeover_pro | select count(1) as pv having pv> 10
支持多种告警模式(例如钉钉, 短信等), 并支持自定义告警内容模板:
4. 输出安全网络日志到自建数据与计算中心
支持将日志导出到您的 SOC,OSS 或者流式计算引擎当中, 具体可以参考这篇最佳实践.
尝鲜试用
我们提供了业务识别用户行为分析的大盘的功能演示, 您可以尝鲜试用:
https://promotion.aliyun.com/ntms/act/logdoclist.html?wh_ttid=pc
直达链接:
业务识别 - 运营大盘
业务识别 - 个体分析
进一步参考
我们会陆续发布业务识别的行为分析的最佳实践, 敬请期待.
来源: https://yq.aliyun.com/articles/688069