所谓网络黑灰产(chǎn)，指的是電(diàn)信诈骗、钓鱼网站、木(mù)马病毒、黑客勒索等利用(yòng)网络开展违法犯罪活动的行為(wèi)。稍有(yǒu)不同的是，“黑产(chǎn)”指的是直接触犯國(guó)家法律的网络犯罪，“灰产(chǎn)”则是游走在法律边缘，往往為(wèi)“黑产(chǎn)”提供辅助的争议行為(wèi)。

黑产(chǎn)主要為(wèi)盗号木(mù)马、遠(yuǎn)控木(mù)马、勒索病毒、游戏外挂，灰产(chǎn)则是扫号养号、刷量吸粉、媷羊毛、数据爬取等。黑灰产(chǎn)如今已经形成了分(fēn)工(gōng)明确的产(chǎn)业链，产(chǎn)业链整合完整，上，中(zhōng)，下游团队成熟。黑/灰产(chǎn)技(jì )术也从模拟脚本发展到高级脚本，PC工(gōng)具(jù)到移动端工(gōng)具(jù)，APK到云控平台，机器执行到机器學(xué)习。随着黑/灰产(chǎn)的业務(wù)链愈发成熟，工(gōng)具(jù)愈发专业化，智能(néng)化，隐蔽化。对于不同行业都有(yǒu)着巨大的冲击，它不仅可(kě)以一夜‘薅’死一家企业，也可(kě)以一夜捧红一位‘网红’。

据南都大数据研究院等机构发布的《2018网络黑灰产(chǎn)治理(lǐ)研究报告》估算，2017年我國(guó)网络安(ān)全产(chǎn)业规模為(wèi)450多(duō)亿元，而黑灰产(chǎn)已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元，而且電(diàn)信诈骗案每年以20%~30%的速度在增長(cháng)。

Example

场景：快手，抖音等短视频平台快速刷粉丝，点赞，双击，评论，上热推。

工(gōng)具(jù)：

1.PC/手机一台  2.快手刷粉丝软件/安(ān)卓版

方法：

1.通过‘号商(shāng)’批量購(gòu)买快手ID

2.运行刷粉丝软件，通过重放访问指定作(zuò)品ID

3.设置请求间隔和模拟IP/地理(lǐ)位置绕过审核

不同的黑/灰产(chǎn)场景虽然各自的目标不同，针对的行业特征不同，但是不难发现，黑/灰产(chǎn)产(chǎn)业链中(zhōng)，外挂/工(gōng)具(jù)的使用(yòng)是必不可(kě)少的，各式各样的辅助工(gōng)具(jù)已经成為(wèi)灰产(chǎn)从业人员的利器。

如何有(yǒu)效的识别，检测这些工(gōng)具(jù)，并且结合实际的业務(wù)场景的行為(wèi)特征进行分(fēn)析是企业对抗黑/灰产(chǎn)业務(wù)最严峻的挑战。爱加密对抗黑/灰产(chǎn)的防御理(lǐ)念围绕业務(wù)全生命周期进行，通过威胁态势感知，实现对不同威胁的主动防御和及时响应。

通过对移动应用(yòng)的实时数据采集，收集应用(yòng)在使用(yòng)过程中(zhōng)的安(ān)全信息，包括启动、退出、访问页(yè)面等基础事件，使用(yòng)App时所收集的环境风险，异常行為(wèi)等事件，还包括对用(yòng)户操作(zuò)行為(wèi)进行特殊标记，如按钮点击，页(yè)面访问等行為(wèi)。通过大数据技(jì )术对安(ān)全事件进行事前态势感知，事中(zhōng)实时响应，事后追踪溯源从而帮助企业安(ān)全管理(lǐ)人员掌握移动业務(wù)的整體(tǐ)安(ān)全。

灰产(chǎn)在通过辅助工(gōng)具(jù)进行“薅羊毛”的过程中(zhōng)，都会有(yǒu)一些固定的流程或方法，比如root/越狱机/模拟器，改机工(gōng)具(jù)（设备复用(yòng)），扫号平台，触控精(jīng)灵，位置欺诈工(gōng)具(jù)，IP代理(lǐ)等不同种工(gōng)具(jù)与方法的组合，根据实际业務(wù)的场景，可(kě)以按照灰产(chǎn)的攻击手法设计从低风险到高风险的不同种攻击检测的自定义模型来进行匹配，然后根据模型上線(xiàn)后的匹配结果不断筛选调优，最终精(jīng)准定位‘羊毛党’进行感知和响应。

环境风险模型-模拟器分(fēn)析

背景：安(ān)卓模拟器是能(néng)在PC平台模拟安(ān)卓手机系统的模拟器软件。安(ān)卓模拟器能(néng)在電(diàn)脑上模拟出安(ān)卓手机运行环境，进而用(yòng)户可(kě)以无需真实的安(ān)卓手机，在PC端即可(kě)运行各种APP。安(ān)卓模拟器正常用(yòng)于APP的测试，體(tǐ)验。对于灰产(chǎn)而言，由于真机的成本过高，通过模拟器来模拟真机可(kě)大大降低攻击成本，而且方便操作(zuò)。

方法：模拟器环境分(fēn)析是通过收集当前运行APP的手机的硬件参数和系统参数，通过多(duō)个参数的综合比对来判定是否是真机还是模拟器设备，如為(wèi)模拟器设备则进行日志(zhì)展示与告警。

异常行為(wèi)模型-域名(míng)劫持分(fēn)析

结合域名(míng)代理(lǐ)分(fēn)析，针对以被灰产(chǎn)破解后进行网络劫持攻击的行為(wèi)，通过设置域名(míng)白名(míng)单，指定APP需要访问的服務(wù)器地址，然后在每次APP发起网络请求的时候对目标地址数据和白名(míng)单数据进行匹配，判定是否合法，如网络请求不在白名(míng)单内，进行实时数据上报并告警。

当发生安(ān)全威胁时，平台提供相应的安(ān)全工(gōng)具(jù)响应安(ān)全事件，如发生高风险行為(wèi)时，下发“退出应用(yòng)”策略，避免危害产(chǎn)生。平台提供的安(ān)全工(gōng)具(jù)包含：退出应用(yòng)、弹窗（文(wén)本、样式自定义）、toast提示退出（延时退出）、通知栏、启动第三方应用(yòng)、下载并安(ān)装(zhuāng)应用(yòng)等。结合实际场景灵活配置相应工(gōng)具(jù)，兼具(jù)安(ān)全及用(yòng)户體(tǐ)验。

平台会记录威胁事件的详情，对威胁事件画像，形成风险报告，事后也可(kě)检索历史威胁事件，实现追踪溯源的能(néng)力。

风险溯源

风险报告输出：平台可(kě)导出某段时间内的风险报告，包括威胁事件的分(fēn)布區(qū)域、影响的设备数等，用(yòng)户也可(kě)以实时导出某个或多(duō)个威胁场景的数据报告。

风险行為(wèi)检索：随着数据积累的逐步变多(duō)，管理(lǐ)的工(gōng)作(zuò)强度也会增大，管理(lǐ)人员想快速追踪威胁事件的难度也会变强，平台可(kě)提供数据检索能(néng)力，支持模糊搜索。可(kě)对城市、MAC地址、设备ID、系统名(míng)称等进行详细检索，提高管理(lǐ)人员的工(gōng)作(zuò)效率。

风险行為(wèi)画像：平台可(kě)对发生的威胁事件进行溯源，对风险行為(wèi)进行画像，回溯攻击路径，如受到病毒木(mù)马攻击后，平台会提供病毒应用(yòng)名(míng)称、病毒安(ān)装(zhuāng)路径、病毒应有(yǒu)包名(míng)、病毒apk的MD5等详情信息，提供此类型的威胁数据支撑。