阿里集團(tuán)以過(guò)千億的雙十一驕人戰(zhàn)績(jī)拉開(kāi)了一年一度狂歡購(gòu)物季的序幕。從現(xiàn)在起直到春節(jié)期間，買(mǎi)買(mǎi)買(mǎi)和促銷(xiāo)打折一直都是主旋律。眾商家使出渾身解數(shù)，推出各式補(bǔ)貼和優(yōu)惠紅包，亮出種種招數(shù)吸引流量和消費(fèi)者。然而，網(wǎng)絡(luò)上總有一種黑洞一樣的不法勢(shì)力存在，目標(biāo)直接對(duì)準(zhǔn)了商家的行銷(xiāo)補(bǔ)貼，你越補(bǔ)貼，他越吸食。整個(gè)促銷(xiāo)季下來(lái)，辛苦策劃的活動(dòng)招來(lái)的卻是一幫羊毛黨，大把投入的人民幣卻沒(méi)能帶來(lái)真實(shí)的用戶(hù)流量，少則數(shù)十萬(wàn)多則上千萬(wàn)的行銷(xiāo)資源打了水漂，還要面對(duì)消費(fèi)者指責(zé)活動(dòng)欺騙。面對(duì)無(wú)孔不入的黑產(chǎn)分子、流失的行銷(xiāo)資源和受損的商譽(yù)，電商們苦不堪言，有口難辯。

　　對(duì)于電商平臺(tái)來(lái)講，網(wǎng)絡(luò)之上的購(gòu)物盛宴有多狂歡，隱匿網(wǎng)絡(luò)之下的黑色產(chǎn)業(yè)鏈就有多瘋狂！這不是聳人聽(tīng)聞。根據(jù)電商自己的統(tǒng)計(jì)，節(jié)日促銷(xiāo)期間60%的網(wǎng)絡(luò)流量來(lái)自自動(dòng)化攻擊而不是正常的訪(fǎng)問(wèn)流量。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的最新數(shù)據(jù)顯示，2015年黑產(chǎn)收入達(dá)到千億級(jí)級(jí)別，2015年全球網(wǎng)絡(luò)犯罪的年成本為3萬(wàn)億美元 。賽門(mén)鐵克發(fā)布的第21期《互聯(lián)網(wǎng)安全威脅報(bào)告》（ISTR）中指出，2015年網(wǎng)站每天會(huì)遭遇超過(guò)100萬(wàn)個(gè)網(wǎng)頁(yè)攻擊，因管理員未能及時(shí)安裝最新補(bǔ)丁，約75%的網(wǎng)站存在安全漏洞，這使得攻擊者得以不斷利用網(wǎng)站中的漏洞來(lái)感染更多用戶(hù)。

　　在利益的驅(qū)使下，黑色產(chǎn)業(yè)像毒瘤一樣擴(kuò)散開(kāi)來(lái)。不法分子利用黑客技術(shù)輕而易舉地入侵相關(guān)網(wǎng)站的服務(wù)器或者站點(diǎn)，通過(guò)盜號(hào)、工具販?zhǔn)奂皵?shù)據(jù)買(mǎi)賣(mài)等方式獲取不法所得，絞盡腦汁地"榨取"著商家的利益。在眾多行業(yè)中，電商以人多、錢(qián)多的特點(diǎn)成為黑產(chǎn)分子的首選目標(biāo)，每逢電商節(jié)日促銷(xiāo)之時(shí)，就是黑產(chǎn)分子興風(fēng)作浪的覬覦之際。黑產(chǎn)分子們巧取豪奪的手法不外乎以下幾種。

　　竊取和倒賣(mài)數(shù)據(jù)庫(kù)信息：通過(guò)拖庫(kù)盜取賬號(hào)及密碼等敏感數(shù)據(jù)等，在攻破數(shù)據(jù)庫(kù)后，轉(zhuǎn)手進(jìn)行倒賣(mài)，這常見(jiàn)的黑客賺錢(qián)途徑。

　　撞庫(kù)：黑客通過(guò)各種渠道獲得大量注冊(cè)用戶(hù)名和密碼數(shù)據(jù)后，利用自動(dòng)化程序?qū)﹄娚叹W(wǎng)站實(shí)施撞庫(kù)攻擊、賬號(hào)盜用，導(dǎo)致用戶(hù)信息及資金蒙受巨額損失。

　　黃牛黨：緊盯電商平臺(tái)的打折、秒殺、贈(zèng)送、抵用券等促銷(xiāo)活動(dòng)，活動(dòng)一旦上線(xiàn)，職業(yè)黃牛團(tuán)伙就會(huì)利用軟件將其秒殺，再高價(jià)售出，商家投入的大量資源和資金，結(jié)果往往成為黃牛們的分食盛宴。

　　"薅羊毛"：羊毛黨們?cè)诰W(wǎng)上刷取優(yōu)惠活動(dòng)資源，凡有活動(dòng)就薅，不計(jì)風(fēng)險(xiǎn)，混跡于電商、外賣(mài)、網(wǎng)貸等各大平臺(tái)上，通過(guò)獲得諸多的免費(fèi)機(jī)會(huì)，再以低于市場(chǎng)價(jià)的價(jià)格轉(zhuǎn)賣(mài)給需要的人，從中牟利。一些小平臺(tái)在一次優(yōu)惠活動(dòng)中就能夠直接被薅干，進(jìn)而破產(chǎn)。

　　其實(shí)不需要懂得多少黑客技術(shù)，不法分子就能在黑色產(chǎn)業(yè)鏈中分得一杯羹。根據(jù)Gartner報(bào)告，到2020年，全球?qū)⒂?0%的企業(yè)被黑產(chǎn)從業(yè)者或者黑客直接入侵。黑產(chǎn)不僅令企業(yè)蒙受了巨大的經(jīng)濟(jì)損失，更讓企業(yè)的商譽(yù)、信譽(yù)掃地。抗擊黑產(chǎn)，已經(jīng)是包括電商在內(nèi)的所有企業(yè)必須面對(duì)的首要任務(wù)。

　　在浩浩蕩蕩的黑產(chǎn)分子面前，傳統(tǒng)的網(wǎng)絡(luò)安全手段遭遇了前所未有的滑鐵盧，顯得被動(dòng)又滯后�；�于特征檢測(cè)的安全技術(shù)曾經(jīng)是基本的安全理念。但是當(dāng)前這一理念在各種自動(dòng)化的海量攻擊面前失去了效力，攻擊者會(huì)研制使用專(zhuān)門(mén)工具，針對(duì)特定目標(biāo)發(fā)起攻擊，防護(hù)者并沒(méi)有機(jī)會(huì)提前在別的地方見(jiàn)識(shí)過(guò)這種攻擊方法，因此根本無(wú)法提前提取出特征，而且很多專(zhuān)門(mén)的攻擊程序，使用一次以后也不會(huì)再用了。

　　"黑名單"和"白名單"是傳統(tǒng)網(wǎng)絡(luò)安全另外常用的方法。通過(guò)利用"黑名單"或者"白名單"類(lèi)型進(jìn)行篩選，以減少用戶(hù)風(fēng)險(xiǎn)。不過(guò)對(duì)用戶(hù)網(wǎng)絡(luò)之外的整個(gè)世界進(jìn)行描述本身就是一件困難和不完善的事情，"黑名單"和"白名單"根本無(wú)法對(duì)付隱蔽并且數(shù)目龐大的羊毛黨和黃牛黨的攫取。對(duì)于"薅羊毛"、"刷單"等不法行為，現(xiàn)有的安全技術(shù)不能將其從正常的訪(fǎng)問(wèn)流量當(dāng)中區(qū)別開(kāi)來(lái)，也不能針對(duì)正常的交易過(guò)程提供保護(hù)。

　　此外，傳統(tǒng)的安全手段對(duì)個(gè)人隱私數(shù)據(jù)保護(hù)不利，攻破相關(guān)數(shù)據(jù)庫(kù)造成信息泄露的事件屢屢發(fā)生。一個(gè)交易過(guò)程中的各種數(shù)據(jù)，如賬號(hào)信息、密碼信息、手機(jī)號(hào)碼、銀行信息等，只要有利用價(jià)值，都會(huì)被黑客盯上，從而成為被竊取的目標(biāo)，并且很快得逞。

　　龐大的用戶(hù)群體和大量的現(xiàn)金流動(dòng)讓電商被網(wǎng)絡(luò)攻擊、黑客入侵、惡意刷單等不法行為步步緊逼；尤其在節(jié)日促銷(xiāo)的重要節(jié)點(diǎn)上，電商面臨的挑戰(zhàn)將更加突出和嚴(yán)峻。面對(duì)這樣的行業(yè)特點(diǎn)和嚴(yán)苛需求，電商平臺(tái)不僅要在業(yè)務(wù)層面保護(hù)自己的行銷(xiāo)資源不被惡意侵占，還要保護(hù)用戶(hù)的數(shù)據(jù)不被竊取，保護(hù)每一個(gè)交易鏈條不被篡改。針對(duì)低等級(jí)羊毛黨群體，電商只需要調(diào)整一下活動(dòng)規(guī)則就能防住，但是對(duì)付高級(jí)職業(yè)刷客和專(zhuān)業(yè)黑客，電商平臺(tái)就得借助全新的安全技理念和技術(shù)，通過(guò)更加精準(zhǔn)而專(zhuān)業(yè)的安全技術(shù)加以防范了。

　　作為業(yè)界最前沿的互聯(lián)網(wǎng)動(dòng)態(tài)安全保護(hù)解決方案提供商，瑞數(shù)信息( River Security)提供全球領(lǐng)先的主動(dòng)、動(dòng)態(tài)防護(hù)安全技術(shù)，首創(chuàng)的"動(dòng)態(tài)安全"主動(dòng)防御理念可以有效抵御各類(lèi)自動(dòng)化攻擊或模擬合法操作的交易欺詐行為，改變了長(zhǎng)期以來(lái)"攻擊易、防守難"的被動(dòng)局面，讓黑客完全陷入被動(dòng)，讓防御變得主動(dòng)、高效、可靠、簡(jiǎn)單。

　　瑞數(shù)信息打造的動(dòng)態(tài)安全產(chǎn)品以'先發(fā)制人，掌握先機(jī)'的防護(hù)哲學(xué)徹底顛覆攻防態(tài)勢(shì)，大幅提升黑客針對(duì)企業(yè)門(mén)戶(hù)的攻擊難度，包括撞庫(kù)、薅羊毛、短信轟炸、掃描攻擊、刷評(píng)論、刷下載量、假百度爬蟲(chóng)等，有效保護(hù)了商家的促銷(xiāo)活動(dòng)和促銷(xiāo)收益。同時(shí)，通過(guò)大數(shù)據(jù)分析，瑞數(shù)動(dòng)態(tài)安全可以幫助企業(yè)透視網(wǎng)站的安全風(fēng)險(xiǎn)，發(fā)現(xiàn)更多的安全威脅與攻擊，并根據(jù)網(wǎng)站安全狀態(tài)部署相應(yīng)的防護(hù)策略，為企業(yè)在線(xiàn)業(yè)務(wù)提供全程安全防護(hù)。

　　作為國(guó)內(nèi)第一家專(zhuān)注于動(dòng)態(tài)安全的廠商，瑞數(shù)信息動(dòng)態(tài)安全系統(tǒng)(RAS)會(huì)架設(shè)在web服務(wù)器與終端之間，通過(guò)動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆、動(dòng)態(tài)令牌四大技術(shù)功能來(lái)實(shí)現(xiàn)在一次交易過(guò)程中對(duì)交易環(huán)境和業(yè)務(wù)數(shù)據(jù)的主動(dòng)防護(hù)。

　　動(dòng)態(tài)封裝，讓攻擊者無(wú)從下手！對(duì)網(wǎng)頁(yè)底層代碼做動(dòng)態(tài)封裝，隱藏攻擊入口，升攻擊難度。-- RAS 每次都采用不同的封裝算法，將在發(fā)起訪(fǎng)問(wèn)請(qǐng)求時(shí)對(duì)網(wǎng)頁(yè)底層代碼的動(dòng)態(tài)加密封裝，對(duì)試圖掃描漏洞的攻擊者隱藏攻擊入口。

　　動(dòng)態(tài)驗(yàn)證，讓職業(yè)刷客無(wú)工具可用！運(yùn)行環(huán)境驗(yàn)證，有效甄別"人"還是"自動(dòng)化"攻擊，打擊自動(dòng)化攻擊的有效工具。-- RAS 通過(guò)對(duì)個(gè)人PC和移動(dòng)設(shè)備的指紋采集，以及對(duì)主流瀏覽器的屬性和環(huán)境變量進(jìn)行超過(guò)16萬(wàn)種組合的隨機(jī)抽取，來(lái)驗(yàn)證客戶(hù)端的合法性，識(shí)別機(jī)器人并提升攻擊者使用自動(dòng)化工具冒充合法客戶(hù)端的難度。

　　動(dòng)態(tài)混淆，杜絕了交易篡改！對(duì)客戶(hù)端敏感數(shù)據(jù)進(jìn)行混淆，保護(hù)數(shù)據(jù)傳輸安全，保護(hù)終端請(qǐng)求內(nèi)容及交易內(nèi)容。--在交易過(guò)程中， RAS使用一次性的混淆算法與密鑰組合，對(duì)終端請(qǐng)求內(nèi)容(cookie、url、表單等數(shù)據(jù))進(jìn)行動(dòng)態(tài)混淆加密，以防止通過(guò)中間人攻擊進(jìn)行的請(qǐng)求偽造或竊聽(tīng)/篡改交易內(nèi)容。

　　動(dòng)態(tài)令牌，保護(hù)正常交易！一次性動(dòng)態(tài)令牌，確保執(zhí)行正確的業(yè)務(wù)邏輯，保障業(yè)務(wù)邏輯正確運(yùn)行。 RAS 通過(guò)對(duì)動(dòng)態(tài)令牌合法性的校驗(yàn)，來(lái)防止攻擊行為的發(fā)生。

　　當(dāng)前，瑞數(shù)信息RAS系統(tǒng)部署在Top 10的電商平臺(tái)中，平均每天可阻擋高達(dá)1200萬(wàn)個(gè)惡意交易，以及4500萬(wàn)個(gè)交易欺詐行為。

　　瑞數(shù)信息建議電商認(rèn)清黑產(chǎn)的危害和發(fā)展趨勢(shì)，針對(duì)黑產(chǎn)逐步從無(wú)序、粗暴轉(zhuǎn)向"團(tuán)伙化、專(zhuān)業(yè)化、碎片化、眾包化"的態(tài)勢(shì)，從網(wǎng)站架構(gòu)、業(yè)務(wù)風(fēng)控以及網(wǎng)絡(luò)安全等技術(shù)入手，通過(guò)制定相應(yīng)的安全防范規(guī)則，為平臺(tái)用戶(hù)制作全流程、全方位的風(fēng)險(xiǎn)畫(huà)像，對(duì)黑產(chǎn)做到"知己知彼"，主動(dòng)將其"扼殺"在萌芽時(shí)期。此外，借助第三方安全廠商的創(chuàng)新動(dòng)態(tài)安全解決方案，可以讓電商更有效率的阻擋黑產(chǎn)，把更多資源投放在電商的核心業(yè)務(wù)。只有積極主動(dòng)地采取有力的措施，才能杜絕黃牛黨和羊毛黨，才能真正把優(yōu)惠和福利傳遞給消費(fèi)者，實(shí)現(xiàn)業(yè)務(wù)的良性發(fā)展。