地雷战、密电码、白刃战——京东安全“海豹突击队”的日常 – 作者:史中浅黑科技

大家好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事，不妨加微信（微信号：shizhongst）告诉我，反正我也不一定撩得到。

这次我撩到的是京东安全研究院的老大 Jimmy Su，苏志刚。

地雷战、密电码、白刃战——京东安全“海豹突击队”的日常

文 | 史中@浅黑科技

喧闹的中国，现在有两座超级购物中心，淘宝和京东。目测这两座超级购物中心，每天都会挤进数亿顾客。

虽然如此，但新顾客涌入两个平台的速度，丝毫没有减慢。

如果某天东哥说要把京东交给你来打理。那么，面对商场里黑压压上亿的顾客，你不得不周密考虑的第一个问题就是：这些顾客的安全。

安全分为很多方面，比如：

顾客的钱不要被扒手偷盗；

顾客的私密信息不要被坏人看到；

本该分给顾客的优惠，不要被黄牛抢得一干二净。

等等等等，不胜枚举。

没错，接下来我得换一副正经脸：保护九亿用户的安全，就是保护地球上七分之一的人口，这绝非儿戏，这是一场严肃的战争。

如果你是崇尚昆汀式暴力美学的人，那么这场战争在你眼里绝对可以用“艺术”来形容。Jimmy 给我介绍了这场黑产战争当中的三大秘密武器，我试着说给你听。

一、黑产的求生欲有多强？

孙子说，知己知彼百战不殆。

先介绍对战双方：

A：京东安全——作战人数少，由精英组成，装备精良，有强大的研发能力和后方技术支持。

B：黑产——众如流寇，受利益驱使，坑蒙拐骗无所不用其极。但他们失道寡助，人人喊打。

（C：用户——对黑产恨之入骨，受伤最深。但大多数时间只能搬着小板凳观战，偶尔吐槽一下京东安全作战不力。）

再来介绍一下 Jimmy：

在京东安全的作战队伍中，有一支“海豹突击队”，专门负责研发和寻找最新式的作战武器，他们被称为“京东安全研究院”。Jimmy 就是这个团队的指挥官——海豹突击队队长。

可以说，京东最先进的作战武器，都出自他的手里。

我想知道电商行业“黑产大军”究竟有多猖狂，Jimmy 用“生态非常成熟，分工非常细致”来形容黑产。看来他们的求生欲很强。。。

他举了个栗子：

有的团伙专门负责搞到大量的手机号，进行垃圾注册；

在注册的过程中，一般都需要填写图形验证码，有专门的团伙负责“解码”，就是用人工智能的方式大批量识别图形验证码；

有团伙用垃圾注册的账号来刷优惠券，为下一波人用优惠券低价购买商品提供必备条件。

有团伙专门监控商品价格，在价格优惠的时候下单。

有团伙专门经营收货地址，前面用优惠价格下单的货物，最终就到他们手上。

这还没有完，接下来还需要最后一步，有团伙专门把这些货物通过其他渠道用高一点儿的价格卖出去，最终获利。

没看明白的话，我再解释一下。黑产的每一个步骤之间，都是由不同的团伙完成的，他们之间可能并不认识，也并没见过面。这就像生产一部手机，有人负责加工芯片，有人负责封装主板，有人负责生产屏幕，有人负责组装手机，有人负责把它们批发销售出去。

这是一条流水线，这是一条产业链。黑色链条上的每个人都从中获得了巨大的利益，这些利益来自京东平台和其上的用户。黑产的求生欲有多强，你可以体会一下。

所以，Jimmy 作为“海豹突击队长”，就是要为保护九亿人安危的兄弟们研发武器，输送弹药。压力有多大，可想而知。

二、三大战役中的“秘密武器”

我把 Jimmy 的战事分为三类战役，每一类战役都用会到独特的秘密武器：

武器 No.1：埋地雷

所谓埋地雷，是为了保护账号安全。

你还记得刚才我们说到的黑产流水线吗？一切进攻步骤的开始就是垃圾注册：用买来的手机号批量注册，成为假的用户。

注意，这里科普一下：如果黑客雇佣一帮兄弟用亲朋好友的手机号进行手工注册，那么他赚来的钱必然都不够请兄弟们吃火锅，入不敷出。所以，虚假注册一定是用机器自动完成的。

面对这个类型的攻击，理论上 Jimmy 团队只要找到一个技术，可以自动判断是人还是机器的操作，就 OK 了。技术的名字就叫做：人机识别。

你会问，人机识别的技术难吗？

我会说，不难，也难。

说不难在于：如果对于每一个注册用户，都让他输入图形验证码，接听语音验证码，上传手持身份证照片，甚至坐火车到京东总部让东哥来亲自看一看你的身份证和本人是否匹配，估计根本没有人可以成功虚假注册。所以，在理论上准确的人机识别技术是有的。

说难在于：不计代价地进行人机识别，这件事本身就是智障而且不可实现的。我们说“安全”的时候，说的永远是“付出成本”和“安全收益”的总体平衡。

所以，Jimmy 的任务是找到一些影响用户体验最小，却能非常有效的人机识别技术。

“无感验证，这是人机识别里非常重要的技术方向。”Jimmy 说。“意思就是在用户没有感觉，不影响用户体验的前提下进行识别。”

说了这么多，“埋地雷”终于要来了~

举个例子，目前京东安全用到的人机识别技术之一就是“动作识别”：

通过用户使用键盘和鼠标的动作，来判断电脑端用户是否有异常；通过用户拿手机的角度，滑动手机屏幕的动作，来判断手机端用户是否异常。

详细解释下：

你回想一下自己注册京东的情景。

注册的时候，你一定会大概查看一下页面上显示的信息，然后给自己起一个萌萌哒的昵称；

在输入手机号的时候，你会有一些自然的停顿；

在点击按钮的时候，由于使用的是实体鼠标，你的指针会有一些轻微的滑动、错位。

这些看上去无所谓的小细节，里面其实藏着魔鬼。因为这些都是只有人类才会具备的特点，机器模拟起来有一定难度。

所以，这项技术的真谛就在于，在网页端和手机 App 里埋设一些特别的“探测点”，用来收集用户的行为特征，通过人工智能的算法，算出一个“人类注册京东应该是神马样子”的模型，作为判断一个新用户“是人还是机”的重要指标。

这种技术就像在敌人的必经之路上“埋地雷”，增加对方的进攻难度。

听上去还挺简单吧。但是现实世界永远比理论复杂一万倍：

在巨大的利益面前，黑产阵营同样聚拢了大批技术宅、大黑客。他们会用各种技术手段探测京东安全的安全措施，甚至会探测究竟在系统里收集了哪些指标，然后针对这些探测点，有针对性地模拟出更像人的行为。这就像工兵的“排雷”工作。

举个简单的例子：如果黑产觉得京东在探测鼠标的抖动，那么他们就强行在程序里模拟出鼠标的抖动；如果黑产觉得京东在探测键盘输入的停顿，那么他们就会强行模拟出键盘的停顿。

就这样，你埋雷我挖雷，很皮。。。

当然这只是例子，在实际的对抗中各种参数会更细节。为了不增加对抗黑产的难度，这些具体的细节都是保密的。

Jimmy 告诉我，这种“埋雷”和“排雷”的对抗已经激烈到了“每一两天就进行一个回合”的程度。京东每升级一次检测规则，黑产会在一两天内就找到一些对策；京东安全根据最新的情况，在一两天内再升级，如此循环往复，不断对抗。

从另一个角度看，这有点像人类研究抗生素的进程。每一次致命的细菌出现，我们都会研制出干掉它们的抗生素。一旦抗生素得以应用，这种细菌就会大量死亡；但是过了几年，从之前的细菌中会变异出一支具有“耐药性”的细菌，它们会卷土重来，因为过去的抗生素对他们来说变得无效或者效果不佳；此时人类就要研发新的抗生素，干掉新的细菌。

细菌变异的动画，形象地模拟了黑产反击的过程。

为了和黑产抢时间，Jimmy 和团队一分钟都不能停歇。而且，为了提高“抗生素”研发的效率，他还充分利用外援。

之所以团队一部分人在硅谷，除了聚拢世界顶尖人才之外，还有一个重要的原因就是，可以直接寻找到成熟的技术拿来为我所用。

“引进先进的技术，纳入京东安全的体系，可以在3-6个月内快速提升安全能力。利用这个时间，我们就可以自己研究更深入的对抗技术。”Jimmy 说。

武器 No.2：白刃战 

所谓“白刃战”，就是系统监控。

黑产大军就像是洪水，不断冲刷着堤岸。哪里有裂缝就会从哪里涌进来。

如果虚假注册这条路变得荆棘丛生，他们就会转而加大力度盗取已有的账号。此时，他们攻击的目标，就变成了数据服务器。

这种对于服务器的攻击，就是我们日常理解中典型的“黑客攻击”——用各种手段潜入系统内部，偷盗有价值的数据。

面对这样不见棺材不落泪的对手，“海豹突击队长” Jimmy 就要想办法加固堤岸，预防百年一遇的洪峰。这其中一个重要的思路就是：让京东的防守力量在实战当中成长。

简单来说，他采用了蓝军对抗的方式，也就是寻找最顶尖的网络渗透人才，对自己的系统进行攻击测试。之所以称为“蓝军”，意思就是这种攻击是如同军事演习一样的真刀真枪。

这种防护技术被他称为“系统监控”。根据模拟的进攻，来调整防护体系应该监控哪些点，从而在真正的进攻发生时，可以有效地发现，然后快速拦截。

这恰恰就像战争中真刀真枪的白刃战，真刀真枪，用结果说话。

其实，白刃战对于实施模拟攻击的研究员要求非常高，他必须具备进攻思维，还不能让防守的体系禁锢自己的思路。这就好似进攻者要用散打的路数破掉防守方的太极八卦阵一样。

Jimmy 说，进攻者最好不熟悉京东的防守体系。所以，他倾向于招聘专门的进攻高手，专门做渗透测试，或者接受第三方渗透测试公司的服务。只有这样，才能保证找到问题的质量。

如果只从防守的角度来看问题，往往抓不到攻击者的真正思路。就好像你把前门做得很漂亮很安全，但是黑客如果只走后门，那你的努力就没有起到效果。

他说。

武器 No.3：密电码

所谓“密电码”，就是数据加解密。

前面说到了两类战役，各种顶尖武器都被投放到战场。然而，如果所有的武器都用上了，黑客还是穿过硝烟攻击进来了，我们该怎么办？

针对这个问题，Jimmy 用上了一种终极武器：数据加解密。

军迷一定记得，在二战的时候，主战场之外还有一个更激烈的战场，那就是盟军和轴心国之间相互破译密码的博弈。历史上，计算机之父图灵所带领的小分队，在五年时间里，接连破译德军英格玛机密码、图尼密电码，帮助盟军迅速干掉纳粹。

                                                                图灵和他的“密码爆破机”

可见，从二战的时代开始，数据就是一个组织的核心血液，重要性不言而喻。

对于 Jimmy 来说，他要构建一道最后的防线，那就是即使最坏的情况发生，数据遭到泄露，黑客仍然无法破解其中的加密信息。

然而，这个听上去简单的事情，却面对很多实际的挑战。

之前我说过，当我们说到安全的时候，说的一定是“付出成本”和“安全收益”之间的整体平衡。在数据加解密的应用中，这个平衡取舍的矛盾尤为突出。

为了说明白，我先举个奇才达芬奇的例子：

达芬奇不仅是个艺术家，还是个科学家。他的很多研究手稿就采用了“密文书写”。

首先，字体都是反的，需要对着镜子才能看懂写的究竟是什么；

其次，文字都进行了密码转换，需要对照一套密码算法，才能还原成正常人可读的信息。

这就造成了一个问题，别人想查阅达芬奇手稿的时候，就要先进行一套解密过程，查看完之后，为了防止别人偷窥，还要还原成密文的形式。这样一来一回，耗费了很多工作量。

                                                             达芬奇的手稿，了解一下

你看，资源开销和加密效果，这是密码技术应用中的的终极矛盾。

于是，Jimmy 和团队针对不同的应用场景开发了“强、中、弱”三种加解密强度，根据实际业务的实际情况来选用加密的强度，从而平衡系统开销。

如果业务要为加解密所支付的资源开销超过 10%，就肯定不能接受。最终我们把加解密的开销比例做到了远小于这个值。

因为很多系统框架需要改动才能适应加解密技术，我们就在自己的技术上做改动，让其他部门能够用最小的改动来适应加解密技术。

他说。

数据加解密技术的体系，是需要各个部门合作才能完成的。所以，除了加解密技术本身的研究，Jimmy 最主要的工作就是和其他部门磨合对接的过程。

经过团队的奔走呼号，2017年京东内部已经有十分之一的核心应用上了这套加解密技术，2018年 Jimmy 的计划就是，让所有应用全都使用数据加解密保护。

一旦计划完成，京东的核心数据就会罩上一层钢铁机甲，强壮强度不可同日而语。

三、再搬出来几门意大利炮

刚才说了这么多，其实都算是京东安全研究院的日常操作，这些安全建设都需要长期的投入和迭代，就像马拉松一样考验的是耐力。然而，正是这些基础框架维护了京东的安全底座，让它成为能够容纳九亿人安全购物的商场。

不过，作为“海豹突击队”，这些还远远不够。Jimmy 和京东安全研究院经常会剑走偏锋地研究一些新技术，有针对性地对抗独特的黑产。

我猜，每当打击黑产遇到阻力，Jimmy 就会说：

Jimmy 给我秀了一些 “意大利炮”：

用声纹技术揪出骗子

黑产的账户如果被封掉，他可能会给客服打电话的。

你没看错，黑产可能会装作无辜群众，打电话质问甚至咒骂京东客服：“你凭什么封我的号？”

面对这种情况，就比较尴尬了。客服妹子很难分辨对方到底是什么身份，只好按照流程一句一句解释。

面对这个问题，Jimmy 提出了一个解决方案，那就是在后台使用声纹识别技术来比对来电人。

每个人都有独特的声线，通过声纹识别，可以判断打电话的人是不是以前已经来过电话，来过多少次电话，说的都是什么事情。

如果一个人总是代表不同账号给客服打电话，要求解封账号，那么他的风险值就相当高。因为在正常情况下，一个人不会拥有很多账号。

他说。

虽然技术不复杂，但很巧妙地解决了客服妹子的一个大难题。

黑话字典

Jimmy 神秘地告诉我，在各大黑产组织中，都有自己的“卧底”。这种卧底的作用极大。

每当在黑产中产生了可以绕过京东安全人机识别的注册工具，第一时间搞来试用的，不一定是黑产，而很肯能是京东安全的童鞋。

京东在“解剖”了对方的武器之后，立刻就明白对方已经掌握了什么情报，于是马上升级自己的识别系统。这种玩法可以快速掌握敌人的动向，大大提高自己研发新武器的效率。

事实证明，每一次京东根据敌人的武器升级了自己的系统之后，对方的攻击就会彻底失效。在黑产群或者论坛里，会看到他们哀鸿遍野。

在对黑产监控的过程中，Jimmy 和团队采用了爬虫技术，从不同的论坛、群里抓取和自己相关的黑产动态。这就遇到了一个特别有趣的困难：黑产使用的是“黑话”，研究员很难读懂他们的意思。

为了搞清楚对方的情报，研究员采用了深度学习技术，通过词频和前后文关系，翻译出黑话的意思，从而制作一本“黑话字典”。

有了这本黑话字典，再对付起黑产来，就会变得特别得心应手。

我问 Jimmy 都有哪些黑话，Jimmy 说：嘘。。。

二代图片验证码

之前说到，黑产会用人工智能的方法，自动识别出图片验证码里面究竟是什么。

但是，既然对方可以使用人工智能，我们当然也可以使用人工智能啊。

于是，Jimmy 团队正在研究一种高级的二代图片验证码，让黑产的人工智能无法识别。

简单说来就是，通过人工智能的方法，干扰对方的人工智能，让它出现识别错误。而同样的验证码，对于人来说却是可以识别的。

偷偷给你看一张图。上面一排是第一代验证码，下面一排是第二代验证码。对于手机前的你来说，第一排和第二排几乎没有区别，但是对于人工智能来说，上下两排完全是不同的数字。你可以点击查看大图，感受一下。

“这个在 AI 领域里被称为对抗学习”。Jimmy 说。

目前，这套黑产无法绕过的验证码生成模型已经研发完成，会在三个月内上线。而一旦上线之后，可以想象黑产又会继续试图破解这个新系统，一场新的正邪较量正在拉开帷幕。

像这样的技术，还有挺多的。Jimmy 团队正在紧锣密鼓地研究，上线的日程已经排得满满的。

跟 Jimmy 的聊天中，我发现京东安全很多“重型武器”都是在 2017 年才刚刚到达战斗的。

我脑海里浮现出一幕场景：城池之上，守备军齐装满员，装备精良。恐怖分子在丛林中蹑踪前行，黎明静悄悄。一排排弹幕从头顶划过，上书：前方高能！！！！！！！

说到底，我们经历的每一场战争，都包括无数战役，这些具体的战役有胜有负，有进有退，都是再正常不过的事情。

正如之前所举的例子。每一次，总会有新型细菌从人类的抗生素中逃脱。但是，他们能做的终究是一次次偷袭。熨平历史的褶皱，你才能从散尽的硝烟中听到人类的凯歌。

对于巨头京东来说，又何尝不是如此。Jimmy 所做的事情，恰恰是整个京东安全的缩影。他至少告诉我们一个简单的真理：

安全从来不是白白得来，也不会一蹴而就。

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以关注微博：@史中方枪枪，或者搜索微信：shizhongst。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。

来源：freebuf.com 2018-04-26 14:59:37 by: 史中浅黑科技