交锋与进化，阿里安全部缠斗黄牛党

源自：一财网

---

交锋与进化，阿里安全部缠斗黄牛党

⊙记者：

　　阿里安全部一度被黄牛党打得有些被动。
　　2016年9月，阿里安全部展开一场严厉而全面的“联席会议”，持续半年的“会议”实际为一场改革，梳理交易线路安全、排查被突破风险。阿里安全部的员工常常半夜12点左右才能走出公司，附近大学生看到了会上前问“你们阿里人都要加班到这么晚吗？”
　　其实并不是，这场持续时间如此久、彻查面大而广的自检，源于年初阿里安全被黄牛党攻击，导致部分用户无法正常下单，而黄牛党源自背后供需硬需求、以及诱人的盈利前景，半年流水一千万，你干不干？
　　于是，阿里安全部各条线抽取数位精英，组建成一支突击作战队，自查、重建、反攻、剿灭。
　　交锋
　　双方首次大规模冲突爆发在2016年3、4月份，当时阿里电商启动大规模优惠活动，每天上午十点、晚上零点都有优惠商品推出，被吸引出洞的黄牛软件集中爆发，直接造成较高级别的交易系统故障。
　　阿里安全部立即成立反机器刷单项目组，止血、保住交易系统；重塑，将整个淘宝天猫交易系统重新梳理，查看残留风险；改进安全产品，构建完整纵深防御线。
　　2016年6月，黄牛软件又一次大规模爆发，原因一方面在于当时电商玩法更加多元化，从价格直降变为可跨品类用券、满减等，商家与平台补贴力度加大；更重要的一点在于，商家将很多稀缺品、爆款品，从线下搬到线上。
　　当年，热门的苹果手机、采用“饥饿营销”的小米手机、稀缺茅台生肖酒等，都被悉数搬到线上，低价进、高价出的利益吸引之下，黄牛党从隐秘的幕后、走向高调的前台。所幸，因为反黄牛软件的兜底防护，风险并未进一步延伸。
　　阿里巴巴安全部高级专家梁樟将黄牛党细分为三种：一是批量注册账号，大量拍下限购商品；二是用机器软件抢拍限购商品；三是众包抢购，即在微信群或QQ群发布任务，抢购首发上市商品，之后再邮寄到统一地址，收货后给一定报酬。
　　不同来源与分类的黄牛党，又在以阿里天猫淘宝为代表的电商平台聚集，最坏的情况是，一旦黄牛党完全破解阿里后台交易路径，对方可以完全绕过防御墙，直攻核心交易系统，比普通用户更快更精准地下单购买，“这是非常恐怖的，没有普通消费者能够抢到单，直接损害老百姓的利益。”
　　反攻
　　“联席会议”是整个阿里安全团队由被动转向主动、并逐渐把控战役节奏的转折点。
　　整个阿里安全部各条线抽调精英，组成20人左右的作战队，号称“联席会议”，整个改革持续长达半年时间，首要目标就是确保整体下单成功率不低于96%，最后结果也逐渐向好──2016年双11防护效果不错，2017年双11黄牛整体流量微乎其微。
　　联席会议作战队主要被划分为三部分──一是修复产品，二是重新部署双11策略，三是查清情报来源与黑客威胁来源。
　　初期，团队做了很多类“考古”工作──深度挖掘阿里交易系统到底是如何运作、共有哪些下单交易渠道。
　　“考古”是很复杂的工程，例如2010年的手淘、与2016年的手淘，后台交易路径是完全不同的，所实施的系统保护架构也不同。时间越往前、防护安全系数越弱、协议被破解的可能性就越大。
　　此外，阿里系交易框架非常复杂，包括电商、健康、物流、大文娱等，其中电商系又分为数条垂直业务线。
　　随着交易链路逐渐被理顺，黄牛软件也逐渐被清缴，但黄牛黑产党也“魔高一尺”，比如在软件中加入分析代码，一旦软件被分析，便会自动截图上传。甚至一款黄牛软件一旦自查到身处阿里IP环境时，就会启动自我删除。
　　出于稳妥考虑，2017年双11，阿里安全部早于上半年618与99大促时，进行提前测试，发布相关安全产品，提前打掉交易日志中占比最高的黄牛软件。
　　整个2017年，阿里集团在交易安全端实现较为平稳的过渡。“一方面由于提前打击黄牛群体，被攻击风险水位明显降低了；其次，安全产品经过不断完善升级，集团整体危险系数明显下降。”阿里安全部人员对第一财经记者表示。
　　由于技术端被严密防守，很多黄牛党被迫由技术流回归手动党──招募一批“志愿者”，手动抢优惠，也包括利用多人身份证进行注册抢购等。而针对人肉黄牛，阿里安全内部有一整套完整的防控业务逻辑，包括突然冒入大批量人流、对人流交易习惯进行分析等，进行了有序防控。
　　备战
　　经过系统梳理、防御重塑，阿里巴巴安全部高级专家梁樟表示，阿里已形成一套由技术拦截、业务防控、线下配合公安机关的全链路打击黄牛体系，维护平台营商环境。
　　首先，去年5月在网络层部署的“霸下”产品，精准识别异常流量，进行毫秒级响应拦截。霸下是阿里安全作用在全集团网络流量层的清洗产品，负责对流量中夹杂的黑灰产异常请求、黑客攻击，进行精准识别与清洗，只将正常用户的请求放给后端。
　　其后，通过MTEE3智能风控引擎作用于交易内部，针对用户行为进行深度风险判断。MTEE3系基于大数据实时分析建模技术，通过毫秒级每个用户行为背后近千个数据指标的实时计算，为阿里经济体的各类核心业务提供账号安全、防黄牛刷单、活动反作弊、内容安全、人机识别等几十种风险的防护与保障。
　　最后，由阿里安全归零实验室通过技术分析异常流量，确定是黄牛软件后，推送公安机关。
　　例如2017年被山西太原迎泽区人民法院下达刑事判决书的黑米软件，即是一款可自动登录、下单的抢购软件，通过多种恶意方式，绕过淘宝防机器下单策略。主要用来抢购小米官网手机、进而推广牟利。后续又接连开发出黑米华为、黑米魅族抢购软件，以及专门转对天猫网站的黑米天猫（淘宝）抢购软件。如今，黑米软件涉案人员均得到制裁。
　　阿里员工对第一财经记者表示，今年双十一，数据可量化规模扩大，包括用户规模与平台GMV；其次，双11覆盖范围上，商品端与交易端均涉及海内外；第三，优惠力度明显更大，包括商家与阿里平台。
　　换句话说，阿里安全部所面临的安全风险也随之倍增，但基于阿里全链路安全防御系统，团队明显自信得多。另外，针对账户盗用、垃圾注册等其他业务风险，阿里安全还推出设备指纹等产品，通过规则引擎、机器视觉等技术护航“双11”。
　　又是一年双十一，阿里安全战队要彻夜不休地整装备战光明顶。
责编：宁佳彦