这是11月11日发生在杭州文怡西路969号阿里安全中心的真实故事。
这一天,无论是双11新增的4982亿元的成交额,还是黄牛等黑灰产团伙在暗处的入侵和异常流量,都成了大屏幕上的一串数字。数字化正在改变社会的结构。我们在关注经济活力的同时,也要考虑如何让繁荣更加稳定持久。我们走访了十余位阿里安全工程师,为您展示更多双11的秘密和“无声的真相”。
牛的人机攻防
每隔12年,双11不仅是数字经济发展史的缩影,也见证了网络安全攻防的变迁。
看似平静的水面下,攻守两端的较量从未停止。
在阿里安全研究员、双11安全团队负责人杨典看来,这注定是一场不平衡的战斗。
图|杨典
无数商家和消费者投入双11,这是经济的脉动。随着货物和服务的转运,巨大的现金流也在流动。
有利益就会有人觊觎。在互联网世界里,觊觎者可能是黑客,更多的是网络黑灰产的从业者。
“黑灰攻击者可能会尝试100次,哪怕失败99次,只需一次成功就能获取暴利。对于防守的一端来说,一百密一疏的后果可能是灾难性的。”杨典说。
有着10次双11安全经历的阿里安全首席架构师雷倩对此深有感触。作为阿里安全技术团队的负责人,他身经百战。哪怕是随便提一个攻守经历,也足以展现攻守两端惊心动魄的博弈。
2019年11月10日晚,一场针对双11的网络攻击,在预谋阶段被阿里安全的技术团队画上了句号。
此时,距离双11开幕已经不到6个小时,在明确的攻击预警同步到各个队伍后,当时的气氛变得紧张起来。
对于每年双11遭受数百亿次网络攻击的阿里巴巴来说,这似乎只是一件小事,但安全团队却丝毫不敢怠慢。
毕竟一旦对方攻击成功,订单无法支付,或者系统宕机。
准备的防控方案是线上溯源,线下报警追查。
雷倩带领技术团队进驻安全中心,根据现有信息推断可能遭受的最严重情况,进行战略防护。
图|雷倩
很快,3个小时后嫌疑人被警方控制,供述让所有人大吃一惊。
真正的幕后团伙花了一年时间收集了近10万张用来注册账号的手机卡,甚至为了双11当天在薅羊毛扫货准备了上万台服务器...也许这只是冰山一角。
在双11倒计时的最后几个小时,所有的碎片拼凑成一张图片,对方的目标很明确:几百亿的购物折扣,几千万的打折商品。
没有必要重复故事的结局。攻防到最后一刻都没有停止,而网络另一端的黑灰帮却没有如愿以偿。
资深安全专家阿里邢俊会从双11零点开闸的第一秒开始,就紧盯进入系统的流量洪峰。
“首先,你不能守住洪峰。握过之后,你得看看你有没有停止你试图掺进去的黑灰产生。”邢俊说,当发现异常流量时,决策者在发出每一个拦截命令之前,都要考虑是否有可能对普通消费者造成误伤。这些决策和执行过程以分钟为单位。“如果决策达不到分钟级别,一旦扩散,那就是大事。”
回忆起当时的情景,邢俊仍然清晰地记得当时的纠结,害怕真正的消费者被误伤,但他又不得不迅速做出决定,以免发生意外。
抢非法生产手机茅台和囤积避孕套
只要有一丝盈利的可能,总会有人选择冒险。
相对于那些肆无忌惮攻击系统的黑灰工,安全专家的所有决策都要考虑到避免影响正常消费者的体验。
很少有人知道,当人们抢购苹果新手机和廉价茅台酒的时候,和你竞争的黄牛党可能不是人。
近年来,网络黑灰产团伙已形成完整产业链,有专人负责攻防。他们每天的工作就是在各大网络平台寻找漏洞。一旦被发现,黑产软件的作者很快就会收到消息,做出相应的攻击工具,批量生产给下游的黄牛和羊毛党等从业者。
“如果防御失败,人自然抢不到机器。手速再快,也没办法抢到。”阿里资深安全专家墨墨曾经遇到过这样的情况:整个交易流量的99.97%都是来自机器的攻击流量。“这意味着1万人抢购,只有3个人是正常消费者。”
图|砚墨
除了有原始需求的人买不到东西,这些机器攻击会造成巨大的流量冲击,严重时会导致系统崩溃。
要想打赢攻守两端的“不对称战争”,首先要做的就是在流量洪流进入大门的同时,遮挡黑灰机的攻击。
作为区分人和机器流量的第一道防线,2017年2月,阿里的安全霸系统应运而生。
下坝,是古代传说中龙的九子之一,形似龟,负重大,对应下坝需要承受交通高峰冲击的属性。
小霸王的功能就像一个超级大坝,不仅在洪峰到来时起到缓释作用,还能屏蔽黑灰来自外部的攻击能量,阻止其进入内部,保护用户数据安全。
系统上线的时候,砚墨悄悄准备了一个小仪式。他不让其他人准备一个会议室,在黑板上写了巴夏二字,还买了一个蛋糕。
攻城军队被挡在城墙之外,但难免会有一些伪装成普通人的人混进城门。这时,阿里安全的核心风控系统MTEE就发挥了作用。
现在的黑灰产团伙,在很难利用机器流量攻击的时候,往往会通过兼职众包任务,组织真人抢单,然后加价出售。
如果说恶霸是守卫城墙外围的全部防卫力量,那么MTEE就像是同城的警察,负责在人群中辨别好人或者坏人。
MTEE算法负责人石平说,“俯视相当于初筛,圈定大致范围,过滤掉机器流量,剩下的流量进来,MTEE相当于精筛,识别出真实的、更细微的事物类型。”通过每个算法模型,MTEE不仅可以识别正常用户和黄牛的区别,还可以识别假冒伪劣商品。
简单来说,在对巴夏和MTEE构筑的两道防线进行清理和鉴定后,需要安全专家对相应的风险进行处理和控制。
阿里资深风险策略师朴松在过去五年的工作中,见过各种奇葩的黄牛。他们不仅抢夺手机、茅台酒等高价硬通货,甚至囤积避孕套和治疗脚气的药膏。“几千盒,我觉得会经久不衰。”
朴松说,安全防控是企业的最后一道防线。“业务可以在前端大胆发挥,但需要后端安全,不能有任何疏忽。”
如今,这场“不对称战争”的形势已经悄然发生了变化。
与最初的被动防御不同,阿里安全已经逐渐占据主动。
让机器对抗机器。
数字经济时代,拥抱数字化已经成为各行各业的必然趋势。数字风险与创新的话题不时成为舆论争议的热点。
从某种意义上说,这种论调缺少了一些更立体的维度,忽略了数字经济时代网络安全能力的演进。
现实情况是风险远超常人想象,但安全快速的迭代早已超越传统思维的边际。
2019年天猫双11期间,总订单量达到12.92亿,背后是阿里拦截的22亿次恶意攻击。
这些数字可能让普通人很难体会到其中蕴含的高风险,但事实上,在双11背后的“隐藏角落”,全天为商家和消费者进行了388亿次的全链路安全防护。
安全专家阿里·郭栋认为,风险不仅意味着危机,还迫使安全水位不断提高。“现在阿里的安全能力全是一枪打出来的。”
每天上班,看到阿里门口的保安小哥,郭栋总会想起自己的工作。
郭栋的花名来自金庸的小说《剑与敌》。在这本书里,有一个叫吴国栋的捕手,但作为互联网的“捕手”,他也经历了黑暗的时刻。
图|郭栋
2016年春天,他经常接到这样一个电话,“灰黑产品把我们的交易系统挂了。”这是电话里喊出的第一句话。
当时淘宝刚开始推广“秒杀”游戏。每天早上10点,淘宝上会有几批折扣很大的商品。在几次峰值之后,交易系统检测到了几次巨大的异常流量。
那是整个淘宝系统第一次出现大规模机器流量。在此之前,也有黑灰产利用外挂软件进行破坏的先例。阿里巴巴有一个基本的淘宝“防御系统”。然而,那一次发生的异常访问却是加倍的。每天10点,巨大的流量让淘宝交易系统徘徊在崩溃边缘,正常消费者无法下单。
通过几个简单的参数,郭栋判断蜂拥而入的机器人流不仅仅是来自一个帮派,并想起了电影《疯狂的石头》中的一句台词:“想来公厕就来,想走就走!”
由于准备不足,安全专家只能利用手头现成的工具,配合人工调度来补位。当有攻击时,安全专家开始监控并黑掉一些IP地址。
就这样,依靠人力和工具的配合,2016年双11侥幸活了下来,这次事件也成为了推出系统的契机。
图|阿里智能风控系统图解
短短四年,由安全专家手动操作的“人肉风控时代”早已一去不复返。
然而,即使有巴夏和MTEE两道防线,石萍总觉得安全防线还是不完善。
作为MTEE算法的总负责人,石萍的任务是移交模型,根据设定的特征和对应的算法构建模型,并对每个案例进行评估。那么问题来了。
这些决定模型准确性的特征大多是由安全专家手工提取的,但在攻防对抗中也存在弱点。“因为这是人脑发明的一个功能,所以每次你阻止一个作弊者,就相当于告诉他,‘你在这里做错了。’"石萍解释说,双方对抗中系统的反馈给了对手标定靶心的机会,很容易绕过模型,有针对性地升级攻击手段。
石萍的同事决定把总结特征的工作交给人工智能。最初,他们为系统制定了各种规则来识别坏人。现在他们想教系统如何制定规则。这个系统可以从原始数据中自动提取特征,根据自己的结论识别坏人。一台机器有自己的大脑,也可能有别人无法理解的思想。“有时候提取出来的特征没人看得懂,也不知道中间发生了什么。”石萍说,没有答案,对手自然无从推测。
这个夏天,很少有情绪表达的石萍透露了自己的心声:“做这个技术的过程很痛苦。”但现在他“痛并快乐着”地将一半的业务委托给了智能算法。
图|石萍
用技术赋予好人力量
当数字化不断重构社会经济模式时,已知或未知的风险会不断刷新人们的固有思维,但终究不会成为新商业文明的绊脚石。
安全既是化解风险的攻防能力,也是保护创新、赋能社会的服务能力。制定安全战略需要勇气和智慧,平衡安全与发展尤为重要。
今年双11之前,淘宝直播推出了“占屏提醒”功能,这是一个占据直播屏幕的官方弹幕。
每当有主播在不自知的情况下,在直播过程中不小心走出来,不小心露出纹身,或者说话不当,都会弹出霸屏提示进行提示,提示无效后,很快就会做出处置动作。
在阿里安全负责直播模块内容安全管理的明明说,这个功能的设计来源于她看直播时的一次经历。
当时一个卖衣服的女主播去吃饭,走之前忘了关直播。回来后,女孩开始换衣服,却没有意识到直播的摄像头还开着。这张图片被算法准确识别,几秒钟后直播间直接断网。
明明回忆说,虽然当时直播间的观众不多,但如果女孩不小心离开了,也可能会给她带来很大的精神压力。但是像这种不小心触碰红线的主播,如果生硬的一刀切,可能会断送一个家庭的生计。
去年一个信用评价优秀的农民主播找了一个人工客服。他不善言辞。平日里,他打开相机直播自己去田间、湖边的场景,并借此机会展示一些商品。然而这一天,他打开摄像头后不久,信号就被切断了,他也收到了平台的处罚信息。
该主播确认没有出售非法商品,直播工作过程也不违法。明明让队里的同学查了一下,发现因为系统识别出他穿的迷彩服属于禁穿款式,所以广播中断了。
处罚很快被取消,这让明明意识到在风险面前精细化管理的重要性。
随着“霸凌预警”的推出,可以及时提醒那些不小心触碰红线的主播,纠正他们的行为,而不影响直播的顺利进行。
阿里的安全理念是“让好人一路绿灯,让坏人无路可走”。顺着这个基本逻辑,我们会发现,无论是打击黑灰产,还是帮助主播纠正行为,核心能力都是认人。
信用也成为很多商家开绿灯的“通行证”。在传统场景下,对商家的了解往往是基于线下的考察访问,以及对其资产和经营能力的验证。但基于平台上经营的商家的日常行为,以及来自消费者的评价,很容易判断其是否为诚信商家。
今年双11在淘宝上卖二手钢琴的孔立明又拿到了一个大单。早在去年,她就深有体会“信用就是商机”是什么意思——由于钢琴价格高,整体订单量小,几个退款单可能会极大影响店铺的退货率,导致孔立明无法进入大促活动的主会场。
多年诚信经营记录积累的信用评分在这个时候起到了关键作用。因为信用分高,孔立明等300多名小商家享受了平台提供的营销活动担保,注册资格被收回。
随着信用体系的不断升级,阿里安全还为信用好的商家提供了特色市场保护、轻微违规以考代罚、公益代罚等7大类权益,让近百万信用好、品质优的商家获得了更好的商机和成长机会。
“我们永远不会承认懦弱”
一线业务的不断创新和安全能力的适配迭代早已紧密联系在一起。
今年的双11从11月1日开始正式开启,安全风险控制的压力也是巨大的挑战。“过去我们关注一个时间点,现在我们要防范三个时间点。流量模式和三个时间点的用户数,包括后期的优惠玩法,要保护的内容是完全不同的。”雷倩表示,对于阿里的安全来说,今年双11的保卫任务比之前扩大了两到三倍。
队长布置了一个排,一大早就拉起了包括3000多名安全专家在内的8支队伍,严密防守。
11月11日0点26分,双11订单创建峰值达到每秒58.3万笔,创下全球最大流量峰值纪录,是2009年首届双11的1457倍。
面对巨大的洪峰,恶霸岿然不动。
11月11日前短短15分钟内,Ba下全网流量防护峰值达到2885万次/秒,恶意流量拦截超过6656万次。
这一天,雷倩似乎比往常更加悠闲。11号零点到来的时候,他拿出手机想抢1499元的飞天茅台,但是手速不够快。
“如果双11我太忙,那这个系统肯定看不到。我们在双11最好的状态就是在buy buy买。”雷倩说。
这份从容来自于前期的部署。雷倩表示,今年双11特别扩大了防线。对他来说,双11这场战斗最好的结果就是所有的攻击都在应急预案里,团队只要按照指定的方案走就可以了,不用动脑子。“如果有什么意外,应急预案没有覆盖,那么这个双11对我们来说就是半个失败。”
他也承认,没有一刻他对这项工作完全不担心,最轻微的疏漏都可能带来灾难性的后果。
在谈到无处不在的风险时,雷倩的态度非常明确:世界上没有绝对的安全,更不用说因为噎废食了。
在他看来,风险往往会导致两种结果。第一个结局就是生意不做了,风险自然就没了。第二种结局是相信技术的力量,不断降低风险发生的概率,增加黑灰产的攻击成本。当攻击的输入和输出不成比例时,攻击自然会消失。
“第一个肯定不够。以卖茅台为例。当传统线下模式遇到的黄牛问题到了线上,如果以我们的技术实力都不敢做,谁能做?”雷倩说,“我们不会说我们被你盯上了。这个地方会很快被识别并关闭。如果就这样结束了,我肯定可以先辞职。”
“我们绝不承认。”雷倩说:“我相信他们打不过我们。”
11月10日晚上10点左右,杨典在战情室前信心满满:“我相信,这次我们的作战体系已经近乎完美,我们一定能顺利度过这个双11。”
作为阿里经济体大安全体系日常运行的一角,双11的攻防风险和复杂的安全防护体系超出了很多人的认知范围。
一部双11史,一部网络安全史。
2020年双11当天,阿里安全智能风控系统拦截恶意请求59亿次,击退黄牛刷单行为1887万次,核心技术和MTEE竖起的18道屏障,使得交付给交易系统的真实用户请求占比超过99.99%。通过基于可信分层的新一代风控引擎,实现对风险的毫秒级识别和拦截,确保商家卖得放心,消费者买得放心。
消费者点击手机下单只需0.01秒。手指轻触屏幕的轻松背后,是1258个算法模型、数百个防控点、数千种业务策略构建的安全架构,3000多名安全专家负重前行。
-结束-
作者|王波
