此次直播特地邀请了腾讯安全营销风控资深专家王雷雷和腾讯云高级安全攻防工程师马子扬两位专业讲师，为大家讲解该如何在购票服务中打赢营销风控保卫战，同时又该如何通过高科技有效防护新型BOT攻击。

由于黄牛抢购门票的行为，导致门票的供求失衡，进而引发市场价格的不合理上涨，增加了公众的票务成本。此外，黄牛通过抢票行为，破坏了正常的购票机制和秩序，导致普通用户无法获取门票，从而增加了票务的不公平性和不透明性。

可以看到，现实中城市售票网同时支持会员和非会员购票，非会员无需登录即可购票。同时针对超热卖活动，由于地区的特殊性没有进行购票的实名认证，增加了抵御黄牛的难度。在此背景下，客户和腾讯项目团队需要利用技术防护措施来有效限制黄牛抢票，以保证大部分的正常用户的正常购票。

当前的反黄牛安全防护架构。无论是正常用户还是黄牛，首先要经过WAF集群，这是第一道防线，接下去会有一些BOT设置和区域的设置进行拦截。经过WAF之后，在真正的业务系统里，大多数企业会用验证码区分人和机器人，同时业务侧也会有一些基本的策略防护，比如登陆限制、人机识别、业务规则等。

然而当前的安全防护架构看似防护手段挺多，但其实效果并不理想。比如，WAF的防护策略需要不断进行优化和更新，不断学习和适应新的攻击方式和威胁模式，以提高防御效果和安全性。同时，需要根据实际情况和需求，采取多种技术手段和优化策略，以达到更好的效果。

对此，腾讯安全提出了防护增强建议方案。首先在结构体系上依旧将WAF作为第一道防线，接下来部署图灵盾系统，利用其设备指纹和风控能力抵御和缓解来自移动App端的BOT攻击。

之后使用多种验证模式，如文字点选，图形点选，增加黄牛破解的难度，和图灵盾配合使用，对图灵盾标签高风,险，中风险和低风险请求，分别弹不同难度类型的验证码。最后在业务层可部署风控引擎，在支付环节对黄牛进行判断、分析，配合业务端对黄牛进行最后的拦截。

从流程上来看，不一样的地方在于，其一是多验证模式；其二是设备指纹的能力；其三是业务防护策略，客户可以自定义一些策略，比如禁止哪些非业务国家的IP访问等；其四是支付风控，根据用户的卡号、信用卡号等一系列信息判断对方是不是潜在的黄牛，从而再配置一些策略。

这样从前端WAF到中间的设备判断、业务判断，再到最后的支付判断，把整个的判断链路加长，从而过滤掉绝大多数的黄牛党，这是腾讯安全建议的比较完整的一个安全链路。

在设备指纹方面，其可识别假人假机、假人真机和真人真机三类风险；验证码方面，提供多种验证方式，业务防护策略可根据自身场景需求，选择合适的验证码类型接入。通过结合图灵盾返回的请求风险标签，调用不同的验证方式，在抵御黄牛抢票的同时保证用户的沟通体验。

在支付风控方面，腾讯安全设置了RCE海外交易风险识别，无监督学习发现欺诈团伙实现事前风险感知，其基于手机号、设备、IP建立时域关联网络，利用社群发现、风险传播等无监督算法发现黑产团伙，识别潜在新型欺诈威胁；其中，识别算法目前主要是基于时间因素结合IP跳变，卡画像，聚集性分析和卡以及黑名单进行的风险排查，具体到案例可以发现同一张信用卡/邮箱在短时间存在重复购买和IP的切换。

RCE海外交易风险识别有两处测试场景：对其中一场热卖活动的历史数据进行分析，订单数量为1167，总共涉及票数2795张，经RCE风控引警分析识别出中高风险订单数220个占比18.85%，对应票数936张占比33.48%，中风险订单数84个占比7.19%，对应票数154张占5.50%。

对另一场热卖活动的历史数据进行分析。订单数5597个，出售票数12254，目前可能存在中风险交易个数683个，票数1362个，高风险交易172个，票数377个；整体中风险占比12.2%，高风险占比3.1%。

结论: 测试结果与客户追溯结果高度吻合，预计线上模型可以帮助客户识别更多未发现黄牛，协助业务风控策略进行拦截。

当下面对黄牛时会遇到全新的技术挑战和安全风险，其分为四类，首先是服务器资源消耗，由于黄牛机器人大量注册账户并发起抢购请求，可能导致服务器资源过载，涌入大量的服务请求，导致服务器报错，进而影响正常用户的购票体验；其次是网络攻击，为了抢购门票，黄牛可能采取网络攻击手段，如DDoS攻击试图使竞争对手的服务器耀痪从而提高自己的抢购成功率。

还有数据泄露风险，黄牛可能通过非法手段获取用户数据，包括用户的个人信息购票记录等，这可能导致用户信息泄露，增加平台的安全风险；最后是平台口碑影响，由于黄牛机器人大量注册账户井发起抢购请求，可能导致服务器资源过载，进而影响正常用户的购票需求，影响平台售卖口碑。

黄牛常用的技术手段有：大量注册账户，黄牛通过大量注册账户，绕过单个用户购票数量限制。这样，即使每个账户只能购买有限数量的门票，黄牛依然可以抢购到大量门票。

另外，黄牛还拥有类似于VPN、IP 代理、IDC等资源，他们可以通过IP代理切换，实现业务资源的多次票据购买。

第三点，自动化填写与提交，黄牛通过机器人可以自动填写购票信息，包括购票者姓名、联系方式、支付方式等，这使得黄牛在抢购过程中比普通用户更具优势，比如本来填写表单需要一分钟，黄牛五秒就能填写完，同时黄牛还可以利用网络爬虫技术监控门票发售时间，并在第一时间抢购，这使得黄牛机器人在门票发售一开始就抢购到大量门票，而普通用户则很难有机会购买。

第四，一些比较高端的攻击者会尝试验证码的识别、饶过和破解，比如在一些场景下可能会尝使用验证码识别破解技术来绕过系统的安全防护措施，从而获取更多的票务抢购商品等资源，从中牟利。黄牛在这过程中会用到一些类似于图像识别、文字识别来提取这种信息，他们会通过一些OCR技术饶过验证码进行破解，比如最近很火的chatgpt，已经有部分人尝试用chatgpt找到验证码的漏洞。

黄牛和BOT具有相同的技术特征。黄牛、机器人BOT在访问特征和真实用户方面相似，比如他们访问序列一样，从登陆到抢购，他们这一系列的行为基本保持一致，并且由于黄牛在进行票物抢购时，它的访问序列较为固定，因此在访问特征较为固定的情况下，可以认为黄牛的行为和BOT是一样的，他们都有相同的访问特征和访问行为。

这样就会产生一些混淆的点，我们要怎么将黄牛真人和黄牛BOT区分开来？黄牛和BOT都有主要的一些获利点，比如他们的共同目标是获取数据，模拟用户行为对业务相关信息进行获取，比如用户业务数据(用户关系、用户信 )、业务支撑数据(音视、小说、医文)、业务敏感数据( 越权客户敏感信息、账单、订单地址 )；第二是资源抢占，比如秒杀、抢购、活动名额、优惠券等；第三它会影响一些投放效果，比如当前这个活动，可能会有100张门票进行投放，但这个时候黄牛大概把98张票给抢完了，因此到时就只有两个人真正享受到了这次活动的福利，这就会影响到整体活动的投放效果。

在这种情况下，我们就需要一个比较好的方式去构建多维度的识别和对抗方案。治理BOT和黄牛的关键在于识别和管控。识别：识别黄牛党流量是重中之重，它决定了能检出准确度与数量的多少；管控：支持多种管控动作，正确快速管理处置异常流量，不影响正常用户。

对抗黄牛的技术手段分为四点。我们可以通过注册保护来防护，第一点是通过前期的客户端风险识别，去分析客户的设备信息，如果发现当前这个设备有多注册或者重复注册的情况，就判定这个可能是来自黄牛党的注册。或者通过行为特征发现是异常的注册情况，或者从他的注册邮箱特征里发现是小号、解码平台等，这就是在注册层面的防护，可以从源头上阻隔这一部分的访问请求。

其次是通过IP威胁情报和限流防护。对使用类似于代理IP这样的访问，比如通过威胁情报去发现这个IP是不是来自于代理，或这个IP之前有没有相关信息，平台因此可以对这些IP进行封禁，从而限制黄牛机器人的强迫行为。

第三个是重中之重，就是通过特定的方式去对抗自动化的攻击填写。举个例子，如果在当前的抢购页面里去识别当前抢购的人，到底是人还是机器？对方有没有采用一些类似于浏览器、模拟器或者脚本工具进行访问？而腾讯客户端风险识别就具备这一能力，会尝试去看当前的浏览器里是不是有被控制，如果被控制，可以接着识别出会不会存在问题，比如可以识别当前访问是不是用脚本发起来的，或者说是不是通过什么方式进行访问的。此外还有一些其他的访问行为特征，比如页面停留时间、平均访问速度等，会和正常的用户行为特征做比对，然后通过这些特征去识别当前访问请求是不是自动化的请求。

验证码对抗：限速机制可以限制用户在一定时间内的请求次数，降低黄牛机器人的抢购速度。验证码机制要求用户在购票过程中输入验证码，从而阻止自动化程序进行抢购这些方法可以提高黄牛机器人的操作难度，降低其拍购成功率。

通过这四个方向对抗黄牛主要分成三个层次，第一个层次是客户端风险识别，其包含五项内容：1、客户端风险识别，识别当前客户端是否脚本、selenium或headless。2、页面反调试，识别当前客户端是否开启开发者模式。3、验证码机制，通过特定挑战识别当前是否具备完成验证码的能力。4、客户会话识别，识别在公共出口下的不同客户端客户端。5、威助情报，已知Bot类型和威助情报可被识别出来。

第二个层次是特征与数据统计，其包含五项内容：1、异常访问特征，识别非正常的 http 请求中的访间特征。2、异常行为特征，识别非正常的 http 中的行为特征。3、访问特征统计，统计当前 http访问流中所有访问特征。4、异常特征统计，识别处多个 http 访问流中出现异常访问特征。5、访问水位统计，识别当前请求流中，对应客户端、IP是否超出正常访问水位。因为黄牛是一个比较特殊的群体，它的访问特征相对整体水位来说，要远超正常用户，所以如果有一个相关的水位统计，其实就可以比较好的识别出黄牛。

第三个层次是AI异常行为分析，其包含三部分内容：1、账号维度下的连续会话特征分析，识别当前账号会话的访问特征。2、AI异常行为检测模型，通过AI 模型实现异常访问行为发现。3、AI异常特征检测模型，通过AI 模型实现异常访问特征及水异常发现。

说完识别以后接下来是管控，比如通过常规的基础规则，可以识别出大量的无效流量，像黑名单规则、行为规则，还有一些其他的规则。通过这些规则可以快速把一些异常流量摘出来，然后让市场流量给放行出去了，这部分内容按照之前BOT对抗的情况来看，其具备三个大的难点。第一是开发工作和业务是强耦合的；第二是需要部署的方案较重；第三是单纯按着黑白规则去看，它的误报可能有点多。

那么在这里就可以看出来了，当前的BOT治理，在识别上 需要这些经验，比如多维度的识别，包括但不限于客户端风险识别、行为分析，还有依赖专家经验去预设威胁分析模型。并且它需要AI的识别和分析，去了解当前流量的特征里，有多少是正常的，有多少是异常的。

还有就是需要实时更新的第一手情报信息，去发现当前哪些IP流量是有问题的，哪些又是代理的，这样就能提前做好预判。

然后就可以快速做一些管控了。在管控方面需要具备：

当下和黄牛、BOT的对抗强度特别大，他们的攻击行为可能一天一个更新，用户在发起规则变更后，可能不到六七个小时，黄牛就已经能看清这些规则了，然后他们就会主动发起新一轮挑战。在没有专家经验的情况下，面对这些挑战需要做一个“两步走”的最佳实践。

首先第一步是可以通过细分场景去做策略，比如登录场景的去做登录场景的事，然后就可以快速简化配置；其次可以通过不同场景配置，比如登录场景的业务就只开登录场景，比如要如何去防护自动化的注册？就可以通过在这里面把自动化注册和工作场景开起来，这样就能快速把登录注册的BOT提前拦截掉，这样在不同的细分领域里去细分配置策略，可以达到精准拦截的效果。

第三点，针对不同黄牛、不同BOT需要不同的访问规则，因此就需要配置多套动作模板，这样针对不同黄牛、不同流量就可以执行不同动作，也更加精细了。

在BOT与黄牛治理方面，其具备闭环的流程。首先是对BOT进行全量分析，然后对其中的模块能力进行配置，分析完配置之后，可得出相关的BOT得分，最后根据得分进行分析，形成日志。

提问一：在流量更多的场景中，事前需要做哪些部署才能在保障用户访问的同时精准拦截恶意流量？

王雷雷：首先需要对客户端进行检测，看是否存在被利用的漏洞；其二，在节日当天接入风控能力，对于手机号、ID进行识别，做到实时拦截。

马子扬：提前防控需要提前把流量进入到腾讯的模型里，因为流量模型的学习需要时间，提前接入业务流量可以尽可能快速地学习，知道什么访问行为是真实，什么是异常。

提问二：安全和应用性本身存在一定的矛盾，多重验证有时会影响用户的使用体验，要怎么平衡两者的关系？

王雷雷：首先可以识别客户的风险等级，可以针对不同风险等级的用户采取不同的验证测试。针对高风险客户可以直接采取比较强制的措施，针对那些可疑的人群，按照可疑度不同，或直接拦截，或给予不同的验证模式。

马子扬：腾讯WAF里有客户端风险识别模块，其可直接识别出当前的访问请求是否异常，腾讯通过前置的无感验证，可以提前把一些异常访问请求拦截，因此正常用户在进行访问请求时，难以遇到验证码多次弹出的情况。