D.K专栏

群控，是黑产团伙中一种比较流行的作弊工具，可以批量操作多台手机。黑产团伙使用群控设备的一般流程是，自动化注册、登录、操作，从业务行为上伪装成正常的用户，不断重复操作使得获利最大化。前面介绍的多种手段都可以用来防控群控，包括欺诈情报、设备指纹和决策引擎风控规则等。需要注意的是，这几类识别群控的技术手段都非常依赖专家经验，对已知的群控样本和通用的技术特征有比较好的防控效果，但是无法快速发现未知的风险和新型工具。黑产团伙作案手段变化较快，当专家经验驱动的防控规则开始上线使用时，业务往往已经遭受了一定的欺诈损失

情报分析是整个情报工作的核心环节，一直以来都是情报学的主要研究领域，也有很多成熟的情报分析方法。在欺诈体系建设中，参考了OSINT（Open Source Intelligence,开源渠道情报）的方法，它是一套完整的情报收集、分析方法，有很多值得借鉴的地方。从前文对情报的分类介绍中可以看出，数据情报和技术情报都是对原始情报信息汇总加工后产生的。在分析过程中，我们把风险相关的数据抽取出来，就成为数据情报；把技术和作弊工具有关的情报整理出来，就成为技术情报。情报自动化采集系统从各个渠道收集的原始信息，

我们对欺诈情报的定义为：黑产团伙在使用哪些资源和技术手段危害互联网业务的正常运营，包括但不限于“刷单”，“薅羊毛”等黑产攻击事件细节、黑产新型的作弊工具及黑产使用的各种资源信息。 情报，是一个历史悠久的军事名词，可以说贯穿了人类的战争史。在网络安全领域，很早就兴起了威胁情报这个细分领域，也出现了一些做的很好的公司。根据Gartner的定义，威胁情报是一种基于证据的知识，包括上下文、机制、标识、含义和能够执行的建议，这些知识和资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危...

互联网时代，ip一直在网络安全和风险控制领域占据着最为重要的地位，主要是出于以下因素：1.所有的网络请求都会带有ip信息，因此其天然的成为访问者的身份标识。2.由于ip的管理和分配比较严格，很难造假。虽然会有代理、肉鸡等掩藏踪迹的手法。但绝大部分情况下，ip数据的真伪是可以信得过的。3.由于ip属于网络层，可以轻松的对其进行阻断。现有的各种网络安全、负载均衡的设备和软件，都

ip作为识别和定位用户的手段来说，对互联网企业起着至关重要的作用，特别是在精准营销、反欺诈等业务方面。本文描述如何简单的去构建自己的ip地址库。拿来主义实际上，对大部分用户来说，如果要求不高，完全可以拿现成的资源来使用：老外的数据有maxmind，不过对国内有些水土不服BAT级别的公司有开放api支持，但不提供离线库国内也有第三方的优秀提供商，比如ipi