腾讯安全云部助理总经理李旭阳

很高兴有这个机会跟大家一起做一下分享。

看论坛的名字，大数据与云计算助力中国经济实现世界级腾飞，大数据对中国经济确实发挥非常大的作用。

经济发展随之而来就有各种各样的东西，黑色、灰色甚至触犯刑法的东西就蛮多，大家看到的光辉一面比较多，我们一直打击网络诈骗这一块，我们接触时间比较久，我们发现确实比较触目惊心。我这个主题把现在这种网络上或者电话中、电信诈骗案例看一下，会说一下我们简单的思路。

我的这些分享思路，如果要是大家在互联网上做一些业务安全，我这个思路是对大家帮助非常非常非常大，强调三个字，如果有人做这一块是非常大。这个分享我以前做过，有的东西很难分享，做安全是讲策略，人与人之间的对抗，对抗是不能公开我的策略，如果我公开我的策略，其实坏人知道我这个策略就失效了，后面我会讲一下对抗中用到比较有意思的东西。后面还会讲一些评估方法，这个也非常重要，不管你吹得天花乱坠怎么好，到最后没有价值其实还是一点用也没有。

最近好莱坞有部电影叫《极盗者》，讲的大致这样的故事，有一群坏人，比较酷，同时为了了解跟多的信息去破案，卧底就产生了，卧底无非了解他们犯罪模式了解更多信息。看了这个电影，联系到了我们做的工作还是很有感触，因为我们在跟坏人对抗过程中，其实很多地方也是这么来做，我们要知道坏人怎么运作，才能想办法去阻止他。

我们相对于警方而言，我们是不带枪或者没有执法权利的这种执法者，我们看到一个坏人，我们能够阻止他，但是我们不能抓他，只能跟他对抗让他的成本上升，比如他要花5块钱只能骗到4块钱或者3块钱，他就不做这件事情，我们让他的门槛拉高，让他在诈骗中获益变少。

这是我们身边经常会发生的一些故事，我们可能在做的过程中，在前两个月左右眼睁睁看到一对在深圳打工夫妇，我们发现他被骗了，然后我们去联系他，联系不到，然后警察联系他，联系不到他，晚上联系到他的时候，被骗了7万块钱。7万块钱可能对大家来说不算什么，但是对比较普遍或者对普遍蓝领或者打工人员来说7万块钱是非常大的一个数字，可能他们一年都攒不了那么多钱，当时我做这件事情内心非常难受，包括这个案子也都是真实的案例，经常自己存了一点钱被骗洗劫一空。

除了这些比较底层打工人员被骗，受过高等教育也是有被骗的。在去年春节前后有一个华北一个员工骗了1100多万，这个在报纸上有写，其实是我们发现。还有一个女的，40多岁一个女的被骗了500多万，把房子卖到，当她自己知道被骗绝望跳楼自杀，非常多的一些故事，我们做这个事情的时候，我们接触到这样的故事就很有感触，以至于这个东西正是驱动我做这件事情的最大动力，我们做这件事情没有给公司带来一毛钱利润，拿着公司高工资做了一些别人看上去比较二的事情，我们把它称之为情怀。

我再简单介绍一下诈骗，这个主题尽量讲得让没有知识背景的人也能够听得懂。

诈骗产业链发展很快，比我们安全从业者或者比国家像警察之类要发展快得多，他们驱动力是非常强的，就是变现赚钱。他们变化非常快，一旦发现你跟他对抗马上就换，而且他们圈子传得非常快，各种各样的诈骗，形形色色非常多，他们发展是非常快的，一会我用数字证明，坏人比坏人做得好发展得快。

之所以出现这么严重的情况主要还是有几个特点，第一，非常难防，各种各样的诈骗非常多，用警察的话来说，几百种诈骗模式，总有一款适合你。你觉得你很聪明，他总能找到一种适合你。我举个简单的例子，你有小孩在学校上学，突然给你打电话，说你小孩怎么怎么样。  我有一个同事手机打不通，告诉他爸，住院了不行了，要打钱过去。各种各样的诈骗模式非常多，总有一款适合你。

后面难治，警察是有责任，但是他做不了。为什么？因为他没有数据。他在整个网上的诈骗环节中警察是什么也做不了，只能适合破案。我打个电话骗一个人，让这个人打钱打到银行卡上，所有东西不经过警察，警察没办法中间拦阻所以非常难治。

难控，现在我发现每年增长都非常快，根本就得不到一点点遏制。现在应该国家还有各地公安对称之为非接触式犯罪上升得非常快，真正的接触式传统犯罪其实已经控制得非常好。

这是一个数字，是诈骗加上灰产，在电商或者银行里面羊毛党或者各种灰色软件拉安装APK，还有黑链大致在3万亿左右。

89%，都是媒体上数据没有太多的证实，也就八九不离十，大部分人碰到过诈骗信息，我都碰到过好多次，不管电话、短信也好。

尤其是有几概念，我认为有几个词会被说滥，大数据，谁都口口声声说大数据，我现在听到大数据都想吐了。

还有就是安全，一说安全，习大大说什么什么安全，在公司  里又是什么什么安全，各种各样到处都是安全，从业人一堆一堆的，具体是怎样的，其实很多人还是理解一般。我说一下我这边从这种主题来说，我把这种安全是分了三类。

一个就是习总最关注的国家安全。这一块中国做得是非常好的，舆情，国外间谍渗透窃取国家机密或者恐爆等等。

还有企业安全，企业安全包括每个企业自己的ID系统的安全，防信息的挖取这是最基础的每个公司都有，特别大互联网公司都有。

还有非常重要是业务安全，这个在安全领域里面警察如果不算，算互联网上面安全从业者，业务安全是从业人数最多的。我举个简单的例子，我初步估计一下，就在互联网公司，百度我了解不多，阿里也好、腾讯也好，他们真正安全从业者大部分是业务安全，然后再加上基础安全，基本上可能这种安全从业者占总人数的10%左右，还是非常多的。业务安全它的范畴是非常广的，每一个业务都是需要业务安全的，否则的话你这个业务肯定是要挂的。比如说电商你要打假货，你要抓羊毛党这都是安全范畴。

比如说百度搜索，它要打诈骗黑链违法链接要打掉也是处于业务安全，甚至防劫持等等。

还有腾讯做的游戏比较多，在游戏里面防外挂，这个就是它的业务安全，这个非常重要，如果做不好，失去平衡就挂了。所以业务安全是从业领域是最多的，也是各个企业非常关注的。所以我们经常这样说，作为把安全理解成互联网企业的入门门槛，你做得大了，你不做业务安全，肯定会挂。

还有2C，普通用户普通网民的安全。这个比如说你的信息泄漏，设备商、个人信息泄漏，还有社工诈骗，以前安全的公司，卡帕斯基，比如360走的公共安全这一块，从安全主题大致分为这样的一个情况。

在这一块为什么要说社工诈骗，我今天重点分享社工诈骗，国家安全层面做得不错，企业安全企业还是做得不错，公共安全真正缺乏有人关注或者说从现在来看形势是最差的一块，我重点讲一下社工诈骗。

社工诈骗常见手段非常多，你中了什么什么《奔跑吧，兄弟》节目多少多少钱，报纸上也有这样的广告，你订个机票，收到短信告诉你航班取消等等。

我们最近几天监测到最火爆的诈骗网上兼职，告诉你网上刷单给你返佣，上当受骗的人是大学生和没有工作这部分人，没工作就自然想到从网上赚点钱，就上当了，最近是非常严重，我们重点在打击这一块。这批大概两拨人合作在做，一部分在广西，一部分是在浙江。比如说你在网上看到各种各样的兼职，基本上都是骗子。

说到诈骗方式，有了诈骗方式一定要把信息公布出去，所以他有自己的传播方式，当然这种诈骗不是说现在有了互联网才有了社工诈骗，很早以前就有了，在互联网很不发达的时候就有了，比如在报纸上，富婆征婚，房车各类，100%是骗子，小广告、报纸之类这些都是骗子，报纸的小广告。

然后还有电话，诈骗电话，电话传播模式，像诈骗短信，搜索引擎也是重点传播渠道。上次有一个人还给我们吐槽，在南京的时候，他是一个领导，他在国外受到航空诈骗，他就去网上搜了一下出来一个电话，被骗了2千块钱，他在网上搜索到的信息刚好排在最前面，官方客服打过去，搜索引擎在里面充当了为虎作伥，至少帮骗子做了很多事情。还有信息发布网站，婚恋、招工等等。

还有UGC平台，热门网络评论帖、微博、朋友圈，还有腾讯的QQ包括Email，凡是有信息发布沟通都可能变成骗子去传播的一些方式，形形色色都非常多。

我再说挑战。为什么这个社工诈骗那么严重。  信息太多了，坏人躲在正常请求里面是非常少的，举一个网址，真正恶意网址占所有用户访问的正常的网址里面可能只有万分之五或者更低，你去里面找很难找，大海捞针，恶意比例太低了。

还有坏人不像以前黑客，做病毒的人秀技术，展示一下自己很牛等等，现在完全为了赚钱，只要能赚到钱，什么low手段都无所谓，持续跟你对抗。

这种现在新型出现社工诈骗，传统厂商已经基本上完全失效了，这边有个图不是太清楚，我们可以看到，比如在社工诈骗里面钓鱼网址或者欺诈网址是很重要的一个载体。从最近的一起，前几天的一个报告来看，前面都是国产，你可以看到后面几家国外，恶意网址的拦截率基本是零，没有任何作用。既然传统的这种模式都失效了，要做，OK，因为它的特点就是大数据，用大数据的方法来解决这个问题。

当然有了大数据的方法，是不是就可以做好？答案肯定没有，现状就是社工诈骗很猖獗，既然用这个方法没做好还是有原因。为什么？它的责任口径是在警察这一边，但是就像我刚才说的，警察是没有数据没办法切入诈骗的整个链条里面，他是没法做。有责任的人没法做。

还有一个数据很分散，比如说他要形成一个诈骗环节可能需要运营商的数据，可能需要银行的数据，但是这些数据其实是不好串，串不起来。

假如说警方想去做这件事情或者说有这种公司想去做这种事情，要想接触运营商的数据，想去接触银行数据，这个是不太可能的。当然这个也有比如说因为法律等等规定，这是用户隐私你不能接触，你不能因为你要做安全，你就去妨碍大部分的隐私，其实也是蛮有道理。再加上真正做这种事情，专业人才，我认为还是在国内的几个大的互联网公司，一般小的互联网公司可能还是有比较优秀的人，这个不否认，但是毕竟是占得少。

比如说我们做安全，我们做了十年，然后我们比如说网址欺诈，我其中一个团队十个人，从09年一直做到现在十个人，里面核心员工做了5、6年，就做一件事情，这种消耗或者这种投入还是非常巨大的，这还是仅仅人力成本，如果再加上设备成本，设备我们有400台服务器做这件事情。真正能做这些事情或者做得有效果，短期有效这些人出自大公司有经验的人。

当然这是解决方法，用大数据方法去解决，其它方法不好解决。虽然有很多的困难，但是用大数据方法去解决其实还是有一些方法，我们先不说可以不可以数据，假如有机会得到数据，有机会做这样的事情，怎么办？大数据的方法，大数据的方法各种各样的分享太多了，基本上都是所谓机器学习、人工智能等等。简单来说其实就是把多维度数据抽取出来，有用数据维度，把黑白名单分出来，通过算法去把白样本、黑样本特征提取出来，制定规则，未知样板做出来然后机器学习，这个东西很简单。

我会简单开始真正介入到业务安全和坏人对抗，后面这三四个概念我认为还是很有意思，大家至于理解多少我就不管。

染色，我只讲两个方法，一个称之为顺藤摸瓜。这个什么意思？我举一个简单例子，比如说我们发现一个网址是恶意的，我们又找到网址注册人，发现它的email，我们发现恶意网址网页，我们发现网页用了固定的模板，我们一想坏人他去找人开发网页应该大部分都是用的同一个模板，我们通过这个关键信息或者一个信息，我们就去找使用这个模板的网页有多少，都是哪些，又抓出来了很多，通过另外一种手段没有检测出来的恶意网页。OK，我称之为顺藤摸瓜，核心意思就是说你要找到一个坏人某些破绽，通过这个破绽才去找到其它的东西去补充找到坏人，这是顺藤摸瓜，通过一个线索找恶意的东西。

还有找贼窝。物以类聚人以群分，其实坏人也都是聚集在一起的，不是单干的，坏人是团伙作案，一个人做什么什么样的事情，一圈人也是做什么什么样的事情，这是很容易理解。比如说有一个案子，找贼窝有时候是很美妙的东西，有这样一个小的案子。一个屌丝程序员想找漂亮老婆，突然认识一个空姐，他就想到怎么找到空姐女朋友。

既然认识这个空姐怎么找到其他空姐认识女朋友，之前比较简单的方式，通过空姐的微博或者朋友圈去看看其它圈子，她的圈子里面交的女性大部分是空姐，大概这个思路。我们做安全也是这样，比如在广西宾阳、海南儋州等等，几大贼窝很严重。

上面说到了一些找到坏人和检测坏人方法，这个会讲到对抗方法，这个也很有意思，应该是去年的电影，《模拟游戏》，我是冲着图灵去的，讲的图灵故事。这里面主线在二战期间图灵去破译德国的密码叫Enigma，花费很大精力去破解这个密码。当时团队要把这个东西马上报告军方，军方资助他，图灵拦住了，这个是绝密不能够扩散，我们把这个东西范围非常小，告诉了军情六处，策略出来了，一定要把保密的范围非常小，你去问别人的时候，你什么安全策略，别人会告诉你安全策略但不会告诉你为什么。