演唱会门票被“秒光”，如何利用高科技防微杜渐？原创

全国各地的这种演唱会啊，音乐节这种大型的活动可以说是此起彼伏，那然而在这个背后出现了一个奇怪的现象，无论是多么大型的演出售票活动刚刚开售即被秒光，那抢票难一度成为了社会的热点话题，真的是我们的观众手速不够嘛？那显然不是这样哈，随着我们这个文娱产业的复苏，黄牛党、羊毛党这些靠薅羊毛来赚取利润的黑色产业也开始卷起来了。那本期原引擎的直播，我们将从营销风控场景入手，邀请腾讯安全的业务风控专家们带来演唱会门票被秒光，如何利用高科技防卫杜渐的主题课程。好的，话不多说，我们今天的分享正式开始，那首先请允许我为大家介绍今天线上分享的几位嘉宾，他们分别是。腾讯安全资深营销专家王雷雷、腾讯云高级安全工程师马子阳，欢迎两位嘉宾老师。

那在我们正式分享开始之前，我插播一则抽奖预告，今天我们的直播将会有两轮的抽奖活动，每轮我们会抽选出十名优优，呃幸运幸运观众送出我们的这个特别的礼品，那大家现在就可以扫描我背景板上的微信群二维码，欢迎大家扫码进群参与之后的这个呃互动抽奖的环节，那以及今天的这个直播结束之后，我们会开启两个针对营销风控场景的产品试用的活动啊，是限时的哈，那这个直播结束后呢，我们也会在群内发出试用活动的报名二维码，所以感兴趣的观众可以现在就扫码入群，参与群内后续的抽奖和产品试用的活动。好，那接下来就开始我们的第一个议题分享，首先有请腾讯安全资深营销风控专家王雷雷为我们带来天价演唱会。

门票秒如何打赢营销风控保卫战的分享，请王老师开麦开视频。好的好的好，然后各位下午好，然后今天下午来，我由我来为大家去讲解一下我们演唱会这个场景下的就是哎，哈喽哈喽，可以听到吗。哈。可以听到吗？Hello，可以听到吗？啊，可以的。嗯，好的好的。嗯，然后各位好，然后那我们就继续开始，这我刚才同事已经介绍了我们相关的一些背景，那现在我给大家去有从实战去出发，然后去讲解一下我们在演唱会这个场景，怎么去防止黄牛去抢我们这些票，然后让真真正正的我们这些呃实际的消费者，然后去获得这个票。好那我们先我们我们这次分享主要会从三个方面，第一呢，就是我会介绍一下这个项目的背景，因为目前的一些挑战，那第二呢，我们就会介绍一下当前防黄牛的一些安全的一些架构，那第三呢，就是呃，由于当前的一些安全架构可能存在一些薄弱的环节，那从腾讯侧来说，是怎么建议我们去做这个防黄牛的这个体系呢？那这块我也会做一些阐述。

那首先在进入第一个环节，那因为刚才说是从实战出发嘛，那我们从一个真实的案例去去出发，那同样也是这个黄牛抢票的这个场景，那其实危害刚才我同事已经说了，就是导致这种就是呃，门票的市场就是供求失衡，然后二级市场门啊这个价格飞涨，可能几百块钱的能被炒到几千或者上万，然后增加了这个公众票务的一个成本等等，其实扰乱了这个正常的一个购票秩序那。我们实际发生的一个案例呢，就是它是呃，它的一个项目背景大概是这样，就是说同样我们这个票务网站呢，是支持会员和非会员同时可以购买，那非会员的情况下呢，我们可以支持这种呃，无需登录，就是游客模式去购票，然后同时呢，我可以针对这种热卖的，热卖的这种活动呢，就是会设置一些地区性的一些限制，就是我可以限制某些地区的人去购买，然后增加了这个黄金这个这个难度，那在此背景下呢，就是我们和客户就是需要去利用这种技术防护手段，然后去限制这个黄牛去抢票。

那接下来我们去看一下，就是呃，我们在和客户去沟通沟通，呃，就是实践之前，那客户的一个基本的一个防护情况，那这个可能也是。大多数票务企业在用的一个正常的一个一个架构，那首先我们可以看一下啊，就是无论是正常的用户还是这种黄牛，那他进来那首先是会先过我们这个wa，那我们我们的wap会作为第一道防线去做一些拦截，那我们会有一些BOT设置啊，有一些区域的设置啊等等，我们会进行拦截，那经过buff之后呢，然后肯定还会有一些人去进入到我的这个，呃，就是真正的业务系统里边，那真正的业务系统里边呢，可能大多数企业还会做的一件事，就是说我会用这个验证码去区分这种人和机器，那比如说我会用这种滑块验证啊等等去区分这个人和机器，那同时呢，然后业务侧呢，也还会做一些这种基本的一些策略防护，比如说我去做一些这种呃入列呃入对啊，包括这种登录的一些限制啊，人机识别啊，包括一些业务规则一些限制等等，那最终然后才就是把这批过滤掉，然后我再会去进入到我的这个票务系统，那其实呃看似这个。

防护手段还是挺多的，但其实我们实际呃，看下来之后，还是有很大一批的这个黄牛党流入到我们真正的这个系统里边，就是还是没有拦截到。嗯，那这块其实也简单分析一下啊，就是呃袜这块大家可能也比较了解啊，就是我们针对于这个用户呢，首先先做了一个区域的封禁，就减少了，就是非业务区域的一个IP访问，比如说我减少了，呃，比如说新加坡，马来西亚等等，就开售前我会把这些IP都禁掉，禁掉之后呢，然后第二步我会限制一些，呃，就是对这个速率进行限制，然后同时呢，对于访问也进行限制，那这是我们做一个第二个一个策略，那接着往后呢。

我们还可以去自定义一些规则，比如说我们有，我们大概是跟客户有这个13，呃，大概定义了一个13个一个规则在里边，就是都是这种防的，那等等，再往后我们会有一些这个，呃威胁情报啊，包括AI评估啊等等。那接下来之后呢，就是我们这个验证码，因为验证码其实主要的一个呃功能就是用于区分这个人和机器，那在这块呢，其实客户选择的是滑块验证，就是呃，通过这个滑动，然后来验证，那这块呢。那这块呢，其实我们呃也能呃有一定的这个拦截，拦截的这个效果，但是呢，可能有一些高端的这种黑产，那它会有这种就是绕过的一个能力，就是绕过我们这个滑块验证，那从而呃达到一个破解的一个状态，或者抢到这个票，那这个是一个传统的一个模式。

呃，那这块呢，其实呃作为呃腾讯安全来说。显然刚才的这种传统的架构可能是不够的，就防护体系还是偏弱，那我们这块的建议是什么呢？呃，就是首先这是有一个结构的一个图，那这个图呢，大家也可以看到，那最外层呢，其实还是我们的waf，就是作为我们的第一道防线，那我们的wa拦截一些BOT啊，拦截一些这种就是集群流量啊等等，那接下来呢，就是我们的这个设备指纹登场，那设备指纹这块主要是利用这个设备指纹的风控能力去抵御来的这种APP上的这种BOT攻击，我能去识别一些，就是人和一些机器，那我能看出哪些哪些机器，比如说有双开，有多开，有模拟器，甚至被root，这些都是我能通过设备指纹去识别出来的，那再往下就是验证码。

那这种验证码呢，其实我们就是提供的呃多种验证形式，不光光是这种呃滑块验证，还会有这种点选呀，啊图形啊等等，就是进一步的增加了这个黄牛破解的一个难度啊，这是我们在验证码上的一个呃能力的一个提升。那再往下就是到我的一些核心的一些业务层，核心的业务层呢，我们就可以通过比如说呃，腾讯的风控引擎，那我们对这个账号的IP，包括对你的操作时间综合去判断，然后判断出你这个账号是不是有问题，然后再结合客户本身的一些呃业务的一些策略，然后通过层层的筛选，然后最终过滤掉大部分呃，可以说是绝大部分的这种呃黄牛，然后最终呢，让就是真正的消费者来买到这个票。啊，这个是我们总体架构的一个理念。那从这个流程上来看呢，呃，大家也可以看啊，其实跟刚才的流程是是一样，就是都是比如说我在前端有一些正常用户，或者说有些黄牛党，那进来之后，那首先其实还是会经过我们这个buff集群，那我们buff里边做为第一道防线呢，就去识别这些黄牛，然后做一些人机的验证，然后做一些这个就是BOT的自定义设置等等，那我先通过map去拦一。

那蓝完一道之后，就进入到我的第二个这个环节，第二个环节之后，那我通过这种多验证的验证码的方式，因为刚才提到了嘛，传统的我可能只用一个滑块，但是现在呢，我们有滑块，然后还有这个点选，还有图形，就增加了这个破解难度，那同时呢，还有这个设备指纹的能力，那设备指纹的能力呢，就是。可以去识别，我这台就是这个流量也好，或者说这个用户也好，他使用的机器，它是一个正常的机器，还是说它被这个root了，双开了，但是有这种就是被篡改过啊，这个也是我们能能够识别的一个维度。那还有一个维度，就是这种业务防护策略，那刚才也说了，就是呃，客户可以自己自己去自定义一些策略，比如说我禁止哪些非业务国家的这个IP访问啊等等，那最终流向。

再留到最后一道防线，那最后一道防线就是，呃，我们腾讯的一道安全防线就是支付。那在支付这块呢，我们也是能提供，因为客户有一个场景是在海外交易，那针对于海外这种场景呢，我们可以在支付这个环节也去来一到，那我们就有一个能力叫呃这个呃就是支付，呃支付风控，那在支付风控这块呢，我们也是能识别一一些就是根据他的卡号，信用卡号啊等等一些信息，那我们来判断说哪些是前面的这个黄牛，然后从而呢再去配置一些策略，这样呢就是从前端的袜到中间的，比如说设备判断，业务判断，到到最后的这个呃支付判断，那把这个整个的判断链路去加加长，然后从而呢去过滤到绝大多数的这么一个红流档，那这个是我们整体的一个就是建议，就是一个算是比较完整的一个安全链。

那刚才就是其实多次提到了这个设备指纹嘛，那设备指纹到底是是一个什么东西呢？呃，其实呃从三方面来讲吧，一个就是说大家可以看到啊。就是我设备指纹主要是识别，从最底层就是假人假机啊，这个是最基础的，那再往上就是假人真机，那最难的呢，就是说是真人真机，那通过这种就是人机识别，比如说群控操作呀，我们能对这三类这个风险去进行识别，那从而达到说我有效的去防止一些呃这种高端的一些呃黑客或者说这种众包的形式的一些呃黄牛去来攻击我这个票务系统。啊，这个是设备指纹的一个能力。那呃，验证码也是刚才提到了，就是传统的可能我们只是这种滑块验证，那滑块验证的话，可能呃比较容易去破解，那在除了滑块之外呢，那我们还会有这种文字点选啊，包括这种图形点选，就总之我们会针对不同类型的不同风险等级用户采取不同的验证方式。

那如果说我可能是一个相对来说风险比较低，那我可能我或者是无风险的，那我可能就是无感验证，那如果说有一定风险的。我可能用滑块，那如果说在你风险比较高，等级比较高的，那我可能就用文字啊，或者那种图形点选的这些能力，就总之呢，我会根据不同的这个等级来加强我的这个验证，当然图形点选就是最难的这块就是就是防御能力是最好的嘛。呃，那呃还有一块就是刚才说了，有除了验证码，除了设备指纹，那么还有一个就是交易反欺诈，就是刚才说的，我我在前边我都去做了一些，比如说我在呃账号进行拦截，对设备我进行拦截，那在最后一道，那我对我这个支付实际就是发生支付的这个人去进行识别，那我可以根据一些比如说那个IP小便啊，什么卡画像啊，包括我们内部的一些卡的一些黑卡分析啊等等，然后去判断说你最终到支付环节的这个人，那到底是不是一个真正的人，还是说你就是一个黑卡，就是一个羊毛党，那我们在这个支付环节也可以去判断，那通过这个三个维度的去判断，那最终帮助我们去过滤到这个羊毛党。

嗯，那最后呢，其实呃我们也可以看一下，就是啊这个测试的一个案例啊，就是呃，我们跟他去测试两个场景，我们可以看一下，就是呃就是针对于不同的活动，然后第一场活动呢，就订单数是大概是1000将近1200，然后总共涉及的这个票的张数呢，就是将近2800张，然后经过我们这个就是一系列的就是风控措施，然后我们大概筛出了这个中高风险的，大概占到了呃百分之将近19%吧，然后对应的这个票数呢，是大概是将近940张。

然后这个中风险是7.7.1%，然后票对应的这个票数大概是100多张吧，然后测试了，测试了这个结果之后呢，其实我们和客户也去做了一个匹配，那结果呢，就是客户会进行追溯嘛，然后也会进行这种实实际的一个验证，那基本上是和客户的这个匹配度非常高的。那第二呢？就是就是就是就是第二场测试呢，其实也是针对于活动去测试，那这次订单数呢，就会增加，增加到呃，将近5600个，那这个出售的门票数呢，就是同时也增加了，那我们也会看到了一下，就是整体的这个中风险的占比大概是12%，然后高风险是呃3.1%，那测下来之后呢，我们就是又和客户进行了一个就是结果的一个追溯，然后其实也会发现我们这个结果和客户反馈，就是我们评出来的这个结果和客户反馈出来的结果其实是高度吻合的。也就是说其实我们这套能力是完全我们这套就是架构吧，是完全有能力去帮助客户去识别这些黑产啊，羊毛党啊，或者黄牛党啊等等，就是它的一个识别效果还是得到客户的认可的。

嗯，那刚才其实就是简单的介绍了一下我们这个整体的一个防护，然后呃，就是因为因为还是就是停留在这个纸面上吧，就是如果大家呃觉得感兴趣，或者说也遇到了类似的问题，那不如去扫码，然后我们可以去进行一个试用，然后我们可以我们这边也可以请到专家，然后给到一些专业的建议啊，帮助咱们去完善整个安全的防护体系。那大家大家也可以抽空去扫个码，可以去体验，可以去试用啊好，然后今天我整体的内容就这么多。好的，谢谢，谢谢王老师，那确实营销风控它的确不论是对我们普通的这种呃众用户来讲，还是对这种企业来讲，它都是提高我们购票成本，或者说是企业成本的一个呃很大的一个问题，那呃，所以这个问题我们呃。

呃，一定是要找到合适的解决方案去解决这个问题的，那刚刚呃蕾蕾老师他的这个产品试用的这个二维码，稍后我们也会在群里面再给大家发出来，所以没有扫到的呃朋友们可以现在扫描我现在这个背景板上的二维码进群哈，好的，那呃我们呃第一个议题之后，我们将开始我们现在第一轮的抽奖的环节，那本轮我们会为大家准备十个腾讯怪企鹅的景枕，那请大家先扫描屏幕上的这个二维码进群，我们将告诉大家这次获取礼品的一个密钥，那前十名在我们微信群内参与互动的呃小伙伴就会获得我们的礼品，好的，那接下来我呃我会念出我们这一呃第一轮的这个抽奖的口令。

是。营销风控抵制羊毛党。我再念一遍哈，营销风控羊毛。好的，那请我们大家呃，把这个营销风控抵制羊毛党发布在我们的微信群内，那一会儿我们的小助手会公布获奖名单，屏幕前的你如果没有入群，欢迎马上扫描我们的这个背景板上的二维码入群。好的，那我们接着往下分享，接下来就有请腾讯云高级安全攻防工程师马子阳带来如何通过高科技有效防护新型BOT的分享，有请子阳老师。好的，谢谢，稍等，哎，好，能看到稍等一下我出来。稍等一下，我分享一下屏幕。看到吗？

可以看到。稍等一下。嗯，好，那今天我要分享主题就是如何通过高科技有效的去防护新型BOT攻击，其实这边其实就会引出来一个疑问了，就是呃，黄牛党和其实是会有什么样的关联，然后其实也会对应到我们今天的一个副标题，就是演唱会门票售罄，那么我们这个作为一个平台方，如何高效的去对这种恶意的自动化流量呢？那么这不得不说的一点，就是说，我们现在其实在对黄牛的时候，就会遇到不同的一个新的技术挑战，还有一些相关的安全风险，就比如说在黄牛对平台里面，它其实有多种一个挑战，我这边规范的一个四点的一个挑战在里面，第一个就是一个显而易见的一个地方，就比如说它会造成一个巨的一个服务资源的一个消耗。由于黄牛机器人呢，它会大批量的去抢注这些账户啊，并且它会发起一些抢购请求，这可能会导致说我们的一个后台的一个服务负载，会在一瞬间的时候，它会有快速的去涌入大量的一个访问请求，最终导致我们的一个业务的一个访问请求啊，它是会有一个说会有一个延迟情况，或者说出现一种500的一个。

服务器报错的一个现象存在，那么这个时候呢，可能就会有一些影响，你比如说啊，用户在他的一个购抢票界面里面呢，就会发现说诶我这个抢票怎么加载不进去啊，或者说诶我怎么抢着抢着都是一个白屏的状态啊，就有这样的情况，就会导致一些平台的一些呃客诉，然后另外一个呢，就是会有一些呃不太不太友好的一些抢票的人员啊，黄牛人员，他们为了去抢购门票，他们会采取一些是恶意的一些黄牛的一些S种攻击手段，就比如说呃像是一些攻击啊，或者说他对呃业务发起一些信息攻击，尝试试图的去让我们的那个平台那个服务器瘫痪。

然后呢，大家都认为他们说好了，然后己一购的一功，同时黄会采取一些去获取一些用户的数据，就比如说他尝试获取A用户的一些账户信息，通过一些便利的手段啊，然后去获取一些呃，个人信息，票信息啊，然后去尝试去提前的去把这些票务给提取出来，或者是兑换，提前兑换，这可能会导致一些信息泄露啊，还有平台的一些安全风险在里面。并且同时呢，还有最后一点就是说黄牛如果说他做这么大的一个动作在里面，他其实对平台的口碑啊，会有一个比较大的一个挑战，就比如说这个平台为什么一直买不到票啊，会有这样的一个口碑的影响。那么这个时候就会到另外一个点上来说，就是黄牛会用一些什么样的一些常用的技术手段去进行一个票务的呢？刚才提到一点就是说黄牛会通过大量的一个注册账户，就比如说我通过A的一个方式去注册，或通过手机号去注册，现在其实有很多类似于打码平台啊，或者监管平台，或者说是那种呃，临时邮箱的方式，然后呢，通过这些技术手段去绕过了说，呃。

去批量注册用户，用于绕过说我单个用户他的一个购票的一个数量限制，那通过这样的一个技术手段呢，就是尽管说每个账户可能只是能够买到有限的一个门票，那。这种情况下黄通过大量票，另外黄其实多于IIII封就可我被上续行二票，第三是我们现在其实是比较黄。

自动化的一个填写和提交，黄牛可以通过一些呃，机器人的这种自动化手段，自动化的去填写一些购票信息，包括呃，购票者姓名啊，联系方式啊，支付方式等，这样的话就让黄牛在抢购过程中啊，会比普通的用户更加的有一个优势，就比如说我原来填一个表单，填一个门票的，他可能原来要十啊一分多钟才能填完，然后黄牛可能说五秒钟诶就已经填完了，这时候黄磊就可以说通过这种差的优势，提前一步抢到这一个门票。并且呢，普通用户呢，相对来说是比较难去购买这个门票，第四个刚才我们的雷老师也说到一点，就是说有一些比较高端的一些攻击者，他们会尝试一些呃验证码的一些破解，还有绕过的一些手段，从而去说呃自动化的去把填写和提交，还有甚至说我去提交订单这个步骤给完成了，就比如说黄牛可能会在里面用到一些类似于图像识别啊，文字识别啊，机器学习这种信息，他们通过现在一些OCR技术啊，或者说那种。

呃，不下技术文字体系就推动提取数去把我们验证码进行尝试性去进行绕过破解，就比如说像是最近很的T，现在已经有部分的人尝试会说利用这种GT方式去理解说哪个地方会问题，哪地方会有问题。那么刚才说了那么多黄牛的特征，那么黄牛和BOT它其实是有相同的一些技术特征的，就这边是举一个简单的例子啊，黄牛和BOT里面他们其实会有部分特征，就比如说它的一个访问特征，这种黄牛的行为和机器人BOT的行为是和部分真实的用户是相似的，就比如说他们的访问序列都是一样，就比如说他们从先登录啊，再到抢购啊，他们都是一系列的行为都是保持一致的，并且呢，因为黄牛在进行抢购票务抢购的时候，它的一个访问序列是较为固定的。

那么他们在这种较为固定，具有特征特定的情况下，我们就可以认为说黄牛的一个行为和一个行为，他们其实基本上是一样的，他们都有相同一个问特征和问行为。那这样子话，其实就。具有一些混淆的点了，就比如说黄牛和正式用户应该要怎么样去区分开来。来这一个混淆点，这个混淆点的话，我们稍后会说到说我们可以通过什么样的一个技术方式去把这些混淆点给区分开来，然后主要说识别出来，说哪些问请求是真实用户，哪些问请是黄牛这种类型，那么他们其实的一个这黄牛和他们其实都有一个主要的一些呃获利点啊，就比如说举个例子，像是呃。当前的这些黄牛和Bo他们其实目标来说就是获取一些呃数据资源，就比如说获取一些业务数据啊，获取一些支撑数据，或者说一些敏感数据啊，在抢购票务抢购这个环节里面，他们最主要获取的就是一个票务的一个资源在里面，然后呢，他们会做一些呃资源抢占啊这种动作，因为黄牛它的一个资源抢占，其实最多就是说。

在一个秒杀场景下，去抢占所有的一个票务通道，然后让所有的票，让所有的机器人全部给杀光，让正常用户是没有办法去秒到这种票务资源的，第三个呢，它会影响一些投放效果，就比如说我当前这一个，呃，活动可能会有100张门票进行投放，但这个时候黄牛把大概98张票给抢完了，这时候就是大概只有两个人真正的去享受到这次活动的一个福利。那么这个时候就会影响到这一次，呃，整体的一个活动投放的一个效果，就会造成对整个活动会有一个效果的影响。

那么在这种情况下，我们就需要说做一个比较好的一个方式，去构建一个多维的一个识别和对抗方案，因为刚才已经达成一个点，就是说呃，黄牛其实就是一个Bo的一个种类在里面，那么在这里面其实治理Bo这个关键，治理黄牛这关键其实就是在于识别和管控。识别的话就是取决于说我上面那个呃，筛子能筛出多少是一个黄牛的一个流量，就比如说如果说我这筛子一个黄牛流量都筛不出来，那可能就是我后面的一个管控治理都是没有效果的，另外一个呢，就是一个管控，就是我要支持说我成功的去封堵或去处置这一批黄牛流量，黄牛流量不会影响到正常的一个用户的一个访。那么又回到刚才的一个包袱里面来说了，就是我们可以通过什么样的方式去对抗这种。呃，黄牛进行一个。

呃，访问呢，其实有几个点啊，就比如说我们可以通过一些注册保护来去做一些呃手段，第一点就是我们通过前期一个客户端风险识别，然后去分析一个他当前的客户的一个设备信息，如果发现当前这个设备有多多注册或者重复注册这种情况在里面了，那么我们就认为说这个可能是一个来自风险或者黄牛的一个注册，或者说它是通过我们通过行为特征发现说诶，他是个注册，是一个异常的注册情况，或者说呃，从他的一个注册邮箱特征里面，或属特征发现是一个小号啊或者码平台过来的，那么我们就会对可以直接在注射层面进行防护，这样的话我们就能从源头上面呃去阻隔这一部分的一个请求。另外一个呢，就是说我们可以通过一些IP威胁情报，还有一些呃限流的一个情况，就是去防护黄牛对使用一些类似于呃代理IP这样的一个访问，就比如说我们通过威胁情报，然后去发现说哎，这个IP是不是来自于威胁情报的，是不是来自代理的，或者是说这个这个IP里面之前有没有过相关的一个报信息，那么我们平台就可以对这些可疑IP进行一个。

呃，封禁，从而限制这种黄牛机器人的这种想强购行为，第三个呢，就是一个重中之重，就是说我们是可以通过怎么样的一个方式呢，去对抗这种自动化的一个工具的一个填写，就举个例子啊，呃，如果说我们在。呃，当前的一个抢购页面里面去识别说他当前一个抢购的一个人，是不是刚才雷老师提到说他当前一个抢购设备是不是智人真机，他有没有采用一些类似于说浏览器啊，或者模拟器啊，或者说我通过一些脚本工具啊进行一个访问，这里面其实BOT里面的一个客户端风险识别会有这块能力，说他会去尝试去看一下他当前的一个浏览器里面是不是有被控制。

如果说他有被控制，我们可以着去识别出来，他当然会不有问题。就比如说我们可以。识别当前这个机器是不是用脚本发起来的，或者说它是不是一个通过一种方式进行访问的。并且呢，我们还有一些另外的一些访问行为特征，就比如说页面停留时间平均问度啊，这种方式来去和正常用户的一个行为特做一个对，然后通过这些特征去识别说当前这个访问请求是不是一个自动化的请求。第四个呢，就是一个验证码对抗，这验证码对抗其实相对来说，呃，涉及到一个智能交互的一个阶段，刚才我们雷磊老师也说到一点，就是在腾讯的个验证码，其实不仅仅只有一个，呃图形类似于说这种方式啊。那么呃，刚才说到有四种四个方向去对抗黄牛了。那么在。

通过这四个方向去对抗黄牛的话，它其实主要分成三个阶段，三个层次去做一个黄牛行为的一个核心的一个识别，第一个就是一个来自客户端风险的一个识别，客户端风险识别，它其实就是一个去校验端上的数据，还有它一个访问端点的数据，它有没有问题的一个点，就比如说他要识别当前的客户端是不是脚本，是不是不是head。或者说呃，第二个就是说是他当时客户端有没有个反调试那个deb这个方式，因为很多那种朋友他会尝试采取那种deb的形式，就比如说我开个呃在里面开，然后通过这种不停的一个快速的一些调取那个页面设备，呃页面的一些脚本，然后第三个就是说它当前的一个站点支不持验证码的一个能力，支不支持通过特定挑战的一个识别，第四呢就是说呃，我要识别当前的客户端是不是相同的一个会话，就比如说呃，为什么会有这个点呢？因为现在我们很多都是用手机进行一个抢票的，如果说平台如果说没有说具备这种客户端会话识别这种能力的话，可能会导致说在公共出口下，会导致部分客户端的一个访问受阻。

第四个就是一个威胁情报的一个能力，就比如说我们会把一些已知的一个类或情报给识别出来，我们通过这种已知的这种专家经验，然后去识别出这种客户端访问是有问题的，那在这种情况下，我们就可以提前一步去感知到这种是黄牛的一个流量。然后第二个呢，是一个特征与数理统计的一个方面，就比如说我们要识别出来哪些的一个呃问流量中请求中它有一些异常访问特征，就比如说它的一个特征里面有没有一些呃，Head这种字段啊，或者说这种字段，还有它的一个问行为，它问就比如说像是一个user的一个重复率啊，Cook的重复率啊，或user的这种滥用啊，是否用啊，或者说一个user一个随机性。

这样的一个情况，然后呢，还有一些类似于说异常的一个访问特征啊，异常的一个特访问特征和异常特征一个统计，就比如说统计它当前URL参数是什么，它重复率是什么，这种方式，当然了还有一个比较特殊一点，因为黄牛是一个比较特殊的群体啊，它的一个访问特征，它其实相对来说在整体水位来说是远超正常用户的一个的一个水位的，那么其实我们只要说有一个相关的个水位统计的话，它其实就可以说能比较好的去识别出来当前的一个客户端是不是会。当成黄牛，是不是超出正常用户的一个水位。然后一个A的行为，比如说通过A续，通过A说做一个聚类，把这种异常的这种聚类给聚出来，然后去分析出来，说当前的这个AI模型是不是一个异常行为啊，把当前AI型出来，这个行为是不是异常的，或者说它是不是通过AI聚类识别出来，说它是不是一类的一个访问行为。

那么在说完识别以后，我们就有一些管控啊，就比如说呃，我们通过常规的一些基础规则，我们其实可以识别出来大量的一这种无效的流量，就比如说一些黑名单规则啊，一些行为规则啊，还有一些其他的规则，我们通过这些规则里面，其实呢啊，就可以快速的去把一些异常流量把它给筛出来，然后让市场流量给放行出去了，但是这一块呢，其实按照之前的一种报的一个呃对抗的一个情况来看的话，它其实有三个大的一个难点。第一个大的难点就是说它的一个开发的工作大，它和业务是强耦合的，第二个呢，是它需要一些呃部署落地方案是会比较重的，第三个呢，是说它的当前的规则的黑白呢，会单纯的规则去看它的黑白的话，它的误报可能会有点多。因为规则的话，它是一个相当来说是一个比较重的一个东西，那么在这里面其实我们就可以上可以看出来了，当前的一个T治理的话，它其实是需要有识别上面是有这些呃经验和这些这点来去做的，就比如说它一些多维度一个识别，包括但不限于客户端面识别啊，行为分析啊，还有一些依赖这种专家经验啊，去帮你去预设一些威胁分析模型，并且呢，它需要有一些呃，AI的一个识别和分析，去知道说当前流量的特征里面，它有多少是正常的，它有多少是异常的，还有就是我们需要有一些情报信息啊，实时更新的第一手情报信息去发现说当前有哪些的一个IP过来的是有问题的，哪些IP过来是没问题的，哪些是一个代理的，我们去提前的做好预判。

然后我们在知道这时候就可以做一些快速管控啊，因为刚才我们看到说我们在规则管控的时候，它其实是相对来说比较重的，那么我们如果说要进行一个快速的一个业务治理的话，我们需要说快速的一个无需业务一个深度定制就可以快速上线的这种方案呢，一些深入检出的一些判定机制啊，还有一些说我们可以快速做一个。

那么在刚才也提到一点说，哎，我们在黄牛其实是会有一定的一个发生一定的情况的，那么其实我们在总结了一下，呃，刚才提到一点是行为相似嘛，但其实我们在常规的去对抗这个黄情况下，他其实是不只说他的一个访问行为是和用户是很相似的，是的，他其实是会有一些点会在里面，就比如说他当前的一个对抗强度其实会特别大。就比如说黄牛可能的规则，或者说它的一个攻击行为，它可能是一天一个更新，在你可能在呃发起规则变更，可能没到六七个小时之后，可能黄已经看到你的规则是什么样了，然后就会主动去发起新的一轮那个挑战更新，然后呢，他另外一个就说我们是需要，如果说我们之前是没有专家经验的情况下，我们在一开始进行黄对抗的时候，可能会比较困难。

那么这个时候我们就需要说做一个两步走的一个时间的管控了，这样的话我们可以做到一个快速的对抗。首先第一步呢，我们是可以通过一些细分场景啊，去做一些策略，就比如说我登录场景呢，去做登录场景的事情，然后这样的话，我们可以说快速去简化我们的配置。然后第二个就是说我们可以通过一些不同场景配置里面了，就比如说我登录场景的一个业务，就只开登录场景，就刚才好像说到的，我们要如何去防护自动化的一个注册呢？我们就可以通过在这里面把自动化注册的还有登录场景把它开起来，就可能就可以在快速的去把呃这种登录注册这种把它给在提前的一个情况下它给拦截掉。这样的话，我们就可以说在不同的细分领域里面去细分配置这一个策略，达到说一个精准拦截的效果。第三点呢是说因为呃针对不同黄还有不同的一个，呃呢，我们需要有不同的一个的一个规则在里面，那么这时候我们就需要说有的一个动作模板在里面去做，这样的话我就可以针对不同黄，不同流量得分去执行不同动作，这样的话我们就可以说呃在里面做的更加精细了。

那这个时候就需要说，我们在第一步说进行产品化配置完之后，就后面需要做一个详细的一个运营和黄牛治理了，那么这里面其实的话，其实它整个闭环的流程是这样子的，我们首先是要对里面进行一个分析，然后去对里面的一个模块能力进行一个配置，然后我们这些分析完配置之后，然后些相关的个得分，然后根据这里面的分析分数，然后进行一个呃分析是不是有问题的，有问题或做什么动作，这样的话就可以做达到一个闭环。

就比如说我们可以在分里面查看到当前的一个流量得分是一个什么样的情况，它的分数是多少，哪些是有问题的，哪些是没问题的。啊，就是说我们通过特定的一业务场景，就比如说我前的一个UC移动端的，我就会对移动端做一个加强防护，我当前的一个业务是一个PC端的，我对PC端的进行一个加强保护，并且呢，如果说当前这个是一个注册页面，我们对当前的注册页面进行一个加强性的一个保护。并且呢，我们可以通过对应的一个报流量分析，详细里面内容去知道说当前的得出模块是什么，然后根据这个得出模块信息去增加对应的一个自定义特征，精准的去拦截这一类的一个，或者说过得进行一个控。然后让这个整个对抗就化繁为简。然后我们通过这一套系列这里其实呃清洗的话，其实相对来说就可以说做到一个比较好的一个Bo流量的一个管控，刚才其实雷磊老师那个图会把整个架构会做的更加完善一点，我这边就比如说我们把C量清洗了，并且经过刚才那个李老师整个一个业务风控之后，我们其实在后面能做到说我们让一个真正的一个业务流量，然后流入到后端，把这种恶意流量，混合流量阻挡在那个呃，正常访问的在那个呃，在业务层之外。

好的，我今天的分享就到这里了，呃，欢迎大家进行扫码领用。好的，感谢子阳的精彩内容，也再次感谢今天我们两位老师的分享，呃，那刚刚我看到在咱们这个直播互动的过程中，还是有很多同学在积极的互动和提问哈，那我也选取了两个比较有代表性的问题，来邀请两位老师做一下解答。呃，首先第一个问题是。

呃，在流量更多的场景中，例如像双11这种全民性的营销活动中，事前需要做哪些部署，才能在保障用户访问的同时，精准拦截恶意流量呢？嗯，这个问题看看是子阳老师还是雷雷老师，这边来回答一下。哎哎，要不要不我我先说两句。好嘞，哎，行好嘞好嘞，然后其实是这样，就是说我们因为很多客户咨询，我们就是说双1618，因为流量比较大嘛，就这时候其实商家投入了很多营销资源，也也是最容易出现行网有场景的时候，那我们建议是是这样，就是说呃，可能说的再再靠前一点，就是说首先我们要对我们这个网站。呃，不管是APP也好，还是说是小程序也好，那我们需要对我们这个呃客户端去进行一个检测，那看看是否有一些能被利用的漏洞，那往往就是说可能我们这块的疏忽导致的，说我有一些客户的漏洞啊，被这种黑产去利用啊，去做一些攻击，那当然这些攻击不仅仅说是去薅羊毛，那他也有可能是说直接攻击我们这个小程序，那你这个不可用，那其实这个损失其实是是更大的，那这是其一，我们建议说你在呃大促之前一定要做好这个，比如说小程序的这个安全的扫描啊，漏洞的一些扫描啊，渗透测试等等啊，这是其一，那其二呢，真是。

到我们一个预热期，或者说到我们双11或618当天一个爆发期，那这时候我们就是要去接入我们这个呃，就是呃风控的这个能力，那通过我们这个不管是对于手机号也好，或者说对于这种open ID这种识别也好，然后去做一个实时的拦截，因为其实现在我们产品是能做到实时的，实时的去拦截，然后包括其实我们现在像给很多这种大型的电商平台，包括这种啊，可能这种就是出行平台，比如说像像像那个12306这种，其实我们能承载的这个并发量是非常高的，并且我们都是能做这种实时的去防护。

那这个两点是我建议去做的，一个是对我们端的一个安全的一个防护，一个是对我这个业务发生的一个实时的一个防护。好的好，谢谢蕾蕾老师解答，然后子阳这边会有补充吗？啊，有的有的有的啊，其实是这样子的啊。呃，这样子啊，其实如果说要提前的去防控的话，其实是会有几个点，像是第一个点是说我们需要说提前的去把一些流量给接入到我们那个模型里面，就比如说呃，当前的流量，因为流量模型它的学习其实需要一定时间的，就比如说我虽是有专家经验在里面进行一个调控，但是如果说当前的这一个模型，他如果说呃，因为模型都是有逐步学习过程，如果说呃提前接入当前那个业务流量的话，我们可以尽可能的快速的去学习当前流量，知道什么访问行为才是真实的，什么访问行为才是一个异常的，在最后再进行一个营销风控的时，营销的时候我们就可以大数时候，我们就可以快速的知道说，诶这个访问行为和。

异常的访问行为是不是有问题啊，或者说他这访问行为是不是和我们正常的访问行为是有偏差的，他的一个聚类聚出来的点是不是落在我们正常用户的一个出来的一个访问行为里面，这样的话，我们就可以说快速的去防护当前的一个快速识别啊，这种异常的这种黄牛这种访问行为了。好的，谢谢子阳老师的解答啊，那确实这个这个呃，用户的这个提问也是很有代表性的哈，然后我们第二个问题是安全和应用性本身是存在一定的矛盾，那多重验证有时候可能会影响用户的使用体验，要怎么去平衡这两者的关系呢？

那我们先请蕾蕾老师来说一下。好的好的，嗯，然后这个问题也是我们经常遇到的，就是说我们怎么去平衡安全和怎么平衡这个客户体验，那这块其实刚才也或多或少也带过，呃，带出过，因为是这样，就是说我们建议是呃，因为现在其实大家做营销都是做千人千面嘛，那我们现在其实也说你做安全也要做千人千面，那这个安全的千人千面去去怎么做呢？就是说。首先我们会去识别这个人的一个风险等级，因为像我们就是比如呃，如果说大家接入到腾讯的这个安全能力之后，那我们会去返还给你一个具体的一个风险等级，那比如说它是呃正常用户还是说有风险，还是说它是高风险，那我们可以针对不同的用户采取不同的验证测试，那正常的用户，那我们可以就直接去通过让他去呃去去去做一些验证，那有一些风险的，比如说高风险的，那我们直接就采取这种比较强制的措施。

或者采取一些柔性的措施把它去拦截掉，那针对于这种可能可疑的人，那可疑的人里边我们可能再去细分他的这种可疑度，比如说他是这种高度可疑，那我们就可以采用这种跟呃这种就是呃已经确认的他是高风险的人，采取一样措施，我们就把它拦截掉，那如果说他的这种可疑度可能是比较低，那我们就可以采取这种，比如说呃，类似于滑块验证啊，或者说这种点选验证，就是可以选择不同的这种验证方式，然后来去做到这么一个平衡。呃，大概就是这么个情况。好，谢谢蕾蕾，然后子阳这边有什么补充吗？啊，有的。这里面其实是。呃，涉及到一个点，就是说关心咳嗽。

呃，涉及到一个点，就是说呃如何识别的较为精准，然后第二个呢，是说如何做到较为无感去做这个事情，其实较为无感这个其实在很多地方是会有做到的，就比如说呃里面有一个是客户端风险识别模块，在这个客户风险识别模块里面呢，其实它可以去做到一些啊，提前去识别出来，呃。识别出来当前的这个访问请求是不是一个呃浏览器，或是不是一个真实的一个访问请求，或者是不是当前览器是不是来控制的，那通过这种情况下，我们通过前置的一个无感的一个验证，就可以说在前的一点，就可以说把一些异常这种呃访问请求给拦截到，然后就可以说做到一个比较好的效果，就是说他在一个。呃，正常用户在进行访问请求的时候，他其实是比较难去碰到验证码的一个弹出，然后去导致说这种多次验证这种情况，另外一个呢，就是说验证码那一块，其实现在在呃雷老师会刚才也说到说验证码那一块，其实会有一个类似于一个无感验证的这一个，呃验证码在里面这一块的话，其实呃就可以说让用户在进行一个校验的时候，或者在进行一个呃正常的时候，如果说在非进行敏感操作的时候，就可以做到说一个比较简洁，说能快速的去没有感知的去把那个验证码给校验完。

会到一个比较好的一个效果，兼全性，用性。好的，谢谢子阳老师，那刚刚两个问题都是呃我们同一位客户提出来的哈，都是非常呃高质量的问题，然后呃，我们还有一位那个呃用户在我们的评论区在问说外部类的，呃这种防护对浏览器有要求吗？如果说业务需要兼容IE的话，是否可以支持？那这个问题我们先请子阳老师回答一下。

呃，We部类的访问其实对浏览器是没有太大要求，但是如果说IE版本太低，有些特性可能就会不一样，这个的话可能我们接下来在群里面进行一个细性的一个沟通，因为有些地方有些浏览器它是支持的，然后这个可能需要我们在接下来的一个时间里面进行一个沟通，我们到时候进群里面进行一个详细交流会比较合适。好，谢谢，谢谢子阳老师，也感谢我们呃小伙伴们的这个直播间小伙伴的踊跃发言和互动哈，那大家可以继续扫描我们这个背景板上的二维码进群，然后我们后续的抽呃抽奖还有产品试用的活动都会在群里进行，那如果大家还对我们的这个呃营销风控或者说我们这种购票薅羊毛的这种场景有任何的问题，也可以在群里面去呃咨询我们的讲师，好的，那现在开启我们的最后一轮抽奖活动，本轮我们为大家准备了十个腾讯的兔年生肖公仔，请大家先扫描我们屏幕上的二维码进群，那呃这一次我们的呃依然是抽取前十名在群内打出正确密钥的小伙伴来获得礼品，那我们小助手也会稍后会在群内去公布这个获奖的名单，那这一次我们的抽奖密令是原引擎。

场景实战系列原引擎场景实战系列。请大家把这个原引擎场景实战系列发布在我们的微信群内，一会儿呢，我们的小助手会截图公布获奖的名单。

好的，那今天我们的原引擎营销风控的主题直播可以说是呃非常的干货满满，非常的紧凑，那时间关系我们今天的直播告一段落，大家可以继续扫呃扫码入群，那最后我也预告一下我们呃这个原引擎系列特别特别火爆的原引擎重宝系列的直播，第二期众宝云上安全的这个主题直播将于明天下午三点钟正式开播，那呃我们今天的直播在这里就结束了，跟大家说再见了，我是主持人梁静，感谢，再次感谢我们所有观众的参与，谢谢大家，我们明天再见。好的，谢谢大家。