业务安全蓝军测评标准白皮书

与基础安全的严防死打不同，业务安全的目标通常不是杜绝攻击，而是将攻击流量的占比控制在可接受的范围内，平衡攻击损失与业务盈利间的关系，保证业务收益的最大化。当前，业务安全问题缺乏一套评估体系，能够数字化体系化的描述遭受攻击带来的危害程度及策略实施后的效果等。

基于此，永安在线鬼谷实验室编写了一套针对业务安全的蓝军测评标准。

以期望帮助企业解决在处理业务安全问题时所面临的 ：

• 攻防信息不对等 ：对黑产攻击手段及变化的了解不够深入，造成攻击发现处理滞后、周期长的局面。

• 策略效果评估体系缺失 ：不同于互联网基础安全，业务安全问题没有明确的边界——在基础安全中多数攻击的危害程度可以用是否攻击成功来和攻击的互联网资产及数据资产来评估，而对于业务安全，由于业务场景和目标的不同，以及用户体验及用户流量日活等的限制，缺乏一套行之有效的评估体系。

以下是业务安全蓝军测评标准白皮书正文：

一 、业务安全蓝军测评标准

1.1 业务安全脆弱性评分 ISVS

业务安全脆弱性评分（Interaction Security Vulnerability Score）是一套通过综合计算攻击成本、效率、收益以及攻击流量在业务流量中的占比等指标得出的评分，用以体现互联网黑产攻击带给一项业务活动（或功能）的损失危害情况，分值越高，危害越大，损失也倾向于越严重。

子指标含义及计算公式详见1.2及 2.2 小节。

1.2 蓝军测评输出内容及子指标

蓝军测评当包含情况说明与攻击指标两部分内容。

1、 情况说明：

（1） 产业链现状说明：解释说明当前黑产对于测试项的攻击套路、成本构成、盈利能力、所用黑产资源、行话黑话等；

（2） 团伙规模：估算当前测试项中各攻击类别从业团伙的规模，包含黑产从业群体规模、针对企业所在行业的群体规模、活跃参与攻击企业平台的群体规模等，并计算该规模下能产生的攻击速度及业务损害情况。

2、 攻击指标评估：

（1） 投入产出比ROI（ Return On Investment ）：攻击团伙获益的投入产出比，它决定了该团伙是否要发起攻击、测试项活动对黑产从业群体的吸引程度等，能够良好的体现测试项活动容易吸引和遭受攻击的程度；

（2） 攻击效率AE（ Attack Efficiency ）：描述当前黑产的攻击效率对收益产出的影响情况，用以体现黑产单位时间可以对测试项活动造成损害的能力；

（3） 攻击流量占比ATR（ Attack Traffic Ratio ）及活动损失估值：描述攻击流量占总体业务流量的比例，能够推算出黑产能够对活动带来的损耗大小；

（4） 攻击产生的额外价值EV（ Extra Value ）：描述攻击产生额外价值的大小，如一些社交支付账号带来的引流洗钱等能力，攻击产生的额外价值越大，稳定攻击测试项的团伙越多；

（5） 上游供给链成熟度和稳定度SCS（ Supply Chain Stability ）：当前多数细分产业的黑产具备完整的上下游结构，此指标描述测试项攻击中依赖的上游资源自身的成熟稳定度，稳定度越高，上游变化对攻击产生的影响越小。

二、 业务安全蓝军测评案例

以下以电商平台XX购的测试项“ 10 元满 10.01 元使用优惠券活动”为案例，举例说明测试结果。

2.1 测试项说明

测试项： 营销活动作弊场景下的特定优惠券批量获取。

预定的攻击成功标准： 1 小时内完成 100 次账号注册，账号要求可成功获取并使用优惠券。在该标准下计算各攻击指标。

2.2 蓝军测评结果案例

2.2.1 产业链现状说明

本模块将阐述测试项目的黑产攻击过程，所需黑产资源和上下游关系，并对其中的行话、黑话进行说明。

攻击方式：

使用按键精灵撰写自动化模拟点击脚本，模拟点击完成注册领券操作，过程如下：

1、 IP、设备环境伪造：点击代理 IP 切换软件“熊猫代理”切换 IP ，点击改机工具“抹机王”，新建新的设备环境，命名 XX （某电商平台名）十元券 01 （递增）环境；

2、 恶意账号准备：在改机工具环境中点击运行XX平台，点击注册，调用接码平台“斑马”获取手机号 API 获取用以注册的手机号，并等待返回验证码后填写，判断是否出现滑块验证，并通过滑块验证，完成注册；

3、 实际攻击：点击“我的”页面，点击“新人礼包”按钮，点击领取礼包；

4、 完成攻击并循环执行：退出，返回切换代理，点击改机工具新建下一个环境。

变现方式：

变现下游为话费充值，调用下游团伙提供的API，得到需要充值的手机号和金额，驱动模拟点击脚本依次打开“抹机王”中的环境，使用支付宝完成操作，由于手机环境中没有安装支付宝应用，“用户”使用输入账号密码方式进行支付。 XX 平台未对支付宝账号可支付的平台账号数量进行限制，攻击中使用同一个支付宝账号进行支付。

相关脚本和测试账号见附件。

投入产出说明：

攻击成本：

安卓手机 600元 / 部 + 改机工具“抹机王” 1 元 / 部 * 天 + 接码平台“斑马 XX 平台注册” 0.2 元 / 个手机号 + 代理 IP “熊猫” 2 元 / 部 * 天。

收益：

团伙收益分为两部分，第一部分为下游话费充值变现，每个账户可收益5元（ 50 元话费充值举例， XX 平台 50 元话费充值价格 49.9 元，使用优惠券付费 39.9 ，下游话费渠道接收价格 44.9 ，团伙收益 5 元）。

第二部分为倒卖账号给中间团伙，由中间团伙通过其他渠道变现。账号售价4元每个。

行话说明：

1、 协议号/参数号 /token 号：协议号一般与协议类软件配合使用，通常出现在刷量等攻击场景中。协议类软件通常做法是破解通信接口后，携带相关必要参数直接访问接口达到目的。协议号，即指能够代表账号的特定参数，如拿参数命名的 cookie 号、 token 号，或是用重要参数的个数命名的单参号、双参号等。

2、 数据号：指“改机工具数据号”，使用账号密码登录会触发更换设备登录相关的验证。一些号商在向下游团伙销售账号时会将当时的设备环境信息一并发送，改机工具数据码是改机工具提供的一种设备信息传递方式。号商在使用改机工具伪造设备指纹进行注册的同时，改机工具记录相关信息并生成一串数据码，下游收到数据号后，将数据码导入到相同的改机工具中，即可恢复到注册当时的设备环境。

3、 接码平台：提供代收验证码服务的平台，将被用以注册、验证、解封、换绑等场景。

4、 改机工具：用以刷新、伪造、导出设备指纹等信息的工具的统称。

2.2.2 投入产出比 ROI

此模块将给出前文约定的攻击成功标准下，黑产的投入产出公式。

举例：

约定总投入为K、总产出为 IN 。设攻击天数为 D 、每天运行攻击脚本 H 小时，团伙使用 P 部手机设备发起攻击。另，脚本每 4min 完成一次注册；攻击使用的手机设备 600 元每部。

根据实际情况进行以下假设：

（1） 由于实际过程中，受限于接码平台手机号质量、网络等原因，存在消耗成本但账号不可用的情况，以及注册账号未能及时在XX平台活动期间变现的情况等，故假设该团伙存在 20% 的账号损耗；

（2） 根据常见变现情况，假设该团伙70%的账号以话费出口变现， 30% 的账号以账号倒卖形式变现；

（3） 羊毛党群体多为“羊头”带领一众数量庞大但规模较小的团伙或个人，故假设该团伙的攻击设备数量为 10 部手机，每部手机的攻击时间为 6 个小时。

则：

根据计算公式得到以下表格。

但实际对于羊毛党团伙，手机等攻击设备资产为单次投入成本，购买后重复使用，计算到单个活动的薅羊毛成本中并不合理。这一类的单次投入成本还包含微信账号等，如引流诈骗团伙需要囤积大量微信账号用以交流诈骗，该团伙在扫码领红包的薅羊毛过程中，微信账号是对方使用的资源之一，但不应计算在成本内。

以下给出去除这类单次投入成本后的投入产出公式，相较上小节的公式，更符合实际环境，用于危害估算也更为合理。

电商（利用虚拟/实体商品变现）行业的羊毛党从业人数大约在 82w ~ 96w （ 2020 年 01 月估算），如表格中所见，测试项（ XX 平台 10 元满 10.01 元使用优惠券活动）的投入产出比为 7.05 ，参照表“羊毛场景 ROI 值与危害程度对照表”，该值超过损害临界点 2.9 ，属于第二级别，将吸引 2%~6% 的黑产团伙发起攻击。

完整表格请参照附录A表1 -1 羊毛场景 ROI 值与危害程度对照表。

2.2.3 攻击效率 AE

如上小节所述，测试项攻击采用模拟点击脚本进行，每四分钟完成一次攻击。故测试项的攻击效率AE为 15P 次 / h （ P 为攻击设备数量）。参照附录 A 表1 -2 攻击效率评分表，攻击效率评分为 7 ，该评分用以表现攻击效率对盈利产出的正影响，即在电商低门槛优惠券羊毛场景下攻击效率仅处于中等水平，但攻击效率不是限制变现能力的主要因素，换一种说法，测试项中变现情况是，羊毛党在活动期间注册一定量级的账号并领取优惠券，并在优惠券失效前，通过话费充值等变现渠道完成变现，决定变现能力的主要因素是下游渠道的大小，如下游能“吃下”多少话费，而当前较为缓慢的攻击速度已经能够支持羊毛团伙在活动期间注册足够数量的账号。

电商优惠券主要对应的变现渠道通常是，纸巾等日化产品；大米粮油等利于倒卖变现的商品；话费、游戏充值等虚拟产品。根据电商平台的性质及提供的服务具体会有所差异，但变现渠道的限制会使得大规模的上游羊毛团伙短期内集中消费固定类别的商品，对黑样本账号的订单数据进行关联分析可找到羊毛党在平台上最常用的变现出口。

2.2.4 团伙规模 & 攻击流量占比 ATR

2019年羊毛党从业人数大约 132w 人，针对电商行业的羊毛党从业人数大约为 96w 人，活跃参与（线报） XX 平台的羊毛党从业人数大约为 2~5w 人（数据参照恶意手机号数量、黑产长期养号数量及真人作弊数量等计算，受限于数据获取渠道、抽样概率的影响，估算数据与实际情况之间可能存在一定偏差，仅供参考）。

假设测试项中的活动限定发送30w张优惠券：

羊毛党注册速度：上小节分析得到每团伙每日的攻击次数为900次，假设活动期间有 40% 的羊毛党活跃，从业人数取平均值 3w 人，则羊毛党每日领券次数为 900* （ 3w/3 ） *0.4 = 360w ，但上文提到羊毛党注册账号的量级主要由变现渠道能消耗的流量决定，估算得到话费等快速变现渠道每日在 XX 平台的最高消耗为 65w ，做最大化假设，全部由测试项中的优惠券进行变现（但同时假设羊毛党不进行额外的账号储备，实际情况中，领取的优惠券可在使用期限内缓慢变现），则最大情况下需要 13.088w 账号，设账号将冗余注册 10% ，则羊毛党的注册领券量最多为 14.3968w/ 天。

XX平台正常用户领券速度： XX 平台的日活为 2700w ，优惠券在 APP 首页靠下位置，用户下拉一个屏幕可见，假设用户点击率为 0.5% ，则正常领券用户的增加速度为， 13.5w 人 / 天。

则30w张优惠券中将有 14.3698/(14.3698+13.5) = 51.6% 的优惠券被羊毛党薅走，券面价值为 154.8 万元（由于羊毛党也产生消费及库存减少数据、若被正常用户领走所带来的消费转化等相关数据未知，实际经费损耗需企业根据比例自行估算）。

假设测试项中的优惠券活动规则为限时五天：

羊毛党将制造14.3968 * 5 = 71.984w账号，并领取消耗券面价值 719.84 万元的优惠券。

2.2.5 攻击项产生的额外价值 EV

测试项中的羊毛攻击将产生大量XX平台账号，参考附录 A 表1 -3 账号额外价值评分参照表，测试项中的攻击方式所产生的大量账号，可参与积分、转盘抽奖类活动，但账号质量不高，随时间推移高比例的账号将被处以封号降权等不同措施，且账号不具备社交及支付转账属性，无其他额外价值，测试项本模块评分为 1 。

2.2.6 上游供给链成熟度和稳定度 SCS

测试项攻击中使用了接码平台、群控、秒拨IP、改机工具资源，根据附录 A 表1 -4 攻击资源供给链成熟度评分参照表，均为成熟稳定的上游资源，最终评分为 10 ，攻击资源获取较容易，资源数量和获取难度对攻击效率影响较低。

2.2.7 综合评价

1、测试项中黑产使用的手机号、 IP 资源多数为基础资源，未对接特殊渠道，具有高复用特征，手机号、 IP 信誉库对其覆盖率较高；

攻击中使用的软件、ID资源（支付账号、手机账号和 IP 等）均属于容易获得且上游供给稳定的基础黑产资源，手机号和 IP 等属高复用资源，如测试场景中羊毛党通常使用的手机号，多数为接码平台的“平台卡”和“专属卡”——黑卡在生命周期的中间阶段会流至上述类型的渠道，手机号信誉库的识别覆盖率较高，可利用黑库静态规则匹配方式加以识别标记。

2、二次验证手机号可对羊毛党造成成本提升，验证的设置点越靠近整个“注册到用券消费”流程的最终点“消费”部分，成本效果越显著；

基础渠道的黑卡掌握在接码平台的卡商手中，在线时间随机（手机黑卡供应链的盈利情况是：卡商通过猫池设备统一管理手机卡收发短信，猫池设备数量是有限，一批卡源占用有限的猫池端口，随着时间推移，可以注册的平台将逐渐减少，而卡商与接码平台是通过项目 [手机号用于注册某平台，则称某项目，项目数量即这张卡注册的平台个数 ] 结算的，可注册的项目数量会直接影响卡商的收益，故卡商会通过频繁换卡，让手里的卡源轮流在线来达到收益最大化，这就是羊毛党注册后有时无法第二次取到同一个号码验证码的原因，该手机卡当时没有插入猫池。），若平台要求再次验证手机号，随着时间的推移（距离首次注册），羊毛党有 30% ~ 60% 以上的概率无法再次接收相同手机号的验证码，账号作废率很高。若在可疑账号产生高危类别的商品用券消费之前，寻找合适的验证点设置手机号验证，将能够对羊毛党造成账号损耗，降低 ROI 和 ATR 。

要注意的是，羊毛党通过沟通卡商可以解决二次验证问题——黑卡的生命周期是 3 个月 ~ 1 年，羊毛党可以沟通卡商重新上卡或是注册前预先约定卡源在线时间来解决二次验证问题。但这并不意味着二次验证是无效的。上小节提到卡商会频繁换卡来达到收益最大化，所以卡商约定在线时长（某一批卡源固定占用部分猫池设备）时，会通过提高取号单价来保证收益。这对于作为供应方的卡商来说是符合盈利需求的，但对于下游羊毛党来说取号成本将是原来的 2 ~ 10 倍， 618 和双十一等大促活动时通常还会再提升 2~5 倍。当单个账号的盈利降低时，羊毛党通常需要以量取胜保证总收益，对于一些设备数量有限的小团伙就可能由于收益过低放弃攻击，转而寻找 ROI 更高的平台进行攻击。小团伙的特征是规模小但数量多，提升攻击成本至此类小型团伙流走，攻击量级同样会大幅降低。

3、验证等策略设置点越靠后，打击效果越好；

而设置验证（或其他封禁策略等）越靠近交易，羊毛党的消耗的时间成本越大，同时越容易反应不及造成账号损耗。例如，在注册节点对账号进行处理——注册后进行封禁，提示设备异常或账号异常等。此类处理手段对于羊毛党来说是一个良好的测试反馈，羊毛团伙可以通过更换手机卡卡源、更换修改设备信息的方式等快速验证出，究竟是哪一点导致账号被封禁，平台给予羊毛党账号“可”或“否”的反馈较为靠前，而验证封号等策略若放在靠后的位置如使用特定优惠券前，会很大程度上拉长羊毛党的验证周期，对于一些特定时间节点的活动如双十一当日才可进行消费，能很有效的缩短羊毛党测试的时间。

4、限制支付账号关联的平台账号个数，可提高羊毛党成本降低 ROI ；

支付账号是相对昂贵和有限的基础资源，限制每个支付账号可以为N个平台账号支付订单，会使羊毛党整体的攻击规模限制在支付账号资源的数量上。通常规模较大的团伙才承担得起一定数量的支付账号（常见的支付账号具有 4 个月 ~ 几年不等的生命周期，且易消耗），小规模的团伙则会采用租用或真人代付方式，支付账号会按照消费笔数抽成，大幅降低 ROI 。

5、长期用户转化率等指标可以辅助判断策略的效果

一般活动后平台会统计用户转化率等数据，如由这次活动注册账号的新人用户，三个月内消费超过三笔的人数占总人数的比例等。这些转化率数据也可侧面评估策略组的有效程度——羊毛党减少会带来总流量降低，但基本不影响转化为长期用户的人数。转化率和羊毛攻击流量间存在一定的线性关联关系。

三、 业务安全蓝军测评种类说明

3.1 测评种类

3.1.1 A 类场景评估

测试项描述： 测试项为当前上线的长期功能或活动，如长期活动 “ 5 元新人注册优惠券”。

测试周期： 根据测试项的复杂程度，通常需要 1~3 周。

输出内容：

1、 情况说明类：

（1） 产业链现状说明： 解释说明当前黑产对于测试项的攻击套路、成本构成、盈利能力、所用黑产资源、行话黑话等；

（2） 团伙规模： 估算当前测试项中各攻击类别从业团伙的规模，包含黑产从业群体规模、针对企业所在行业的群体规模、活跃参与攻击企业平台的群体规模等，并计算该规模下能产生的攻击速度及业务损害情况。

2、 攻击相关指标类：

（1） 投入产出比ROI： 攻击团伙获益的投入产出比，它决定了该团伙是否要发起攻击、测试项活动对黑产从业群体的吸引程度等，能够良好的体现测试项活动容易吸引和遭受攻击的程度；

（2） 攻击效率AE： 描述当前黑产的攻击效率对收益产出的影响情况，用以体现黑产单位时间可以对测试项活动造成损害的能力；

（3） 攻击流量占比 ATR 及活动损失估值： 描述攻击流量占总体业务流量的比例，能够推算出黑产能够对活动带来的损耗大小；

（4） 攻击产生的额外价值EV： 描述攻击产生额外价值的大小，如一些社交支付账号带来的引流洗钱等能力，攻击产生的额外价值越大，稳定攻击测试项的团伙越多；

（5） 上游供给链成熟度和稳定度SCS： 当前多数细分产业的黑产具备完整的上下游结构，此指标描述测试项攻击中依赖的上游资源自身的成熟稳定度，稳定度越高，上游变化对攻击产生的影响越小。

3.1.2 B 类场景评估

测试项描述： 测试项为当前上线或即将上线的短期（限时或限量等）功能、活动，如限时拉新活动 “邀请好友得现金”。

测试周期： 根据测试项的复杂程度，通常需要 1~3 天。 B 类场景评估需要在三月内进行过 A 类场景评估、基础测试或是行业横评（测试项为同一测试场景类别下的任意测试项即可）。

输出内容（与 A 类相同）。

3.1.3 基础测试

测试项描述： 不指定线上的活动或功能，对账号等基础资源进行测试评估，主要目的为缩短其他类型测评的测试周期。通常在业务闲时进行测试，方便活动上线前或活动初期进行 A 类 B 类测试等。

测试周期： 根据测试项的复杂程度，通常需要 1~3 周。

输出内容：

1、 情况说明类：

（1） 产业链现状说明： 解释说明当前黑产对于测试项的攻击套路、成本构成、盈利能力、所用黑产资源、行话黑话等；

2、 攻击相关指标类：

（1） 基础成本BC： 描述账号等相关链条的攻击成本；

（2） 攻击效率AE： 描述当前黑产的攻击效率对收益产出的影响情况，用以体现黑产单位时间可以对测试项活动造成损害的能力；

（3） 攻击产生的额外价值EV： 描述攻击产生额外价值的大小，如一些社交支付账号带来的引流洗钱等能力，攻击产生的额外价值越大，稳定攻击测试项的团伙越多；

（4） 上游供给链成熟度和稳定度SCS： 当前多数细分产业的黑产具备完整的上下游结构，此指标描述测试项攻击中依赖的上游资源自身的成熟稳定度，稳定度越高，上游变化对攻击产生的影响越小。

3.1.4 行业横评

测试项描述： 指定相同场景下的相同测试项或相似测试项，选定同行业不同公司，测评小组对不同公司的相同测试项同时进行测评，并对其进行横向比较。

测试周期： 根据测试项的复杂程度，通常需要 1~4 周。

输出内容：

1、 情况说明类：

（1） 产业链现状说明： 解释说明当前黑产对于测试项的攻击套路、成本构成、盈利能力、所用黑产资源、行话黑话等；