威胁猎人开源风控系统“星云”，促业务反欺诈基础设施普及

导语：业务风控系统的价值是及时发现和解决业务上的风险，但当前的业务安全应用门槛因为基础设施的商务成本、部署成本及应用成本，导致其已经成为这个互联网行业的奢侈品，在业务风险已经成为整个互联网普遍需求的当下，大量进入业务风控应用早期的企业不应该在基础设施上承担太多的成本，这让安全成为负担。

业务安全问题已然从大型互联网企业扩散到整个互联网生态

威胁猎人从成立之初，我们一直专注于业务安全情报能力的建设，通过深入挖掘黑灰产业链，从黑产视角去感知和发现黑灰产正在进行的攻击行为。在这期间，我们捕获到了太多由于风控缺失，导致被黑灰产恶意攻击的情报。企业为了争夺用户和市场，更加注重产品功能和规模扩张，风控的建设往往落后于业务发展的需要，导致最终被黑灰产钻了“空”。目前整个互联网行业中的风控系统基础设施普及率不到5%，绝大部分企业都还处于业务风险对抗的初级阶段。

另外，互联网线上业务场景的激增，各个平台用户的信息价值越来越高，黑灰产的变现途经呈几何增长，据我们粗略统计，目前正在遭受黑灰产攻击的平台已经达到数万个。业务安全问题已然从大型互联网企业扩散到整个互联网生态。

成本问题是风控基础设施变成“奢侈品”

但是，目前无论是采购第三方商业风控产品，还是走自研路线，对于很多企业，特别是业务自身都还在发展和变化过程中的中小企业而言，其成本问题，使之只能成为“奢侈品”，而不是“必需品”。业务风控系统成了 企业应用业务安全的一道大门槛。

1.商务成本成为立项初期的阻碍

安全是企业的成本中心，在业务风控建设时如果基础设施需要牵扯到商务成本，在企业内部就一定会遇到决策挑战，是否应该建设和什么时候建设等等问题会因为商务成本的存在让企业内部推动安全基础建设流程过于漫长和繁琐。最好是能够在安全团队自己内部评估完之后可以直接决策并快速建立基础设置，在真正攻防阶段产生效果后证明其价值。而不是立项采购时遇到阻碍，发生问题时还要背锅。

2.部署成本是很多企业IT的难点

互联网企业各自的IT结构有很大区别，而不同企业的IT人员技术水平能力也参差不齐，这导致很多企业在部署风控基础设施的环节上遇到难点。所以需要降低部署成本，才能在全行业规模化地普及安全基础设施的建设。

3.应用成本，拥有风控也很难在短期内发挥效果

业务风控最终发生效果是要依赖风控基础设施之上的规则和模型的，是由规则和模型承担识别恶意风险的任务。而规则的制定及攻防的模型选择对经验的要求比较高，很多新人即使部署好了风控系统，也会发现很难短时间让系统发挥效果，这里的学习门槛也成为业务安全基础设施普及的门槛。行业需要模块化及易用性高的风控基础设施，让风险可视化的同时能快速应对，不对运营人员的能力有太高要求。

我们期望通过开源的风控降低企业成本

因此我们决定发布开源的风控基础设施——星云业务风控系统，让企业能够快速的度过早期的基础建设阶段，进入到攻防效率提升阶。期望通过开源降低企业成本，也拓展业务风控基础设施在防守方的应用范围。我们相信基础设施的快速普及是与整个中国互联网黑灰产攻防的关键。

星云业务风控系统的开源

风控系统的本质是为了能够让企业有能力主动发现业务风险，并快速的实施攻防对抗。所以1.0V的星云我们期望能够做到简单易用，快速进行攻防对抗。 我们会在Github和开源中国上，完全开放星云的所有源代码，文档，以及安装包。并且组建星云风控交流群，大家在使用星云过程中遇到的任何问题，我们都将在第一时间解答。

为了降低使用门槛，星云采用旁路流量的方式进行数据采集，无需在业务逻辑上做数据埋点或侵入，同时支持本地私有化部署和 Docker 镜像云端部署;出于数据隐私和敏感性的考虑，我们不做任何数据的上传;

另外考虑到部分使用者风控经验不足，星云会提供基础的风控策略模板，使用者可以结合业务实际情况，灵活的进行配置和调整。考虑到攻防对抗的时效性，策略调整之后实时生效，无需重新编译和上线。

基于星云风控系统，企业可以针对不同的业务场景下进行攻防对抗

星云包含的一些基础功能：

1.总览：观察网站流量和风险事件的情况

2.风险名单管理：由你设置的某个具体的策略出发而产生，风险名单管理页面展示了风险名单的列别，通过这个页面可以进行风险名单的查询、删除和人工添加等操作。

3.风险事件管理：风险事件由一组关联风险名单的基础事件组成，风险事件可以对不同的攻击进行整理成组，以便分析人员快速的针对一组风险事件进行查看。

4.风险分析：风险分析页面提供了IP、USER、PAGE、DEVICEID四个维度的分析视角、允许分析人员通过不同的维度去查看某个IP、用户、设备或页面的细节以还原风险事件的整个流程。

5.日志查询：通过自定义的方式去搜索历史日志中的数据

6.策略管理：提供了可视化策略编辑功能，允许用户通过界面方式创建或编辑策略，并且可通过对策略状态的编辑快速的测试策略的有效程度，以及生产策略的下限

写在最后

与黑灰产的多年对抗中，我们看到了黑灰产无数次的狂欢，也看到了太多企业遭受攻击后的无奈和辛酸。但是目前整个互联网行业中的风控系统基础设施普及率还不到5%。通过开源，我们希望能让更多人意识到风控的重要性，能以更低的成本，完成风控体系从无到有的搭建。

黑灰产已经是一个分工明确，合作紧密的“庞然大物”，而安全行业绝大多数仍处于相对封闭，各自为战的状态。虽然协同合作已经是行业共识，但一直缺乏有效的举措。通过开源星云业务风控系统，我们希望走出这一步，集结社区力量，让更多的安全从业者可以参与进来，贡献自己的力量。

附上星云Github地址：

https://github.com/threathunterX

附上星云码云地址：

https://gitee.com/threathunter/nebula

【责任编辑：周雪 TEL：（010）68476606】