威胁矩阵，谈一谈自己对提升企业入侵检测能力的一点理解和思考，若有不足之处还请多多交流，也希望通过此次分享能够给读者带来一些启发。（声明：本文内容仅代表我个人的理解，不代表任何公司或团队。）01

鸣谢VSRC感谢业界小伙伴——MyKings，投稿精品原创类文章。VSRC欢迎精品原创类文章投稿，优秀文章一旦采纳发布，将有好礼相送，我们已为您准备好了丰富的奖品！（活动最终解释权归VSRC所有）上一篇文章《代码自动化扫描系统的建设(上)》

鸣谢VSRC感谢业界小伙伴——MyKings，投稿精品原创类文章。VSRC欢迎精品原创类文章投稿，优秀文章一旦采纳发布，将有好礼相送，我们已为您准备好了丰富的奖品！（活动最终解释权归VSRC所有）代码审计一直是企业白盒测试的重要一环，面对市场上众多商业与开源的审计工具，你是否想过集众家之所长来搭建一套自动化的扫描系统呢？也许这篇文章会给你一些思路：）一、背景为什么需要自动化扫描？互联网的快速发展，程序员是功不可没的。从软件开发的瀑布模型到现在的敏捷开发,

Runtime），分别提供了流处理和批处理API，而这两种API也是实现上层面向流处理、批处理类型应用框架的基础。大概了解了Flink后，那么如何开发一个Flink应用呢？其实开发起来也非常的简单

3、奖励：1篇文章=1积分，一个季度（3个月）统一计算，结算时间之前转载文章不能被删除，否则积分失效。奖金于唯品卡的形式将于次月发放。

在应对刷单的场景中，黑产为了能够收到刷到的商品会将收货地址选定在某个固定的区域内便于降低收货成本，通过对收货地址的区县聚类，可以形成一个以地理位置为维度的知识图谱，通过对图的规模识别来反映刷单风险。

魔风（向上滑动启阅）致唯粉们：自从《唯品会信息安全培训体系》文章出来以后，引起安全圈广泛的关注与热情的回复，也有很多童鞋前来进行深入的讨论。我们的信息安全培训体系内容、形式和载体都多种多样。其中，对我们的动画制作过程感兴趣的人不在少数，表示我们的动画很有特色，想了解制作过程。所以，今天准备就我们制作信息安全动画视频的思路和流程进行分享，希望起到抛砖引玉的效果。信息安全动画的制作过程，可以说是一场技术与艺术间的盛宴，魔法与灵魂间的交织。《黑客与画家》里面提到“黑客也是创造者，与画家、建筑师、作家一样，都试图创作优秀的作品。”黑客在渗透、入侵时的步骤、思路是千变万化的，灵感来临时，甚至能发现0Day漏洞，成就一次入侵。黑客是有艺术感的，那么由我们这些“正义黑客”承接企业信息安全的宣贯工作，创作信息安全动画，自然也不是什么难事。下面让我们来看看如何制作优秀的信息安全动画。——魔风安全动画制作前的考虑因素信息安全动画制作之前，必须要考虑清楚动画目的、动画受众、动画风格、知识管理、用户体验和项目管理等相关要素。可参考以下导图：动画目的：制作动画的目的必须要搞清楚，想清楚要宣传什么，达到什么效果是最重要的。唯品会的动画分了两类，第一是信息安全意识课程，第二是信息安全开发技术与流程。动画制作目的与企业的风险现状是直接挂钩的，当然也与资源和预算先关，毕竟ROI（投入产出比）是我们的重要考虑因素。动画受众：动画目的确定了，动画的受众也就定得差不多了。安全意识类，一般是面向公司全员的。而安全技术类则可以继续细分，包括开发人员、运维人员、项目经理、测试人员等不同岗位。随着企业安全整体规划的逐步实现，针对具体岗位的培训会陆续增加和完善。动画风格：唯品会采用的动画风格是简约和清新。太复杂的动画构图，是没必要的。一方面增加动画交付时间，项目进度难以把控。另一方面，复杂的动画会吸引过多的注意力，从而忽略了要宣贯的信息安全内容。知识管理：课程需要展现什么知识点，也是动手前必须考虑的。例如我们的安全意识课程覆盖了人员安全、环境安全、移动安全、终端安全、网络安全、数据安全、访问控制安全、外包安全、社会工程学、安全管理制度等十个方面。安全技术包括了Top安全漏洞、安全评审流程、开发制度流程和业务安全等。安全意识课程覆盖面要尽量广，并且与企业实际相关。技术课程就要考虑企业的关键风险点来设计，如果应用系统安全漏洞较多，就重点宣传开发安全技术。用户体验：用户体验关乎学习效果，用户不想看，目的就达不到了。所以看得懂、能理解、时间得当就显得很重要了。安全意识课程一定要结合企业的一些安全场景来设置，使用户身同感受。安全技术课程一定要把关键知识点进行归纳总结，不宜面面俱到，如果要深入学习，我们能提供额外的学习途径。例如SQL注入那么多类型，就没必要进行一一举例，将漏洞成因和通用解决方案拿出来就可以了。安全意识课程，一般控制在1-3分钟左右，安全技术课程一般是5-10分钟，这样知识点讲解到位，又不会使用户失去耐心。项目管理：先了解安全团队在动画制作过程中所担任的角色。唯品会的安全团队负责制定剧本，然后由供应商负责实现Flash动画。当然，如果企业本身能承担动画制作，那就最好不过了。既然动画的具体制作不是安全团队，那就涉及到双方对剧本的理解，以及供应商的实现是否符合我们要求。后期安全团队要对动画的质量进行验收。安全动画制作中的关键要素安全动画制作中的关键要素有八点，分别是人物设计、故事大纲、画面效果、画面文字、语音、知识点、强调标记和时长。对每个要素的把握，要素之间的交互关联，就是我们所追求的艺术。安全团队是艺术的灵魂，供应商的设计师是艺术的工匠。我们将每个课程所需要传达的知识点和动画效果形成我们的剧本，再把剧本交给艺术的工匠，由他们打造出艺术品。那么在这个过程中，剧本的地位十分重要，扮演着艺术传递者的角色。所有关键要素都是通过剧本进行记录。下面以其中一个动画为例进行详细讲解：下图是动画剧本的信息栏，主要记录了课程标题、人物设计、故事大纲等要素。图1.

、信息安全面授培训PPT---案例分享-2图9

电商平台下虚拟供应链风控技术探讨相对于实体商品，虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。本公众号在过去很长一段时间都在讨论实物产品的风控技术，今天我们谈谈虚拟供应链产品的风控。1实物商品风控有时间优势电商平台上的实物商品交易，永远绕不开空间转换。无论你购买什么商品，下单付款后一定还要经过仓库、物流和配送等环节，才能完整地走完购物流程。这为平台风控系统预留了足够的风险计算时间，在此期间风控系统可以随时发出指令终止流程，遏制损失。以上红色区域内任何时间点，电商平台都有机会对异常订单发起拦截操作。但虚拟供应链体系下的订单并没有类似的时间空档，这对风控系统提出了巨大的挑战。2虚拟供应链跨时空无物流环节虚拟产品以在线交易和即时交付为基础，因此一旦完成付款，虚拟产品就应该立即交付给消费者，这中间几乎没有等待的时间。试想你在餐馆吃饭，结算时正要购买一张团购券。当你完成付款后，系统告诉你优惠码需要1小时候才能发送到你的手机，你是否能接受？虚拟供应链产品交付过程中的任何时间上的等待，都会导致用户体验的下降，更不要提2～3天的物流派送时间。3虚拟商品可复制，一经发货覆水难收类似于团购激活码、会员充值码、门票兑换码这类虚拟商品，一旦商城发货，消费者就可以立即明文获取，并且能够快速复制和传播。电商平台通常都不可能直接获取已发货电子商品的使用状态，因此也无法在发现交易风险后快速撤销订单，取消“发货”。举个例子，如果某电商平台X和迪士尼合作在线售卖迪士尼门票。如果下单人员就站在电子出票机前，前手下单后手就从自助机上取出门票。就在订单发生5分钟之后，电商平台X通过数据分析发现这笔订单存在欺诈交易风险，试图拦截交易。但因为此时电子码已经被兑换，取消订单已无意义……当然在某些场景下，电商平台可以和线下供应商进行沟通和协调，取消或冻结某些电子券，但总体来看成本（时间、技术和商务）非常高，成功率难以保证，风险不可忽视。上述业务特性就决定了虚拟供应链安全不容忽视，那么典型的虚拟供应链风控场景包括那些呢？4虚拟供应链安全典型风控场景团队在过去一年里与黑灰产在虚拟供应链交易环节做过无数PK，以下是我们总结的典型风控场景，希望对您有帮助：盗卡交易

当对综合监控视图进行钻取（Drill

电商业务安全，老板怎么看？臭鸟蛋老大常常告诫我们...特卖会电商的业务安全如同它的名字，就是特别。老大常常告诫我们：“我们的特卖模式就是攻击模式”。因而，对业务安全工作人员来说，风险无处不在，挑战无处不在。在与“黑灰产”博弈的过程中我们始终处于弱势，经验谈不上，吃过的亏上过的当倒是不少。我们过去的很多分享谈的都是技术细节，大家往往沉浸在技术范畴后，忽略了业务安全工作的本质。我们到底要做什么样的安全，老板到底关注的是什么，怎么样衡量我们工作的价值？本文试图从业务安全做不好可能会带来哪些影响这一角度介绍其工作的重要性和必要性。业务安全没做好会带来哪些影响？1、信息泄露或数据曝光2、破坏公平售卖秩序3、干扰平台售卖能力4、降低综合营销质量5、风险交易导致资损6、恶意获利与套现7、劫持、仿冒与欺诈1、信息泄露或者数据曝光在这里我们将信息和数据分开，除了为凑字数，也是想说明：信息或数据泄露本身是非常复杂的问题。有些信息的泄露会造成直接的影响，而另外一些则需要再加工才能产生价值或影响。通常这样的信息或数据包括如下分类：基础用户隐私数据身份信息（账户、密码）通讯信息（邮箱、电话、手机号）订单信息（购物历史，联系方式）高级用户隐私数据性别生日标签属性消费能力信用额度购物习惯家庭地址办公地址密友的地址支付账户信息（银行卡相关）……平台商业价值数据PV/UV注册用户数活跃用户数客单价人群分类营销爆发力数据……基础类信息批量曝光会直接造成重大舆论影响和公关压力。例如，此前不久某大型网站数百万账户密码泄露事件，直接占据了各大主流媒体的头版。对企业来说，此类信息泄露将直接导致声誉受损、用户流失、销售锐减甚至是股价波动，因此更容易被关注到。然而，高级别的用户信息或企业商业价值数据泄露却很少有人给予充分的关注。一方面，这类信息的泄露或产生影响的周期较长，另一方面，普通人员并不能直接感受到此类信息泄露的影响。让我们看一个案例场景，投资公司A要和创业公司B谈判注资。B公司认真准备了一份直接体现网站售卖能力的数据报表，包括：活跃用户、回头客、年龄分布等。然而，投资公司也通过“其它渠道”获取的该公司的部分营销数据报表，显然是极不完整的部分数据，但已经严重干扰了谈判过程。B公司的老板一定会惊讶，为什么他人能够掌握如此多的关于自己平台的售卖力数据？平台售卖能力的数据泄露或获取的途径有很多，最直接的方法是通过一些技术手段从网站爬行商业数据。如果企业没有成熟的业务风控、反爬机制和数据保护策略，那么数据泄露将源源不断。你的老板一定不会希望通过自家系统以外的第三方渠道看到自己售卖能力的真实数据。2、破坏公平售卖秩序电商，特别是线上特卖平台，售卖的都是价格极其优惠的爆款商品，对普通消费者来说已经是炙手可热，黄牛党又怎肯轻易放弃呢？以营销活动为例，企业通常会在线上或线下打广告，使用一些爆款商品吸引消费者。营销活动的背后是支撑企业盈利的核算逻辑，例如：花200万的广告费，吸引2万个新客户到网站，并期待未来能给网站带来400万的销售。企业当然希望每一个来访的用户都能购买到自己心仪的商品。因此，理想状况下2万个新客户每人能买到一件爆款商品。但是，如果活动没有做任何业务防护机制，那么市场效果极有可能大打折扣。甚至可能出现90%已售出的商品实际为一个或一伙黄牛购买的情况，而正常消费者永远买不到这些“稀缺货”，逐渐对平台丧失兴趣。在此类案例中，黄牛党的批量下单，恶意购物行为已经严重干扰了企业公平售卖秩序，正常消费者无法购买，企业的广告营销费用还打了水漂。这种情况是老板们最不愿意看到的，也是业务安全工作人员和营销团队需要共同面对和解决的。3、干扰平台售卖能力黄牛党干扰公平售卖秩序固然导致普通消费者无法购买，但好歹付了款。至少从订单价格上看，公司并无亏损。但相对于下面的案例，企业更加无法容忍。黑灰产为了能在最短时间内抢购到其需要的商品，必定会动用各类资源，包括：租借IDC服务器，使用大量IP地址，发起疯狂请求，甚至DoS等。如果平台风控不具备抵御高并发恶意请求的能力，那么平台的售卖能力将极其堪忧。2014年，某网站售卖首发的某款畅销手机，因为低估了黄牛的能量，未做任何防御措施。结果高峰期，每分钟300万次购物车恶意请求。直接影响是：所有的手机都被黄牛收入囊中，更重要的影响是：抢购瞬间，该网站的购物车系统在高并发请求下出现大面积超时报错，导致正常消费者无法购买商品，哪怕是非爆款商品。“赔了夫人又折兵”是类似案例的典型结果。4、降低综合营销质量绝大多数企业运营的目标是盈利，而营销质量将直接关系企业盈利水平。业务逻辑、平台技术能力或内外部环境直接或间接地影响着营销质量，在特定背景下甚至会造成较大的运营差错，以下是常见降低营销质量的风险行为和形式：虚假注册批量注册马甲号注册马甲号领券售卖马甲号获利高价值用户占比下降优惠叠加组合优惠下单重复享受优惠低价购买高价值商品企业毛利受损扫货刷单绕过限购逻辑批量享受优惠集中购买特定商品一锤子买卖，不产生未来价值以虚假注册为例，相信从事互联网工作的大多数人都能理解这个词的“内涵”，特别是处于起步阶段的创业型公司。爆炸式增长的用户注册数据，短时间内能迅速捕获外界的眼球，但是长期来看，将严重影响企业的营销数据质量。再看一个案例，某公司市场新客拓展组的成员，满怀欣喜地宣布他本月的KPI提前超额完成，因为每天激增了数十万新增用户。但是，当深入去查看这些注册用户时才发现：几乎所有的用户都是来自某邮箱公司的第三方联登账户。联想到早些时候这家公司大量账户账户密码泄露的事件，可以断定：有黑产利用已泄露的邮箱账户密码登录其网站，然后联登到电商平台网站。这就是新客的来源，通常业界也称这样注册的账户为“马甲号”。马甲号一方面会导致企业报表数字虚高；同时，那些领取了针对新注册用户的优惠券的“马甲号”下单会享受大量优惠。原本要给到网站真实消费者的优惠，最后给到了一伙黄牛，这样的营销质量自然会要受到质疑，这样的新客给再多老板也不开心啊！5、风险交易导致资损盗号、盗卡是平台风险交易的两大重要渠道，任何一家发展到一定规模的电商企业都需要构建自身的风控体系以快速发现和遏制此类行为。盗号黑客通过“撞库攻击”等技术手段，获取大量账户/密码组合，逐个登录账户。账户如果有余额，黑客可以直接消费或提现。而原账户的持有人遭受损失后必定投诉企业，申诉赔偿。企业处置不当，还有可能衍生出媒体事件。盗卡犯罪分子通过“诈骗”等手段获取到大量银行卡持卡人信息，包括：卡号、姓名、身份证、手机号以及短信验证码。掌握这些信息就可以在电商平台进行快捷支付绑卡消费了。根据当前国内第三方商户的风险承担机制，若企业无任何风险识别能力允许这笔交易发生，极有可能产生重大资产损失和声誉受损。对一个年交易额上亿的电商企业来说，如果缺少交易环节的安全风险控制措施，且不说企业分分钟倒下，光是在行业内该企业也将成为黑产的众矢之的。6、恶意获利或者套现在过去的一些材料里我们分享过这样一个案例，某批发客为了享受网站新客优惠策略，注册了几千个账户，每个账户只买一件商品。从单个订单看，电商企业给了每个客户一定的优惠。但从整个销售数据看，某个特定的专场或产品90%的优惠都给了同一个人，虽然他们使用了完全不同的注册ID。这正是企业运营规则所不能容忍的。另外一种通过平台获取利益的行为是套现。典型的电商平台都提供虚拟资产，如：某卡、某券、某币、某豆，某积分等。平台如果存在业务安全隐患，恶意用户可以通过业务逻辑漏洞将虚拟资产转换为真实资产——人民币。该环节如果处理不当将会产生套现问题；依据行业特征，企业除了蒙受资产损失外，还可能面临监管机构的惩罚。7、劫持、仿冒与欺诈2015年底，微博、今日头条、美团大众点评网、360、腾讯、小米科技等六家互联网公司共同发表了一份《六公司关于抵制流量劫持等违法行为的联合声明》，声明对于流量劫持等违法行为进行坚决的联合抵制，呼吁加强行业自律，并保留进一步采取联合行动的可能。在中国这一网络环境异常复杂的地域，什么样的奇葩事情都能遇到。类似这样的案例常常发生：用户在A电商的APP客户端居然看到了电商B的商品和购买链接。

我们可爱的英雄们——是你们，用纯洁正义的心，坚持守护着无数家庭和网民们的安全！是你们，用宽广厚实的肩膀，为中国互联网安全事业的稳定发展，贡献了自己的力量！英雄们，VSRC始终记得你们！英雄们，你们应该得到最美好的感谢和尊重！以下是2016年第三季度VSRC英雄榜排名：第一名：Azz（昊天团队）第二名：null_z第三名：aerfa（注：本季度团队奖励暂时空缺）个人荣誉根据VSRC2.0规则，Azz成功入选第三季度英雄榜，感谢Azz对唯品会信息安全工作的杰出贡献，特予以2016年第三季度VSRC“安全专家”荣誉称号！证书编号为：VSRC-2016090001奖励金额：300元面值的唯品卡个人荣誉根据VSRC2.0规则，null_z成功入选第三季度英雄榜，感谢null_z对唯品会信息安全工作的杰出贡献，特予以2016年第三季度VSRC“安全专家”荣誉称号！证书编号为：VSRC-2016090002奖励金额：300元面值的唯品卡个人荣誉根据VSRC2.0规则，aerfa成功入选第三季度英雄榜，感谢aerfa对唯品会信息安全工作的杰出贡献，特予以2016年第三季度VSRC“安全专家”荣誉称号！证书编号为：VSRC-2016090003奖励金额：300元面值的唯品卡同时也感谢：

21岁不到就被英国情报机构招募做特工，先后供职于军情五处、军情六处。这特工一当就是十年。凭借过人的天赋，他本可以在隐秘战线工作更长的时间，直到被英国、苏联双料间谍Kim