方小顿fxd搜索引擎安全遐想.pptxVIP

目录自我介绍搜索引擎安全剖析搜索引擎安全模型探讨Q/A自我介绍跨站师，web渗透师，业务渗透手戴着镣铐跳舞的黑客实用主义者80sec/wooyun创始人百度安全工程师我们的方式Know itThen hack it什么是搜索引擎产品：帮助网民更快更好的找到所求业务：以流量平台提供付费广告业务什么是搜索引擎安全产品：被人攻击和利用从而传播虚假及欺诈的有害信息业务：被人攻击和利用从而产生虚假及欺诈的广告流量搜索引擎安全本质流量安全黑色流量（完全恶意的主动利用搜索引擎作恶的虚假，诈骗流量）灰色流量（可能主动或者被动的产生的一些违反规则的流量，如spam信息，黄反信息，恶意点击信息）白色流量（完全合法正常的流量，也是占主要部分的流量）某安全公司定义的恶意网站几个案例借助广告推广虚假有害信息几个案例借助广告推广虚假钓鱼信息几个案例借助自然搜索结果推送虚假内容几个案例借助自然搜索结果推送虚假内容搜索引擎安全本质搜索引擎安全的特殊性产业性直接成型的经济利益链导致参与人员众多，甚至可能包括内部人员；分工明确；长期性利益的长期存在会导致长期的对抗存在；可能转移到其他公司也可能从其他公司转移到我们公司；随着核心黑产的变化也会变化不对等性对抗导致的情况是以业务的思维对抗黑色产业的思维，信息并不平等，效果并不理想几个案例几个案例我们的对手比我们人多比我们聪明比我们有钱安全工程师视角搜索安全问题本质利益问题而不是技术问题搜索安全对抗本质看行业本质而不是技术本质利益成本的对抗而不是技术对抗防人而不是防技术建立游戏规则而不是顺从游戏规则理想的业务安全模型黑色行业数据库黑色行业帮助我们及时更新了解黑色流量的动向和掌握黑色从业者信息黑色从业者帮助我们及时判断流量的合法性和掌握黑色行业信息如何建立黑色行业数据库恶意行业业务流注册，网站，选词，创意，上线，点击恶意行业指纹用户资质（注册者，代理商，账户信息，银行身份证信息）网站内容（IDC，域名信息，内容分析）广告内容（广告，创意内容）操作行为（测试行为，推广行为）一些例子注册阶段对明确恶意关键词（已知数据库）进行监控一些例子网站内容对广告主所有网站内容和运营信息进行监控一些例子广告创意对用户尝试进行上线的广告进行监控一些例子监控，控制和对抗对已知信息的深度挖掘，譬如网站属主信息一些例子监控，控制和对抗对已知信息的深度挖掘，譬如广告主信息一些例子监控，控制和对抗对已知信息的深度挖掘，譬如广告主ip信息黑色行业数据库使用业务打击将导致攻击目标转向产品，如六合彩，窃听器，中奖产品借助业务的积累可以更好识别非法流量行业打击将可能导致可能的欺诈转向其他平台Q/A?重点会在产品形态和业务模式的安全问题，暂时不涉及到恶意点击，不涉及到广告点击业务的安全,流量要分黑白灰，广告里不会挂马，spam信息目前也不是主要矛盾，关注流量的安全本质是经济利益；搜索引擎提供流量平台；会相互转化；从技术来讲，基本是不可能完成的，一种手法总是可以被另外一种手法绕过，我们只有几个工程师，但是却要面对一个庞大的组织团伙，这基本是不可能获得胜利的,这个图很简单，但是很重要，我们需要从中整理出一套长期并且有效的安全机制出来，应变安全威胁；创造一个规则而不是延续现有规则，对于一个作恶者，他总是用最少的成本获取到最大的利用，可以优先使用代价小稳定的广告，如果广告被封杀可能会想办法进入恶意seo，这两者是相互转发的，我们可以见一个封一个，但是很难对整体的黑色产业链有一个清晰的了解，而且也容易陷入长期的绕过和技术对抗里，这里主要谈主要矛盾1 参与人数众多，从网站制作到广告推广到变现2 存在长期对抗，魔兽世界 魔兽大脚 多玩魔盒 27代理 27…… 淘宝 天猫，随时变化；QQ中奖3 黑色产业属于地下性质，外部人员很难深入进去，信息不对称导致很难解决问题，类似于传统的安全，我们往往只看到自己看到的不是我们不知道怎么处理，而是不知道哪些地方需要处理这是按照人家的规则体系化防御对抗产业型黑产以体系化的防御对抗产业化的作恶；建立到行业和到人层面的防御而不是单纯的技术防御；以行业和利益为核心；跟随业务流，指定规则而不是顺从规则，以我们擅长的来对人家不擅长的触发规则的定义为恶意用户，进入我们的行业数据库一个用户定义为恶意，那么该用户相关的都会为恶意对于一些明显恶意的关键词进行监控，一旦触发，进入黑色数据库对于黑色用户的所有操作都应该值得监控，坏人不只做一次坏事一日为恶意，基本终身为恶意，这是从腾讯中奖过来挖掘出来的团伙性质，从QQ中奖挖掘出来的居然是机票团伙，而且是海南的监控，预警，阻止和对抗