一个安全工程师眼里的搜索引擎安全
DESCRIPTION
一个安全工程师眼里的搜索引擎安全. 剑心. 目录. 自我介绍 搜索引擎安全剖析 搜索引擎安全模型探讨 Q/A. 自我介绍. 跨站师, web 渗透师,业务渗透手 戴着镣铐跳舞的黑客实用主义者 80sec/ wooyun 创始人 百度安全工程师. 我们的方式. Know it Then hack it. 什么是搜索引擎. 产品:帮助网民更快更好的找到所求 业务:以流量平台提供付费广告业务. 什么是搜索引擎安全. 产品:被人攻击和利用从而传播虚假及欺诈的有害信息 业务:被人攻击和利用从而产生虚假及欺诈的广告流量. 搜索引擎安全本质. 流量安全 - PowerPoint PPT PresentationTRANSCRIPT
一个安全工程师眼里的搜索引擎安全
剑心
目录• 自我介绍• 搜索引擎安全剖析• 搜索引擎安全模型探讨• Q/A
自我介绍• 跨站师, web 渗透师,业务渗透手• 戴着镣铐跳舞的黑客实用主义者• 80sec/wooyun 创始人• 百度安全工程师
我们的方式• Know it• Then hack it
什么是搜索引擎• 产品:帮助网民更快更好的找到所求• 业务:以流量平台提供付费广告业务
什么是搜索引擎安全• 产品:被人攻击和利用从而传播虚假及欺
诈的有害信息• 业务:被人攻击和利用从而产生虚假及欺
诈的广告流量
搜索引擎安全本质• 流量安全– 黑色流量(完全恶意的主动利用搜索引擎作恶
的虚假,诈骗流量)– 灰色流量(可能主动或者被动的产生的一些违
反规则的流量,如 spam 信息,黄反信息,恶意点击信息)
– 白色流量(完全合法正常的流量,也是占主要部分的流量)
某安全公司定义的恶意网站
几个案例• 借助广告推广虚假有害信息
几个案例• 借助广告推广虚假钓鱼信息
几个案例• 借助自然搜索结果推送虚假内容
几个案例• 借助自然搜索结果推送虚假内容
搜索引擎安全本质
网民( 受害者)
搜索平台(搜索产品 / 广告业
务)
黑色行业从业者( 中奖 , 钓鱼 , 欺
诈 )
经济利益
搜索引擎安全的特殊性• 产业性– 直接成型的经济利益链导致参与人员众多,甚至
可能包括内部人员;分工明确;• 长期性– 利益的长期存在会导致长期的对抗存在;可能转
移到其他公司也可能从其他公司转移到我们公司;随着核心黑产的变化也会变化
• 不对等性– 对抗导致的情况是以业务的思维对抗黑色产业的
思维,信息并不平等,效果并不理想
几个案例
几个案例
我们的对手• 比我们人多• 比我们聪明• 比我们有钱
安全工程师视角• 搜索安全问题本质– 利益问题而不是技术问题
• 搜索安全对抗本质– 看行业本质而不是技术本质– 利益成本的对抗而不是技术对抗– 防人而不是防技术– 建立游戏规则而不是顺从游戏规则
理想的业务安全模型
黑色行业数据库(行业,从业者,行
为)
广告运营安全
搜索业务安全
其他产品安全
黑色行业数据库• 黑色行业– 帮助我们及时更新了解黑色流量的动向和掌握
黑色从业者信息• 黑色从业者– 帮助我们及时判断流量的合法性和掌握黑色行
业信息
如何建立黑色行业数据库• 恶意行业业务流– 注册,网站,选词,创意,上线,点击
• 恶意行业指纹– 用户资质(注册者,代理商,账户信息,银行
身份证信息)– 网站内容( IDC ,域名信息,内容分析)– 广告内容(广告,创意内容)–操作行为(测试行为,推广行为)
一些例子• 注册阶段– 对明确恶意关键词(已知数据库)进行监控
一些例子• 网站内容– 对广告主所有网站内容和运营信息进行监控
一些例子• 广告创意– 对用户尝试进行上线的广告进行监控
一些例子• 监控,控制和对抗– 对已知信息的深度挖掘,譬如网站属主信息
一些例子• 监控,控制和对抗– 对已知信息的深度挖掘,譬如广告主信息
一些例子• 监控,控制和对抗– 对已知信息的深度挖掘,譬如广告主 ip 信息
黑色行业数据库使用• 业务–打击将导致攻击目标转向产品,如六合彩,窃听器,中奖
• 产品– 借助业务的积累可以更好识别非法流量
• 行业–打击将可能导致可能的欺诈转向其他平台
Q/A
•