新功能：阿里云风险识别 - 用户行为分析上线！

2019-01-18 5507

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

对象存储 OSS，20GB 3个月

对象存储 OSS，恶意文件检测 1000次 1年

对象存储 OSS，内容安全 1000次 1年

简介： 目前，阿里云风险识别与日志服务打通，对外开放风控实时调用的请求与结果的日志，并提供基于日志服务报表的用户行为分析功能。同时提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

羊毛党已经产业化、规模化、专业化

随着互联网、智能设备及各种新生业务的飞速发展，越来越多的业务模式开始呈现线上化，虚拟网络给人们带来了便捷、高效的同时也衍生出了一类职业——网络黑灰产；他们为获得利益不断侵蚀各大网站，影响网站业务的安全，导致网站用户体验变差，营销资金丢失，用户信任度降低等一系列的问题。其中互联网营销一直以来都面对羊毛党的挑战，根据FreeBuf 2017年底发布的调查报告，2017年前3季度，中国至少发生了6亿次薅羊毛行为，覆盖110万个羊毛党团伙，超过400万个手机号。覆盖直播、短视频、电商、支付等各个互联网行业。

所谓道高一尺魔高一丈，羊毛党早已经开始产业化、规模化、专业化发展。产业规模上，借助中国人口红利，大规模的羊毛通讯工具群也在不断建立，采用分工协作、雇佣分发的模式，将上百万的人纳入到薅羊毛的灰色产业中。专业技术上，无论是手机号注册、验证码校验还是设备监测，羊毛党的对应技术手段也是不断发展，手机池、养号、打码平台、NLP、甚至人工智能等都被积极应用。

阿里云业务识别 - 用户行为分析概述

阿里云业务识别

阿里云风险识别（Fraud Detection）基于阿里巴巴安全团队多年风控技术的积累，结合阿里云、淘宝、支付宝等平台的风险运营经验，为企业用户提供智能、轻量、成熟的业务风控解决方案，快速解决业务安全风险，降低损失。

阿里云日志服务

阿里云的日志服务（log service）是针对日志类数据的一站式服务，无需开发就能快捷完成海量日志数据的采集、消费、投递以及查询分析等功能，提升运维、运营效率。日志服务主要包括实时采集与消费、数据投递、查询与实时分析等功能，适用于从实时监控到数据仓库的各种开发、运维、运营与安全场景：

目前，阿里云风险识别（Fraud Detection）与日志服务打通，对外开放风控实时调用的请求与结果的日志，并提供基于日志服务报表的用户行为分析功能。同时提供基于日志服务的查询分析、报表报警、下游计算对接与投递的能力。

发布地域

国内

适用客户

拥有大量注册、登录的终端客户，并经常组织互联网营销活动的娱乐、电商、支付或互联网服务公司。
提供互联网资讯、服务的，需要检验终端客户注册与登录安全性的银行、证券、电商、互联网服务的公司。
拥有自己的安全运营中心（SOC)，需要收集风险结果日志进行中央运营管理的企业，如大型地产、电商、金融公司、政府类机构等。
拥有较强技术能力，需要基于云上资产的日志进行深度分析、对告警进行自动化处理的企业，如IT、游戏、金融公司等。

功能优势

业务识别基于日志的用户行为分析具备如下优势：

配置简单：轻松配置即可实现实时日志的实时采集。
实时分析：依托日志服务产品，提供开箱即用的报表并自带交互挖掘支持，从0到1, 让您对业务服务的风险拥有更全更深入的视角。
实时告警：支持基于特定指标定制准实时的监测与告警，确保在关键业务发生异常时能第一时间响应。
生态体系：支持对接其他生态如实时计算、云存储、可视化等方案，进一步挖掘数据价值。
费用：免费提供365天实时请求日志与结果的存储。

开通前提

开通日志服务
开通业务识别的增强版本

限制说明

业务识别所存储的日志库属于专属的日志库，有如下限制：

用户无法通过API/SDK等方式写入数据，或者修改日志库的属性（例如存储周期等）
其他日志库的功能，例如查询、统计、报警、流式消费等均支持与一般日志库无差别
日志服务对专属日志库不进行任何收费，但日志服务本身需处于可用状态（不超期欠费）
后期会升级并发布内置的报表.

使用场景

1.了解业务总体风险浓度与趋势，主要风险标签类型

可以交互式查询，例如查看总体平均浓度:

__topic__: saf_access_log and score >= 0 | select round(avg(score),1) as score_level

可以基于instance_id筛选出特定业务查看：

字段instance_id值	对应业务
account_abuse_pro	注册风险
account_takeover_pro	登录风险
coupon_abuse_pro	营销风险

也可以直接查看报表风险大盘：

2. 追踪分析个体行为、活跃地理与设备细节等

基于日志分析个体的业务风险，可以通过风险大盘中的个体列表点击进入个体分析报表，或者直接在个体分析中输入个体的特征信息（如手机号码、邮箱等）开始分析：

也可以在日志服务的日志库中进行交互式查询，例如查询所有安卓设备的高风险用户：

__topic__: saf_access_log and score >= 65 and device_info.platform: Android

交互式查询，支持标准SQL92语法，并融合多种扩展分析函数：

3. 实时监测并告警，及时响应服务与业务异常

在日志服务高级管理中，当发生调用时发生非200的错误时能够第一时间响应，确保运维顺利。或者针对特定业务的终端高风险行为实时监测并告警，例如每5分钟超过10个高风险登录事件时告警：

__topic__: saf_access_log and score >= 65 and instance_id: account_takeover_pro | select count(1) as pv having pv > 10

支持多种告警模式（例如钉钉、短信等），并支持自定义告警内容模板：

4. 输出安全网络日志到自建数据与计算中心

支持将日志导出到您的SOC、OSS或者流式计算引擎当中，具体可以参考这篇最佳实践。

尝鲜试用

我们提供了业务识别用户行为分析的大盘的功能演示，您可以尝鲜试用：
https://promotion.aliyun.com/ntms/act/logdoclist.html?wh_ttid=pc

直达链接：

进一步参考

我们会陆续发布业务识别的行为分析的最佳实践，敬请期待。

扫码加入官方钉钉群 (11775223):