伴随央视元宵晚会2亿红包的发放，持续将近一个月的2019年春晚红包落下帷幕。作为被业内堪称春晚红包史上首家不宕机的互联网公司，百度在央视春晚当天扛住了全球观众208亿次APP红包互动，超级流量考验背后，技术能力与保障机制获得业界认可。日前，百度安全公布春晚红包安全大数据显示，在今年央视春晚及央视元宵晚会的红包互动过程中，百度安全风控系统拦截黑灰产共计2.6亿次，春晚当天流量高峰时期每分钟拦截达84万次。

值得注意的是，风控拦截曲线峰值与主持人四次红包口播时间高度一致，这意味着，在规则模型复杂、流量指数级骤增的特殊场景下，擅长在“黄金时间”趁乱打劫的羊毛党得到了有效风控防御。

一边“红”，一边“黑”：“羊毛党”暗潮涌动的地下江湖

央视春晚及央视元宵晚会红包，涉及百度数十款产品，覆盖百余种用户场景，加之将人工智能应用拓展到语音搜索的互动新玩法，如何保障复杂的交互机制及高并发大流量背后的整体安全性，同时在活动公平性与用户体验之中达成平衡，这在十分有限的筹备期内，对于安全部门是一个艰巨而复杂的工作。

与此同时，安全与黑灰产的网络攻防对抗在不断升级。众所周知，近年来互联网平台各类补贴、拉新、促销、优惠等营销活动催生了一类特殊群体——羊毛党，这类群体手持千万级的手机号、银行卡号、身份证及用户ID，盘踞于各大互联网平台之上，专攻规则漏洞，通过各类作弊手段，将平台的营销活动演变成一次次黑灰产的狂欢盛宴。相关案件屡见报端，极端情况下，可以在一夜之间“薅”干一个平台的营销红利，给平台带来不可挽回的损失，同时令营销效果大打折扣。2019年春晚红包创春晚红包总额历史新高，据百度安全监测情报显示，在央视宣布2019年春晚红包与百度合作的消息不到几分钟内，羊毛党的地下江湖已经暗潮涌动，伺机大“薅”一场。

近年来，在巨大的经济利益的驱动下，羊毛党不断升级作案技术与工具，作案手段日趋多元复杂，且呈跨区域、产业链化运作，网络攻防依旧处于一个不断博弈的过程。究其原因，一方面，据业内分析认为，尽管《网络安全法》的出台，在保护公民个人信息安全、维护网络空间良性生态层面提出了全新的要求，然而如同流量劫持、恶意挖矿等诸多尚未法案定性的灰产领域一样，羊毛党长期打着法律擦边球，短时间内尚无法得到根治。

另一方面，所谓“车马未动，技术先行”，近年来各大互联网平台通过提高风控门槛、更新规则模型，对羊毛党设置层层封锁，随之而来的，是羊毛党系统内的一次次“技术升级”。据百度安全风控监测显示，机器作弊此类“薅羊毛”传统手段，正逐渐与人肉作弊手段结合，规模化、体系化的羊毛党会针对厂商具体的营销规则及金额分配两类资源，以获取利益最大化。后者手段相较前者，不仅有数量上的优势，其对于安全风控的挑战，由“人机对抗”升级为“真人对抗”，这为风控带来诸多复杂性。

在这场技术的“拉锯战”中，没有永远胜利的一方，安全机构与风控工作者唯有不断进行技术升级，以实现对网络黑灰产的快速响应与持续对抗。

AI打黑步入春晚：每一次互动红包背后的技术角力

在本届春晚及元宵晚会红包环节提供风控核心能力保障的，是百度安全“昊天镜”业务安全风控系统。据百度安全介绍，基于长期一线与黑产多维度对抗经验和庞大的移动端基数，借助百度安全独创的五层复合机器学习和威胁情报大脑双擎驱动，昊天镜在红包互动期间提供了专业的反作弊能力，实现规模化黑灰产感知、人机识别、群控加代理集群实时拦截及黑产溯源功能。

事实上，春晚红包每一次互动背后，都是百度安全与黑灰产的一次技术角力。据百度安全公布的春晚红包安全大数据显示，在今年央视春晚及央视元宵晚会的红包互动过程中，昊天镜拦截黑灰产共计2.6亿次，春晚当天流量高峰时期每分钟拦截达84万次，平均响应时间达到20ms以内的业内高水准。其中，来自山东、河北、河南、江苏、广东五省的黑产共计占据攻击总量的41%。值得注意的是，风控拦截曲线峰值与主持人四次红包口播时间高度一致，这意味着，在规则模型复杂、流量指数级骤增的特殊场景下，擅长在“黄金时间”趁乱打劫的羊毛党得到了有效风控防御。

此外，机器作弊、人肉作弊“兵分两路”，在不同时间段轮流登场，反馈在监控曲线上，具有显著的周期特征，体现出羊毛党在四轮红包不同规则、不同金额下的资源投入考量。

拦截之外，提高黑灰产防御成效的另一手段，是从黑灰产源头进行打击治理。羊毛党黑灰行动日趋多元化、体系化，无疑对企业经济利益造成长期侵害，同时对正常市场竞争秩序造成干扰，这意味着企业的技术升级、单点防御模式，将日趋上升为政府、公安、法律、学术机构全方位、持续、高压的联合治理模式，在这个过程中，威胁感知、过程还原，追踪溯源，成为高效、精准打击黑灰产的关键技术环节。

近年来，百度安全正逐步加强人工智能、大规模图数据库等新一代技术在网络安全生态治理中的应用，一方面，基于海量威胁情报数据，针对机器学习进行算法训练，对既有风控机制形成有效补充，黑灰产不断技术升级以逃避监测的伎俩，在人工智能面前将变得无处遁形；另一方面，人工智能及大规模图数据库正在关联图谱分析领域发挥着重要作用，近年来在百度安全协助公安机关破获多起电信诈骗、伪基站、流量劫持、用户隐私窃取等重大黑产案件中，提供了打击溯源的核心能力，全方位实现从警务数据整合到分析挖掘，助理智慧公安新业态。

2018年，百度安全推出了下一代人工智能安全技术栈（Baidu AI Security Stack，简称BASS），将首创的七大技术全面开源汇成“七种武器”，在保障百度内部生态数据安全、业务安全的基础上，向社会生态合作伙伴全面开源，解决云管端以及大数据和算法层面的一系列安全风险问题。当下，BASS下一代AI安全技术栈已经在网络安全生态综合治理、黑产打击与持续对抗、数据安全与隐私保护等诸多领域展开实践。

尽管2019年春晚红包已落下帷幕，但是安全与黑灰产的攻防战役依旧在持续进行中。接下来，百度安全将针对春晚期间的黑灰产数据做持续跟踪监控、系统分析，携手相关机构打造安全生态多方治理格局，同时运用人工智能实现更有力量的黑灰产打击。

208亿次红包互动背后全链路安全守护 

羊毛党黑灰产打击及安全生态治理，只是百度安全为2019年春晚红包互动保驾护航安全能力的“冰山一角”，也是少数能够被具化、被有效感知的技术产品之一。更多的早已深度嵌入到庞大的百度产品技术矩阵之中，全面覆盖百度各种复杂业务场景，对外则以技术开源、专利共享、标准驱动为理念，面向行业输出一体化安全解决方案，实现安全可依赖，同时推动AI时代的安全生态建设，让全行业享受更安全的AI所带来的变革力量。

在本届央视春晚及元宵晚会红包互动中，百度安全上百项技术及产品被用于技术保障体系的构建和运行之中，覆盖安全评估与加固、漏洞挖掘与修复、攻击流量态势感知及防护、弹性扩容安全保障、数据中心访问安全认证、网站反欺诈拦截、个人隐私保护、黑产画像与溯源打击等领域，纵贯事前评估与模拟渗透、事中风控与保障、事后复盘及黑产溯源打击全流程，在确保用户体验的同时，为每一次用户参与互动提供全方位、全周期的安全保障。

其中，弹性扩容安全能力保障，应对10亿级别并发需求，在既有技术方案基础上，针对春晚红包的增强性方案仅仅花费1个工作日完成整体落实交付。

在攻击流量态势感知及防护方面，在官宣合作不久，百度安全智云盾团队便监测到DDoS恶意流量攻击预警，同期启动春晚红包专项监测系统的开发，并提早于预期完成所有服务器节点的升级部署和配置检查。2018年，百度安全智云盾承载IDC环境下IP地址超96.8万个，成功防御DDoS攻击事件5.9万次，成功防御最大单IP的DDoS攻击峰值715Gbps。

在未雨绸缪方面，蓝军模拟渗透春晚红包专项团队则模拟黑灰产的思维，针对整体安全保障方案进行多维度、全方位的渗透攻击测试，以此提升安全防护能力和效率。

值得一提的是，今年1月31日正式对外发布的百度隐私合规助手，为参与春晚红包互动的百度系APP矩阵提供了隐私安全合规检测，切实保障用户的隐私权益。事实上，《网络安全法》及欧盟GDPR（通用数据保护条例）的相继出台向企业提出了隐私合规要求，用户个人信息安全维护的规则愈发严格，边界愈发明确。百度隐私合规助手的初始目标正是为了进一步规范和提升百度庞大产品线的数据安全和隐私合规策略。目前，包括百度APP、DuerOS、百度地图、百度贴吧、百度手机助手在内的百度旗下主要APP和SDK均已实现了对隐私合规助手的接入，并成功通过检测。接下来，百度隐私合规助手将进一步加强与百度推广平台、百度应用商店的对接，并逐步面向整个生态开放，提高生态及第三方移动产品的隐私保护能力。

20个昼夜攻坚战背后，是对包括安全在内的百度人一系列技术能力的检验。对于百度安全团队而言，接下来应对短时间内的整体安全方案部署及流量峰值下的安全保障，虽必当全力以赴，已非如临大考。接下来，百度安全更加关心的是，面对当下层出不穷且日益复杂的网络生态安全问题，如何通过技术升级实现网络安全生态综合治理，实现黑灰产的持续对抗，以及，如何通过技术打造更安全的AI时代。