黑名单是指会对业务明确造成高风险后果的对象的集合。在流量威胁场景下，黑名单可以直接用于拦截或处罚。黑名单主要基于黑产作恶所涉及的有限资源角度来构建，如IP、设备、手机号、账号等维度。

灰名单主要是指偏可疑的对象的集合，灰名单中的资源除了黑产会使用，正常用户也会使用。比如虚拟运营商号码，由于其在线获取门槛低和价格低廉而被黑产青睐，主要被用于垃圾注册等场景，但正常用户（如外卖员）也会使用虚拟运营商号码。再比如代理IP，黑产主要使用在批量“薅羊毛”等场景，用于绕过业务方的频控限制，但正常用户（如留学生）也会使用代理IP访问国外网站。所以，对于黑产和正常用户都会使用的可疑资源，若基于业务暂时无法直接判定为恶意，可以先纳入灰名单用于可疑监控，后续结合其他维度进行风险判断。

白名单是指需要重点保护且明显为白的对象的集合。比如，游戏中通常会把高级玩家、头部主播玩家加入白名单进行重点保护。白名单在流量威胁场景中主要用于保护高质量用户。

黑产掌握的资源，大部分是在各业务场景中作恶所共用的。比如黑产常用的秒拨IP主要用于绕过业务频控，没有具体业务指向。因为秒拨IP在广告作弊、垃圾注册、“薅羊毛”等场景都会出现，所以在新业务还没有积累自身的业务风险名单之前，可以引入第三方的通用风险名单，并将其快速部署上线，从而防控风险。通用黑名单的参考范围如表所示。

仅有通用风险名单并不够完备，可以基于具体业务场景，进一步沉淀积累各业务自身的风险名单。比如在广告作弊场景中，可以积累历史上被检测到的黑设备，形成业务风险名单，用于加强后续防控。业务黑名单的参考范围如表5.5所示。

一旦风险名单被设计好并部署上线后，就需要根据具体业务的外网处罚和投诉情况，进行线上实时效果监控。因为风险名单具有时效性，如果不及时对旧的名单数据进行淘汰，可能导致线上误处罚。接下来以手机号维度的风险名单来举例说明。

当黑产掌握的手机黑号被大部分业务检测到并加入黑名单后，一旦被黑产发现这批手机黑号基本失效，就会被放弃使用。而运营商对手机号有严格的管理机制，对于长期未使用的手机号，会先进行回收然后再重新放号，所以重新获得这些黑产使用过的号码的用户可能是正常用户。此时，如果业务方的手机号黑名单没有及时更新、淘汰旧的黑号，就会造成线上误处罚，所以风险名单淘汰机制的建立很有必要。具体可以从两个方面进行设置：一方面设置固定时间窗口，主动淘汰旧的名单数据；另一方面通过监控线上实时投诉率，及时淘汰旧的名单数据。

（1）IP频控策略

（2）代理IP识别

（3）秒拨IP识别

（1）模拟器/改机-假机假用户识别

（2）群控-真机假用户识别

（3）众包设备-真机真用户假动机识别

（1）基于虚拟运营商卡的异常识别

（2）基于物联网卡的异常识别

（3）基于海外卡的异常识别

（4）基于接码平台卡的异常识别

由业务产生的原始日志字段繁多且格式多样。在输入规则自动生成系统前，需要进行字段裁剪、空值填充和字段取值预处理等数据清洗操作，从而达到输入标准化的目的。

第一步：基于1-gram进行规则维度初筛。

第二步：基于n-gram规则进行自动组合。

基于上述自动生成的规则key，进一步计算聚集到的用户群体的属性值（业务历史黑名单比例、白名单比例、投诉比例等）。然后基于各用户群体属性值的经验阈值，筛选出高可疑群体对应的规则key，将key作为打击规则，将可疑程度较低群体对应的规则key作为监控规则。

基于业务线上系统，通过灰度方式，将自动评估模块筛选出来的恶意规则池中的规则key上线，并进行实时处罚或监控。

针对上线的规则key，需进一步构建线上规则淘汰机制，主要从两方面进行，一是设置规则过期的时间窗口，进行主动淘汰；二是构建线上实时监控，对每个处罚规则key的投诉比例进行实时统计，一旦触发投诉比例阈值，就让规则key的处罚失效，然后从恶意规则池中剔除规则key。

假设某互联网业务场景的访问流量（在访问时间维度）服从正态分布，如图4.7所示，依据分布的特性可知，访问流量的分布关于均值μ对称，分布在区间（μ−σ，μ+σ）内的概率为68.3%，分布在区间（μ−3σ，μ+3σ）内的概率可达99.7%，而访问流量只有0.3%的概率会落在（μ−3σ，μ+3σ）之外，从整体上来说，这是一个小概率事件。所以考虑到访问流量的安全，可以将落在（μ−3σ，μ+3σ）之外的这部分访问流量作为可疑流量进行识别监控，再结合其他业务维度加深识别。

虽然基于3 Sigma方法能从一定程度上识别出可疑流量，但是该方法是以假定业务场景流量服从正态分布为前提的。实际大部分业务场景的流量往往并不严格服从正态分布，而正态分布中的参数μ和σ也对异常值敏感，所以从非正态分布的业务流量中判断出的异常值，实际对异常检出的覆盖有限。针对这个问题，可以用Tukey箱型图法解决。

Tukey箱形图不同于3 Sigma方法，Tukey箱型图法对于业务场景流量的分布没有特殊要求，它主要是基于四分位距（IQR）的思想来构建箱型图。构图方法为：先找出业务场景流量数据中的最大值、最小值、中位数和两个四分位数；接着，连接两个四分位数画出箱体；再将最大值和最小值与箱体相连接，中位数在箱体中间。例如某业务场景访问流量的Tukey箱型图如图5.14所示，其中Q1和Q3分别为该业务场景下访问流量数据的第1个四分位数和第3个四分位数，则四分位距IQR = Q3−Q1，占50%的业务流量数据。此时，若业务流量落在（Q1−1.5×IQR, Q3+1.5×IQR）范围内，则被视为正常流量，在此范围之外则被视为异常流量。

这类异常检测模型的思想是，在业务流量数据的多维空间，异常流量数据点往往以离群点的方式出现，而正常流量数据点以簇的方式高度聚集，所以可以通过计算每个流量数据点之间的距离来判定异常流量数据点。其中KNN是基于距离度量的异常检测模型的代表算法，使用该算法进行异常检测的过程如下所示。

● 通过计算每个流量数据点的K-近邻平均距离（注：距离计算方式可以是欧几里得距离或者其他度量方式），并与预先设置的距离阈值进行比较，若大于阈值，则判定为异常流量数据点；

● 或者将全部流量数据点的K-近邻平均距离排序，取前N个最大距离的流量数据点，将其判定为异常流量数据点。

此方法的优点是简单易用，缺点是计算流量数据点之间距离的开销大，不适用于海量数据，且异常点识别对参数K的选择很敏感。另外，由于使用全局距离阈值，无法针对不同密度区域细粒度地设置不同的阈值，所以识别异常流量数据点可能会受到密度变化的影响。

这类异常检测模型的思想是，在业务流量数据的多维空间，正常流量数据点出现的区域密度高，而异常流量数据点出现的区域密度低，具体表现为稀疏甚至是单个离群点的形式，所以可以通过刻画每个流量数据点所在区域内的密度来进行异常检测。其中DBSCAN是基于密度的异常检测模型的代表算法，使用该算法进行异常检测的过程如下所示。

● 首先，通过检查每个业务流量数据点的邻域来搜索簇，如果当前数据点的邻域包含的邻居数据点数多于预先设置的阈值个数，就创建一个以当前数据点为核心对象的簇。

● 然后，不断迭代和聚集从这些核心对象直接密度可达的其他对象，此过程可能涉及一些密度可达簇的合并。

● 接着，当没有新的点被添加到任何簇时，该过程结束。

● 最后，稀疏区域中未形成簇的点，即被识别为异常流量数据点。

DBSCAN算法的优点是不用预先指定簇数，且可以在发现任意形状的聚类簇的同时，找出异常点。该算法的缺点是当数据量增大时，内存等开销很大。

虽然上述模型能检测出异常，但是高维特征空间的处理开销很大，尤其是处理海量的业务流量数据时，不得不考虑计算开销。而通过降维方式，将高维特征空间转换到低维特征空间进行处理，可以很好地解决计算开销问题。

这一方面的典型代表就是PCA异常检测模型，其原理如图5.15所示。PCA在做特征值分解之后得到的特征向量反映了原始数据方差变化程度的不同方向，特征值为数据在对应方向上的方差大小。所以最大特征值对应的特征向量为数据方差最大的方向，最小特征值对应的特征向量为数据方差最小的方向。原始数据在不同方向上的方差变化反映了其内在特点。如果单个数据样本与整体数据样本表现出的特点不太一致，例如在某些方向上与其他数据样本偏离较大，可能表示该数据样本是一个异常点。PCA的主要优点是减少高维数据的计算开销，缓解“高维灾难”。

这类异常检测模型的主要代表模型是孤立森林（Isolation Forest）。它的主要思想是，对于正常流量数据点，由于是高度聚集的密集区域，因此需要被切割很多次才可以将每个流量数据点划分开；而异常流量数据点处于稀疏区域，每个数据点很容易被划分开。

孤立森林的异常检测原理和随机森林类似，如图5.16所示，孤立森林是由多棵决策树组成的集成模型。但不同点是，孤立森林在决策树节点分裂过程中，每次随机选择特征和特征分割点来进行划分，不需要信息增益去评估划分结果的好坏，因为孤立森林的目的只是把每个数据点划分到叶子节点。在决策树划分过程中，如果一些流量数据点每次都能很快划分到叶子节点，即这些数据点从根节点到叶子节点的平均划分路径短，那么这些数据点就很可能是异常流量数据点。平均划分路径距离短表示这些数据点远离高密度的正常流量数据点，很容易被区分，所以可以通过计算流量数据点在所有决策树划分路径中的平均长度来检测异常流量数据点。

不同于前面几种算法，由于孤立森林不需要计算距离、密度等指标，所以该算法计算开销小、速度快。

SVM的思想是在正常流量与异常流量间寻找一个超平面，可以把正常流量和异常流量分开。而单分类SVM是在缺少异常流量样本的情况下，基于一类样本训练得到的超球面，替代了SVM中的超平面，即通过正常流量样本学习到正常流量的球形边界，在边界之内的样本为正常流量，边界之外的样本为异常流量。其中要注意的是，单分类SVM对问题的优化目标进行了改造，与二分类SVM略有差异，但仍然很相似。具体原理如图5.17所示。

单分类SVM模型的优点是不需要异常样本即可训练模型，适用于高维业务流量场景。该模型的缺点是计算核函数时速度慢，不太适合海量业务流量场景。

AutoEncoder模型的算法原理详见4.4.2节。由于编码器和解码器是基于正常业务流量样本训练和构建的，学习到的是正常业务流量样本的范式，所以对于正常业务流量样本可以正常重构还原，而异常业务流量样本在重构过程中误差较大，无法较好地还原，从而可以作为异常样本识别出来。

在两个数据集的用户特征重叠部分较多而用户重叠部分较少的情况下，将数据集横向（即用户维度）切分，并取出双方用户特征相同而用户不完全相同的那部分数据进行训练。这种方法叫作横向联邦学习。

在两个数据集的用户重叠部分较多而用户特征重叠部分较少的情况下，将数据集纵向（即特征维度）切分，并取出双方用户相同而用户特征不完全相同的那部分数据进行训练。这种方法叫作纵向联邦学习。

在两个数据集的用户与用户特征重叠部分都较少的情况下，不对数据进行切分，可以利用迁移学习来解决数据或标签不足的问题。这种方法叫作联邦迁移学习。