1 2020 发布单位：百度时代网络技术 (北京 )有限公司 顾问单位：公安部第三研究所网络安全法律研究中心 网络 黑灰产犯罪 研究 报告 2 2020 年初，一场突如其来的疫情打破了大家和谐平静的生活，全国人民都 经历了一场没有硝烟的战斗，网络随之成为人们获取信息和沟通的主要方式。时 至今日，全民战疫仍是 2020年最为突出的“关键词”。百度借助自身人工智能技 术、大数据、搜索、信息服务方面的优势，积极支援一线的防疫控疫工作，帮助 前线抗疫工作者提升效率、保障安全，为政府和研究机构提供科学的数据参考并 陆续推出百度地图大数据、 AI 测温、口罩人脸识别、 AI 健康医生等众多应用， 助力全国人民的抗疫之战。 疫情在进一步刺激互联网经济的同时，也对网络黑灰产犯罪产生了重要影响。 疫 情期间， 大量企业和组织 安排 员工在家远程工作 ，网络安全因此受到了极大的 威胁。黑灰产针对医疗、在线教育及在线办公、游戏三大行业的 DDoS攻击和 Web 应用攻击均在 2020 年一季度呈现出高发态势。同时，网络内容生态的健康也受 到黑灰产的严重侵害。仅在疫情形式严峻的季度，百度就清理与疫情相关的有害 信息 20.7 万余条，重点处理了涉及散播恐慌性信息和失实谣言的有害信息、高 价兜售医用防护用品的信息、宣传及贩卖野味的有害信息、假借售卖口罩之名实 施诈骗等方面的有害信息。 当下，利用互联网新技术产生的新型网络犯罪形式层出不穷，网络 黑灰产也 呈现出了黑灰色产业链的发展趋势。黑灰产利用互联网平台实施网络犯罪，不仅 扰乱市场正常经营秩序，威胁关键信息基础设施稳定运行，更加危害到用户的个 人信息安全，影响互联网行业的健康发展。 报告以互联网企业常见的黑灰产类型为核心，深度揭示其现状、黑灰色 产业链，并对其发展趋势进行分析，力求客观的呈现近年来互联网企业所遭遇的 黑灰产行为，提出针对性的防治建议。 前言 3 一、网络黑灰产发展趋势 . 4 1 生态化、多样化：黑灰产借势发展，攫取巨额利益 . 5 2 链条化、逐利化：以牟利为目的，分工不断细化 . 5 3 国际化、低龄化： 跨国、跨地域、年轻型犯罪比例上升 . 6 二、互联网企业常见的黑灰产挑战 . 7 1 内容秩序威胁型黑灰产 . 8 2 数据流量威胁型黑灰产 . 16 3 技术威胁型黑灰产 . 26 4 暗网 . 36 三、未来趋势预测 . 41 1 细分领域自动化程度不断提高 . 42 2 攻击对象向物联网和云平台迁移 . 42 3 黑灰产犯罪进入 AI 时代 . 42 四、打击防治建议 . 42 1 部门联动，司法与行政联手打击黑灰产生态 . 44 2 共治共享，政府与企业共同应对黑灰产挑战 . 44 3 群策群力，面向青少年强化黑灰产宣传教育 . 44 目录 4 一、网络黑灰产发展趋势 一 、 网络 黑灰产 发展趋势 网络黑灰色产业，是指借助互联网技术和网络平台，进行有组织、 有目的、有分工且规模化的网络违法犯罪。通常来讲，网络黑灰色产 业链可分为上中下游：位于上游的黑灰产负责收集并提供各种资源， 包括手机黑卡、公民个人信息、商业秘密、动态代理等；中游则负责 开发定制大量黑灰产工具，以自动化的方式利用各类黑灰产资源实施 各种网络违法犯罪活动；黑灰色产业链的下游负责将其活动“成果” 进行交易变现，涉及众多黑灰色网络交易和支付渠道。 随着互联网的发展，盘踞在网络平台的黑灰产形态和规模也不断 扩大。网络黑灰产一方面增加了企业运营的安防成本，恶化了竞争环 境，导致劣币驱逐良币现象的发生；另一方面，也让普通网民的个人 经济利益受到了极大的侵害，侵犯了公民的合法权益。疫情期间，不 法分子利用广大人民群众增加上网时长、工作就业受影响的契机，实 施了包括网络诈骗、传播违法内容、发起 DDoS攻击、刷量等在内的多 种违法犯罪行为。 5 1 生态化、多样化：黑灰产借势发展，攫取巨额利益 受疫情影响，广大网民的互联网使用率和使用时长增长明显。 2020 年上半 年，电商直播、短视频和网络购物等应用的用户规模增长最为显著，增长率分别 16.7%、 5.8%和 5.5%。即时通信软件、搜索引擎、网络游戏和网络视频也保持增 长，增长率在 1%-5%之间。同时，手机网络购物的用户规模增长已经超过 5%。 1 与此同时，疫情期间的网络黑灰产呈现出更加频发的态势，不法分子开始实 施网络诈骗、网络赌博、网络色情内容传播等各类犯罪行为。其中，仅网络诈骗 黑生态的发展，较疫情前以金融类、网络赌博类、网赚类、冒充公检法人员等诈 骗形式，快速 衍生出包括买卖防疫物资诈骗、机票火车票退改签诈骗、贷款诈骗、 网课缴费诈骗、网络游戏诈骗、刷单诈骗等与疫情相关的新型诈骗手法，危害了 广大网民的切身利益。截至 2020 年上半年，全国公安机关共破获涉疫情诈骗犯 罪 1.6万起，抓获犯罪嫌疑人 7506名。 2 2 链条 化、 逐利 化：以牟利为目的，分工不断细化 通常来讲，网络黑灰产定义为借助互联网技术、网络媒介，为黑客攻击、网 络黄赌、网络诈骗、网络盗窃、网络水军等违法犯罪活动提供帮助，并从中非法 牟利的犯罪产业。该定义方式更多的偏向与人民群众关系更加密切的网络犯罪业 态。但是网络诈骗需要公民个人信息和非法话务中心的支持，网络水军需要账号 批量注册黑灰产的协助，就连 DDoS攻击也出现 SaaS化的趋势，为下游犯罪提供 支持与服务的上游黑灰产日益复杂，形成了一个巨大的网络犯罪生态。产业链的 持续延伸导致其不断向集团化的方向发展。网络犯罪案件中， 4人以上团伙犯罪 占到总案件量的 65%3，网络赌博、 网络诈骗 等产业链较长的犯罪团伙人员规模可 达数百人。 网络犯罪集团内部既紧密又松散。 紧密 在于整个集团内部 有 统一组织者， 有 资金提供者， 有 数据提供者， 有 推广服务者， 有 话务员等， 他们 有的专门寻找各 家平台的规则和技术漏洞， 有 的专门编写配套软件， 有的 专门负责发起网络攻击， 有的 专门负责拓展客户群，有的专门负责资金周转，彼此分工精细， 任务 明确， 互相配合 ， 各司其职 。松散则在于集团成员之间以网上联系为主，彼此只了解对 方的虚拟身份，不掌握彼此真实身份和所在地域，产业链上任何一个环节的团伙 被打击， 其他 上下游团伙都能够 迅速从其他渠道找到替补。 数据显示，利用互联网实施的犯罪，主要目的在于非法敛财，诈骗、盗窃这 两类侵财型案件占了所有网络犯罪的 75%以上 4。其他如非法吸收公众存款、开设 1 源自中国互联网络信息中心（ CNNIC）发布的第 46 次中国互联网络发展状况统计报告 2 数据 源 自 2020年 7公安部 新闻发布会 通报来公安机关打击治理电信网络诈骗犯罪工作有关情况。 3 数据源自国家检察官学院浙江分院院长胡勇于 2019年的“网络犯罪前沿问题高峰论坛”主题演讲。 4 数据源自国家检察官学院浙江分院院长胡勇于 2019年的“网络犯罪前沿问题高峰论坛”主题演讲。 1 生态化、多样化：黑灰产借势发展，攫取巨额利益 2 链条化、逐利化：以牟利为目的，分工不断细化 6 赌场、提供工具等也都是以敛财为目的，且与传统犯罪相比，涉案金额更大，受 害人数更多，波及面更广。 3 国际化、低龄化：跨国、跨地域、年轻型犯罪 比例上升 随着国内不断加大网络犯罪打击力度，网络犯罪国际化的趋势也愈加明显。 网络犯罪本身不受空间限制，具有跨地域、跨时空的特点，只要能够连接网络， 任何一台手机、电脑都可以成为犯罪工具。 VPN 的发展和在我国境内的渗透，降 低了黑灰产从业者翻墙与境外网络接触的门槛，黑灰产可利用国外一些知名度非 常高的加密聊天软件进行违法犯罪交易。比如外网知名聊天软件 Telegram 中， 就活跃着众多的黑灰产从业者，各种黑灰产群中交易不断。 近年来， “ 两高 ” 、公安部、网信办等行业主管部门不断出台网络违法犯罪 相关的法律政策和司法解释，并持续开展 “ 净网 ” 、 “ 剑网 ” 、 “ 清朗 ” 等专项 行动，网络犯罪成员为逃避打击，逐渐与国外从事相关违法犯罪活动的人员加深 合作，或者自己先潜逃境外再实施违法犯罪活动。网络黑灰产团伙的国际化程度 不断加深，使得案件更加复杂化，证据采集难度加大，给司法机关侦办案件制造 了一定困难。 除此以外，网络犯罪低龄化的发展趋势也不容忽视。中国未成年人互联网 运用报告数据显示，我国 10 岁及以下未成年人开始接触互联网的人数比例达 到 78%，未成年人首次触网年龄不断走低。与此同时，网络犯罪在犯罪主体上呈 现橄榄型的年龄特点，属于典型的年轻型犯罪，年龄在 18-30岁之间的占了网络 犯罪主体的近八成。 5 这主要是因为年轻人对互联网的了解和依赖度远比其他年龄段的人更深、更 高，对互联网的应用、服务及各种技术的获取更加熟悉、便捷。同时，网络犯罪 缺乏人与人的直接接触， 极大降低了 个人道德门槛和自我约束，心智尚未成熟的 青少年极易在巨额利益的诱惑下铤而走险。 5 数据源自国家检察官学院浙江分院院长胡勇于 2019年的“网络犯罪前沿问题高峰论坛”主题演讲。 3 国际化、低龄化：跨国、跨地域、年轻型犯罪 比例上升 7 二、互联网企业常见的黑灰产挑战 二 、 互联网企业常见的 黑灰产 挑战 8 1 内容秩序威胁型黑灰产 随着我国互联网的快速发展，网络内容生态变得越来越多元化，人们已经逐 渐养成了依靠网络获取信息的生活习惯。但是，在纷繁复杂的网络内容里也存在 着大量的违法违规内容以及黑生态，尤其是疫情期间，各类违法内容呈现出高发 态势，影响了网络生态内容的健康发展，威胁着网络平台和网民的利益。就威胁 内容秩序的黑灰产而言，黑 SEO、网络诈骗、网络赌博、网络色情等最为常见。 1.1 黑 SEO 黑 SEO（ Search Engine Optimization，搜素引擎优化）是一种为了提 高 SERP（ Search Engine Results Page，搜索引擎结果页）排名所使用的作 弊技巧，手段多是钻搜索引擎算法漏洞或通过伪造优质内容的方式对网站进 行修改。黑 SEO本质是欺骗搜索引擎算法，让系统误认为经过其“优化”的 网站是个“优质网站”。 1.1.1 黑灰产 业态 黑 SEO 的手段主要可以分为：（ 1）关键词堆砌。通过对网站标题或是页 面进行大量地关键词堆砌，包括使用长尾词、生僻词等手段，实现网站在搜 索引擎中权重排名的提升，从而将用户诱导进入目标网站。（ 2）大规模站群。 站群可以简单的理解为相互链接的众多网站，无论主题是否相关，所有的网 站都链接在一起，构成了一个链接的网络系统。通过站群对网站进行权重的 传递，欺骗搜索引擎获取靠前的排名。（ 3） URL 结构大量网址。通过对信息 的堆积以及不合理的 URL结构，黑 SEO大量地发布目标网站的网址，欺骗搜 索引擎对此类网址进行优先抓取。除此之外 ，隐藏文字、桥页、 PR劫持、垃 圾链接和链接买卖等也属于黑 SEO 的常见手段。 黑 SEO 通过购买网站、黑客入侵等方式，将诈骗、赌博、淫秽色情内容 等违法信息发布在众多网站上，再依靠不正当的手段确保这些载有违法信息 的网站能够被普通网民搜索到，甚至出现在搜索结果靠前的显著位置。这些 违法信息通常都含有电话号码、社交帐号、网址链接、下载链接等虚假内容。 普通网民一旦添加联系方式或进入违法网站，就已经掉入了犯罪分子铺设的 陷阱之中。 1 内容秩序威胁型 黑灰产 9 图 1 黑 SEO 产业 业态 1.1.2 危害及防治建议 随着站内搜索的普及，黑 SEO 已从单纯影响搜索引擎逐渐发展为整个互 联网行业的顽疾。黑灰产团伙通过多种手段为不法网站提供“刷排名服务”， 干扰搜索结果质量，使黄赌毒、制假售假、诈骗等违法犯罪网站出现在搜索 结果首页或联想词前列，威胁人民群众生命财产安全。黑 SEO的经营主体作 为事实上的内容发布者，完全不履行广告法网络信息内容生态治理规定 等法律法规的责任义务，对发布内容、网站质量等不做任何把关，成为虚假 信息传播的重要途径。 受疫情影响，很多中小型企业都受到了较大冲击，开始寄希望于通过黑 SEO降低获客成本。一些不法分子开始借机兜售其黑 SEO“服务”。整个疫情 期间，网络赌博和网络诈骗多发高发，黑 SEO在其中扮演着关键角色，已成 为传播违法信息的重要“帮手”。 作为违法内容重要的信息发布渠道，对黑 SEO进行治理才是事前预防， 降低网络案件发生率的治本之策，具体可以从以下三方面入手： 一是完善平台算法和智能策略，对网站内容、关键词匹配度、网站源代 码进行检测，及时清理被植入的网站后门、恶意代码以及恶意攻击行为。 二是在全行业建立风险网站数据库，对网站进行安全等级分类，对合法 合规网站进行有效保护，并对高危网站主动进行屏蔽，限制其搜索展现结果。 三是建立用户反馈机制，主动接受来自广大网民对虚假网站的举报并对 网站进行技术检测和人工排查，杜绝网络犯罪发生的可能。 10 1.1.3 百度 治理实践 作为保护网站和防止黑 SEO的手段之一，百度于 2017 年推出的“新站保 护机制”对符合条件的网站进行保护，加快其网站收录，保护优质原创内容， 为新网站提供良好的发展环境。同时，百度于 2018年 5月推出惊雷算法 2.0， 针对“恶意制造作弊超链”和“恶意刷点击”的作弊行为进行了算法升级， 持续监督、抵制以不正当手段获取流量的行为，营造健康的搜索生态。 由于现有的法律并无对黑 SEO 犯 罪的直接规范，在打击过程中给公安机 关造成了一定困难。百度对于此类黑 SEO犯罪的打击主要包含两方面，一方 面加强技术手段进行日常巡查和防控，通过百度网址安全中心 （ 坚持以“打击全黑灰产链条”为出发点，借助对黑灰色产业链下游各类黑生 态的打击，反推至上游的黑 SEO，以刑法规定的“帮助信息网络犯罪活动 罪”对其进行打击。 图 2 百度网址安全中心 案例： 百度联合重庆、杭州两地警方破获系列网络诈骗案 案情： 疫情期间，重庆警方、杭州警方侦破了多起网络诈骗案件，并成 功打掉了隐藏在案件背后的多条黑灰色产业链，抓获涉案犯罪嫌疑人 25名， 涉及诈骗资金达 120余万元。经警方调查证实有犯罪分子通过在热门游戏中 发布购买或出售装备的信息，引诱网民到虚假网站进行交易，进而实施诈骗。 为了骗取网民信任，犯罪分子利用生僻关键字对虚假网站进行搜索结果优化， 使用户在百度搜索犯罪分子提供的关键词时，会被诱骗至虚假网站。 链接： 1.2 网络 诈骗 11 1.2.1 黑灰产 业态 一般来讲，网络诈骗的黑灰产链条层级较多且分工明确。黑客利用非法 的技术手段，盗取大量公民个人信息，并贩卖给话务组。技术支持团队负责 制作木马程序、钓鱼网站等恶意程序，为话务组的诈骗提供后台保障。位于 黑灰产顶层的策划团队指使话务组，通过网络、电话、短信等方式向不特定 的受害人发送诈骗信息。当话务组通知洗钱组赃款到账后，银行卡商利用虚 假身份信息，开通大量银行卡，提供给洗钱组。洗钱组通过网银将账户上的 钱快速转移，由取款组在各地的 ATM上将钱取出，汇入网络诈骗集团的账户 中。 图 3 网络诈骗 产业 业态 1.2.2 危害及防治建议 当前，全国网络诈骗犯罪形势严峻复杂。上半年受疫情影响，国民生产 生活加速向网上转移，犯罪分子借机以贷款、兼职刷单、冒充客服和虚假购 物、虚假投资理财和网络赌博、冒充公检法机关等形式实施网络诈骗，威胁 人民群众的利益。疫情期间也成为网络诈骗的高发期，公安部今年 7月通报 数据显示，截至 2020年上半年，全国公安机关共破获网络诈骗案件 10.1万 起，抓获犯罪嫌疑人 9.2万名。度小满金融发布的 2020 年上半年网络诈骗 12 分析报告 显示， 网络诈骗团伙的目标人群集中在 21-40 岁 ， 呈年轻化趋势 。 各类网络诈骗案件中，男性遭受网络诈骗 占比达 70，远超女性的 30 。 网 络诈骗人员的整体诈骗成功率在 20以上，平均资损金额在 2900元以上。 需要对虚假信息发布、个人信息窃取、贩卖作案工具等全链条进行综合 治理。具体可以从三方面着手： （ 1）断流。切断流量信息来源，网络平台应落实主体责任，加强内容审 查力度，建立信息共享机制、完善用户反馈制度，形成平台合力，共同打击 虚假信息发布。 （ 2）断料。加强个人信息保护，谨防因信息泄露和非法数据买卖被不法 分子利用注册公司、开设对公账户、网络骗贷等，变成其牟利的工具。 （ 3）断卡。管制犯罪工具，着重对话务员、线路商、改号平台、贩卡商 等环节进行重点打击。截至 2020 年 10月 22日，公安部“断卡”行动共抓获 涉“两卡”违法犯罪嫌疑人 4600 余名，缴获电话卡、银行卡共计 6.5 万余 张。 1.2.3 百度 治理实践 疫情期间，百度内容巡查团队加大日常巡查力度，及时清理违规信息， 维护用户的上网安全和切身利益。仅在 2月 疫情爆发的高峰期 ，百度通过多 种排查、处置手段共清理疫情相关有害信息 共计 147670 条，累计对 64437条 信息进行了巡查、处置和取证处理，其中涉及疫情的违法内容有 25291条。 百度刑事法务 侦查 部已经将 2000 多条违法犯罪线索向各地警方报送， 配合 公安机关破获涉疫情诈骗案 20余起，涉案 人员超过 160 人。 此外，百度于 2019年发布 “ 光明行动计划 ” ， 依托百度的人工智能技术 与 “ 搜索 +信息流 ” 双引擎生态，为政府部门与广大民众提供一手反诈防骗信 息，精准打击网络诈骗犯罪。另外，为普及网络诈骗信息、增强警民互动， 百度与中央电视台联合推出 的 “ 反诈骗互动平台 ” ，依托智能小程序 “ 全网 追踪 ” ，向用户提供防诈骗信息传递 、 举报、反预警等互动功能。 因网络诈骗的犯罪形式多样化、犯罪手法趋于集团化以及犯罪分子藏身 海外等情况，给公安机关和网络平台进行打击制造了一定困难。对于此类案 件的打击，百度借助于大数据优势为用户提供搜索保障，对搜索结果进行安 全验证和风险提示，维护用户利益不受侵害。同时，通过每日的技术巡查、 人工巡查和用户的举报信息，对平台内涉嫌网络诈骗的有害信息进行处理， 并协助公安机关收集犯罪线索及犯罪证据，配合公安机关的刑事打击。对于 网络诈骗，用户在百度搜索中直接输入想要查询的陌生号码时，搜索结果会 出现认证结果，帮助用户识别陌生号码是否是诈骗、广告、还 是官方客服。 13 图 4 百度 安全号码认证平台 案例： 百度战疫：清理有害信息 14万余条 联合警方破获口罩诈骗案 案情： 疫情出现以来，一些不法分子利用部分网民急于购买口罩的心理 实施诈骗行为 。 对此，百度贴吧等产品已连续开展两次专项行动，对相关信 息进行排查、挖掘和处理。对于其中涉嫌利用口罩实施诈骗行为的，百度已 经联合各地警方进行了多起打击。截至 2月 13日，全国公安机关与百度开展 合作共破案 21起，查处嫌疑人 12 名。 链接： 1.3 涉黄涉赌等违法内容产业 1.3.1 现状及趋势 年初以来，人民群众的上网时长普遍增加，对网络内容的需求也随之加 大。以网络赌博和网络色情为主的违法违规内容在此期间内也呈快速增长趋 势，不仅内容形式更加多样化，而且传播方式也变得更加隐蔽，出现了弹幕、 评论等传播形式。这类违法内容往往需要经过多层转化后才能接触到违法信 息，给网络平台的审核造成了一定难度。 公安部在疫情期间专门发布关于新冠肺炎疫情期间依法严厉打击跨境 赌博和电信网络诈骗犯罪的通告，重点围绕境外赌场和赌博网站两类犯罪主 体进行严厉打击。 据公安部通报， 截至 2020年 9月底，全国公安机关共立各 类跨境赌博案 件 8800 余起，抓获犯罪嫌疑人 6 万余名，打掉涉赌平台 1700 余个、非法技术团队 730余个、赌博推广平台 820余个，打掉非法支付平台 和地下钱庄 1400余个，查明涉案资金上万亿元。 网络色情 在 2020 年也呈现出新特点， 出售自制淫秽视频 内容的比例增 加，并且 呈现出 “ 帮帮带 ” 现象， 即 多名淫秽视频拍摄者互相是情侣、亲属 或朋友关系。 早期涉及 网络色情案 的 犯罪分子文化 程度 相对比较低 ，但近年 来情况发生了一定程度的转变 ，高学历涉案人员 已经接 近 4成 。而且，多数 14 犯罪分子都拥有优秀的互联网思维和营销能力 ， 有的犯罪团伙甚至横跨境内 外， 利用最 前沿 的 技术搭建了自己的 黑灰色产业链 生态 体系 。 网络违法内容产业不仅花样繁多，而且具有传播范围广、速度快和形式 多样等特点，不仅危害了网络内容生态的健康发展，也时刻威胁着网民的个 人利益。随着移动互联网的发展，网络赌博、网络色情等违法内容产业通过 网络视频、直播软件、网络社交软件进行传播的趋势更加明显。同时，以制 作、传播、买卖违法内容为目的的网络犯罪也已形成黑灰色产业链的发展趋 势，上下游环节分工明确，衔接紧密。 1.3.2 黑灰产 业态 伴随着网络赌博运作模式的专业化、智能化、跨境化的发展趋势，网络 赌博已经形成了包括赌博人 员招聘、网络推广、赌博网站运营、洗钱等上下 游在内的完整黑灰产链条，各环节分工明确、密切配合、而且多为跨国跨地 域作案，给公安机关的打击造成了一定困难。 图 5 赌博产业业态 作为危害内容生态健康的最大威胁之一，网络色情借助于互联网新技术 的发展和应用，也已呈现多元化的发展趋势。色情图片和视频、色情直播、 自制淫秽视频、网络色情交易、淫秽物品买卖等网络黑灰产业链发展逐渐成 熟的同时，也滋生出以色情内容为诱饵的网络诈骗和网络赌博等犯罪行为。 15 图 6 色情产业业态 1.3.3 危害及防治建议 随着互联网的普及，网络违法内容已经成为污染网络生态和人们精神世 界的一大“毒瘤”，产生了极其不良的社会影响。 2020年 3月 1日实施的网 络信息内容生态治理规定，明确了政府、企业、社会、网民等主体多元参与 协同共治的治理模式，对网络内容的生产者、网络平台和网络内容服务的使 用者做出了明确规定，更加强调网络平台应当履行信息内容管理主体责任， 主要可以从以下四方面进行防控： （ 1）健全用户注册制度。严格贯彻网络实名注册制度，确保账号到人。 同时，积极落实未成年人防沉迷制度，保护青少年的身心健康。 （ 2）加强用户账号管理制度。保护用户个人信息的同时，开展账号风险 分级管理，对涉嫌违规账号及时处理，避免侵害广大网民的利益。 （ 3）强化信息发布审核及管理。加大平台内容生态审查力度，扩大内容 审核范围，建立内容风控二道防线，通过技术拦截和人工审核的方式维护平 台内容生态的健康发展。 （ 4）黑灰色产业链信息处置制度。提高对网络黑灰产发展与趋势的警觉， 建立平台级黑灰产监控体系和响应制度，发挥互联网企业的技术优势，积极 配合公安机关的打击工作。 1.3.4 百度 治理实践 2019 年，百度内容安全中心利用 AI 人工智能技术清理违法信息共 计 530.7亿余条。其中淫秽色情类信息是重点打击对象，占比为 49.25%，赌博 类占比为 31.70%。其中，以杀猪盘为代表的赌博内容占比 45%，封禁了杀猪 盘类违规账号 1.1万余个。 借助人工智能技术，百度建立了“百度安全网络黑灰产监测与检测系统”， 系统以保护网络安全，打击网络黑灰产为目的，运用 图像识别、富媒体识别、 NLP、分类 /聚类、关联挖掘、机器学习方案 等 算法能力 和技术创新手段进行 黑灰产线索挖掘及分析，针对不同的产品形态，建立公司级的黑灰产态势平 台，形成防、控、打、宣一体化联动机制，持续保持打击力度并为各地 警方 提供有效的案件打击支持。同时，百度也建立了完善的用户反馈机制，接受 来自用户的举报，及时清理平台内的违规内容。 截至 2020 年 7 月， 百度内容安全中心持续通过全方面手段打击清理百 度全产品线的有害信息，其中利用人工智能技术挖掘打击淫秽色情类、赌博 类等相关有害信息共 58.2亿余条，通过人工巡查打击侵权类、淫秽色情类等 相关有害信息 590万余条。 同时，打击医疗变体词 300 万个，拒绝不合规广 告 1.56亿条。百度各产品接收网民举报共计 426281件，其中有关色情内容 举报 150456 件，赌博类内容 52978 件，清理涉黄关 键词 12232 组，引导组 4193 组，封禁相关账号 39621 个，关闭贴吧 1104 个，清理有害链接 14.46 16 亿条。 2 数据流量威胁型黑灰产 当今的互联网时代，数据和流量是构成网络行业生态的重要组成部分，是关 乎到互联网企业发展和命运的关键要素，也是网络黑灰产关注和实施犯罪活动的 高发领域。在这个“数据为王 ,流量至上”的时代，网络黑灰产通过流量劫持、 恶意点击、刷单刷量、窃取数据等违法手段牟取不法利益，不仅危害了互联网企 业和公民的合法权益，更是对国家经济发展造成了极为恶劣的影响。 2.1 恶意点击 2.1.1 概念 恶意点击是通过伪造点击量、播放量、下载量等各种流量假象，谋取不 当利益的黑灰产。在数字化浪潮下，各行业都朝着线上发展，数字营销也成 为广告行业的热点和趋势。由于数字营销供应链的复杂化与不透明，在面临 KPI 压力及企图最大化变现的情况下，部分供应商会选择流量作弊，雇佣黑 灰产进行恶意点击已经成为常见手段。近年来，流量造假、恶意刷量等事件 层出不穷，不仅吞噬着企业的利润，也极大扰乱了互联网行业的秩序。以广 告刷量为代表的恶意点击行为，不仅严重破坏计算机系统的安全性，而且成 为企业不正当竞争的手段之一，产生“劣币驱逐良币”的不良后果，扼杀互 联网行业的生命力。 2.1.2 现状 目前，网络推广渠道结算的方式主要包括 CPM、 CPA、 CPC、 CPT。 CPM（ Cost Per Mille）是通过计算每千人的曝光花费进行结算， CPA（ Cost Per Action） 是通过每个购买行为的平均花费进行结算， CPC（ Cost Per Click）是通过每 次点击的平均花费进行结算， CPT 是通过时间长短（每天）的花费进行结算。 除了 CPT之外，其他 3种结算模式都直接与流量挂钩。因此，在以流量为主 要衡量标准的结算模式中，推广渠道往往会虚增流量，以提高自身收入。目 前，全国从事广告恶意点击的黑灰产人数超过 300万，每年产生的广告刷量 约占总流量的 30%，导致广告资源损失超过 200亿元。 2.1.3 黑灰产 业态 一般来讲，恶意点击的实施者主要是自身缺乏稳定流量又意图谋取暴利 的非正规网站或平台。他们通过恶意点击增加其网站或平台流量，从而实现 获得巨额广告佣金或流量采买费用的目的。还有少部分恶意点击行为来自同 行业的竞争者，其目的是消耗竞争对手的预算，迫使其广告下线，以使自己 的广告排名上升。此外，也有部分黑灰产以敲诈勒索为目的，对企业正常的 推广活动进行破坏。 2 数据流量威胁型 黑灰产 17 黑灰产进行恶意点击有两种路径，一种是机器点击，另一种是人肉刷量。 图 7 恶意点击产业业态 机器点击又可进一步细分为两大类，一类是猫池、卡池点击，一类是后 台静默点击。猫池、卡池点击是黑灰产人员利用大量的非实名电话卡、物联 网卡伪造大量用户并实施恶意点击。后台静默点击则是通过自制含有恶意 SDK 的手机软件安装包，对安装了该软件的手机进行后台控制，实施恶意点 击行为。当用户在使用这些带有恶意 SDK的 APP时，其网络访问路径可能被 劫持到特定渠道，或者悄悄访问网站、浏览文章或点击广告，用户在毫不知 情的情况下被卷入刷量黑 灰产等违法犯罪活动中。 随着各大平台对机器点击的围剿，恶意点击的方式逐渐由机器点击向人 肉点击过度。人肉点击也可以分为两大类，一类是由水军头目组织普通网民 点击，即刷量组织者通过微信群、 QQ群或者网赚平台，将刷量点击包装成网 赚项目，普通网民在接受网赚任务后点击刷量组织者提供的广告链接。另一 类是通过各种方法诱导普通网民点击，典型方式是将平台企业的广告弹窗设 置成透明，浮动在色情图片的上方，再通过图片上的文字诱骗网民点击，网 民误以为点击后能免费观看色情视频，其实却不能。但是，平台企业却会向 黑灰产支付广告点击、浏览费用 。 图 8 人肉点击和机器 点击 18 图 9 恶意点击组织 2.1.4 危害及防治建议 恶意点击不仅给广告主带来经济损失，而且毒害了公平竞争的市场风气。 为了躲避平台风控策略，黑灰产逐渐研发出以恶意 SDK 为代表的非法程序， 手段的隐蔽性和危害性越来越高，严重威胁互联网企业和用户的系统安全。 首先，对于机器恶意点击行为，可以采取限制 IP、使用防范软件的方式 进行屏蔽。单就商业类的恶意点击行为，如恶意点击广告等，可以通过设置 消费限制、观察异常流量的方式进行处理。 其次，对于人肉恶意点击行为，由于其背后通常都是来自用户的真实点 击行为，较难识别，可以对关键词的转化率、网站到达率、账号消费情况进 行分析，对疑似的恶意点击行为第一时间进行人工复核与识别，避免利益受 到损失。 2.1.5 百度 治理实践 借助大数据系统和自动巡查引擎，结合百度积累的大量黑灰产数据，百 度可以通过技术手段识别并防控恶意点击行为，如薅羊毛、恶意点击等网络 黑灰产。同时，百度也不断提升自身的数据算法和运力，有效评估各渠道流 量，对异常流量及时预警，从而严控并打击通过刷点击量等恶意手段提升网 站搜索排序的作弊行为，以此保证用户的搜索体验以及客户利益，促进平台 内容生态的良性发展。 为维护客户利益不受侵害，百度推出“商盾”恶意点击防御系统，通过 对 IP、 Cookie 等多维数据分析访客的点击行为，阻挡、过滤无效访客对客户 推广信息的检索和点击。“商盾 ”允许用户通过手动展现屏蔽和策略展现屏蔽 两种方式进行禁封 IP 等设置，阻挡和过滤无效点击，进而防止恶意点击行 19 为。 2.2 流量劫持 2.2.1 概念 流量是指用户访问网站、打开 APP、下载安装包等使用互联网的行为。 对互联网公司而言，用户的相关行为意味着使用量和关注度，公司能够转化 为商业价值。所谓流量劫持是指通过技术手段改变用户访问对象、访问路径 或者改变用户获取的数据的违法行为。 图 10 流量劫持分类 流量劫持的具体形式可以分为终端劫持、链路劫持、服务端劫持。 终端劫持指的是黑客通过攻击 DNS服务器或者网民的 Wi-Fi设备，使网 民对特定网站的访问请求被错误解析到其他地址或者使请求失去响应，其效 果就是对特定的网络不能反应或访问的是假网址。 链路劫持又称数据劫持，指的是运营商或者黑客针对传输过程中的数据， 通过在用户至服务器之间植入恶意代码或者控制网络设备的手段，监听、篡 改用户和服务器之间的数据，达到窃取用户重要数据（包括用户密码，用户 身份数据等等）、修改用户访问页内容的目的。 服务端劫持指的是黑客对用户手机、 PC 或者浏览器的劫持。常见的是， 黑客在网站挂载木马程序，使用户无法正常退出该网站或者退出到假网站。 假网站以仿冒的搜索引擎为主。 2.2.2 现状及趋势 中国互联网络信息中心（ CNNIC）发布的第 46次中国互联网络发展状 况统计报告显示，截至 2020年 6月，我国网站数量已从 2018年最高峰时 的 544 万个下降至 468 万个， APP 数量也从 2018 年的 452 万下降至 359 万 个。在此背景下，互联网企业之间围绕用户、流量的争夺日趋激烈，少数不 20 法分子铤而走险，企图依靠流量劫持等不正当手段攫取非法利益。在此过程 中，大型平台互联网企业作为网民最主要的网络入口，已成为流量劫持行为 的主要受害者安全。 2.2.3 黑灰产 业态 流量劫持的实施者主要是能够进行流量变现的各种渠道商或者用户群体 高度重叠的竞争对手，此外还有电信运营商、黑客等。 图 11 流量劫持实施者 近年来，流量见顶使各家互联网企业都感受到了前所未有的危机。作为 应对之法，有的企业开拓下沉市场，有的企业进行多元经营，而有的则开始 走歪门邪道。随着传统企业与互联网的融合不断加速，“流量劫持”作为很多 互联网企业用来攻击竞争对手的不正当竞争手段，也被传统企业纷纷效仿。 这种局面不仅损害了企业的切身利益，还损害了市场公平竞争机制，损害了 消费者的系统安全和自主选择权。最高法院第 102号指导案例黄某某破坏计 算机信息系统案实际上就是这方面的典型代表， 5W网页导航雇佣黑客劫持了 2345网页导航的流量，造成了恶劣后果。 除了来 自外部的劫持，企业生态内部也可能出现流量劫持并造成巨额损 失。互联网公司或多或少的都会通过各种渠道购买一定的用户流量，同时向 渠道支付流量采购费用。有些流量渠道为了增加自身收入，通过技术方式将 采购公司的自然流量劫持成渠道流量，给采购公司增加额外的流量采购费用。 同时，一些不法网站站长为了节省推广成本，也会与黑灰产团伙勾结， 在自有的网站上挂载木马程序，强迫用户停留或者引导用户至某个特定页面， 从而实施回退劫持的行为。此外，一些黑灰产还会实施无差别攻击。黑灰产 先控制一定数量的设备，再根据客户需求将流量引导致特定的地方 。这些黑 灰产主要攻击的是 C端用户， B端企业是他们的客户。他们一般以千人 IP为 单位贩卖流量，根据用户的质量和数量价格不等，最高可以卖到 70元 /天。 2.2.4 危害及防治建议 国家互联网信息办公室于 2019 年发布的网络信息内容生态治理规定 中明确规定了不得使用人工方式或者技术手段实施流量造假、流量劫持获取 不正当商业利益的行为。打击流量劫持现象需要国家有关部门牵头进行综合 治理，加强行业共治，强化企业尊重商业规则，从而对流量劫持进行整体的 21 防控与打击。同时，还需要针对不同的劫持方式开展多元化治理。 一是推动 HTTPS 普及。与明文传输协议 HTTP 不同， HTTPS 依靠证书来 验证服务器的身份，并对用户和服务器之间的通信加密，因此能够有效抵御 针对网站的流量劫持等攻击。另外，要尽量做到全站 HTTPS ( 即 Always On SSL)，以此 保证用户机密信息和交易安全，防止被攻击和劫持。 二是 ICP 和 ISP服务商合作共赢。从行业现状看，部分基础设施运营者 在业绩压力下存在实施劫持的违法行为。对此，内容服务商和基础设施运营 者需要找到一条合作共赢的出路，从服务器层面杜绝黑客行为。 三是加强用户终端的防护。用户端防护主要指的 是硬件强化方面。手机 发展至今，其算力已经足以支撑更强的防御策略，可以由工信、公安等部委 牵头制定手机安防行业标准，将网络攻击预警与线索举报进行贯通，实现流 量安防领域的早发现、早处置。 2.2.5百度综合治理概述 一直以来，百度对于危害用户隐私 和安全的 恶意劫持行为 都秉承“零容 忍”的态度 ， 并利用百度的人工智能和技术优势，先后推出包括“烽火反劫 持计划”在内的系统防控机制，对可疑或问题站点进行干预处理，全力打击 如回退劫持、跳转劫持等流量劫持行为，保护用户的搜索体验和网络安全。 与此同时，百度也积极 推动第三方 网站 站点改造 HTTPS 或者 建议各网站 自查， 并保持与 第三方资源提供者 的 充分沟通 ，保证 网站统计、网站优化、推广广 告等使用的第三方资源不存在恶意劫持的情况 。此外，百度还通过搭建 智能 小程序，增强网站 的 安全性和可控性，降低被劫持的风险。 从 2009 年百度诉青岛联通 “ 流量劫持 ” 的“侵权第一案”，到 2015年付 宣豪、黄子超 “DNS 劫持 ” 的“入刑第一案”，从民事到刑事，百度不遗余力 地推进案件的侦办。除了借助技术手段进行打击， 百度 于 2017年 组建互联网 黑灰产打击团队，严厉打击窃取用户隐私、发布虚假信息、流量劫持、 买卖 公民信息 等各类网络黑灰产 并 已协助公安机关破获上百起案件，涉案金额达 数亿元人民币。 案例： 百度联合警方破获“假百度”回退劫持案 犯罪分子均已获刑 简要案情： 河南开封警方查明，犯罪团伙以“客服精灵”为旗号开展霸 屏和回退劫持服务。其将违法代码上传至客户网站，网民通过搜索引擎进入 相关网站后再点击浏览器的返回按钮，就会返回到一个假