业务安全指的是互联网产品的安全防控。包括对所有互联网产品的全部风险做防范控制。

从传统网络空间安全的视角来看，业务安全事实上是一个比较新的细分领域。过去的传统安全更多关注的重心在于数据中心侧基础设施的安全，但随着攻防形势的不断演变，针对数据中心和基础设施的攻击难度变得越来越高，攻击者开始转向利用用户的人为因素的弱点，从终端侧或者从业务操作的层面展开攻击，通过窃取数据或中断业务的形式，给攻击目标造成实际的资金损失，面向业务的攻击风险剧增，使得业务安全逐渐成为了备受关注的安全细分领域。

业务安全有两个比较重要的特征，首先，业务安全是偏向针对特定的业务场景的应用跟数据安全保障的机制；其次，业务安全用到的技术手段和用户业务场景中的风险控制措施会有比较深的耦合，以安全的能力和风控的能力来共同服务于业务是第二特征。

“过去在传统安全体系中，身份访问控制、应用层的加密权限管理以及安全审计等通常会被认为是安全控制措施，跟具体的业务场景以及特定的业务应用系统的关联和耦合程度较为松散。业务安全实际上并没有催生出新的安全技术，更多是安全技术自身的演进，最终来面向业务安全方面的需求，解决场景化的问题。”

没有绝对安全的系统，再健壮的系统也有可能因为安全问题而遭受资损，同时为系统提高安全性也并非零成本。所以客户需要的“安全”是安全成本和安全资损的平衡。为一个DMZ区的博客服务器专门配备一个安全工程师不是客户需要的“安全”。节约安全成本却导致大规模的撞库事件也不是客户希望的“安全”。

回归到业务安全场景，会发现一个共同特征。只有达到一定规模，批量利用，业务安全漏洞才会造成业务影响。一次Web攻击可能就写入webshell导致机器沦陷，但有限次的撞库、垃圾注册、垃圾消息、刷单造成的威胁是企业可以承受的。而攻击者要达到大规模，批量性的目的，都要通过机器来自动化实现。可以得出结论——大规模、批量性的机器风险是业务安全领域面临的通用风险。

大规模、批量性的机器风险是业务安全领域面临的最大痛点，那么要实现通用的“解决机器风险方案”有哪些需求。针对机器风险业界防御手段已经很成熟－－针对人类知识（验证码）、针对人类固有特征（行为识别）、消耗机器成本（POW）等。但业界仍无整合这些防御手段提供通用普适的业务安全解决方案，问题主要有两点——无法做到业务透明和快速部署。

业务透明：

现有的人机识别方案，客户需要前端、后端的改造进行接入，甚至于业务需要配合安全方案进行业务逻辑的调整。安全侵入业务主逻辑，有时候安全甚至成为业务的负担。

快速部署：

机器风险防御手段过于复杂，无法快速部署，进而导致业务系统无法通过配置简单的实现全站部署防控。而业务系统往往有无数的小流量入口，这些未进行部署的入口往往成为漏洞。

如何实现“业务透明”、“快速部署”的通用机器风险解决方案呢？核心是能够以中间人的方式介入浏览器和业务服务器之间，实现如下需求：

1. 在页面注入相应的Javascript脚本；
2. Javascript脚本采集数据并hook用户所有触发提交操作的事件，将数据在用户发起请求时注入请求中；
3. 能够代理转发浏览器与业务服务器的请求，并解析请求内容；

现在中间人攻击工具(MITMf)已经相当成熟，而逆向应用中间人攻击工具的思路似乎可以达成这些需求。在业务服务器与浏览器之间部署WAF服务，用户在浏览网站时由WAF注入前端需要数据采集的JS，同时JS在前端hook用户的请求事件,用户发起请求时将采集的风险识别数据注入，请求再次到达反向代理时，由反向代理提取相应风险识别数据提交风控大脑进行综合决策判断是阻断用户请求还是发起二次校验挑战。

WAF数据风控服务在业务服务器与浏览器之间的交互流程如下图：

关键的业务风险防控采用三层漏斗模型进行层层过滤，达到透明阻断业务风险的目标。这三层漏斗模型分别是：阻断机器从而杜绝攻击者批量攻击的风险，异常流量分析识别部分漏网的机器行为及行为轨迹异常的不良用户，征信模型基于对于用户的信誉评分拒绝不良用户，最终达到将服务推送给目标用户的目的。

阻断机器：

1. 针对人类固有特征进行机器识别，基于JS实现的可信前端采集用户行为数据，通过线上实时模型来发现机器行为进行阻断；
2. 消耗机器攻击成本从而让攻击得不偿失，基于POW(proof of work)原理，通过服务端下发问题消耗前端的计算量。对于有足够空余CPU资源的普通用户少量的计算并不消耗成本，而攻击者需要达到批量攻击的效果则会占用极大的计算资源，让攻击得不偿失。

流量分析：

通过机器学习对网络流量中的异常流量进行识别，从而拦截一些行为轨迹异常的不良用户，常见思路如下：

1. 浏览轨迹,比如在互联网金融场景，正常用户会在注册后对比多款理财产品最后进行下单，而“羊毛党”往往在群里得到活动信息就会直奔活动页面薅羊毛；
2. URL聚类，在网络购物场景，正常用户购买某款商品之前一般会在同类目商品中进行选择；
3. 浏览频率，在UGC网站上，用户浏览和评论的一般是有一定时间间隔，频繁秒回的用户极有可能是在发垃圾消息。

征信模型：

伴随互联网诞生有一句经典的论断”在互联网上，没人知道你是一条狗”。然而业务安全场景，识别用户身份、评估用户信誉是业务风控的重要依据。

借鉴现实社会成熟的征信系统，且现在互联网已经是一个成熟的生态闭环。通过设备指纹标示用户，基于用户在互联网的活动记录进行信誉评分，并辅以失信用户名单，从而对bypass前两层的高风险用户进行拦截。

业务安全防控如何成为“业务促进者”，WAF数据风控服务能否达成这个目标？答案是肯定的。

WAF数据风控服务有两大优势，而这两大优势在保障企业业务安全同时也达到了促进业务发展提速的目标。

第一，业务透明，业务开发资源可以专注的投入在业务代码上，降低企业达成安全需求的成本。

第二，快速部署，WAF数据风控服务可以快速进行全站部署，快速实现对网站业务风险的保障。如同安全带的发明保障驾驶员的安全性同时进而让汽车能够更安全的以更高的速度行驶，对全站进行业务风险防控后也可以让企业真正把业务推送给目标用户，从而让企业的业务发展提速。