鄧萍萍

一、引言

面對海量測試任務(wù)和眾多白帽，如何進(jìn)行個性化、精準(zhǔn)化運(yùn)營是當(dāng)前眾測平臺面臨的難題。目前，用戶畫像由于其靈活、高效的檢索優(yōu)勢，已被各領(lǐng)域深度推廣。本文將詳細(xì)剖析眾測用戶畫像的構(gòu)建流程，并通過畫像對平臺業(yè)務(wù)進(jìn)行全面分析和精準(zhǔn)定位，實現(xiàn)眾測平臺個性化運(yùn)營。

二、用戶畫像背景

（一）用戶畫像的定義

Alan Copper最早提出，用戶畫像是指通過差異化的呈現(xiàn)方式描述用戶真實數(shù)據(jù)而形成的目標(biāo)用戶模型。簡單來說，用戶畫像是通過抽象用戶的社會屬性、生活習(xí)慣和消費(fèi)行為等信息形成標(biāo)簽化的一個用戶模型，即用戶的信息標(biāo)簽，它是實現(xiàn)海量數(shù)據(jù)分析的必要手段。

隨著互聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的深入發(fā)展，平臺越來越關(guān)注怎樣利用大數(shù)據(jù)實現(xiàn)精準(zhǔn)服務(wù)以提升運(yùn)營效率和用戶感知度，作為一種分析和預(yù)測客戶、精準(zhǔn)定位客戶群體的有效工具，用戶畫像被廣泛應(yīng)用于金融、社交、電子商務(wù)等各領(lǐng)域。

（二）眾測用戶畫像

隨著網(wǎng)絡(luò)技術(shù)的前進(jìn)和信息化的發(fā)展，安全漏洞已成為引起網(wǎng)絡(luò)信息系統(tǒng)脆弱性的主要原因，如何檢測和修復(fù)漏洞成為網(wǎng)安的重要工作，網(wǎng)絡(luò)安全眾測應(yīng)運(yùn)而生。

眾測平臺利用互聯(lián)網(wǎng)“眾包”模式發(fā)布安全測試任務(wù)，并授權(quán)社會上有安全滲透測試能力的白帽志愿者們完成，最終依據(jù)測試成果向白帽發(fā)放賞金。通過引入懸賞機(jī)制，眾測平臺吸引和激勵廣大白帽主動挖掘漏洞，以便及時發(fā)現(xiàn)和修復(fù)漏洞，增強(qiáng)企業(yè)的網(wǎng)絡(luò)安全的防御能力。

隨著人們對通過眾包方式發(fā)掘網(wǎng)絡(luò)安全漏洞的需求越來越高，眾測平臺收集的漏洞數(shù)量也呈爆炸式增長，琳瑯滿目的眾測任務(wù)和漏洞隱患使得任務(wù)發(fā)布方和白帽應(yīng)接不暇。然而，眾測成果很大程度依賴于白帽的參與度與技能水平，如何利用用戶畫像技術(shù)對平臺海量的白帽的用戶行為及漏洞信息數(shù)據(jù)進(jìn)行分析，以使眾測平臺由信息服務(wù)向知識服務(wù)轉(zhuǎn)型，為眾測開展提供便利，是我們目前急需解決的問題。

三、構(gòu)建眾測用戶畫像

用戶畫像的構(gòu)建過程一般可以分為數(shù)據(jù)收集、標(biāo)簽建模和畫像構(gòu)建這三步。

（一）數(shù)據(jù)收集

數(shù)據(jù)收集是指采集、整理用戶的基礎(chǔ)信息、業(yè)務(wù)行為、網(wǎng)站行為等數(shù)據(jù)。為了更精準(zhǔn)地分析數(shù)據(jù)，我們最好同時收集用戶行為數(shù)據(jù)和發(fā)生該行為的場景信息。數(shù)據(jù)收集完畢后，需要補(bǔ)充采集數(shù)據(jù)中缺失的部分，訂正錯誤的部分，以便提升后續(xù)分析的準(zhǔn)確性。

我們把用戶數(shù)據(jù)分為靜態(tài)、動態(tài)兩類：靜態(tài)數(shù)據(jù)是用戶的基本屬性，相對穩(wěn)定，一般不會變化；動態(tài)數(shù)據(jù)則變化較快，會隨時間和空間變化而變。

眾測平臺的數(shù)據(jù)收集主要關(guān)注平臺白帽、漏洞和資產(chǎn)三個維度，見圖1。

1.白帽數(shù)據(jù)收集

主要來源于平臺注冊的所有白帽信息，包括：白帽的性別、年齡、歸屬公司等基礎(chǔ)信息；報名的眾測、挖洞的目標(biāo)資產(chǎn)、提交漏洞時間、挖洞的工具技能、提交漏洞數(shù)量、有效漏洞級別、獲得的積分等業(yè)務(wù)行為數(shù)據(jù)；平臺注冊時間、登錄頻次、登錄時間段、瀏覽收藏的頁面、評論互動的模塊等網(wǎng)站行為數(shù)據(jù)。

2.漏洞數(shù)據(jù)收集

主要來源于平臺收集的所有漏洞信息，包括：漏洞是否有效、提交時間、狀態(tài)等基礎(chǔ)信息；漏洞資產(chǎn)類別、漏洞類型、漏洞等級、漏洞積分、被發(fā)現(xiàn)工具/技能等業(yè)務(wù)行為數(shù)據(jù)；漏洞所屬資產(chǎn)、所屬任務(wù)、歸屬責(zé)任單位、提交人等漏洞歸屬數(shù)據(jù)。

3.資產(chǎn)數(shù)據(jù)收集

主要來源于平臺發(fā)布眾測任務(wù)的所有資產(chǎn)信息，包括：資產(chǎn)地址、資產(chǎn)類別、資產(chǎn)所屬單位等基礎(chǔ)信息；資產(chǎn)涉及的眾測任務(wù)、資產(chǎn)任務(wù)參與的白帽、資產(chǎn)被測試的工具/技能、資產(chǎn)被發(fā)現(xiàn)漏洞的類型、資產(chǎn)被發(fā)現(xiàn)漏洞的級別、資產(chǎn)被發(fā)現(xiàn)漏洞的數(shù)量等業(yè)務(wù)行為數(shù)據(jù)；資產(chǎn)錄入的時間、資產(chǎn)發(fā)布眾測任務(wù)的次數(shù)/頻度等網(wǎng)站行為數(shù)據(jù)。

（二）標(biāo)簽建模

標(biāo)簽是基于用戶數(shù)據(jù)剖析提煉后，人為規(guī)定并高度概括的、能精確體現(xiàn)用戶的某種特性的用戶特征標(biāo)識。

標(biāo)簽建模階段，我們對采集到的數(shù)據(jù)進(jìn)行統(tǒng)計、聚類分析等，以抽象出短文本化標(biāo)簽，再逐級分類形成基本信息、內(nèi)容偏好、行為特征、心理特征和社交網(wǎng)絡(luò)等高度精煉的標(biāo)簽?zāi)Ｐ汀Ｐ枰⒁獾氖?，本階段主要考慮大概率事件，如果可能，需要通過數(shù)學(xué)算法盡可能排除用戶的個別偶然行為數(shù)據(jù)。有了標(biāo)簽，我們可以簡單、直觀的了解用戶的某些特征。

眾測平臺可利用大數(shù)據(jù)模型對前期收集的眾測數(shù)據(jù)進(jìn)行分析，形成相應(yīng)白帽、漏洞和資產(chǎn)的用戶標(biāo)簽。比如：我們可根據(jù)白帽在漏洞挖掘的過程中的行為記錄，細(xì)粒度的分析其用戶特性，形成一定的白帽標(biāo)簽，便于后期分析白帽特征的基本屬性；白帽根據(jù)各自擅長和偏愛的領(lǐng)域，也被打上特定的標(biāo)簽；以往提交的漏洞記錄，會幫助完善這樣的用戶標(biāo)簽；根據(jù)用戶的標(biāo)簽屬性，組建不同類型的專家支撐隊伍，用于支撐后期不同類型的重點(diǎn)保障任務(wù)。

（三）畫像構(gòu)建

用戶畫像是對用戶各類特征標(biāo)簽進(jìn)行分析、提煉、集合，從而構(gòu)建出的用戶模型，是實際用戶的虛擬模型。對用戶的行為習(xí)慣或者特定屬性進(jìn)行提取分析，就是給用戶打標(biāo)簽的過程；當(dāng)一個用戶被打的標(biāo)簽足夠多時，就產(chǎn)生了用戶畫像。

一個成功的用戶畫像構(gòu)建則可以精準(zhǔn)還原用戶信息。該階段在分析標(biāo)簽建模結(jié)果的基礎(chǔ)上，采用差異化的展示效果來呈現(xiàn)用戶各個維度的標(biāo)簽。

1.構(gòu)建白帽畫像

對白帽提交漏洞報告質(zhì)量、擅長挖洞工具、偏愛資產(chǎn)類型/區(qū)域、綜合挖洞能力等進(jìn)行數(shù)據(jù)建模，并根據(jù)白帽提交的漏洞報告質(zhì)量、擅長挖洞工具、偏愛資產(chǎn)類型/區(qū)域、綜合挖洞能力等標(biāo)簽屬性，進(jìn)行推送相關(guān)競賽的推送和活動、培訓(xùn)的組織，用于支撐后期不同類型的重點(diǎn)保障任務(wù)。

2.構(gòu)建漏洞畫像

根據(jù)漏洞有效性、高危比例、漏洞資產(chǎn)分布、漏洞區(qū)域分布、漏洞適用的工具等進(jìn)行數(shù)據(jù)建模，并根據(jù)漏洞的特征和分布情況，對用戶和資產(chǎn)進(jìn)行相關(guān)安全風(fēng)險信息的推送。

3.構(gòu)建資產(chǎn)畫像

對資產(chǎn)歸屬、資產(chǎn)主要的攻擊類型、資產(chǎn)風(fēng)險級別、資產(chǎn)活躍度、關(guān)注的白帽群等進(jìn)行數(shù)據(jù)建模，并根據(jù)資產(chǎn)的風(fēng)險級別、受影響的攻擊類型和被關(guān)注的白帽群，進(jìn)行相關(guān)的安全競賽和風(fēng)險評估活動的推薦，以保障資產(chǎn)的安全。

四、眾測用戶畫像的應(yīng)用

用戶畫像已經(jīng)滲透到我們社會生活的方方面面，不斷運(yùn)用于各行各業(yè)中。安全領(lǐng)域也在積極探索用戶畫像對眾測平臺業(yè)務(wù)運(yùn)營的潛能，特別是在目前安全眾測業(yè)務(wù)需求日益精準(zhǔn)化、個性化的市場環(huán)境下，眾測用戶畫像已經(jīng)被安全業(yè)內(nèi)廣泛運(yùn)用，發(fā)展前景得到廣泛的認(rèn)同。

眾測平臺最初基于粗放型運(yùn)營模式下，給所有白帽選手都推送同樣的眾測任務(wù)，所有的任務(wù)發(fā)布方無法了解承接任務(wù)的白帽群體的技能水平，眾測運(yùn)營內(nèi)容及方向完全由運(yùn)營工作人員把握，這樣的運(yùn)營是粗顆粒的，精準(zhǔn)度不高。

通過對眾測用戶畫像的分析，眾測平臺可以定位每個獨(dú)立白帽、資產(chǎn)、漏洞的特征屬性，根據(jù)用戶個人獨(dú)特偏好或需求提供眾測用戶相關(guān)內(nèi)容，可開展基于個人推薦的個性化運(yùn)營。比如：可深入理解白帽的需求，洞察他們的興趣以及個性化偏好等，分析白帽群體的潛在價值空間，從而提供個性化、精細(xì)化的測試任務(wù)推薦；對任務(wù)發(fā)布方推送資產(chǎn)風(fēng)險威脅、眾測發(fā)布推薦和適合任務(wù)的白帽群體；在此過程中，把用戶畫像真正利用起來，以做出針對性的運(yùn)營。這種個性化運(yùn)營的方式不僅最大程度的提高了業(yè)務(wù)的精準(zhǔn)性，同時也大大提升了眾測的用戶體驗和活躍度。

作者單位：中通服咨詢設(shè)計研究院有限公司