「購物狂歡節」如何應對「羊毛黨」

「羊毛黨」一般先利用自動機註冊大量的目標**賬號，當目標**搞**、優惠等活動的時候，利用這些賬號參與活動刷取較多的優惠，最後通過某寶等電商平台轉賣獲益。

據初步估計，全國「羊毛黨」在20萬人左右，他們往往有著明確的分工，已形成了幾大團夥：

1.軟體製作團夥：專門製作各種自動、半自動的黑產工具，比如註冊自動機、刷單自動機等；他們主要靠**各種黑產工具、提供公升級服務等形式來獲利。

2.簡訊代接平台：實現手機簡訊的自動收發。這其中，有一些簡訊平台是亦正亦邪，不但提供給正常的商家使用，一些黑產也會購買相關的服務。

3.賬號**團夥：他們主要是大量註冊各種賬號，通過轉賣賬號來獲利；該團夥與刷單團夥往往屬於同一團夥。

4.刷單團夥：到各種電商平台刷單，獲取優惠，並且通過第三方的電商平台**優惠，實現套現。

也就是說，這些「羊毛黨「在電商**或優惠活動中，已逐步形成了相對完善的刷單及變現工作流程（見圖1：電商刷單團夥工作流程）:

圖1：電商刷單團隊的工作流程

從「羊毛黨「的分工與工作流程看，他們具有以下從業特點：

1.專業化：有專業團隊、人員、機器來做。

2.團夥化：已經形成一定規模的團夥，而且分工明確；從刷單軟體製作、簡訊代收發平台、電商刷單到變賣套現等環節，已經形成完整的刷單團夥。

3.地域化：刷單黑產團夥基本分布在沿海的一些經濟發達城市，比如，北京、上海、廣東等城市，這或許跟發達城市更加容易接觸到新事物、新觀念有關。

下圖2顯示了我們top5的黑產刷單團夥分別位於：北京、上海、廣州、江蘇、浙江這些沿海較發達的經濟區域。

圖2 top5黑產刷單團夥的地域分布

面對黑產刷單，我們有什麼對抗思路呢？一般來講，對抗刷單主要從註冊、登陸、活動三個環節入手：

1.註冊環節：識別虛假註冊、減少「羊毛黨」能夠使用的賬號量。在註冊環節識別虛假註冊的賬號，並進行攔截和打擊。

2.登入場景：提高虛假賬號登入門檻，從而減少能夠到達活動環節的虛假賬號量。比如，登入環節通過驗證碼、簡訊驗證碼等手段來降低自動機的登入效率，從而達到減少虛假賬號登入量、減輕活動現場安全壓力的目的。

3.活動環節：這個是防刷單對抗的主戰場，也是減少「羊毛黨」獲利的直接戰場；這裡的對抗措施，一般有兩個方面： 1）通過驗證碼（簡訊、語音）降低黑產刷單的效率。 2）大幅度降低異常賬號的優惠力度。

1.風險學習引擎

對於風險學習引擎而言，效率問題非常關鍵。該模組線上採用的都是c++實現的dbscan等針對大資料的快速聚類演算法，效能卓越；而且主要的工作都是線下進行，所以線上系統也不存在學習的效率問題。

風險學習引擎採用了黑/白雙分類器風險判定機制，可以很好地減少對正常使用者的誤傷。例如，某個ip是惡意的ip，那麼該ip上可能會有一些正常的使用者，比如大閘道器ip。再比如，黑產通過adsl撥號上網，那麼就會造成惡意與正常使用者共用乙個ip的情況。

其中，黑分類器風險判定是根據特徵、機器學習演算法、規則/經驗模型，來判斷本次請求異常的概率。而白分類器風險判定則是判斷屬於正常請求的概率。見下圖4示意：

圖4 風險引擎的巨集觀構成

2.分類器邏輯框架

如何實現風險評估的判定呢？我們以黑分類器為例，來詳細剖析下分類器的邏輯框架。

系統總體是採用一種矩陣式的邏輯框架。

黑分類器最初設計是整體檢測判定，即按需隨意地建立乙個個針對黑產的檢測規則、模型。但這種設計出來的結果，發現不是這個邏輯漏過了，而是那個邏輯誤傷量大，要對某一類的賬號加強安全打擊力度，改動起來也非常麻煩。

因此，我們最終設計出一套矩陣式的框架（見下圖5），較好地解決上述問題。

圖5 黑分類器的矩陣邏輯框架

矩陣的橫向採用了adaboost方法，該方法是一種迭代演算法，其核心思想是針對同乙個訓練集訓練不同的弱分類器，然後把這些分類器集合起來，構成乙個最終的分類器。而我們這裡每乙個弱分類器都只能解決一種帳號型別的安全風險判斷，集中起來才能解決所有賬戶的風險檢測。

這個矩陣邏輯的橫向方法，在工程實現上也帶來三個好處：

1.便於實現輕重分離。比如某平台虛假賬號集中在郵箱賬號，策略就可以加大對郵箱賬號的打擊力度，影響範圍也侷限在郵箱帳號，而不是該平台所有的賬號。

2.減少模型訓練的難度。模型訓練最大的難度在於樣本的均衡性問題，拆分成子問題，就不需要考慮不同賬號型別之間的資料配比、均衡性問題，大大降低了模型訓練時正負樣本比率的問題。

3.邏輯的健壯性。某乙個分類器的訓練出現了問題，受影響的範圍不至於擴充套件到全域性。

矩陣縱向則採用了bagging方法，該方法是一種用來提高學習演算法準確度的方法。它在同乙個訓練集合上構造**函式系列，然後設法將他們組合成乙個**函式，從而來提高**結果的準確性。

實時防禦系統使用c/c++開發實現，所有的資料通過共享記憶體的方式進行儲存，相比其他的系統，安全系統更有他自己特殊的情況，因此這裡我們可以使用「有損」的思路來實現，大大降低了開發成本和難度。

但這裡在安全策略方面，可能會面臨乙個挑戰：多台機器，使用共享記憶體，如何保障資料一致性？其實，安全策略不需要做到強資料一致性。

天御系統可適應的場景包括但不限於：

那麼如何接入並使用天御系統呢？其實，電商企業接入天御系統僅需要四步，見下圖9：

其中：第一步離線資料分析與第二步搭建實時模型為前期的準備工作，第三步正式接入其實並不耗費多少時間，不過第四步上線後，還需要持續的優化，以進一步提高對抗的能力。

圖9 企業接入天御系統步驟

業務接入天御系統後的架構圖，見下圖10：

圖10 業務接入天御防刷後的架構圖

從上圖可以看到，接入天御防刷是旁路接入，不需要調整現有業務任何核心邏輯、關鍵流程，可以快速上線。另外，執行過程中，即使天御防刷有任何異常也不會影響業務主邏輯。

q&a

q：風險學習引擎是自研的，還是使用的開源庫？

風險學習引擎包括兩個部分，線上和線下兩部分：

線上：自己利用c/c++來實現。

線下：涉及利用python開源庫來做的，主要是一些通用演算法的訓練和調優。

q：請問魔方平台中用到的mongdb是不是經過改造？因為mongdb一直不被看好，出現問題也比較多。

我們做了部分改造，主要是db的引擎方面。

q：請問黑分類器和白分類器有什麼區別？

白分類器主要用來識別正常使用者，黑分類器識別虛假使用者。

q：風險概率的權重指標是如何考慮的？

先通過正負樣本進行訓練，並且做引數顯著性檢查；然後，人工會抽查一些引數的權重，看看跟經驗是否相符。

q：安全跟風控職責如何區分呢？

相比安全，風控的外延更豐富，更注重巨集觀全域性；針對乙個公司來講，風控是包括安全、法務、公關、**、客服等在內一整套應急處理預案。

q：如果識別錯了，誤傷了正常使用者會造成什麼後果麼？比如影響單次操作還是會一直失敗。

如果識別錯了正常使用者不會被誤傷，但是會導致體驗多加了乙個環節，如彈出驗證碼、或者人工客服核對等。

免費試用活動防刷服務

一站式滿足電商節雲計算需求的秘訣

**自動生成在重構中的一次探索

「購物狂歡節」如何應對「羊毛黨」

德諾特雙十一購物狂歡節，來啦！

「雙11」購物狂歡節，所有女生走進了誰的直播間？

今年618不只是購物狂歡節，更是一場黑科技盛宴

「購物狂歡節」如何應對「羊毛黨」

德諾特雙十一購物狂歡節，來啦！

「雙11」購物狂歡節，所有女生走進了誰的直播間？

今年618不只是購物狂歡節，更是一場黑科技盛宴

相關推薦