歡迎訪問網易雲社群，瞭解更多網易技術產品運營經驗。

電商雙十一剛過，你摩拳擦掌等在電腦前，不斷重新整理頁面，準備搶幾張優惠券，並相信這次收藏的商品志在必得。但當你準點重新整理，優惠券還是瞬間消失，心愛的商品庫存已秒變為0。感到無比鬱悶的同時，你是不是很疑惑：why?

這樣的場景，經歷過電商狂歡日的小夥伴都可能有過。但你不知道的是，同樣坐在電腦跟你拼手速的，除了正常使用者外，還有一批專業的羊毛黨，他們比你更努力，準備的更持久，而且“更專業”……作為搶奪我們福利的直接“競爭對手”，我們有必要來好好認識一下這些“熟悉的陌生人”。他們是誰?為何而來?為什麼說他們不僅討厭還可怕?

作案團伙：從“貪便宜民間組織”到“職業地下灰產”

如果你有興趣在QQ群搜尋欄裡以“羊毛”為關鍵字搜尋一下，結果可能會讓你大開眼界，是的，民間羊毛黨比你想象的要容易接觸的多，各種薅羊毛線上組織規模大小不一，清晰可見：

在網際網路形形色色的營銷活動中，企業為了拉新、促銷、宣傳等商業目標，會有各種面向消費者的抽獎、拉新送福利、送優惠券、折扣券等形形色色的優惠活動。除了正常消費者領取這些優惠之外，還有一群專業的薅(hāo)羊毛組織、職業“地下黨”，專門選擇網際網路公司的優惠營銷活動，通過新使用者註冊、刷單、搶券、低價買進高價賣出等，以低成本甚至零成本換取了高額獎勵。我們稱這樣的人為“羊毛黨”。

羊毛黨早已不再是“貪便宜民間組織”這麼簡單，而是已經形成了利潤豐厚、組織嚴密、組織化程度極高的灰產組織，粗略估計全國有數十萬團伙。上至網際網路巨頭，下到普通公司，只要舉辦市場活動，都可能面臨羊毛黨的巨大威脅。

那麼，羊毛黨究竟在薅誰的羊毛?

作案目標：主攻電商、O2O、互金、社交

哪裡福利優惠多，哪裡就有他們。最活躍的營銷活動平臺，就是羊毛黨的主要作案目標，包括O2O平臺、電商平臺、社交平臺、網際網路金融平臺。

一些網貸平臺為拉取新使用者常推出一些收益豐厚的活動，如註冊認證獎勵、充值返現、投標返利等，催生了以此寄生的P2P羊毛黨。在P2P平臺上，一個促銷從幾十元到上百元不等， “羊毛黨”每個月可以賺幾萬到幾十萬不等，可以說“非常可觀”。

在今年我們所熟知的共享單車大戰中，國內某知名共享單車曾推出“騎行領紅包”活動，也遭遇了羊毛黨偽造使用地址刷單搶紅包的情況。羊毛黨利用定位修改軟體和批量手機號軟體，足不出戶就可以做到騎行單車並領取其派發的紅包。據估算，平均每人每次能刷5元左右紅包，一天16次大約收入80元，多個賬號批量操作可以日進數萬元。

作案危害：擼垮上市公司不是危言聳聽

除了對正常使用者的福利損害，羊毛黨更多的危害還是對企業利益的無形吞噬。羊毛黨分分鐘擼垮一個上市公司也不是沒有發生過。

僅以近兩年大火的視訊直播為例。據媒體調查，2016年8月份，某上市公司旗下的全資子公司力推直播軟體，只要註冊該直播，每天直播10分鐘，第一天30元，第二天30元，第三天還是30元，以後每天還有10元，而且第二天即可提現。用單個賬號主播，其餘小號去刷禮物，一天收入數萬元。到2016年底，根據統計機構的數字，該直播軟體的活躍使用者數與其投入的16億資金極其不成比例(淨虧損約10億元)，僅僅主播分成就達到了近14億，而被殭屍軍團擼走的利潤就不可預估了。羊毛黨分分鐘擼垮一個上市公司不是說笑，因羊毛黨導致平臺破產的案例也歷歷可數。

同樣，羊毛黨們對每年一度的雙11備戰一點都不比電商平臺鬆懈，作為專業“薅羊毛”的地下團隊，沒有人比他們對哪個平臺、哪些商家的促銷和優惠資訊更加敏銳，第一時間發現，第一時間作案。

作案工具：日進斗金背後的專業配備

羊毛黨們可不是素人素身，想日進斗金也需要專業的作案工具。我們從作弊者的角度來看看有哪些東西可以利用來作弊：

1.1.帳號

去某寶上搜一下，各個產品的帳號都有，大量批發還會更便宜(微博、微信、各種郵箱帳號等等)。直接購買就可以使用(提供帳號密碼)，省去了註冊的流程。

1.2.IP

某寶上也有大量代理IP出售，價格低廉，甚至還提供包月的服務。當然自己寫一些爬蟲去收集代理IP也行，更牛的是掌握一些肉雞就更方便了。用不同的IP登入不同的帳號是一種比較好的隱藏自己行蹤的方法，通常很多產品都會對IP做高頻限制(同IP下參與使用者數過多)。

1.3.打碼平臺

圖片驗證碼和手機簡訊驗證碼都已經有專業的打碼平臺。對於簡單的驗證碼，用機器識別即可(成功率相當高)，對於複雜度較高的驗證碼，打碼平臺支援人工打碼，7*24小時服務。

對於簡訊驗證碼，打碼平臺使用自身或購買的卡商資源，提供相應的api或者工具包，方便作弊工具自動獲取手機號和手機號收到的驗證碼，作弊工具便可使用各種未經實名認證的手機號碼在各個電商平臺註冊。打碼平臺的上游卡商實際上掌握了大量的手機卡，他們利用貓池等裝置實現多手機號自動接收和解析簡訊驗證碼，並將手機號和簡訊驗證碼提供給打碼平臺，最終作弊工具可通過打碼平臺全自動獲取手機號和簡訊。

1.4.模擬器

模擬器通常是指安卓的模擬器，安卓模擬器非常強大，種類也很多，基本可以模擬一個真實的手機全部功能。比如BlueStacks等。連GPS、MAC地址等資訊都可以模擬。

1.5.專業定製工具

黑客技術人員編寫有針對性的工具和程式，結合模擬器以及上面提到的各種黑灰產資源，可以做出一整套自動化的作弊工具。比如現在很多帳號註冊機，就支援更換IP、更換手機號碼、對接打碼平臺等功能。據說有這樣技術的高階黑客上游，一個可以支撐數十個下游的黑產團隊。

具體一個活動中的作弊使用者可能有好幾撥，不同團隊的作弊水平有高有低。基本可以按作弊手段裡結合黑產資源的多少，也就是作弊成本高低來區分。對於低水平的作弊使用者，用簡單的規則和手段封堵某些點就可以了。但是對於高明的作弊手段，就很難用片面的策略來發現了。那麼我們在做防禦方案的時候，也需要全面的應對，用系統化的方案來應對。

雙十一在即，電商該如何防範羊毛黨?

我們先來身臨其境看一下羊毛黨的工作日常。上圖是一張筆者潛伏所在的某羊毛黨微信群，看的出來，最近他們在“薅”的“羊毛”基本集中在電商平臺，某東赫然也是作案目標之一。群成員通過把有優惠促銷的電商平臺連結分享在群裡，鼓勵成員合作批量消耗。低價優惠買入商品，後期再通過其他渠道高價售出，賺取中間差價。全國有多少這樣的“工作群”我們不得而知，不過清楚的是，我們的很多電商平臺的部分利益就是被這些羊毛黨無聲無息吞噬的。

那麼在雙11，全民消費狂歡日的當前，電商平臺應該如何應對羊毛黨大軍?

抓住羊毛黨的關鍵在於如何將他們與正常使用者的行為區分開來。在長期的為網易產品提供反作弊服務的過程中，網易雲安全(易盾)團隊積累了豐富的戰鬥經驗，目前已有一套較成熟的電商反作弊體系。

電商反作弊的基本原則

既然很多作弊都是程式自動化完成的，那麼就應該嘗試做人機識別。由於作弊手段是多樣的，所以防禦措施也沒有一勞永逸的好事，但是可以遵循的一個基本防禦原則——提升作弊成本：

2.1.驗證碼

圖形驗證碼是最簡單、粗暴的人機識別手段，一旦有了驗證碼，羊毛黨薅羊毛就需增加圖片OCR的技術，提升了他們的作弊成本。但以目前的OCR技術水平，圖形驗證碼早已形同虛設。為此，網易雲安全(易盾)研發了各種新型驗證碼，如拖條、拼圖、文字點選等智慧驗證碼，在人機識別和使用者體驗上都得到了很多使用者和客戶的認可。

2.2.手機簡訊驗證

雖然有打碼平臺的存在，但是接入也需要成本，並且是按手機號碼個數計費，成本也不低。提升了作弊的成本，羊毛黨自然的會去找成本更低，更容易的地方薅羊毛了。

2.3. IP規則

IP也是有限的資源，雖然有很多代理售賣，但也需要成本。IP高頻限制，可以作為最基本的防禦措施。

2.4.裝置ID/瀏覽器指紋

利用裝置特徵生成唯一的、穩定的裝置ID和瀏覽器指紋，並基於此做高頻限制和統計分析，是非常有效的反作弊手段。但如何獲取到真實的裝置資訊(不是篡改之後的)，以及確保裝置資訊在傳輸過程中不被篡改和偽造則需要安全、專業的技術方案，並且還需要長期的安全對抗和技術積累。網易雲安全(易盾)依託多年的反作弊經驗，推出了專業的、安全可靠的裝置ID和瀏覽器指紋演算法，並將其使用於企業客戶的反作弊服務中。

網易雲安全(易盾)依靠多年大資料、雲端計算、人工智慧技術力量已形成有效的反作弊防禦機制，並多次護航各應用在複雜場景下的大型隱患對抗，在電商、直播、遊戲等行業積累了豐富的對抗經驗，保障企業大型營銷活動有效平穩進行，保護消費者和企業利益不受黑灰產侵害。

【案例】：

網易雲安全(易盾)反作弊例項解析

下面，筆者僅以網易考拉海購(下文簡稱“考拉”)的訂單環節反作弊檢測為例項，簡析在電商狂歡日背後，網易雲安全(易盾)是如何有效識別羊毛黨、保障大促平穩進行的。

目前考拉的反作弊系統對於風險訂單的識別主要基於規則引擎，同時結合使用者畫像評分、關聯網路模型和業務名單庫等檢測手段。

網易考拉海購的反作弊規則引擎

規則引擎根據規則條件實時抓取有作弊特徵的訂單，然而，不是所有滿足規則條件的訂單都是有問題的，如何將其中的正常使用者訂單剔除呢?這時就需要使用使用者畫像評分模型、關聯網路模型和業務名單庫來提高結果的準確性。

1、規則引擎

規則引擎支援對規則的動態配置和實時統計，系統可以按照不同的時間視窗，線上統計各訂單所符合的規則特徵的情況，並實時返回結果。規則系統可以輸出的有兩種結果：

a、訂單資料經過所有的規則檢測，將各命中規則的分數累加，計算出總分數輸出;

b、另一種情形是，取命中規則中等級最高的結果。

2、使用者畫像

這裡的使用者畫像主要是在囤貨行為上的使用者畫像評分，區別於普通平臺對使用者的綜合信用評分。我們選取了幾個維度，如使用者購買的商品類目數、活躍度、毛利貢獻數、歷史惡意行為、常用裝置等，利用統計方法給使用者得出綜合分數，再給分值的區間定級，這樣就得到所有使用者在囤貨行為上的畫像評分，這個模組的加入可以很大程度地提高反作弊系統的準確性。

3、關聯網路模型

我們結合無監督學習+有監督學習方法來發掘羊毛黨團夥作案的網路模型。首先，我們考察使用者在一段時間內所有的訂單相關資料的關係鏈，這些關係鏈構成一個總網路。接著，搜尋網路中的所有子網路，進行連通圖分割。再遍歷每個子網路，獲取網路標籤，挖掘網路特徵，最後，我們通過機器學習構建一個識別羊毛黨的網路模型，下圖就是一個典型的關聯網路圖。

一個典型的關聯網路圖

網路模型判定的結果還可以和規則條件相結合，在不同的業務場景下靈活選擇最匹配的風險判定結果，最大程度滿足各業務場景的反作弊需求。

4、名單庫

反作弊系統的名單庫細分成很多個型別，取決於各業務場景的需要。比如，今年大火的拼團促銷形式在很多電商平臺開展，活動對於團長和團員的購買限制是不同的，這就導致團長囤貨和團員囤貨在訂單行為模式上表現得不一樣。若要定製拼團活動的黑名單，那就應該對兩者做區分，以確保業務的黑名單準確無誤傷。

除了黑白名單，還會有灰名單，這些灰名單使用者也許在某些大利益點活動時無法參與，將風險攔截在前端，以保障重大活動平穩順利進行。

網易雲安全(易盾)的反作弊系統依託與其強大的規則引擎，並結合使用者畫像、關聯網路模型以及各業務的名單庫，精準、高效地識別羊毛黨的囤貨行為。這套體系將保障普通消費者在每次的促銷活動中公平、有序地享受平臺提供的優惠，盡情買買買。

反作弊對抗的過程，本質就是作弊和防禦成本的較量，在這場曠日持久的戰爭中，企業只有不斷擡高作弊成本，羊毛黨才可能望而卻步。

網易雲易盾為您提供反作弊、DDoS高防等服務，歡迎點選免費試用。

相關文章：
【推薦】 Apache 流框架 Flink，Spark Streaming，Storm對比分析（1）
【推薦】 雲端計算節點故障自動化運維服務設計
【推薦】 #3.14Piday#我的圓周率日