你關注過黑產、羊毛黨嗎?使用者增長的另一面
你知道嗎,在你關注使用者增長的同時,有一些黑產也在關注你。
在2018U-Time冬季巡迴現場, 網易風控演算法專家周冬敏 分享了使用者增長的另一面,黑產/羊毛黨的產業鏈運作模式,以及網易嚴選如何通過人機識別、異常群體識別、Graph演算法框架等風控演算法,識別和處理羊毛黨。
——使用者增長背後的灰產——
黑色產業鏈中影響最廣是羊毛黨。羊毛黨往往手握重兵,掌握包括移動裝置、手機賬號等資源,在大家看起來非常小的利益點,比如優惠券、紅包等經過羊毛黨就會形成一大筆財富,他們掠奪這部分財富,讓我們精心設計的營銷活動毀於一旦。
羊毛黨有多嚴重?舉兩個例子,《2015資料安全報告》指出優步中國訂單中40%為虛假交易,優步迴應稱不到10%,我認為這是客觀偏保守的資料,20億市場補貼有10%,那就是將近2億美金。
某直播平臺被羊毛黨包圍並被薅羊毛上百萬,直接就倒閉了。上到BAT下到網際網路初創公司,都面臨羊毛黨的威脅,他們應對這種風險的能力偏弱,意識也偏弱。
更可怕的是,網際網路發展到今天,黑色產業鏈經過幾輪迭代,變成十分成熟的商業運作模式。它複雜、隱祕、高效,由眾多背景的黑灰產業組合而成。
上游是基礎性環節,承擔挖掘、製作生產和服務職責,包括圖形驗證碼平臺,手機驗證碼平臺及軟體代理工具,還有賬號註冊需要的身份資訊就是社工庫。
中游是賬號生產和銷售,比如盜號團伙、垃圾號註冊團伙、洗號團伙、賬號交易平臺。
下游就是利益套現,往往是用一批經過從上中游得到的賬號進行搶利,在一些場景比如秒殺/紅包、0元購、優惠券做資金歸集,最終實現套現。
——如何識別異常賬號——
追根溯源,黑產的根本目的是為了獲取大量資金,所以他們一定會追求投資回報率,最大限度利用資源。比如一個賬號、一個手機、一個裝置,都需要投入費用。因此,他們所有行為都沒有產生複雜的關聯,普通賬戶往往是在操作地域、時間、賬戶關係上呈現離散、關聯絡數的結構特徵,而羊毛黨往往呈現出聚集性風險,所以我們需要加強識別的手段。
左上角是風險業務全鏈路,從註冊登入一直到售後維權,業務的全鏈路就是風險的全鏈路,我們會根據不同的風險型別尋找重點的業務抓手,比如賬戶、登入和後續登陸、修改資訊是需要重點防控。
防控獲得資料的型別分為兩種:
第一種是利用前臺採集到的資料。
通過採集頁面點選行為、滑鼠行為做人機識別,基於風險產品比如NC驗證碼、身份驗證手段進行風險消化。
第二種是基於業務資料做異常群組識別。
後端業務資料往往更加複雜、個性化。通過對後端業務資料的梳理,我們嘗試構建風險圖譜。圖譜構建方法根據業務會有不同,在實踐中,我們進行的嘗試大體將其分為三塊:
1 )歷史上賬戶存在的媒介關聯 。歷史關係媒介包括例如使用者-裝置指紋、使用者-手機關聯等。
2 )風險主體屬性關聯 。比如通過賬號模式、來源、渠道一樣或者相似來構建這種關聯。
3 )基於事件行為的關聯 。我們正在探索同一類賬戶,在同一個異常的時間點,做了同一件事情,我們也會把它構建在網路裡,構成風險圖譜。
有了風險圖譜,接著通過圖演算法對風險進行識別。比如圖聚類、或者當前比較流行的圖表示學習模型(network embedding)把圖蘊含的資訊進行表達輸出,最後對輸出的異常群組進行交易阻斷、風險消化。
——嚴選的風控案例——
訂單環節刷單識別與部署
下圖是目前嚴選已部署的刷單識別模型,分為4個環節。前兩個環節分別是離線使用者媒介關係構建、實時使用者關係構建。
首先是離線關係構建,是我們從歷史使用者媒介關聯的最底層資料裡解析出使用者-媒介關聯,進而形成使用者間的關係投影。接著是實時關係構建。通過實時事件的接入,構建短期實時關係網路,這個關聯著重聚焦在72小時內產生的訂單之間賬戶屬性、賬戶行為關聯。最終這些關係型別疊加形成一個風險網路圖譜。
當訂單事件觸發,我們會對近期的訂單關係graph進行一次 聚類操作 。緊接著聚類過程,我們對異常群組的結果進行視覺化展示、提供群組分析的相關模組、對風險進行人工確認互動。這些模組主要是輔助群組風險進行應用落地。實時圖聚類處於對資源的考慮,可以數秒鐘(比如10秒)觸發一次。
最後進入 風險處置 ,根據前面的結果進行交易阻斷或落到名單庫裡進行下一次的風險預測。
下面展示兩個異常群組,下邊這個圖是我們根據近兩天的訂單聚出來的第一個群組,節點上顯示全部是0元單,註冊時間是當月,關聯原因是因為節點之間存在歷史的媒介關聯,72小時的IP關聯,72小時的地址關聯。
圖中節點代表的一些訂單,在手機、IP、地址方面,都繞過風控規則行為,比如一個手機就下兩單,剛好不滿足我們風控抓取的閾值;比如一個IP只下五六單就把我們策略略過了;地址寫的非常亂,其實都是同一個地址,當然這部分我們用文字識別模型加以識別。如果用單點識別方法,這些訂單都會通過,但是我們用了這套圖聚類演算法,通過手機號、IP、地址的規則防控,風險最終通過網路聚合並展現出來。
如果我們把這個群組裡的訂單,放到歷史資料裡去看,得到更加全面的結果,紅色大點表示我們剛提到的異常群組A。可以看到這個異常群組是處於一個更大的歷史網路裡。
就像友盟+同學所分享的,基於AI和全域資料能力,我們不僅可以更加深度的分析使用者行為、預測使用者價值,更可以構建風控體系,讓使用者行為資料增值增厚,最終實現高質量的使用者增長。
作者:AI· 超級使用者
首席增長官 CGO 薦讀:
- 《 ofollow,noindex" target="_blank">怎麼建立微信生態使用者增長模型? 》
- 《 Google使用者增長主管的七項原則:如何推動產品增長 》
- 《 使用者增長:聊聊小黑魚的運營 》
更多精彩,關注:增長黑客(GrowthHK.cn)
增長黑客(Growth Hacker)是依靠技術和資料來達成各種營銷目標的新型團隊角色。從單線思維者時常忽略的角度和高度,梳理整合產品發展的因素,實現低成本甚至零成本帶來的有效增長…