你關(guān)注過黑產(chǎn)、羊毛黨嗎？用戶增長(zhǎng)的另一面

你知道嗎，在你關(guān)注用戶增長(zhǎng)的同時(shí)，有一些黑產(chǎn)也在關(guān)注你。

在2018U-Time冬季巡回現(xiàn)場(chǎng)，網(wǎng)易風(fēng)控算法專家周冬敏分享了用戶增長(zhǎng)的另一面，黑產(chǎn)/羊毛黨的產(chǎn)業(yè)鏈運(yùn)作模式，以及網(wǎng)易嚴(yán)選如何通過人機(jī)識(shí)別、異常群體識(shí)別、Graph算法框架等風(fēng)控算法，識(shí)別和處理羊毛黨。

——用戶增長(zhǎng)背后的灰產(chǎn)——

黑色產(chǎn)業(yè)鏈中影響最廣是羊毛黨。羊毛黨往往手握重兵，掌握包括移動(dòng)設(shè)備、手機(jī)賬號(hào)等資源，在大家看起來非常小的利益點(diǎn)，比如優(yōu)惠券、紅包等經(jīng)過羊毛黨就會(huì)形成一大筆財(cái)富，他們掠奪這部分財(cái)富，讓我們精心設(shè)計(jì)的營(yíng)銷活動(dòng)毀于一旦。

羊毛黨有多嚴(yán)重？舉兩個(gè)例子，《2015數(shù)據(jù)安全報(bào)告》指出優(yōu)步中國(guó)訂單中40%為虛假交易，優(yōu)步回應(yīng)稱不到10%，我認(rèn)為這是客觀偏保守的數(shù)據(jù)，20億市場(chǎng)補(bǔ)貼有10%，那就是將近2億美金。

某直播平臺(tái)被羊毛黨包圍并被薅羊毛上百萬，直接就倒閉了。上到BAT下到互聯(lián)網(wǎng)初創(chuàng)公司，都面臨羊毛黨的威脅，他們應(yīng)對(duì)這種風(fēng)險(xiǎn)的能力偏弱，意識(shí)也偏弱。

更可怕的是，互聯(lián)網(wǎng)發(fā)展到今天，黑色產(chǎn)業(yè)鏈經(jīng)過幾輪迭代，變成十分成熟的商業(yè)運(yùn)作模式。它復(fù)雜、隱秘、高效，由眾多背景的黑灰產(chǎn)業(yè)組合而成。

上游是基礎(chǔ)性環(huán)節(jié)，承擔(dān)挖掘、制作生產(chǎn)和服務(wù)職責(zé)，包括圖形驗(yàn)證碼平臺(tái)，手機(jī)驗(yàn)證碼平臺(tái)及軟件代理工具，還有賬號(hào)注冊(cè)需要的身份信息就是社工庫(kù)。

中游是賬號(hào)生產(chǎn)和銷售，比如盜號(hào)團(tuán)伙、垃圾號(hào)注冊(cè)團(tuán)伙、洗號(hào)團(tuán)伙、賬號(hào)交易平臺(tái)。

下游就是利益套現(xiàn)，往往是用一批經(jīng)過從上中游得到的賬號(hào)進(jìn)行搶利，在一些場(chǎng)景比如秒殺/紅包、0元購(gòu)、優(yōu)惠券做資金歸集，最終實(shí)現(xiàn)套現(xiàn)。

——如何識(shí)別異常賬號(hào)——

追根溯源，黑產(chǎn)的根本目的是為了獲取大量資金，所以他們一定會(huì)追求投資回報(bào)率，最大限度利用資源。比如一個(gè)賬號(hào)、一個(gè)手機(jī)、一個(gè)設(shè)備，都需要投入費(fèi)用。因此，他們所有行為都沒有產(chǎn)生復(fù)雜的關(guān)聯(lián)，普通賬戶往往是在操作地域、時(shí)間、賬戶關(guān)系上呈現(xiàn)離散、關(guān)聯(lián)系數(shù)的結(jié)構(gòu)特征，而羊毛黨往往呈現(xiàn)出聚集性風(fēng)險(xiǎn)，所以我們需要加強(qiáng)識(shí)別的手段。

左上角是風(fēng)險(xiǎn)業(yè)務(wù)全鏈路，從注冊(cè)登錄一直到售后維權(quán)，業(yè)務(wù)的全鏈路就是風(fēng)險(xiǎn)的全鏈路，我們會(huì)根據(jù)不同的風(fēng)險(xiǎn)類型尋找重點(diǎn)的業(yè)務(wù)抓手，比如賬戶、登錄和后續(xù)登陸、修改信息是需要重點(diǎn)防控。

防控獲得數(shù)據(jù)的類型分為兩種：

第一種是利用前臺(tái)采集到的數(shù)據(jù)。

通過采集頁(yè)面點(diǎn)擊行為、鼠標(biāo)行為做人機(jī)識(shí)別，基于風(fēng)險(xiǎn)產(chǎn)品比如NC驗(yàn)證碼、身份驗(yàn)證手段進(jìn)行風(fēng)險(xiǎn)消化。

第二種是基于業(yè)務(wù)數(shù)據(jù)做異常群組識(shí)別。

后端業(yè)務(wù)數(shù)據(jù)往往更加復(fù)雜、個(gè)性化。通過對(duì)后端業(yè)務(wù)數(shù)據(jù)的梳理，我們嘗試構(gòu)建風(fēng)險(xiǎn)圖譜。圖譜構(gòu)建方法根據(jù)業(yè)務(wù)會(huì)有不同，在實(shí)踐中，我們進(jìn)行的嘗試大體將其分為三塊：

1）歷史上賬戶存在的媒介關(guān)聯(lián)。歷史關(guān)系媒介包括例如用戶-設(shè)備指紋、用戶-手機(jī)關(guān)聯(lián)等。

2）風(fēng)險(xiǎn)主體屬性關(guān)聯(lián)。比如通過賬號(hào)模式、來源、渠道一樣或者相似來構(gòu)建這種關(guān)聯(lián)。

3）基于事件行為的關(guān)聯(lián)。我們正在探索同一類賬戶，在同一個(gè)異常的時(shí)間點(diǎn)，做了同一件事情，我們也會(huì)把它構(gòu)建在網(wǎng)絡(luò)里，構(gòu)成風(fēng)險(xiǎn)圖譜。

有了風(fēng)險(xiǎn)圖譜，接著通過圖算法對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別。比如圖聚類、或者當(dāng)前比較流行的圖表示學(xué)習(xí)模型(network embedding)把圖蘊(yùn)含的信息進(jìn)行表達(dá)輸出，最后對(duì)輸出的異常群組進(jìn)行交易阻斷、風(fēng)險(xiǎn)消化。

——嚴(yán)選的風(fēng)控案例——

訂單環(huán)節(jié)刷單識(shí)別與部署

下圖是目前嚴(yán)選已部署的刷單識(shí)別模型，分為4個(gè)環(huán)節(jié)。前兩個(gè)環(huán)節(jié)分別是離線用戶媒介關(guān)系構(gòu)建、實(shí)時(shí)用戶關(guān)系構(gòu)建。

首先是離線關(guān)系構(gòu)建，是我們從歷史用戶媒介關(guān)聯(lián)的最底層數(shù)據(jù)里解析出用戶-媒介關(guān)聯(lián)，進(jìn)而形成用戶間的關(guān)系投影。接著是實(shí)時(shí)關(guān)系構(gòu)建。通過實(shí)時(shí)事件的接入，構(gòu)建短期實(shí)時(shí)關(guān)系網(wǎng)絡(luò)，這個(gè)關(guān)聯(lián)著重聚焦在72小時(shí)內(nèi)產(chǎn)生的訂單之間賬戶屬性、賬戶行為關(guān)聯(lián)。最終這些關(guān)系類型疊加形成一個(gè)風(fēng)險(xiǎn)網(wǎng)絡(luò)圖譜。

當(dāng)訂單事件觸發(fā)，我們會(huì)對(duì)近期的訂單關(guān)系graph進(jìn)行一次聚類操作。緊接著聚類過程，我們對(duì)異常群組的結(jié)果進(jìn)行可視化展示、提供群組分析的相關(guān)模塊、對(duì)風(fēng)險(xiǎn)進(jìn)行人工確認(rèn)交互。這些模塊主要是輔助群組風(fēng)險(xiǎn)進(jìn)行應(yīng)用落地。實(shí)時(shí)圖聚類處于對(duì)資源的考慮，可以數(shù)秒鐘（比如10秒）觸發(fā)一次。

最后進(jìn)入風(fēng)險(xiǎn)處置，根據(jù)前面的結(jié)果進(jìn)行交易阻斷或落到名單庫(kù)里進(jìn)行下一次的風(fēng)險(xiǎn)預(yù)測(cè)。

下面展示兩個(gè)異常群組，下邊這個(gè)圖是我們根據(jù)近兩天的訂單聚出來的第一個(gè)群組，節(jié)點(diǎn)上顯示全部是0元單，注冊(cè)時(shí)間是當(dāng)月，關(guān)聯(lián)原因是因?yàn)楣?jié)點(diǎn)之間存在歷史的媒介關(guān)聯(lián)，72小時(shí)的IP關(guān)聯(lián)，72小時(shí)的地址關(guān)聯(lián)。

圖中節(jié)點(diǎn)代表的一些訂單，在手機(jī)、IP、地址方面，都繞過風(fēng)控規(guī)則行為，比如一個(gè)手機(jī)就下兩單，剛好不滿足我們風(fēng)控抓取的閾值；比如一個(gè)IP只下五六單就把我們策略略過了；地址寫的非常亂，其實(shí)都是同一個(gè)地址，當(dāng)然這部分我們用文本識(shí)別模型加以識(shí)別。如果用單點(diǎn)識(shí)別方法，這些訂單都會(huì)通過，但是我們用了這套圖聚類算法，通過手機(jī)號(hào)、IP、地址的規(guī)則防控，風(fēng)險(xiǎn)最終通過網(wǎng)絡(luò)聚合并展現(xiàn)出來。

如果我們把這個(gè)群組里的訂單，放到歷史數(shù)據(jù)里去看，得到更加全面的結(jié)果，紅色大點(diǎn)表示我們剛提到的異常群組A?？梢钥吹竭@個(gè)異常群組是處于一個(gè)更大的歷史網(wǎng)絡(luò)里。

就像友盟+同學(xué)所分享的，基于AI和全域數(shù)據(jù)能力，我們不僅可以更加深度的分析用戶行為、預(yù)測(cè)用戶價(jià)值，更可以構(gòu)建風(fēng)控體系，讓用戶行為數(shù)據(jù)增值增厚，最終實(shí)現(xiàn)高質(zhì)量的用戶增長(zhǎng)。

作者：AI· 超級(jí)用戶

首席增長(zhǎng)官CGO薦讀：

• 《怎么建立微信生態(tài)用戶增長(zhǎng)模型？》
• 《Google用戶增長(zhǎng)主管的七項(xiàng)原則：如何推動(dòng)產(chǎn)品增長(zhǎng)》
• 《用戶增長(zhǎng)：聊聊小黑魚的運(yùn)營(yíng)》

更多精彩，關(guān)注：增長(zhǎng)黑客（GrowthHK.cn）

增長(zhǎng)黑客（Growth Hacker）是依靠技術(shù)和數(shù)據(jù)來達(dá)成各種營(yíng)銷目標(biāo)的新型團(tuán)隊(duì)角色。從單線思維者時(shí)常忽略的角度和高度，梳理整合產(chǎn)品發(fā)展的因素，實(shí)現(xiàn)低成本甚至零成本帶來的有效增長(zhǎng)…