你知道嗎,在你關(guān)注用戶增長的同時,有一些黑產(chǎn)也在關(guān)注你。
在2018U-Time冬季巡回現(xiàn)場,網(wǎng)易風控算法專家周冬敏分享了用戶增長的另一面,黑產(chǎn)/羊毛黨的產(chǎn)業(yè)鏈運作模式,以及網(wǎng)易嚴選如何通過人機識別、異常群體識別、Graph算法框架等風控算法,識別和處理羊毛黨。
——用戶增長背后的灰產(chǎn)——
黑色產(chǎn)業(yè)鏈中影響最廣是羊毛黨。羊毛黨往往手握重兵,掌握包括移動設(shè)備、手機賬號等資源,在大家看起來非常小的利益點,比如優(yōu)惠券、紅包等經(jīng)過羊毛黨就會形成一大筆財富,他們掠奪這部分財富,讓我們精心設(shè)計的營銷活動毀于一旦。
羊毛黨有多嚴重?舉兩個例子,《2015數(shù)據(jù)安全報告》指出優(yōu)步中國訂單中40%為虛假交易,優(yōu)步回應(yīng)稱不到10%,我認為這是客觀偏保守的數(shù)據(jù),20億市場補貼有10%,那就是將近2億美金。
某直播平臺被羊毛黨包圍并被薅羊毛上百萬,直接就倒閉了。上到BAT下到互聯(lián)網(wǎng)初創(chuàng)公司,都面臨羊毛黨的威脅,他們應(yīng)對這種風險的能力偏弱,意識也偏弱。
更可怕的是,互聯(lián)網(wǎng)發(fā)展到今天,黑色產(chǎn)業(yè)鏈經(jīng)過幾輪迭代,變成十分成熟的商業(yè)運作模式。它復(fù)雜、隱秘、高效,由眾多背景的黑灰產(chǎn)業(yè)組合而成。
上游是基礎(chǔ)性環(huán)節(jié),承擔挖掘、制作生產(chǎn)和服務(wù)職責,包括圖形驗證碼平臺,手機驗證碼平臺及軟件代理工具,還有賬號注冊需要的身份信息就是社工庫。
中游是賬號生產(chǎn)和銷售,比如盜號團伙、垃圾號注冊團伙、洗號團伙、賬號交易平臺。
下游就是利益套現(xiàn),往往是用一批經(jīng)過從上中游得到的賬號進行搶利,在一些場景比如秒殺/紅包、0元購、優(yōu)惠券做資金歸集,最終實現(xiàn)套現(xiàn)。
——如何識別異常賬號——
追根溯源,黑產(chǎn)的根本目的是為了獲取大量資金,所以他們一定會追求投資回報率,最大限度利用資源。比如一個賬號、一個手機、一個設(shè)備,都需要投入費用。因此,他們所有行為都沒有產(chǎn)生復(fù)雜的關(guān)聯(lián),普通賬戶往往是在操作地域、時間、賬戶關(guān)系上呈現(xiàn)離散、關(guān)聯(lián)系數(shù)的結(jié)構(gòu)特征,而羊毛黨往往呈現(xiàn)出聚集性風險,所以我們需要加強識別的手段。
左上角是風險業(yè)務(wù)全鏈路,從注冊登錄一直到售后維權(quán),業(yè)務(wù)的全鏈路就是風險的全鏈路,我們會根據(jù)不同的風險類型尋找重點的業(yè)務(wù)抓手,比如賬戶、登錄和后續(xù)登陸、修改信息是需要重點防控。
防控獲得數(shù)據(jù)的類型分為兩種:
第一種是利用前臺采集到的數(shù)據(jù)。
通過采集頁面點擊行為、鼠標行為做人機識別,基于風險產(chǎn)品比如NC驗證碼、身份驗證手段進行風險消化。
第二種是基于業(yè)務(wù)數(shù)據(jù)做異常群組識別。
后端業(yè)務(wù)數(shù)據(jù)往往更加復(fù)雜、個性化。通過對后端業(yè)務(wù)數(shù)據(jù)的梳理,我們嘗試構(gòu)建風險圖譜。圖譜構(gòu)建方法根據(jù)業(yè)務(wù)會有不同,在實踐中,我們進行的嘗試大體將其分為三塊:
1)歷史上賬戶存在的媒介關(guān)聯(lián)。歷史關(guān)系媒介包括例如用戶-設(shè)備指紋、用戶-手機關(guān)聯(lián)等。
2)風險主體屬性關(guān)聯(lián)。比如通過賬號模式、來源、渠道一樣或者相似來構(gòu)建這種關(guān)聯(lián)。
3)基于事件行為的關(guān)聯(lián)。我們正在探索同一類賬戶,在同一個異常的時間點,做了同一件事情,我們也會把它構(gòu)建在網(wǎng)絡(luò)里,構(gòu)成風險圖譜。
有了風險圖譜,接著通過圖算法對風險進行識別。比如圖聚類、或者當前比較流行的圖表示學(xué)習模型(network embedding)把圖蘊含的信息進行表達輸出,最后對輸出的異常群組進行交易阻斷、風險消化。
——嚴選的風控案例——
訂單環(huán)節(jié)刷單識別與部署
下圖是目前嚴選已部署的刷單識別模型,分為4個環(huán)節(jié)。前兩個環(huán)節(jié)分別是離線用戶媒介關(guān)系構(gòu)建、實時用戶關(guān)系構(gòu)建。
首先是離線關(guān)系構(gòu)建,是我們從歷史用戶媒介關(guān)聯(lián)的最底層數(shù)據(jù)里解析出用戶-媒介關(guān)聯(lián),進而形成用戶間的關(guān)系投影。接著是實時關(guān)系構(gòu)建。通過實時事件的接入,構(gòu)建短期實時關(guān)系網(wǎng)絡(luò),這個關(guān)聯(lián)著重聚焦在72小時內(nèi)產(chǎn)生的訂單之間賬戶屬性、賬戶行為關(guān)聯(lián)。最終這些關(guān)系類型疊加形成一個風險網(wǎng)絡(luò)圖譜。
當訂單事件觸發(fā),我們會對近期的訂單關(guān)系graph進行一次聚類操作。緊接著聚類過程,我們對異常群組的結(jié)果進行可視化展示、提供群組分析的相關(guān)模塊、對風險進行人工確認交互。這些模塊主要是輔助群組風險進行應(yīng)用落地。實時圖聚類處于對資源的考慮,可以數(shù)秒鐘(比如10秒)觸發(fā)一次。
最后進入風險處置,根據(jù)前面的結(jié)果進行交易阻斷或落到名單庫里進行下一次的風險預(yù)測。
下面展示兩個異常群組,下邊這個圖是我們根據(jù)近兩天的訂單聚出來的第一個群組,節(jié)點上顯示全部是0元單,注冊時間是當月,關(guān)聯(lián)原因是因為節(jié)點之間存在歷史的媒介關(guān)聯(lián),72小時的IP關(guān)聯(lián),72小時的地址關(guān)聯(lián)。
圖中節(jié)點代表的一些訂單,在手機、IP、地址方面,都繞過風控規(guī)則行為,比如一個手機就下兩單,剛好不滿足我們風控抓取的閾值;比如一個IP只下五六單就把我們策略略過了;地址寫的非常亂,其實都是同一個地址,當然這部分我們用文本識別模型加以識別。如果用單點識別方法,這些訂單都會通過,但是我們用了這套圖聚類算法,通過手機號、IP、地址的規(guī)則防控,風險最終通過網(wǎng)絡(luò)聚合并展現(xiàn)出來。
如果我們把這個群組里的訂單,放到歷史數(shù)據(jù)里去看,得到更加全面的結(jié)果,紅色大點表示我們剛提到的異常群組A??梢钥吹竭@個異常群組是處于一個更大的歷史網(wǎng)絡(luò)里。
就像友盟+同學(xué)所分享的,基于AI和全域數(shù)據(jù)能力,我們不僅可以更加深度的分析用戶行為、預(yù)測用戶價值,更可以構(gòu)建風控體系,讓用戶行為數(shù)據(jù)增值增厚,最終實現(xiàn)高質(zhì)量的用戶增長。
作者:AI· 超級用戶
首席增長官CGO薦讀:
更多精彩,關(guān)注:增長黑客(GrowthHK.cn)
增長黑客(Growth Hacker)是依靠技術(shù)和數(shù)據(jù)來達成各種營銷目標的新型團隊角色。從單線思維者時常忽略的角度和高度,梳理整合產(chǎn)品發(fā)展的因素,實現(xiàn)低成本甚至零成本帶來的有效增長…
本文經(jīng)授權(quán)發(fā)布,不代表增長黑客立場,如若轉(zhuǎn)載,請注明出處:http://allfloridahomeinspectors.com/quan/15096.html