基于用戶畫像的騰訊大數據防刷架構

2 評論 21068 瀏覽 122 收藏 15 分鐘

隨著電商行業(yè)的飛速發(fā)展,商家利用各種補貼活動來刺激用戶消費,培養(yǎng)用戶習慣,但與此同時也促使一批羊毛黨誕生,本文主要分享下騰訊是如何利用大數據、用戶畫像、建模來防止被刷、惡意撞庫的。

一、背景介紹

最近1~2年電商行業(yè)飛速發(fā)展,各種創(chuàng)業(yè)公司猶如雨后春筍大量涌現,商家通過各種活動形式的補貼來獲取用戶、培養(yǎng)用戶的消費習慣。

但任何一件事情都具有兩面性,高額的補貼、優(yōu)惠同時了也催生了“羊毛黨”。

“羊毛黨”的行為距離欺詐只有一步之遙,他們的存在嚴重破環(huán)了活動的目的,侵占了活動的資源,使得正常的用戶享受不到活動的直接好處。

今天主要分享下騰訊自己是如何通過大數據、用戶畫像、建模來防止被刷、惡意撞庫的。

二、黑產現狀介紹

“羊毛黨”一般先利用自動機注冊大量的目標網站的賬號,當目標網站搞促銷、優(yōu)惠等活動的時候,利用這些賬號參與活動刷取較多的優(yōu)惠,最后通過淘寶等電商平臺轉賣獲益。

2.1?羊毛黨分工

他們內部有著明確的分工,形成了幾大團伙,全國在20萬人左右:

軟件制作團伙:專門制作各種自動、半自動的黑產工具,比如注冊自動機、刷單自動機等;他們主要靠出售各種黑產工具、提供升級服務等形式來獲利。

短信代接平臺:實現手機短信的自動收發(fā),其實一些平臺亦正亦邪,不但提供給正常的商家使用,一些黑產也會購買相關的服務。

賬號出售團伙:他們主要是大量注冊各種賬號,通過轉賣賬號來獲利;該團伙與刷單團伙往往屬于同一團伙。

刷單團伙:到各種電商平臺刷單,獲取優(yōu)惠,并且通過第三方的電商平臺出售優(yōu)惠,實現套現。

36大數據

2.2“羊毛黨”從業(yè)特點

這些黑產團隊,有三個特點:

專業(yè)化:專業(yè)團隊、人員、機器來做。

團伙化:黑產已經形成一定規(guī)模的團伙,而且分工明確;從刷單軟件制作、短信代收發(fā)平臺、電商刷單到變賣套現等環(huán)節(jié),已經形成完整的刷單團伙。

地域化:黑產刷單團伙基本分布在沿海的一些經濟發(fā)達城市,比如,北京、上海、廣東等城市,這或許跟發(fā)達城市更加容易接觸到新事物、新觀念有關。

36大數據

2.3?對抗刷單的思路

對抗刷單,一般來講主要從三個環(huán)節(jié)入手:

注冊環(huán)節(jié):識別虛假注冊、減少“羊毛黨”能夠使用的賬號量。在注冊環(huán)節(jié)識別虛假注冊的賬號,并進行攔截和打擊。

登錄場景:提高虛假賬號登錄門檻,從而減少能夠到達活動環(huán)節(jié)的虛假賬號量。比如,登錄環(huán)節(jié)通過驗證碼、短信驗證碼等手段來降低自動機的登錄效率,從而達到減少虛假賬號登錄量、減輕活動現場安全壓力的目的。

活動環(huán)節(jié):這個是防刷單對抗的主戰(zhàn)場,也是減少“羊毛黨”獲利的直接戰(zhàn)場;這里的對抗措施,一般有兩個方面:

  1. 通過驗證碼(短信、語音)降低黑產刷單的效率。
  2. 大幅度降低異常賬號的優(yōu)惠力度。

三、騰訊內部防刷架構

3.1?騰訊內部防刷的架構圖

36大數據

3.2?模塊詳細介紹

1.風險學習引擎

風險學習引擎:效率問題。由于主要的工作都是線下進行,所以線上系統(tǒng)不存在學習的效率問題。線上采用的都是C++實現的DBScan等針對大數據的快速聚類算法,基本不用考慮性能問題。

風險學習引擎:采用了黑/白雙分類器風險判定機制。之所以采用黑/白雙分類器的原因就在于減少對正常用戶的誤傷。

例如,某個IP是惡意的IP,那么該IP上可能會有一些正常的用戶,比如大網關IP。

再比如,黑產通過ADSL撥號上網,那么就會造成惡意與正常用戶共用一個IP的情況。

黑分類器:根據特征、機器學習算法、規(guī)則/經驗模型,來判斷本次請求異常的概率。

白分類器:判斷屬于正常請求的概率。

36大數據

3.2?矩陣式邏輯框架

我們以黑分類器為例來剖析下分類器的整個邏輯框架。

總的來講我們采用了矩陣式的邏輯框架,最開始的黑分類器我們也是一把抓,隨意的建立一個個針對黑產的檢測規(guī)則、模型。

結果發(fā)現不是這個邏輯漏過了,而是那個邏輯誤傷量大,要對那一類的賬號加強安全打擊力度,改動起來也非常麻煩。

因此我們就設計了這個一個矩陣式的框架來解決上述問題。

36大數據

矩陣的橫向采用了Adaboost方法,該方法是一種迭代算法,其核心思想是針對同一個訓練集訓練不同的弱分類器,然后把這些分類器集合起來,構成一個最終的分類器。

而我們這里每一個弱分類器都只能解決一種帳號類型的安全風險判斷,集中起來才能解決所有賬戶的風險檢測。

那么在工程實踐上帶來三個好處:

便于實現輕重分離,比如某平臺虛假賬號集中在郵箱賬號,策略就可以加大對郵箱賬號的打擊力度,影響范圍也局限在郵箱帳號,而不是該平臺所有的賬號。

減少模型訓練的難度,模型訓練最大的難度在于樣本的均衡性問題,拆分成子問題,就不需要考慮不同賬號類型之間的數據配比、均衡性問題,大大降低了模型訓練時正負樣本比率的問題。

邏輯的健壯性,某一個分類器的訓練出現了問題,受影響的范圍不至于擴展到全局。

矩陣縱向采用了Bagging方法,該方法是一種用來提高學習算法準確度的方法,該方法在同一個訓練集合上構造預測函數系列,然后以一定的方法將他們組合成一個預測函數,從而來提高預測結果的準確性。

上面講的部分東西,理解起來會比較艱澀,這里大家先理解框架,后續(xù)再理解實現細節(jié)。

四、騰訊大數據收集緯度

大數據一直在安全對抗領域發(fā)揮著重要的作用,從我們的對抗經驗來看,大數據不僅僅是數據規(guī)模很大,而且還包括兩個方面:

數據廣度:要有豐富的數據類型。比如,不僅僅要有社交領域的數據、還要有游戲、支付、自媒體等領域的數據,這樣就提供了一個廣闊的視野讓我們來看待黑產的行為特點。

數據深度:黑產的對抗。我們一直強調縱深防御,我們不僅僅要有注冊數據,還要有登錄,以及賬號的使用的數據,這樣我們才能更好的識別惡意。

所以想要做風控和大數據的團隊,一定要注意在自己的產品上多埋點,拿到足夠多的數據,先沉淀下來。

五、騰訊大數據處理平臺-魔方

我們的團隊研發(fā)了一個叫魔方的大數據處理和分析的平臺,底層我們集成了MySQL、MongoDB,Spark、Hadoop等技術,在用戶層面我們只需要寫一些簡單的SQL語句、完成一些配置就可以實現例行分析。

這里我們收集了社交、電商、支付、游戲等場景的數據,針對這些數據我們建立一些模型,發(fā)現哪些是惡意的數據,并且將數據沉淀下來。

沉淀下來的對安全有意義的數據,一方面就存儲在魔方平臺上,供線下審計做模型使用;另一方面會做成實時的服務,提供給線上的系統(tǒng)查詢使用。

5.1?騰訊用戶畫像沉淀方法

畫像,本質上就是給賬號、設備等打標簽。

用戶畫像 = 打標簽

我們這里主要從安全的角度出發(fā)來打標簽,比如IP畫像,我們會標注IP是不是代理IP,這些對我們做策略是有幫助的。

以QQ的畫像為例,比如,一個QQ只登錄IM、不登錄其他騰訊的業(yè)務、不聊天、頻繁的加好友、被好友刪除、QQ空間要么沒開通、要么開通了QQ空間但是評論多但回復少,這種號碼我們一般會標注QQ養(yǎng)號(色情、營銷),類似的我們也會給QQ打上其他標簽。

標簽的類別和明細,需要做風控的人自己去設定,比如:地理位置,按省份標記。性別,安男女標記。其他細致規(guī)則以此規(guī)律自己去設定。

我們看看騰訊的IP畫像,沉淀的邏輯如下圖:

36大數據

一般的業(yè)務都有針對IP的頻率、次數限制的策略,那么黑產為了對抗,必然會大量采用代理IP來繞過限制。

既然代理IP的識別如此重要,那我們就以代理IP為例來談下騰訊識別代理IP的過程。

識別一個IP是不是代理IP,技術不外乎就是如下四種:

  1. 反向探測技術:掃描IP是不是開通了80,8080等代理服務器經常開通的端口,顯然一個普通的用戶IP不太可能開通如上的端口。
  2. HTTP頭部的X_Forwarded_For:開通了HTTP代理的IP可以通過此法來識別是不是代理IP;如果帶有XFF信息,該IP是代理IP無疑。
  3. Keep-alive報文:如果帶有Proxy-Connection的Keep-alive報文,該IP毫無疑問是代理IP。
  4. 查看IP上端口:如果一個IP有的端口大于10000,那么該IP大多也存在問題,普通的家庭IP開這么大的端口幾乎是不可能的。

以上代理IP檢測的方法幾乎都是公開的,但是盲目去掃描全網的IP,被攔截不說,效率也是一個很大的問題。

因此,我們的除了利用網絡爬蟲爬取代理IP外,還利用如下辦法來加快代理IP的收集:通過業(yè)務建模,收集惡意IP(黑產使用代理IP的可能性比較大)然后再通過協(xié)議掃描的方式來判斷這些IP是不是代理IP。每天騰訊都能發(fā)現千萬級別的惡意IP,其中大部分還是代理IP。

5.2?騰訊用戶畫像類別概覽

36大數據

5.3?防御邏輯

36大數據

實時系統(tǒng)使用C/C++開發(fā)實現,所有的數據通過共享內存的方式進行存儲,相比其他的系統(tǒng),安全系統(tǒng)更有他自己特殊的情況,因此這里我們可以使用“有損”的思路來實現,大大降低了開發(fā)成本和難度。

數據一致性,多臺機器,使用共享內存,如何保障數據一致性?

其實,安全策略不需要做到強數據一致性。

從安全本身的角度看,風險本身就是一個概率值,不確定,所以有一點數據不一致,不影響全局。

但是安全系統(tǒng)也有自己的特點,安全系統(tǒng)一般突發(fā)流量比較大,我們這里就需要設置各種應急開關,而且需要微信號、短信等方式方便快速切換,避免將影響擴散到后端系統(tǒng)。

5.3?接入系統(tǒng)

36大數據

適應的場景包括:

1.電商o2o刷單、刷券、刷紅包

2.防止虛假賬號注冊

3.防止用戶名、密碼被撞庫

4.防止惡意登錄

 

作者:顏國平,騰訊云-天御系統(tǒng)研發(fā)負責人。

來源:http://www.36dsj.com/archives/72618

本文來源于人人都是產品經理合作媒體@36大數據,作者@顏國平

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
36大數據
大數據第一平臺
119篇作品 2610267總閱讀量
05-222938 瀏覽
好評、差評都可以裂變,品牌除了消除差評還能做什么
02-0510160 瀏覽
推薦策略產品經理必讀系列—第六講推薦結果的樣式&創(chuàng)意策略
03-239453 瀏覽
跑通27個品類后,我總結出7個小紅書運營方法論
06-263225 瀏覽
以“過時的”短信業(yè)務實例來談談商業(yè)思維
02-016081 瀏覽
淺談流量視角下的用戶鏈路分析
評論
評論請登錄

  1. 666666666666

    來自廣東 回復

  2. 我是門外漢,看著好專業(yè)的趕腳!

    來自廣東 回復