你關注過黑產(chǎn)、羊毛黨嗎？用戶增長的另一面

你知道嗎，在你關注用戶增長的同時，有一些黑產(chǎn)也在關注你。

在2018U-Time冬季巡回現(xiàn)場，網(wǎng)易風控算法專家周冬敏分享了用戶增長的另一面，黑產(chǎn)/羊毛黨的產(chǎn)業(yè)鏈運作模式，以及網(wǎng)易嚴選如何通過人機識別、異常群體識別、Graph算法框架等風控算法，識別和處理羊毛黨。

——用戶增長背后的灰產(chǎn)——

黑色產(chǎn)業(yè)鏈中影響最廣是羊毛黨。羊毛黨往往手握重兵，掌握包括移動設備、手機賬號等資源，在大家看起來非常小的利益點，比如優(yōu)惠券、紅包等經(jīng)過羊毛黨就會形成一大筆財富，他們掠奪這部分財富，讓我們精心設計的營銷活動毀于一旦。

羊毛黨有多嚴重？舉兩個例子，《2015數(shù)據(jù)安全報告》指出優(yōu)步中國訂單中40%為虛假交易，優(yōu)步回應稱不到10%，我認為這是客觀偏保守的數(shù)據(jù)，20億市場補貼有10%，那就是將近2億美金。

某直播平臺被羊毛黨包圍并被薅羊毛上百萬，直接就倒閉了。上到BAT下到互聯(lián)網(wǎng)初創(chuàng)公司，都面臨羊毛黨的威脅，他們應對這種風險的能力偏弱，意識也偏弱。

更可怕的是，互聯(lián)網(wǎng)發(fā)展到今天，黑色產(chǎn)業(yè)鏈經(jīng)過幾輪迭代，變成十分成熟的商業(yè)運作模式。它復雜、隱秘、高效，由眾多背景的黑灰產(chǎn)業(yè)組合而成。

上游是基礎性環(huán)節(jié)，承擔挖掘、制作生產(chǎn)和服務職責，包括圖形驗證碼平臺，手機驗證碼平臺及軟件代理工具，還有賬號注冊需要的身份信息就是社工庫。

中游是賬號生產(chǎn)和銷售，比如盜號團伙、垃圾號注冊團伙、洗號團伙、賬號交易平臺。

下游就是利益套現(xiàn)，往往是用一批經(jīng)過從上中游得到的賬號進行搶利，在一些場景比如秒殺/紅包、0元購、優(yōu)惠券做資金歸集，最終實現(xiàn)套現(xiàn)。

——如何識別異常賬號——

追根溯源，黑產(chǎn)的根本目的是為了獲取大量資金，所以他們一定會追求投資回報率，最大限度利用資源。比如一個賬號、一個手機、一個設備，都需要投入費用。因此，他們所有行為都沒有產(chǎn)生復雜的關聯(lián)，普通賬戶往往是在操作地域、時間、賬戶關系上呈現(xiàn)離散、關聯(lián)系數(shù)的結(jié)構(gòu)特征，而羊毛黨往往呈現(xiàn)出聚集性風險，所以我們需要加強識別的手段。

左上角是風險業(yè)務全鏈路，從注冊登錄一直到售后維權(quán)，業(yè)務的全鏈路就是風險的全鏈路，我們會根據(jù)不同的風險類型尋找重點的業(yè)務抓手，比如賬戶、登錄和后續(xù)登陸、修改信息是需要重點防控。

防控獲得數(shù)據(jù)的類型分為兩種：

第一種是利用前臺采集到的數(shù)據(jù)。

通過采集頁面點擊行為、鼠標行為做人機識別，基于風險產(chǎn)品比如NC驗證碼、身份驗證手段進行風險消化。

第二種是基于業(yè)務數(shù)據(jù)做異常群組識別。

后端業(yè)務數(shù)據(jù)往往更加復雜、個性化。通過對后端業(yè)務數(shù)據(jù)的梳理，我們嘗試構(gòu)建風險圖譜。圖譜構(gòu)建方法根據(jù)業(yè)務會有不同，在實踐中，我們進行的嘗試大體將其分為三塊：

1）歷史上賬戶存在的媒介關聯(lián)。歷史關系媒介包括例如用戶-設備指紋、用戶-手機關聯(lián)等。

2）風險主體屬性關聯(lián)。比如通過賬號模式、來源、渠道一樣或者相似來構(gòu)建這種關聯(lián)。

3）基于事件行為的關聯(lián)。我們正在探索同一類賬戶，在同一個異常的時間點，做了同一件事情，我們也會把它構(gòu)建在網(wǎng)絡里，構(gòu)成風險圖譜。

有了風險圖譜，接著通過圖算法對風險進行識別。比如圖聚類、或者當前比較流行的圖表示學習模型(network embedding)把圖蘊含的信息進行表達輸出，最后對輸出的異常群組進行交易阻斷、風險消化。

——嚴選的風控案例——

訂單環(huán)節(jié)刷單識別與部署

下圖是目前嚴選已部署的刷單識別模型，分為4個環(huán)節(jié)。前兩個環(huán)節(jié)分別是離線用戶媒介關系構(gòu)建、實時用戶關系構(gòu)建。

首先是離線關系構(gòu)建，是我們從歷史用戶媒介關聯(lián)的最底層數(shù)據(jù)里解析出用戶-媒介關聯(lián)，進而形成用戶間的關系投影。接著是實時關系構(gòu)建。通過實時事件的接入，構(gòu)建短期實時關系網(wǎng)絡，這個關聯(lián)著重聚焦在72小時內(nèi)產(chǎn)生的訂單之間賬戶屬性、賬戶行為關聯(lián)。最終這些關系類型疊加形成一個風險網(wǎng)絡圖譜。

當訂單事件觸發(fā)，我們會對近期的訂單關系graph進行一次聚類操作。緊接著聚類過程，我們對異常群組的結(jié)果進行可視化展示、提供群組分析的相關模塊、對風險進行人工確認交互。這些模塊主要是輔助群組風險進行應用落地。實時圖聚類處于對資源的考慮，可以數(shù)秒鐘（比如10秒）觸發(fā)一次。

最后進入風險處置，根據(jù)前面的結(jié)果進行交易阻斷或落到名單庫里進行下一次的風險預測。

下面展示兩個異常群組，下邊這個圖是我們根據(jù)近兩天的訂單聚出來的第一個群組，節(jié)點上顯示全部是0元單，注冊時間是當月，關聯(lián)原因是因為節(jié)點之間存在歷史的媒介關聯(lián)，72小時的IP關聯(lián)，72小時的地址關聯(lián)。

圖中節(jié)點代表的一些訂單，在手機、IP、地址方面，都繞過風控規(guī)則行為，比如一個手機就下兩單，剛好不滿足我們風控抓取的閾值；比如一個IP只下五六單就把我們策略略過了；地址寫的非常亂，其實都是同一個地址，當然這部分我們用文本識別模型加以識別。如果用單點識別方法，這些訂單都會通過，但是我們用了這套圖聚類算法，通過手機號、IP、地址的規(guī)則防控，風險最終通過網(wǎng)絡聚合并展現(xiàn)出來。

如果我們把這個群組里的訂單，放到歷史數(shù)據(jù)里去看，得到更加全面的結(jié)果，紅色大點表示我們剛提到的異常群組A?？梢钥吹竭@個異常群組是處于一個更大的歷史網(wǎng)絡里。

就像友盟+同學所分享的，基于AI和全域數(shù)據(jù)能力，我們不僅可以更加深度的分析用戶行為、預測用戶價值，更可以構(gòu)建風控體系，讓用戶行為數(shù)據(jù)增值增厚，最終實現(xiàn)高質(zhì)量的用戶增長。

作者：AI· 超級用戶

首席增長官CGO薦讀：

• 《怎么建立微信生態(tài)用戶增長模型？》
• 《Google用戶增長主管的七項原則：如何推動產(chǎn)品增長》
• 《用戶增長：聊聊小黑魚的運營》

更多精彩，關注：增長黑客（GrowthHK.cn）

增長黑客（Growth Hacker）是依靠技術(shù)和數(shù)據(jù)來達成各種營銷目標的新型團隊角色。從單線思維者時常忽略的角度和高度，梳理整合產(chǎn)品發(fā)展的因素，實現(xiàn)低成本甚至零成本帶來的有效增長…