薅羊毛是什么意思?如何防止薅羊毛?

双11狂欢节临近,羊毛党们又开始活跃。本文就“薅羊毛是什么意思 ”以及“互联网企业如何如何防止薅羊毛”做简单介绍。

一、薅羊毛是什么意思?

1999年央视春节晚会小品《昨天・今天・明天》:宋丹丹饰演的白云大妈为了给老伴织一件毛衣,利用给生产队放羊的便利条件,揪羊毛搓毛线,被扣上“薅社会主义羊毛”的罪名。受小品的启发,人们把喜欢精打细算,热衷于搜集各种促销优惠活动,以相对较低成本甚至零成本换取物质上的实惠,这一类行为被称为“薅羊毛”,热衷于“薅羊毛”的群体被称作“羊毛党”。

  

《昨天・今天・明天》薅社会主义羊毛  

羊毛党对于互联网企业而言并不陌生,甚至是“老朋友”。 在营销活动频率如此频繁、优惠力度如此之大的背景下,企业业务必然会遭遇到各类非正常用户的威胁:羊毛党和黑灰产。面对庞大的羊毛党和装备精良的黑灰产,如何保护好自己业务,免受羊毛党和黑灰产的吞噬,是每个企业都必须认真规划考虑的问题。

二、传统的防护手段

面对羊毛党和黑灰产,传统的防护手段有以下方式:

1)IP封禁:针对频繁的参与营销活动的IP,进行封禁;

2)用户封禁:如果一个用户违反业务规则,或者非常频繁的参与营销活动,或者只下单不成交等,即可封禁该用户;

3)增加验证码在注册、登录,下单等环节,增加了验证码的校验。验证码主要作用是智能区分人机,对于普通的刷子而言,验证码的效果非常好。

以上防刷的手段,对普通的刷子效果比较明显,但是对于专业的黑灰产而言,几乎无效,并且可能带来其他问题:误杀真实用户、用户体验差。

因此,一个比较好的风控解决方案,不仅要考虑用户体验,同时又要兼顾效果,需要考虑很多方面。网易易盾的全链路风控解决方案值得考虑下,能全面解决互联网企业在风控上面临的难题,高效防范羊毛党和黑灰产。

三、网易易盾如何如何防范薅羊毛和黑灰产?

网易易盾的全链路风控解决方案覆盖三部分:事前预防、事中检测处置、事后分析回馈。

 

事前预防:通过数据采集收集用户侧信息、通过业务规则来限定参与活动的门槛、通过身份核验来确认用户身份等手段,防止风险事件的发生。

事中检测处置:通过实时在线的手段来检测风险,并做相应的风险处置,防止风险事件的发生。

事后分析回馈:基于长周期的离线数据分析,计算用户侧、设备侧、IP侧、业务侧的各种风险特征,并作用于事前风控和事中风控。

1.1事前预防

事前预防主要有三个层面的事项:数据采集、业务规则、身份核验。

a)数据采集

在业务活动的各个阶段,都需要埋点采集数据,主要有设备指纹、操作行为、网络数据、业务数据、第三方数据等。采集的数据主要用于事中的风险监测和事后的离线分析。

b)业务规则

在制定营销活动时,必须制定完备的业务规则,必须要有相应的活动门槛和限制,例如:

用户群体限制:定义哪些类型的用户能参与活动,指定清晰的分界线。比如:电商大促经常出现的神券,可以限制账户等级>3、年度内购物次数>2才能领取等等。

APP版本限制:定义哪些APP版本能参与,比如:拉新活动要求必须使用最新版APP注册才给奖励。

参与次数限制:明确定义账户级、设备级、实名信息级能参与活动的上限和参与活动的频率等。

c)身份核验

身份核验主要是为了确保是用户自己来参与活动,主要手段包括:手机短信校验;验证码校验;密码校验;密保问题校验;本机校验实名认证等。

1.2 事中检测处置

事中检测主要依赖人机识别、风控引擎、风险处置三个手段。

a) 人机识别

人机识别主要区分是人,还是机器自动化的行为。客户端与后端的数据交互过程中,增加如下的数据保护手段,一旦发现数据有问题,则都是机器行为。包括:数据合法性校验、数据加解密、数据篡改检测。

b)风控引擎

事中检测的核心工具就是风控引擎,风控引擎主要的工作是识别风险,一般的风控引擎都需要如下几个功能:

名单服务:建立黑、白、灰名单;

画像服务:建立基于IP、手机号、账户等层级的画像服务;

指标计算:一般包括高频类统计、求和、计数、求平均值、求最大值、求最小值等等;

风控模型:基于采集到的数据,建立风控模型,比如:设备模型、行为模型、业务模型等;

规则引擎:最终的风控数据进入规则引擎,由规则引擎判断是否存在风险。风控运营需基于业务建立各种风控规则,以识别风险。

c)风险处置

识别到风险之后,需要对风控进行处置,处置手段一般有:

二次校验:比如,正常用户无需二次校验,有风险的用户需再次校验手机短信等;

拦截:拒绝当前业务操作;

降低奖励:比如,正常用户的奖励金是1元,风险用户奖励金是0.01元;

拉黑:直接进黑名单;

名单监控:进灰名单监控;

风险审核:进入人工审核,比如:电商场景的订单业务,一般嫌疑类风险订单,都会安排人工审核。

1.3 事后分析回馈

事后主要是做离线分析,分析结果可作用于事中实时检测和事前预防。对于T+N的业务(比如:拉新奖励金提现),离线分析之后,若识别出风险,也可以做拦截(拒绝此次提现)。

离线分析主要有几个方面:

离线指标:基于长周期、大数据的离线指标计算;

关联分析:基于前后关联业务、关联数据做关联分析,识别风险用户、风险操作;

复杂网络:基于用户数据、设备数据、网络数据、业务数据,建立复杂关系网络,基于数据与数据之间的关系,来识别风险;

模型训练:基于机器学习、深度学习技术来构建业务模型、设备模型、行为模型,或文本类模型(异常地址检测、异常昵称检测)等;

名单库:通过离线分析,积累、沉淀各种名单库;

数据画像:基于离线分析,对账户、IP、设备、手机号等构建数据画像。

1.4 全链路布控 

全链路风控解决方案另一个非常重要的过程是:全链路布控。若只是构建了全链路风控模型(工具),未做全链路部署,那也是大材小用。

 

全链路布控主要要做到:

多业务布防:在业务的各个环节都需布控防刷手段,一般的营销活动都需先注册、登录,再参与营销活动。所以,可以在注册、登录、营销活动各个环境都布控风控检测。

联防联控:前置业务为后置业务产出事前特征,避免后置业务风控检测冷启动;后置业务为前置业务提供事后特征,比如:准实时、中长周期的风险特征。

四、总结:

羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入。但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。

所以,风控防刷的主要目的是提高刷子的成本。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,高效防范羊毛党和黑灰产。