腾讯基于全栈式实时风控引擎的流量反作弊平台建设

DataFunTalk 2021-10-28

2342

分享嘉宾：余意腾讯高级研究员

编辑整理：魏子沐香港科技大学

出品平台：DataFunSummit

导读：本文分享的相关项目和技术主要是在流量风控领域的沉淀，通过天御的人工智能和机器学习能力，在品牌广告反欺诈、效果广告反欺诈、KOL监测等场景，帮助客户准确识别伪造曝光、伪造点击、伪造下载、注水流量等欺诈行为，甄别渠道质量，节省营销费用；帮助客户解决注册、登录、营销活动等关键场景遇到的欺诈问题，实时防御黑灰产作恶。

本文主要内容包括：① 流量反作弊行业现状；② 流量黑产手段；③ 全栈式风控引擎；④ 反作弊模型。

流量反作弊行业现状

恶意刷量、虚假流量充斥着多个行业，给客户造成上百亿的营销费用损失

1. 虚假流量、恶意刷量

在各个行业如广告、零售、电商、出行都有相应的反作弊需求。特别是在广告行业的曝光点击、游戏行业的下载激活、短视频的刷播放浏览刷赞等场景下，都可能给平台方造成大量损失。举几个各领域的例子，

虚假曝光：2019年品牌广告市场因虚假流量造成的损失已经达到284亿人民币；
虚假安装：约36%的游戏安装都是虚假安装激活；
浏览刷量：明码标价的刷量服务给平台造成大量营销支出。

2. 羊毛党与账号安全

广告、零售、电商、出行、O2O等行业在注册、登录、抢券、下单、退款场景都会有黑产出现，从事恶意注册、撞库盗号、恶意下单等恶意行为。早期业务安全不太被重视，各种羊毛党事件频出。虚假流量除了造成营销成本的损失外，还会造成数据样本的失真。业务侧会做一些用户画像，但当大量虚假流量进来之后，就会对数据造成污染，导致用户画像失真。通过失真的用户画像去做推广的时候，会间接影响营销成本。

流量黑产手段

流量黑产的设备、手机号、IP等资源和手段不断进化演变，作弊成本增加，识别难度加大

1. 黑产生态链

黑产其实有一条完整的生态链，他们的分工非常明确，分为上、中、下游。

上游：主要提供一些黑产的基础服务和工具，比如准备可供作弊使用的手机卡、手机号、IP等。有时黑产会把手机号、猫池等资源封装成接码平台；还有一些打码平台，专门识别验证码。
中游：会根据上游提供的基础资源，在营销活动前进行批量的账号注册、养号，或者直接盗号、再洗号等活动。即中游会进行大量的账号生产与分销，积累大量的账号信息，并提供给下游。
下游：进行业务侧的实际操作，实现盈利变现，如薅羊毛、广告反作弊、欺诈活动等。

2. 黑产资源演变

随着业务侧对风控重视程度的增加和风控能力的提升，加上第三方风控厂商的助力，黑产的资源也在不断演变和迭代。

设备维度：从最开始的通过模拟器、多开分身的app、安卓改机软件修改设备号等最初级的手段，演变到成本相对较高的形式。比如，
（1）真机+群控软件。这种可以根据一些规则去识别，比如根据陀螺仪、感应器这种数据，能够把他们识别出来。
（2）云手机盒子。这种形式近两年较为流行。其外形类似于主机，相当于把移动设备的芯片、主板等嵌入到云手机盒子里去，合入相关的IP资源，有点像是黑产的统一解决方案。
IP维度：早期一般使用传统代理IP，稳定性比较差，后来演变成秒拨IP，即一群人使用一个IP池，每次拨号会从IP池里随机选一个IP出来，这时如果黑产使用了某个IP再回收到正常的IP池中，不容易被发现，且容易对后续正常用户的IP造成误杀。近两年又出现IP魔盒，是一款使用移动流量sim卡进行自动切换IP的硬件设备，风控难度更大。
手机号维度：最开始的形式是猫池，也就是我们说的养号。猫池本身也支持一些AT指令，黑产会把这些AT指令封装成一个API，然后再和公开接码平台进行对接。随着国家政策对公开接码平台的打击，现在已经演变成了线下接码，即在社交软件上使用约定好的格式进行线下接码。

3. 黑产手段演变

黑产的手段也在不断演变。开始时，黑产会自己写流量挂机软件、直播刷量软件等从事广告反欺诈活动，后来演变成了通过积分墙、真人众包等形式实施刷量刷赞刷下载等作弊，真人众包形式由于接任务的人并不了解黑产（如学生、孕妇等），其存在一些历史行为，可以被业务侧检测出来，后来又衍生出了资源众包的形式，黑产通过租用设备、IP等资源来从事作弊行为。

全栈式风控引擎

搭建从数据、决策到服务的一整套风控体系，为各行业场景的客户提供实时风控服务。

黑产技术变化快，应对策略需要快速验证上线，且团伙作案，为了解决上述痛点，我们搭建了从数据、决策到服务的一整套风控体系。可以在平台上可视化配置场景、策略、规则和变量，配置完成后，实际调用过程中，先获取基础数据，执行规则表达式，然后根据规则结果执行策略表达式，最终根据策略结果输出决策，得到的决策结果为高、中、低三个风险等级和风险标签。

可配置化的线上部署平台可以解决模型分散无法管理、模型上线受制于开发、对接成本高等问题。模型搭建好后，上传模型文件到模型层，控制台会对模型文件进行版本管理。或者不同版本之间，可以做一些ABtest或者流量分配。

天御流量反作弊平台具有强⼤的策略配置能⼒、数据分析能⼒和变量运算能⼒，包括策略管理、实时指标管理、模型管理、策略实验室、风险监控管理、案件中⼼、变量中⼼等模块。可以针对不同⾏业场景下的恶意问题，快速的制定出防控策略体系。

反作弊模型

围绕图挖掘、异常检测等算法构建多层次风控模块，搭建实时系统。

在搭建反作弊模型过程中，经常会遇到黑产团伙作案、黑产演变等技术难题，我们搭建一套多层次风控模型体系，使用同构异构混合模型挖掘出作案的团伙，使用异常检测算法应对风控建模难题，使用有监督算法和无监督算法结合的方式，精准识别黑产，应对黑产演变。

1. 流量反作弊系统的落地场景和风控服务

流量从广告曝光、点击、下载、激活到最终的下单，每个环节下都会遭遇黑产，针对这些黑产，天御提供流量反欺诈和全栈式风控引擎两个服务可以防控黑产。流量反欺诈（Traffic Anti-Fraud，TAF）通过天御的人工智能和机器学习能力，在品牌广告反欺诈、效果广告反欺诈、KOL监测等场景，帮助客户准确识别伪造曝光、伪造点击、伪造下载、注水流量等欺诈行为，甄别渠道质量，节省营销费用，可以按照客户的业务场景，自由调整流量反欺诈的使用方式。腾讯云全栈式风控引擎（RiskControlEngine，RCE）是基于人工智能技术和腾讯20年风控实战沉淀，依托腾讯海量业务构建的风控引擎，以轻量级的 SaaS 服务方式接入，帮助客户快速解决注册、登录、营销活动等关键场景遇到的欺诈问题，实时防御黑灰产作恶。

2. 应用案例