如何把羊毛党拒之门外？

薅羊毛这三个字大家都很熟悉，典故出自1999央视春晚小品《昨天》・今天・明天的“社会主义羊毛”主要发生在互联网上，尤其是电子商务平台、P2P在线贷款平台等。无利不起早，正式因为这些平台有明显的利益可图，所以即使需要大量的精力，也有很多人乐在其中。你可以在网上找到各种各样的薅羊毛信息发布网站，还有很多有组织的薅羊毛群体，这背后是一个非常大的行业。由于羊毛派对众多，斗争困难，许多网站和企业对此非常痛苦，同时感觉非常神秘，好像羊毛派对有什么深不可测的技术，无法抗拒。因此，本文的目的是普及预防羊毛党的技术，让每个人都知道羊毛党是如何收集的，以及消除羊毛党收集羊毛行为的方法。可以先预览全文背景:目录:1。羊毛党的分类可以根据具体的收集方法大致分为五类:1.1刷单刷票等用户主要依靠刷单刷量获取利益，如淘宝刷单、刷评论等。刷票也算，代刷投票、阅读、粉丝等。顾名思义，很多网站都会奖励特定的任务，比如注册、问卷、绑卡、实名认证等等。有的消耗时间和注意力，有的干脆拿自己或者别人的信息卖钱。1.3黄牛党黄牛党一般利用信息不对称或技术优势、联系优势，可以更早、更快地获取信息，也可能是团队合作、共享资源，经常垄断一些稀缺资源，然后以高价转手获利。比如多列车票，现场排队的黄牛，互联网上的黄牛。1.4如果黑客类谈论技术，这些人可能不会被称为黑客。但其特点是利用技术手段找到平台安全漏洞，获取利益。若无节制，直接将羊薅死也不一定。例如积分商城的商品，抽奖的现金，优惠券等等。或者直接爆库，转售用户数据等。这种行为基本上是违法的，要追究法律责任。1.5漏洞研究等用户主要研究活动规则的漏洞，也可能增加一些技术手段。与黑客的区别在于，系统可能没有漏洞，只是没有做好防薅工作。或者活动规则设计不完善，有利可图，比如信用卡养卡。当然，养卡也有深层次的原因，平台也需要这些活跃用户，这是一种互赖的薅羊毛。若再抽象一点，可分为手动和自动两类。人工薅羊毛，即人肉薅羊毛，由各种群体组成，有羊头组织和分发任务。其他人只需要花一些碎片化的时间参与。自动化就是建立一套程序，在特定活动中打开，或者在某些平台上长期运行。本文主要讨论如何防止羊毛自动化，因为这种羊毛党除了黑客危害最大。而且防止黑客的话题太大，没有固定的解决方案，讨论也没用。目前还没有办法收集人肉羊毛、做任务、刷账单等。毕竟他们都是真正的用户，除非有明确的行为数据模型可以命中，否则只能作为正常用户使用。后面会提到这一点。2.众所周知，羊毛党危害很大，尤其是运营活动，最常见的问题是运营成本失控、数据样本失真、垃圾账号混淆、公平失信等。其中，运营成本失控，如果把握不好，就有可能拖垮公司。数据统计的失真也导致了对后续操作策略的明确判断。羊毛党的蜂拥而至，也会降低真实用户的忠诚度，榨干平台。要防止羊毛党，最重要的是控制利益的诱惑，避免红包话费等直接利益。对于优惠券等，用户需要购买才能使用，诱惑就没那么大了。除非是五折以上或者大额现金券。此外，购物还需要填写明确的收货地址和其他个人信息，羊毛党会比较谨慎。因此，在制定营销活动时，必须制定完整的业务规则，必须有相应的活动门槛和限制，如：2.1用户群限制定义哪些类型的用户可以参与活动，并指定明确的界限。对特定活动，可适当提高参与门槛，如V2以上会员可参与，有购买记录可参与等。这种操作主要针对特定群体成员，体验对排除在外的用户不太好。2.2客户端版本限制定义哪些应用程序或小程序版本可以参与，例如：新活动需要使用最新版本的应用程序注册才能获得奖励。2.3次数/上限明确定义账户级、设备级、实名信息级参与活动的上限和频率。只有将活动给用户的预期控制在合理的范围内，并控制上限，才能有效防止羊毛党。例如，每个账户的上限，每日活动预算的上限。活动规则中还应明确说明，如果发现有人通过刷单、刷票等方式非法操作，平台有权取消其参与资格或相应奖励。这样，对于异步发放的奖品，也可以在发放前检查数据，筛选出可疑用户。最后，对于所有活动的数据，在开发之前，有必要明确哪些数据需要监控。否则活动已经跑起来了，没有预埋的东西肯定拿不到。作为一个操作，我们必须对数据非常敏感。如果用户数量或参与数量急剧增加，我们应该小心是否有羊毛派对，而不是光顾。3.通过技术手段，我们可以简要看看腾讯云防刷界面对风险类型的定义：通过技术手段收集羊毛，最常见的是高频刷界面、恶意注册账户、仓库碰撞等。而这种羊毛党，一般会有大量的卡片，或者有很多虚拟的编码平台，可以提供手机号码 验证码服务。有的还可能有大量的动态IP地址、海外服务器、批量身份证等。还有专业的设备，叫“猫池”、“卡池”。对于移动终端的业务，很多这样的公司也购买了大量的实体手机，然后通过软件批量控制，这就是我在《微信赚钱之路》一文中提到的“群控”。传统的保护方法有三种:封IP、封用户、增加验证码。下面分别解释一下。对于异常IP，我们可以通过技术手段直接封禁IP或IP段。目前，大多数网站的访问层都是Nginx，因此可以考虑使用deny配置禁止IP或IP段：如果操作和维护水平不方便，请求也可以放在应用层禁止，由WEB容器解决。这里需要注意的是，禁止IP或IP段是有风险的。许多公司统一出口IP。如果整个公司的许多人同时访问一个网站，他们可能会被意外伤害。共享WIFI，一些移动基站也可能有固定的出口IP，因此最好不要轻易禁止IP或IP段。3.2我们可以根据一些特定的规则，对一批用户进行筛选和识别，并对其进行一些限制。可采用黑名单机制，或用户风险分类、信用分类等。然后根据黑/白名单或用户级别限制特定行为，如完全拒绝服务、限制某些功能、限制奖励等。禁止用户的标记有很多种，最基本的是，如果用户有登录状态，可以直接封存账号。如果没有，可以通过设备指纹识别设备。根据平台的不同，设备指纹可以是PC浏览器指纹和移动IMEI、MAC地址、UUID等。，或者这些条件计算的machinekey，使其无法伪造，然后在关键请求中验证machinekey的合法性。网络环境也是一个因素，WIFI和4G之间的切换，或者网络IP的变化，都可以是拒绝服务的理由。这是银行APP中最常见的。如果网络被切换，银行APP通常需要重新验证身份才能继续运行。然而，市场上出现了各种变换软件和模拟器，可以不断修改设备信息，使一般设备指纹失效。这种方法的风险是规则要慢慢培养，过程中必然会有遗漏和误杀，操作不当可能会引起很多投诉。因此，这种方法最好是宽进严出，默认用户是好的，然后慢慢收紧，识别出明确的恶意用户。对于可疑但不确定的用户，可以先标记等级，然后单独观察后续行为，然后提升等级。然后限制不同等级的行为。羊毛用户的识别标记可以是基本数据是否健全，如数据是否完整，是否有真实可信的昵称、手机号码等；行为数据，如鼠标点击、鼠标移动、按键次数、每次打卡是否固定时间等；更先进的是，从APP启动、账户注册、登录到业务场景（如直播热/电子商务销售排名等），可以实施全路径实时控制策略，然后到设备风险(篡改、虚拟机、设备农场、积分墙等)设置下层关卡，全栈防御欺诈行为。3.3增加验证码的验证码有很多种，经常添加到注册/登录/绑定卡/支付等重要操作流程中。每个人都应该经历过各种各样的验证码。3.3增加验证码的验证码有很多种，通常添加到重要的操作过程中，如注册/登录/绑定卡/支付等。每个人都应该经历过各种各样的验证码。例如，注册用户时的拼图滑块和谷歌I’mnotrobot、手机验证码、图片验证码等。第三方授权的功能也是一个自然屏障，如微信授权和QQ登录授权。这样，恶意用户需要首先通过第三方验证，至少在访问频率和账户真实性方面增加了屏障。如果业务允许，还可以要求用户进行实名认证、密保问题验证等。当然，步骤越多，体验就越差。验证码的主要功能是区分操作员是人还是机器。然而，不同的验证码有很大的不同。普通手机验证码有专门的编码平台，可以提供手机号码 验证码服务，都是程序对接，自动执行。对于一般的图片验证码，也有许多开放的图片验证码识别服务。因此，各平台的验证码变得越来越复杂，人类难以识别，经验也很差。3.4系统限流限流只能在一定程度上缓解，或使风险可控。主要是防止恶意请求流量、恶意攻击，或防止流量超过系统峰值，破坏系统。前一点禁止IP也可以理解为一种限流，直接拒绝接入层，最大限度地减少系统资源的损失。Nginxlimit模块可用于限制网络流量，防止流量过大穿透后端应用。常用的限流算法有两种:令牌桶算法和漏桶算法。令牌桶算法是一种存储固定容量令牌的桶。只有在单位时间内获得令牌的人才能通过，多余的不发送令牌；漏桶算法是在单位时间内流出的数量是固定的，流入并不重要。然后，这两种想法可以用来限制网络请求的数据量，用户的新数量，奖品的数量。这是系统架构的知识，不再重复。3.5离线数据分析如果活动已经进行，或者活动已经结束，但总觉得不对劲，就要采用离线数据分析的方法，仔细区分是否有羊毛党。那么数据从何而来呢？如前所述，除了活动所需的数据外，如果您想对用户行为进行更深入的分析，您应该考虑在需求设计阶段记录哪些行为，以便于后续分析。如果系统不提供这些能力，显然没有相关数据可以分析。3.6完整的风险控制解决方案不仅要考虑用户体验，还要考虑效果，需要考虑很多方面。因此，许多大大小小的公司都提供了这方面的解决方案。比如腾讯、阿里、网易等。此外，还有很多公司提供这种业务，搜索“防薅羊毛”会出现很多。这些解决方案的基本原理与上述技术相同，但数据基数较大，加上机器学习和大数据分析，可以更准确地识别恶意用户和黑色生产用户。以下内容(3.6.1–3.6.4）网易易盾《全环节风险控制解决方案深度解读》中提到的风险控制服务并不代表我的观点，仅供参考。文章末尾的参考文献中有一个文章链接。感兴趣的学生可以去看看。预防：通过数据收集用户侧信息，通过业务规则限制参与活动的门槛，通过身份验证确认用户身份，防止风险事件的发生。检测处置：通过实时在线手段检测风险，并进行相应的风险处置，防止风险事件的发生。事后分析反馈：基于长周期离线数据分析，计算用户侧、设备侧、IP侧、业务侧的各种风险特征，并作用于事前风险控制和事中风险控制。3.6.提前预防主要有三个方面：数据采集、业务规则、身份验证。a）在业务活动的各个阶段，主要包括设备指纹、操作行为、网络数据、业务数据、第三方数据等。收集的数据主要用于事件中的风险监测和事后的离线分析。b）在制定营销活动时，业务规则必须制定完整的业务规则，必须有相应的活动门槛和限制，如：用户群限制：定义哪些类型的用户可以参与活动，并指定明确的界限。例如，电子商务促销中经常出现的神券可以限制账户级别>3、年内购物次数>2才能收到等等。APP版本限制：定义哪些APP版本可以参与，例如：拉新活动需要使用最新版本的APP注册才能给予奖励。参与次数限制:明确账户级、设备级、实名信息级参与活动的上限和频率。c）身份验证主要是为了确保用户自己参与活动，主要手段包括：手机短信验证、验证码验证、密码验证、保密问题验证、机器验证：验证手机号码对应的SIM卡是否用于当前设备；实名认证，有三种：1）身份证OCR验证；2）身份证OCR、人脸验证；3)OCR身份证、体检；个人信息。3.6.2.检测和处置主要依靠三种手段：人机识别、风险控制引擎和风险处置。a）人机识别人机识别的主要区别是人，还是机器自动化。在客户端与后端的数据交互过程中，增加以下数据保护手段，一旦发现数据有问题，就是机器行为。数据合法性验证；数据加解密；数据篡改检测。b）风险控制引擎事件