本文旨在對(duì)防范羊毛黨的技術(shù)做個(gè)科普，讓大家知道羊毛黨到底是怎么薅的，有哪些方法可以杜絕羊毛黨的薅羊毛行為。enjoy~

薅羊毛這三個(gè)字大家都非常熟悉了，典故出自 1999 央視春晚小品《昨天?今天?明天》中的“薅社會(huì)主義羊毛”，而現(xiàn)在的薅羊毛主要發(fā)生在互聯(lián)網(wǎng)上，尤其集中在電商平臺(tái)、P2P網(wǎng)貸平臺(tái)等。

無(wú)利不起早，正式因?yàn)檫@些平臺(tái)有明顯的利益可圖，所以即使需要耗費(fèi)很大的精力，也有很多人樂(lè)此不疲。大家可以搜到，網(wǎng)上有各種薅羊毛信息發(fā)布網(wǎng)站，還有許多有組織的薅羊毛群體，這背后是非常大的產(chǎn)業(yè)。

正因?yàn)檠蛎h之多，斗爭(zhēng)困難，很多網(wǎng)站和商家對(duì)此都很痛苦，同時(shí)又感覺(jué)很羊毛黨神秘，好像羊毛黨有什么深不可測(cè)的技術(shù)，無(wú)力抵抗。

所以本文的目的就是對(duì)防范羊毛黨的技術(shù)做個(gè)科普，讓大家知道羊毛黨到底是怎么薅的，有哪些方法可以杜絕羊毛黨的薅羊毛行為。

大家可以先預(yù)覽一下全文的脈絡(luò)：

目錄：

1. 羊毛黨的分類

1.1 刷單刷票類

1.2 任務(wù)類

1.3 黃牛黨

1.4 黑客類

1.5 漏洞研究類

2. 通過(guò)運(yùn)營(yíng)手段防范

2.1 用戶群體限制

2.2 客戶端版本限制

2.3 次數(shù)/上限限制

3. 通過(guò)技術(shù)手段防范

3.1 封禁 IP 或 IP 段

3.2 封禁用戶

3.3 增加驗(yàn)證碼

3.4 系統(tǒng)限流

3.5 離線數(shù)據(jù)分析

3.6 綜合解決方案

4. 總結(jié)

5. Q & A

1. 羊毛黨的分類

根據(jù)具體薅的方法不同，可以把羊毛黨大致分為五類：

1.1 刷單刷票類

這類用戶主要靠刷單刷量獲取利益，比如淘寶刷單、刷評(píng)論等。刷票也算，代刷投票、閱讀數(shù)、粉絲數(shù)等等。

1.2 任務(wù)類

顧名思義，很多網(wǎng)站對(duì)特定任務(wù)會(huì)有獎(jiǎng)勵(lì)，比如注冊(cè)、問(wèn)卷、綁卡、實(shí)名認(rèn)證等等。有些是消耗時(shí)間和注意力，有些干脆是拿自己或別人的信息賣錢。

1.3 黃牛黨

黃牛黨一般利用信息不對(duì)稱或者技術(shù)優(yōu)勢(shì)、人脈優(yōu)勢(shì)，可以更早、更快獲取信息，也可能是團(tuán)隊(duì)合作，共享資源，往往會(huì)對(duì)某些稀缺資源進(jìn)行壟斷，然后再高價(jià)轉(zhuǎn)手獲利。比如多火車汽車票，有現(xiàn)場(chǎng)排隊(duì)的黃牛，也有互聯(lián)網(wǎng)上的黃牛。

1.4 黑客類

如果論技術(shù)，這些人也未必稱得上黑客。但是特點(diǎn)還是利用技術(shù)手段找到平臺(tái)安全漏洞，獲取利益。如果無(wú)節(jié)制，直接把羊薅死也不一定。比如積分商城的商品、抽獎(jiǎng)的現(xiàn)金、優(yōu)惠券代金券等等?；蛘咧苯颖瑤?kù)，轉(zhuǎn)賣用戶數(shù)據(jù)等。這一類基本都是違法行為，是要追究法律責(zé)任的。

1.5 漏洞研究類

這類用戶主要研究活動(dòng)規(guī)則的漏洞，也可能加上一點(diǎn)技術(shù)手段。跟黑客的區(qū)別就是，系統(tǒng)可能沒(méi)有漏洞，只是沒(méi)有做好防薅的工作而已。或者是活動(dòng)規(guī)則設(shè)計(jì)不健全，使之有利可圖，比如信用卡養(yǎng)卡。當(dāng)然，養(yǎng)卡這種還有深層次原因，平臺(tái)也需要這些活躍用戶，這種算是互賴型的薅羊毛。

如果再抽象一點(diǎn)，可以分成手動(dòng)和自動(dòng)兩大類。手動(dòng)的薅羊毛，即人肉薅羊毛，靠各種群集合起來(lái)，有羊頭組織和派發(fā)任務(wù)，其他人只要抽出些碎片時(shí)間參與即可。自動(dòng)的就是要建立一套程序，在特定活動(dòng)時(shí)開(kāi)啟，或者針對(duì)某些平臺(tái)長(zhǎng)期運(yùn)行。

本文主要討論如何防范自動(dòng)化的薅羊毛，因?yàn)槌撕诳椭?，這種羊毛黨危害最大。而防范黑客的話題太大，也沒(méi)有什么固定的解決方案，討論也沒(méi)啥用。而對(duì)于人肉薅羊毛，做任務(wù)、刷單等，目前也沒(méi)有太好的辦法，畢竟都是真實(shí)的用戶，除非有明確的行為數(shù)據(jù)模型可以命中，否則只能當(dāng)做正常用戶。這個(gè)后面會(huì)提到。

2. 通過(guò)運(yùn)營(yíng)手段防范

我們都知道羊毛黨的危害非常大，尤其對(duì)于運(yùn)營(yíng)活動(dòng)來(lái)說(shuō)，最常導(dǎo)致的問(wèn)題就是運(yùn)營(yíng)成本失控、數(shù)據(jù)樣本失真、垃圾賬號(hào)混淆、公正性失信等等。其中運(yùn)營(yíng)成本失控，如果把握不好，拖垮公司都是有可能的。而數(shù)據(jù)統(tǒng)計(jì)的失真，也導(dǎo)致無(wú)法清晰判斷后續(xù)的運(yùn)營(yíng)策略。羊毛黨的蜂擁而至，也會(huì)降低真實(shí)用戶的積極性這忠誠(chéng)度，榨干平臺(tái)。

要想防范羊毛黨，最主要的還是控制利益的誘惑，避免直接利益，比如紅包話費(fèi)等。而對(duì)于優(yōu)惠券之類，用戶需要購(gòu)買才能使用的，誘惑就沒(méi)那么大了。除非是五折以上或者是大額現(xiàn)金券。此外，購(gòu)物也需要填寫明確的收貨地址及其他個(gè)人信息，羊毛黨會(huì)相對(duì)謹(jǐn)慎一些。

因此，在制定營(yíng)銷活動(dòng)時(shí)，必須制定完備的業(yè)務(wù)規(guī)則，必須要有相應(yīng)的活動(dòng)門檻和限制，例如：

2.1 用戶群體限制

定義哪些類型的用戶能參與活動(dòng)，指定清晰的分界線。對(duì)于特定的活動(dòng)，可以適當(dāng)提高參與門檻，比如 V2 以上會(huì)員可以參與，有過(guò)購(gòu)買記錄的可以參與等等。這種主要針對(duì)特定群體會(huì)員做運(yùn)營(yíng)，對(duì)于被排除在外的用戶，體驗(yàn)就沒(méi)那么好了。

2.2 客戶端版本限制

定義哪些 APP 或小程序版本能參與，比如：拉新活動(dòng)要求必須使用最新版 APP 注冊(cè)才給獎(jiǎng)勵(lì)。

2.3 次數(shù)/上限限制

明確定義賬戶級(jí)、設(shè)備級(jí)、實(shí)名信息級(jí)能參與活動(dòng)的上限和參與活動(dòng)的頻率等?；顒?dòng)給用戶的預(yù)期要控制在合理的范圍，并且控制上限，才能有效防范羊毛黨。比如每個(gè)賬號(hào)的上限，每日活動(dòng)預(yù)算的上限?；顒?dòng)規(guī)則中也要明確說(shuō)明，如果發(fā)現(xiàn)有人通過(guò)刷單刷票等形式違規(guī)操作，平臺(tái)有權(quán)取消其參與資格或相應(yīng)獎(jiǎng)勵(lì)。這樣對(duì)于異步發(fā)放的獎(jiǎng)品，也可以在發(fā)放之前檢查一下數(shù)據(jù)，篩掉可疑用戶。

最后，對(duì)于所有活動(dòng)的數(shù)據(jù)，在開(kāi)發(fā)之前就要明確提出需要監(jiān)測(cè)哪些數(shù)據(jù)。不然活動(dòng)都已經(jīng)跑起來(lái)了，沒(méi)有預(yù)先埋點(diǎn)的東西肯定是拿不到的。作為運(yùn)營(yíng)對(duì)數(shù)據(jù)一定要極其敏感，如果有暴增的用戶量或者參與量，就要小心是不是有羊毛黨來(lái)襲，而不是光顧著樂(lè)。

3. 通過(guò)技術(shù)手段防范

我們可以先簡(jiǎn)單看一下騰訊云的防刷接口對(duì)風(fēng)險(xiǎn)類型的定義：

通過(guò)技術(shù)手段薅羊毛，最常見(jiàn)的就是高頻刷接口，惡意注冊(cè)賬號(hào)，撞庫(kù)等。而這類羊毛黨，一般會(huì)大量養(yǎng)卡，或有很多虛擬的打碼平臺(tái)，可以提供手機(jī)號(hào)+驗(yàn)證碼服務(wù)。有的可能還會(huì)擁有大量動(dòng)態(tài)IP地址，海外服務(wù)器，以及批量的身份證等。還有專業(yè)的設(shè)備，稱作“貓池”、“卡池”。對(duì)于移動(dòng)端的業(yè)務(wù)，許多這類公司還購(gòu)入大量實(shí)體手機(jī)，再通過(guò)軟件批量控制，稱為“群控”，這個(gè)我在《微信里的賺錢路子》文章里提到過(guò)。對(duì)于這種羊毛黨和黑灰產(chǎn)，傳統(tǒng)的防護(hù)手段一般有三種：封IP，封用戶，增加驗(yàn)證碼。下面分別進(jìn)行講解。

3.1 封禁 IP 或 IP 段

針對(duì)異常 IP，我們可以通過(guò)技術(shù)手段直接封掉。目前大部分網(wǎng)站的接入層都是 Nginx，那么可以考慮使用 deny 配置封禁 IP 或 IP 段：

deny 1.2.3.4;deny 1.2.3.4/24;

如果運(yùn)維層面不方便操作，也可以把請(qǐng)求放到應(yīng)用層封禁，由 WEB 容器來(lái)解決。這里要注意，封禁 IP 或 IP 段是有風(fēng)險(xiǎn)的，許多公司對(duì)外的出口 IP 都是統(tǒng)一的，如果全公司很多人同時(shí)訪問(wèn)某網(wǎng)站，就可能被誤傷。共享的 WIFI，某些移動(dòng)基站也可能是有固定的出口 IP，所以最好輕易不要封禁 IP 或 IP 段。

3.2 封禁用戶

我們可以根據(jù)某些特定的規(guī)則，篩選識(shí)別出一批用戶，對(duì)其進(jìn)行一些限制。可以采用黑名單機(jī)制，或者用戶風(fēng)險(xiǎn)分級(jí)、信用分級(jí)等等。然后再根據(jù)黑/白名單，或用戶等級(jí)限制特定的行為，比如完全拒絕服務(wù)、限制某些功能、限制大獎(jiǎng)等等。

封禁用戶的標(biāo)記有很多種，最基本的如果用戶有登錄態(tài)的話，就可以直接封賬號(hào)。如果沒(méi)有的話，可以通過(guò)設(shè)備指紋來(lái)標(biāo)識(shí)設(shè)備，根據(jù)平臺(tái)的不同，設(shè)備指紋可以是 PC 端的瀏覽器指紋，移動(dòng)端的 IMEI、MAC 地址、UUID 等，或者這些條件綜合起來(lái)計(jì)算出來(lái)的 machine key，使之無(wú)法造假，然后在關(guān)鍵請(qǐng)求時(shí)校驗(yàn) machine key 的合法性。

網(wǎng)絡(luò)環(huán)境也是個(gè)因素，WIFI 和 4G 的切換，或者網(wǎng)絡(luò) IP 的變化，都可以是拒絕服務(wù)的理由。這種在銀行 APP 中最常見(jiàn)，如果切換了網(wǎng)絡(luò)，銀行 APP 一般會(huì)要求重新驗(yàn)證身份才能繼續(xù)操作。然而，目前市面上已經(jīng)出現(xiàn)了各種改機(jī)軟件和模擬器，能不斷修改設(shè)備信息，讓一般的設(shè)備指紋失去作用。

這種方式的風(fēng)險(xiǎn)就是，規(guī)則要慢慢養(yǎng)成，過(guò)程中必然有遺漏和誤殺，操作不當(dāng)可能會(huì)引起大量投訴。所以這種方式最好是寬進(jìn)嚴(yán)出，默認(rèn)用戶都是好的，再慢慢收緊，識(shí)別出明確的惡意用戶。對(duì)于可疑但不確定的用戶，可以先標(biāo)記等級(jí)，再針對(duì)這些等級(jí)單獨(dú)觀察后續(xù)行為后，對(duì)其進(jìn)行等級(jí)的升降。然后針對(duì)不同等級(jí)限制行為。

關(guān)于羊毛用戶的識(shí)別標(biāo)記，可以是基本數(shù)據(jù)是否健全，比如資料是否完整，是否有真實(shí)可信的昵稱，手機(jī)號(hào)等；行為數(shù)據(jù)，如鼠標(biāo)點(diǎn)擊、鼠標(biāo)移動(dòng)、按鍵次數(shù)，每次打卡是否固定時(shí)間等等；更高級(jí)一點(diǎn)的，可以實(shí)施全路徑實(shí)時(shí)布控策略，從 APP 啟動(dòng)、賬號(hào)注冊(cè)、登錄，到業(yè)務(wù)場(chǎng)景（如直播熱度/電商銷量排行等），再到設(shè)備風(fēng)險(xiǎn)（篡改、虛擬機(jī)、設(shè)備農(nóng)場(chǎng)、積分墻等）設(shè)下層層關(guān)卡，全棧式防御欺詐行為。

3.3 增加驗(yàn)證碼

驗(yàn)證碼有很多種，往往加在重要操作流程中，比如注冊(cè)/登錄/綁卡/支付等環(huán)節(jié)，大家應(yīng)該都體驗(yàn)過(guò)五花八門的驗(yàn)證碼。比如注冊(cè)用戶時(shí)的拼圖滑塊、Google 的 I’m not robot、手機(jī)驗(yàn)證碼、圖片驗(yàn)證碼等等。

第三方授權(quán)的功能也是一道天然屏障，比如微信授權(quán)、QQ登錄授權(quán)，這樣惡意用戶需要先經(jīng)過(guò)第三方驗(yàn)證一道，起碼在訪問(wèn)頻率和賬號(hào)真實(shí)性上多了一道屏障。如果業(yè)務(wù)允許的話，還可以要求用戶進(jìn)行實(shí)名認(rèn)證，密保問(wèn)題校驗(yàn)等等。當(dāng)然，步驟越多體驗(yàn)就越差。

驗(yàn)證碼的主要作用就是區(qū)分操作者到底是人還是機(jī)器。但是不同的驗(yàn)證碼難度千差萬(wàn)別，普通的手機(jī)驗(yàn)證碼，有專門的打碼平臺(tái)可以提供 手機(jī)號(hào)+驗(yàn)證碼 服務(wù)，而且都是程序?qū)樱詣?dòng)化執(zhí)行。而對(duì)于一般的圖片驗(yàn)證碼，也有很多公開(kāi)的圖片驗(yàn)證碼識(shí)別服務(wù)。因此才會(huì)導(dǎo)致各個(gè)平臺(tái)的驗(yàn)證碼越做越復(fù)雜，到了人類都很難辨認(rèn)的程度，體驗(yàn)很差。

3.4 系統(tǒng)限流

限流只能一定程度上緩解，或者說(shuō)讓風(fēng)險(xiǎn)可控。主要是防止惡意請(qǐng)求流量、惡意攻擊，或者防止流量超出系統(tǒng)的峰值，破壞系統(tǒng)。前面第 1 小點(diǎn)封禁 IP 也可以理解為限流的一種，在接入層直接拒絕，對(duì)于系統(tǒng)資源的損耗最小。而對(duì)于網(wǎng)絡(luò)流量，可以使用 Nginx 的 limit 模塊進(jìn)行限制，防止過(guò)大的流量穿透到后端應(yīng)用。

常用的限流算法有兩種：令牌桶算法，漏桶算法。令牌桶算法，是一個(gè)存放固定容量令牌的桶，單位時(shí)間內(nèi)，拿到令牌的才能通過(guò)，多余的不派發(fā)令牌；漏桶算法則是單位時(shí)間內(nèi)流出的數(shù)量固定，流入無(wú)所謂。那么無(wú)論對(duì)于網(wǎng)絡(luò)請(qǐng)求的數(shù)據(jù)量，還是用戶新增的數(shù)量，獎(jiǎng)品發(fā)放的數(shù)量，都可以使用這兩種思路進(jìn)行限制。這里是系統(tǒng)架構(gòu)的知識(shí)，不再贅述。

3.5 離線數(shù)據(jù)分析

如果活動(dòng)已經(jīng)在進(jìn)行，或者活動(dòng)已經(jīng)結(jié)束，但是總感覺(jué)不對(duì)勁，這時(shí)候就要采用離線數(shù)據(jù)分析的方法，仔細(xì)辨別是否有羊毛黨的存在。那么數(shù)據(jù)從哪里來(lái)呢？

前面提過(guò)，除了活動(dòng)必須的數(shù)據(jù)之外，如果想更深入地分析用戶行為，那么在需求設(shè)計(jì)階段就要想好，希望記錄哪些行為，便于后續(xù)分析。如果系統(tǒng)沒(méi)有提供這些能力，顯然也沒(méi)有相關(guān)的數(shù)據(jù)可以分析了。

3.6 綜合解決方案

完整風(fēng)控解決方案，不僅要考慮用戶體驗(yàn)，同時(shí)又要兼顧效果，需要考慮很多方面。因此有很多大小公司都專門提供了這方面的解決方案。比如騰訊、阿里、網(wǎng)易等等，此外還有許多提供這種業(yè)務(wù)的公司，搜索“防薅羊毛”就會(huì)出現(xiàn)很多。這些解決方案的基本原理與上述技術(shù)無(wú)異，只是數(shù)據(jù)基數(shù)更大，再加上機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析，可以更加準(zhǔn)確識(shí)別出惡意用戶和黑產(chǎn)用戶。

以下內(nèi)容（3.6.1 – 3.6.4）來(lái)自網(wǎng)易易盾《全鏈路風(fēng)控解決方案深度解讀》中提到的風(fēng)控服務(wù)，不代表本人觀點(diǎn)，僅供參考，文末參考文獻(xiàn)中有文章鏈接，感興趣的同學(xué)可以前往查看。

事前預(yù)防：通過(guò)數(shù)據(jù)采集收集用戶側(cè)信息、通過(guò)業(yè)務(wù)規(guī)則來(lái)限定參與活動(dòng)的門檻、通過(guò)身份核驗(yàn)來(lái)確認(rèn)用戶身份等手段，防止風(fēng)險(xiǎn)事件的發(fā)生。

事中檢測(cè)處置：通過(guò)實(shí)時(shí)在線的手段來(lái)檢測(cè)風(fēng)險(xiǎn)，并做相應(yīng)的風(fēng)險(xiǎn)處置，防止風(fēng)險(xiǎn)事件的發(fā)生。

事后分析回饋：基于長(zhǎng)周期的離線數(shù)據(jù)分析，計(jì)算用戶側(cè)、設(shè)備側(cè)、IP側(cè)、業(yè)務(wù)側(cè)的各種風(fēng)險(xiǎn)特征，并作用于事前風(fēng)控和事中風(fēng)控。

3.6.1 事前預(yù)防

事前預(yù)防主要有三個(gè)層面的事項(xiàng)：數(shù)據(jù)采集、業(yè)務(wù)規(guī)則、身份核驗(yàn)。

a）數(shù)據(jù)采集

在業(yè)務(wù)活動(dòng)的各個(gè)階段，都需要埋點(diǎn)采集數(shù)據(jù)，主要有設(shè)備指紋、操作行為、網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、第三方數(shù)據(jù)等。采集的數(shù)據(jù)主要用于事中的風(fēng)險(xiǎn)監(jiān)測(cè)和事后的離線分析。

b）業(yè)務(wù)規(guī)則

在制定營(yíng)銷活動(dòng)時(shí)，必須制定完備的業(yè)務(wù)規(guī)則，必須要有相應(yīng)的活動(dòng)門檻和限制，例如：

• 用戶群體限制：定義哪些類型的用戶能參與活動(dòng)，指定清晰的分界線。比如：電商大促經(jīng)常出現(xiàn)的神券，可以限制賬戶等級(jí)>3、年度內(nèi)購(gòu)物次數(shù)>2才能領(lǐng)取等等。
• APP版本限制：定義哪些APP版本能參與，比如：拉新活動(dòng)要求必須使用最新版APP注冊(cè)才給獎(jiǎng)勵(lì)。
• 參與次數(shù)限制：明確定義賬戶級(jí)、設(shè)備級(jí)、實(shí)名信息級(jí)能參與活動(dòng)的上限和參與活動(dòng)的頻率等。

c）身份核驗(yàn)

身份核驗(yàn)主要是為了確保是用戶自己來(lái)參與活動(dòng)，主要手段包括：手機(jī)短信校驗(yàn)；驗(yàn)證碼校驗(yàn)；密碼校驗(yàn)；密保問(wèn)題校驗(yàn)；本機(jī)校驗(yàn)：校驗(yàn)手機(jī)號(hào)對(duì)應(yīng)的SIM卡是否在當(dāng)前設(shè)備中使用；實(shí)名認(rèn)證，有三種：1）身份證OCR校驗(yàn)；2）身份證OCR、人臉校驗(yàn)；3）身份證OCR、活體檢測(cè)；個(gè)人信息。

3.6.2 事中檢測(cè)處置

事中檢測(cè)主要依賴人機(jī)識(shí)別、風(fēng)控引擎、風(fēng)險(xiǎn)處置三個(gè)手段。

a）人機(jī)識(shí)別

人機(jī)識(shí)別主要區(qū)分是人，還是機(jī)器自動(dòng)化的行為?？蛻舳伺c后端的數(shù)據(jù)交互過(guò)程中，增加如下的數(shù)據(jù)保護(hù)手段，一旦發(fā)現(xiàn)數(shù)據(jù)有問(wèn)題，則都是機(jī)器行為。數(shù)據(jù)合法性校驗(yàn)；數(shù)據(jù)加解密；數(shù)據(jù)篡改檢測(cè)。

b）風(fēng)控引擎

事中檢測(cè)的核心工具就是風(fēng)控引擎，風(fēng)控引擎主要的工作是識(shí)別風(fēng)險(xiǎn)，一般的風(fēng)控引擎都需要如下幾個(gè)功能：

• 名單服務(wù)：建立黑、白、灰名單；
• 畫像服務(wù)：建立基于IP、手機(jī)號(hào)、賬戶等層級(jí)的畫像服務(wù)；
• 指標(biāo)計(jì)算：一般包括高頻類統(tǒng)計(jì)、求和、計(jì)數(shù)、求平均值、求最大值、求最小值等等；
• 風(fēng)控模型：基于采集到的數(shù)據(jù)，建立風(fēng)控模型，比如：設(shè)備模型、行為模型、業(yè)務(wù)模型等；
• 規(guī)則引擎：最終的風(fēng)控?cái)?shù)據(jù)進(jìn)入規(guī)則引擎，由規(guī)則引擎判斷是否存在風(fēng)險(xiǎn)。風(fēng)控運(yùn)營(yíng)需基于業(yè)務(wù)建立各種風(fēng)控規(guī)則，以識(shí)別風(fēng)險(xiǎn)。

c）風(fēng)險(xiǎn)處置

識(shí)別到風(fēng)險(xiǎn)之后，需要對(duì)風(fēng)控進(jìn)行處置，處置手段一般有：

• 二次校驗(yàn)：比如，正常用戶無(wú)需二次校驗(yàn)，有風(fēng)險(xiǎn)的用戶需再次校驗(yàn)手機(jī)短信等；
• 攔截：拒絕當(dāng)前業(yè)務(wù)操作；
• 降低獎(jiǎng)勵(lì)：比如，正常用戶的獎(jiǎng)勵(lì)金是1元，風(fēng)險(xiǎn)用戶獎(jiǎng)勵(lì)金是0.01元；
• 拉黑：直接進(jìn)黑名單；
• 名單監(jiān)控：進(jìn)灰名單監(jiān)控；
• 風(fēng)險(xiǎn)審核：進(jìn)入人工審核，比如：電商場(chǎng)景的訂單業(yè)務(wù)，一般嫌疑類風(fēng)險(xiǎn)訂單，都會(huì)安排人工審核。

3.6.3 事后分析回饋

事后主要是做離線分析，分析結(jié)果可作用于事中實(shí)時(shí)檢測(cè)和事前預(yù)防。對(duì)于T+N的業(yè)務(wù)（比如：拉新獎(jiǎng)勵(lì)金提現(xiàn)），離線分析之后，若識(shí)別出風(fēng)險(xiǎn)，也可以做攔截（拒絕此次提現(xiàn)）。

離線分析主要有幾個(gè)方面：

• 離線指標(biāo)：基于長(zhǎng)周期、大數(shù)據(jù)的離線指標(biāo)計(jì)算；
• 關(guān)聯(lián)分析：基于前后關(guān)聯(lián)業(yè)務(wù)、關(guān)聯(lián)數(shù)據(jù)做關(guān)聯(lián)分析，識(shí)別風(fēng)險(xiǎn)用戶、風(fēng)險(xiǎn)操作；
• 復(fù)雜網(wǎng)絡(luò)：基于用戶數(shù)據(jù)、設(shè)備數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)，建立復(fù)雜關(guān)系網(wǎng)絡(luò)，基于數(shù)據(jù)與數(shù)據(jù)之間的關(guān)系，來(lái)識(shí)別風(fēng)險(xiǎn)；
• 模型訓(xùn)練：基于機(jī)器學(xué)習(xí)、深度學(xué)習(xí)技術(shù)來(lái)構(gòu)建業(yè)務(wù)模型、設(shè)備模型、行為模型，或文本類模型（異常地址檢測(cè)、異常昵稱檢測(cè)）等；
• 名單庫(kù)：通過(guò)離線分析，積累、沉淀各種名單庫(kù)；
• 數(shù)據(jù)畫像：基于離線分析，對(duì)賬戶、IP、設(shè)備、手機(jī)號(hào)等構(gòu)建數(shù)據(jù)畫像。

3.6.4 全鏈路布控

全鏈路風(fēng)控解決方案另一個(gè)非常重要的過(guò)程是：全鏈路布控。若只是構(gòu)建了全鏈路風(fēng)控模型（工具），未做全鏈路部署，那也是大材小用。

全鏈路布控主要要做到：

多業(yè)務(wù)布防：在業(yè)務(wù)的各個(gè)環(huán)節(jié)都需布控防刷手段，一般的營(yíng)銷活動(dòng)都需先注冊(cè)、登錄，再參與營(yíng)銷活動(dòng)。所以，可以在注冊(cè)、登錄、營(yíng)銷活動(dòng)各個(gè)環(huán)境都布控風(fēng)控檢測(cè)。

聯(lián)防聯(lián)控：前置業(yè)務(wù)為后置業(yè)務(wù)產(chǎn)出事前特征，避免后置業(yè)務(wù)風(fēng)控檢測(cè)冷啟動(dòng)；后置業(yè)務(wù)為前置業(yè)務(wù)提供事后特征，比如：準(zhǔn)實(shí)時(shí)、中長(zhǎng)周期的風(fēng)險(xiǎn)特征。

3.6.5 第三方解決方案的弊端

第三方解決方案的弊端就是對(duì)系統(tǒng)的侵入，需要我們?cè)谧约旱南到y(tǒng)里嵌入許多外部代碼。那么帶來(lái)的風(fēng)險(xiǎn)就是，系統(tǒng)數(shù)據(jù)全部開(kāi)放給外部，用戶數(shù)據(jù)風(fēng)險(xiǎn)，業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)風(fēng)險(xiǎn)，系統(tǒng)可用性風(fēng)險(xiǎn)等。一旦外部系統(tǒng)出現(xiàn)問(wèn)題，可能導(dǎo)致我們自己的系統(tǒng)不可用，或者數(shù)據(jù)泄漏。如果不能接受這一點(diǎn)，或者無(wú)法信任第三方，或者公司政策不允許，那就無(wú)法使用這種服務(wù)。

4. 總結(jié)

最后，我綜合總結(jié)一下全文的梗概，如果前面都沒(méi)仔細(xì)看的話，那么只看這里就可以了。

（1）適用范圍

主要針對(duì)自動(dòng)化薅羊毛的防御。

（2）業(yè)務(wù)邏輯設(shè)計(jì)

拉新活動(dòng)要小心（拉新送、注冊(cè)送、關(guān)注送、新用戶立減、日常打卡、簽到、獲得積分、積分兌換、抽獎(jiǎng)）。

（3）系統(tǒng)設(shè)計(jì)

接入層：Nginx，限制頻率，IP 黑名單（代理IP識(shí)別）；

應(yīng)用層：redis，漏桶，令牌桶算法；

接口層：訪問(wèn)控制，防重入 token（token是用戶一次操作的唯一標(biāo)識(shí)），模糊的響應(yīng)迷惑惡意請(qǐng)求；

業(yè)務(wù)層：驗(yàn)證碼，黑/白名單機(jī)制（大數(shù)據(jù)），設(shè)備指紋，行為數(shù)據(jù)，全鏈路布控；

界面層：提高破解門檻，防自動(dòng)化（按鍵精靈等）；

數(shù)據(jù)分析：分析歷史作弊數(shù)據(jù)，優(yōu)化活動(dòng)獎(jiǎng)勵(lì)，采用堵不如疏的策略，與其強(qiáng)硬的一刀切，不如提升攻擊成本，減少獲利；機(jī)器學(xué)習(xí)，大數(shù)據(jù)反作弊平臺(tái)，GCN、Node2V、Louvain、GAN、GBS、LSTM等模型，我也看不懂了~

以上，就是防范羊毛黨相關(guān)技術(shù)的全部?jī)?nèi)容，建議收藏。最后，我們?cè)倩仡櫼幌挛恼旅}絡(luò)：

5. Q & A

問(wèn)：要不要使用第三方風(fēng)控服務(wù)？

答：這完全取決于你所在公司或業(yè)務(wù)的狀況，包括對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的容忍度、系統(tǒng)對(duì)接的難度、費(fèi)用問(wèn)題、招標(biāo)等等。具體情況具體分析了。

問(wèn)：被拒絕的用戶的體驗(yàn)是怎樣的？

答：這里可以適當(dāng)柔性處理，如果不確定是否惡意用戶，可以做隱性的限制，再根據(jù)后續(xù)行為繼續(xù)觀察打標(biāo)。對(duì)于惡意刷接口、刷票等，也可以返回具有迷惑性的錯(cuò)誤提示，避免羊毛黨猜到系統(tǒng)判斷邏輯。比如我就遇到過(guò)刷票接口，使用技術(shù)手段嘗試，每次都返回投票成功，但實(shí)際并沒(méi)有，你也不知道為啥，因?yàn)闆](méi)有特定的錯(cuò)誤碼和提示。別問(wèn)我為什么知道。

問(wèn)：限制自動(dòng)化有具體的例子嗎？

答：微信 PC 客戶端就是個(gè)很好的例子。你可以用按鍵精靈或者 autoit 之類的軟件嘗試，會(huì)發(fā)現(xiàn)它的窗口是捕獲不到的，所以就很難編寫自動(dòng)化腳本。不過(guò)，在安卓下面由于系統(tǒng)可以高度定制，所以這都不是問(wèn)題了。

好了，如有大家還有其他任何疑問(wèn)，歡迎隨時(shí)留言與我溝通。

參考文獻(xiàn)：

全鏈路風(fēng)控解決方案深度解讀

文檔中心 – 天御業(yè)務(wù)安全防護(hù)

作者：姬小光，微信公眾號(hào)“姬小光（ID：hi-laser）”