8月2日，以 “數(shù)字新娛樂，科技新生活”為展會主題的第十七屆中國國際數(shù)碼互動娛樂展覽會（ChinaJoy2019）在上海新國際博覽中心隆重舉行，在這場精彩絕倫的游戲盛宴上，全球領(lǐng)先的一站式AI反欺詐平臺DataVisor也參加了此次盛會。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

隨著游戲類型的不斷增加，其中的安全隱患也將越來越多。尤其是現(xiàn)今黑產(chǎn)猖狂，欺詐越演越烈，逐步滲透進了各行各業(yè)，在具有競技性、挑戰(zhàn)性和持續(xù)性的游戲行業(yè)，欺詐更讓黑產(chǎn)們得以滋養(yǎng)。

今天雷鋒網(wǎng)邀請到了DataVisor維擇科技資深行業(yè)顧問余丹，跟我們談?wù)動螒虍a(chǎn)業(yè)內(nèi)黑產(chǎn)欺詐的形態(tài)以及反欺詐技術(shù)。

游戲行業(yè)欺詐態(tài)勢大揭秘

近幾年，社交平臺和電商平臺如雨后春筍瘋狂增長，改變了人們的生活方式、社交方式，越來越多的人看到了線上的“紅利”，在游戲行業(yè)里，這樣的態(tài)勢為黑產(chǎn)和欺詐提供了生長的沃土，廣觸角、多形態(tài)地危害用戶權(quán)益，謀取不法利益。

余丹告訴雷鋒網(wǎng)，在游戲行業(yè)中的欺詐正在以某種方式形成一種生態(tài)，在潛滋暗長。她從兩個方面為我們詳細解讀了在游戲行業(yè)中存在欺詐的類型和形態(tài)。

一方面是在游戲推廣中存在的欺詐，這種欺詐多存在于廠商通過互聯(lián)網(wǎng)推廣的版面中。國內(nèi)前段時間不允許發(fā)游戲的牌照號，導致很多游戲廠商去國外發(fā)牌，他們在買量推廣中時常買到假量，從用戶看廣告、點廣告，甚至到跳轉(zhuǎn)到應(yīng)用商店都存在欺詐行為。另一方面是在進入游戲應(yīng)用后的欺詐，當用戶進入游戲中就會面臨刷量、刷機、外掛、虛假打關(guān)、虛假購買裝備、虛假充值等一系列欺詐。

雖然很多機構(gòu)開展反欺詐的監(jiān)測和攻擊，但所謂道高一尺，魔高一丈。在對黑產(chǎn)行為數(shù)據(jù)的追蹤、分析中，余丹發(fā)現(xiàn)了那些黑產(chǎn)們的 “障眼法”。簡單來說黑產(chǎn)們會模擬真人，尤其在點擊的時候，很多第三方不愿意將數(shù)據(jù)給客戶，客戶自己拿不到點擊數(shù)據(jù)就很難去分析，所以就給了黑產(chǎn)可乘之機。他們還會用一些高超的手段，比如虛擬用戶，通過操控腳本一起創(chuàng)建賬號，一起打關(guān)，大批量的行動可以降低成本。有些黑產(chǎn)還會自己組織窩點真人刷機，但是這種方式的成本較高，并且在轉(zhuǎn)移過程中非常困難，所以很多黑產(chǎn)會選擇模擬的形式展開行動。

“我們有專門研究黑產(chǎn)行動的人員，之前發(fā)現(xiàn)一些黑產(chǎn)的行為實際上是一些群控的軟件，成本很高，需要買設(shè)備?，F(xiàn)在他們直接使用一些模擬器的軟件，可以直接操控一百個用戶，成本是在降低。如果他們的腳本編的好，可以實現(xiàn)設(shè)備隨機、IP隨機。當他們要去批量控制的時候，都會遵循點擊進入游戲，然后注冊登錄，再完成新手導航的過程，這是一個群組行動。”

從上面黑產(chǎn)的欺詐形態(tài)中可以看出，游戲行業(yè)的每個環(huán)節(jié)中都可能存在刷量、刷機欺詐，尤其是在游戲推廣階段的刷量已經(jīng)成為黑產(chǎn)的焦點。在余丹看來，這種大批量的相類似行為可以成為反欺詐監(jiān)測的一個標準。

 

反欺詐的“硬核”

黑產(chǎn)雖然猖獗，但并不是無規(guī)律可尋，他們經(jīng)常以團伙形式出現(xiàn)，模仿正常用戶行為來逃避檢測。而通常情況下，傳統(tǒng)的以行業(yè)經(jīng)驗進行規(guī)則創(chuàng)建和模型訓練的反欺詐解決方案，則無法發(fā)現(xiàn)新攻擊。

“相比于傳統(tǒng)的反欺詐檢測技術(shù)，DataVisor無監(jiān)督的反欺詐方案可以查看全局內(nèi)所有賬戶的活動信息，可以及時有效地區(qū)分潛伏賬號與合法賬號。”

以點擊欺詐和安裝欺詐為例。當用戶看到廣告時，會產(chǎn)生點擊廣告的行為，黑產(chǎn)們會利用歸因規(guī)則，通過大點擊事件、點擊劫持去騙取歸因。此時，無監(jiān)督學習可以通過客戶提供的脫敏數(shù)據(jù)，把每一次點擊歸因到每一個用戶身上，再去分析用戶在下載APP之前產(chǎn)生過多少次的點擊，每一次點擊事件的行為如何，通過無監(jiān)督聚類分析，挖掘潛伏欺詐行為，并做詳細說明。

除了可以區(qū)分賬號的“好與惡”，無監(jiān)督學習還能夠挖掘賬號之間的隱秘關(guān)聯(lián)，及時檢測未被發(fā)現(xiàn)或未在訓練數(shù)據(jù)中標記的新型攻擊，有效應(yīng)對不斷進化升級的欺詐行為，并且可以有效輸出群組結(jié)果，為客戶提出多樣化風控策略。

余丹提到，在DataVisor在服務(wù)中國區(qū)的第一個客戶Funplus時，游戲產(chǎn)業(yè)中的欺詐行為及技術(shù)便已十分多樣化。

最開始，攻擊者通過刷機、下載這種最常見的欺詐手段。隨著技術(shù)升級，他們開始做應(yīng)用內(nèi)的虛假打關(guān)，虛假活躍。他們以六小時為間隔，每六小時有一組人活躍，下一時間段換另一組活躍，一天活躍三四次。這些行為在無監(jiān)督學習的檢測下，及時挖掘群組行為之間的可疑關(guān)聯(lián)和相似屬性，及時調(diào)整模型保持時刻有效。

部分游戲公司，此前一直很穩(wěn)，后來突然出現(xiàn)了斷崖式留存，用戶在前半個月非?；钴S，到第15天時卻集體消失。通過無監(jiān)督監(jiān)測，發(fā)現(xiàn)這是黑產(chǎn)的一種手段，他們與廠商定14日留存的KPI，讓這些虛假用戶活動14天，到15天錢款入賬后便全部撤走。實際上，DataVisor在七天的時候已經(jīng)監(jiān)測到這些黑產(chǎn)的行動，后續(xù)又將窗口期延長至15天，使輸出的群組結(jié)果更加詳細，幫助客戶制定更加準確的方案。

在提到與不同廠商之間的合作時，余丹表示不同公司的情況不同，在開展無監(jiān)督學習方案，進行用戶數(shù)據(jù)分析、建模、訓練等過程所用時長也不相同。

“我們最快可以用三天時間幫助廠商完成模型搭建，但通常會用2—3周，視廠商具體情況而定。前期一般是數(shù)據(jù)收集和特征提取，之后進行模型訓練，訓練結(jié)束后需要一周時間進行部署，與客戶一起做試運營和使用指導。”

在數(shù)據(jù)收集方面，余丹指出了三個途徑。第一個是源于數(shù)據(jù)追蹤公司，通過與游戲廠商合作的第三方數(shù)據(jù)追蹤平臺對接獲得數(shù)據(jù)。第二個是游戲廠商自己收集數(shù)據(jù)，通過線下傳遞的方式獲取，這種方式不涉及客戶隱私問題。第三種就是DataVisor通過自己的方式獲取數(shù)據(jù)，比如SDK，可以直接采集客戶數(shù)據(jù)，方便建模。

無論是哪一種途徑，都要針對每一個客戶的數(shù)據(jù)做單獨的特征提取和模型訓練。在模型訓練過程中，廠商的底層技術(shù)保持不變，包括游戲中的通用流程，比如很多游戲需要登錄、注冊的步驟；而改變的是針對每個客戶的游戲特征做個性化增減，比如卡牌類游戲不需要注冊，進入游戲后直接找對手，這就需要有針對行地去建立符合游戲特征的模型。

在實際的游戲中，無監(jiān)督學習構(gòu)建的模型是需要不斷調(diào)整的。玩家行為多變，很多時候是不容易提前預(yù)判的，尤其對于一些電腦高手來說，他們可能會變換各種形式去進行攻擊。而對于無監(jiān)督來說是不需要提前預(yù)判玩家的行為和特征，而是通過批量的、集群抓取的方式，及時調(diào)整模型，聚類分析篩選出黑產(chǎn)，這其中涉及到無監(jiān)督抓取的準確度和效率問題。

“我們在做模型時考慮到精準性，模型的維度切得越細，精準度就越高，比如在三維空間中和在上千維度空間中去做，一定是上千維空間的數(shù)據(jù)更準確。所以我們在拿到的數(shù)據(jù)字段做特征提取，把每一個特征都切得特別細，然后在高維空間中做聚類分析，提升準確度。同時針對每一個場景，調(diào)整容錯率?！币簿褪钦f針對不同場景的玩家需求，調(diào)整抓取的準確度。

雖然說維度高將提升準確度，但并不是標簽越多準確度越高，而是有效的數(shù)據(jù)處理字段越多，精準度才會越高。比如需要用戶的經(jīng)緯度時，客戶卻報不上來，這時候就算有一百個用戶也算是無效字段，只有有效字段才能切得更細，并且需要后續(xù)調(diào)整，滿足具體需求。

余丹舉了一個例子，“在游戲欺詐里，購買服務(wù)器是比較常見的，當游戲廠商需要100個美國的新用戶時，黑產(chǎn)們就會買一些代理IP，能夠讓用戶的IP產(chǎn)生在美國，才能編造出來自美國的用戶。當我們獲取數(shù)據(jù)時發(fā)現(xiàn)，這些用戶的行為很跳躍，經(jīng)過建模的聚類分析這些代理商的IP是不同段內(nèi)的，所以用戶的行為就呈現(xiàn)出全球跳躍的狀態(tài)，可能上一秒在北京，下一秒就在西雅圖，通過我們對全球欺詐用戶的觀測，我們發(fā)現(xiàn)IP最聚集的地方是柬埔寨，人力比較便宜的地方，所以黑產(chǎn)比較密集?！?/p>

隨著欺詐技術(shù)的不斷提升，無監(jiān)督學習也在不斷升級和迭代，強化數(shù)據(jù)化分析，精細到每一個渠道，數(shù)據(jù)上的可視化分析帶來更好的體驗，在滿足用戶需求方面，無監(jiān)督學習與市場需求越來越近。

中小型企業(yè)市場路在何方

無論是大型企業(yè)，還是中小型企業(yè)，涉及到安全和利潤的事情都是不容忽視的。在游戲行業(yè)，即便是一個或兩個人開發(fā)的游戲公司，也會遇到花錢買假量，這些虛假充值、虛假用戶，不僅不能實現(xiàn)增值，反而影響利潤，甚至是長遠發(fā)展。在與中小型企業(yè)匹配的過程中，余丹還發(fā)現(xiàn)中小型企業(yè)有他們自身的技術(shù)問題，比如沒有專門的技術(shù)支持，一個人要身兼多職等，這正是巨大的市場需求，DataVisor的觸角也正逐步拓展至中小型企業(yè)。

但是對于中小型企業(yè)來說，他們的數(shù)據(jù)量很小，這也是很多廠商所擔心的，他們認為自身的數(shù)據(jù)量不夠，不足以監(jiān)測欺詐，構(gòu)建模型，進行模型訓練。

“不依托海量數(shù)據(jù)也可以進行反欺詐監(jiān)測，無監(jiān)督學習的核心在于特征工程研究。基本上一個月有上萬的數(shù)據(jù)量就可以做，這個數(shù)據(jù)標準已經(jīng)很低，基本上放在應(yīng)用商店里面就可以達到?！贝_切來說，無監(jiān)督學習可以根據(jù)客戶的數(shù)據(jù)量多少構(gòu)建符合實際需求的模型，然后在后續(xù)的訓練中逐步調(diào)整。

隨著在國內(nèi)的發(fā)展，DataVisor與中小型企業(yè)的項目落地已有兩年，未來繼續(xù)下沉中小型企業(yè)似乎是DataVisor必然的發(fā)展趨勢，一方面我們可以看到無監(jiān)督學習與中小型企業(yè)的數(shù)據(jù)匹配很高，另一方面是頭部市場已經(jīng)基本做的差不多。

在談到未來布局，余丹表示，“首先就是要節(jié)省數(shù)據(jù)對接的流程，可以直接通過第三方對接進來；其次要給客戶提供更多的解決方案，帶來更好的體驗，比如幫助客戶做數(shù)據(jù)采集、為客戶提供建議、提供可視化的數(shù)據(jù)分析和方案等?！?/p>

中小型游戲企業(yè)市場錯綜復雜，需求多樣，如何在不斷完善自身技術(shù)的同時，深度挖掘市場需求，滿足企業(yè)的個性化需求，將是DataVisor打通中小型企業(yè)市場脈絡(luò)的關(guān)鍵。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。