8月2日，以 “數(shù)字新娛樂(lè)，科技新生活”為展會(huì)主題的第十七屆中國(guó)國(guó)際數(shù)碼互動(dòng)娛樂(lè)展覽會(huì)（ChinaJoy2019）在上海新國(guó)際博覽中心隆重舉行，在這場(chǎng)精彩絕倫的游戲盛宴上，全球領(lǐng)先的一站式AI反欺詐平臺(tái)DataVisor也參加了此次盛會(huì)。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

隨著游戲類型的不斷增加，其中的安全隱患也將越來(lái)越多。尤其是現(xiàn)今黑產(chǎn)猖狂，欺詐越演越烈，逐步滲透進(jìn)了各行各業(yè)，在具有競(jìng)技性、挑戰(zhàn)性和持續(xù)性的游戲行業(yè)，欺詐更讓黑產(chǎn)們得以滋養(yǎng)。

今天雷鋒網(wǎng)邀請(qǐng)到了DataVisor維擇科技資深行業(yè)顧問(wèn)余丹，跟我們談?wù)動(dòng)螒虍a(chǎn)業(yè)內(nèi)黑產(chǎn)欺詐的形態(tài)以及反欺詐技術(shù)。

游戲行業(yè)欺詐態(tài)勢(shì)大揭秘

近幾年，社交平臺(tái)和電商平臺(tái)如雨后春筍瘋狂增長(zhǎng)，改變了人們的生活方式、社交方式，越來(lái)越多的人看到了線上的“紅利”，在游戲行業(yè)里，這樣的態(tài)勢(shì)為黑產(chǎn)和欺詐提供了生長(zhǎng)的沃土，廣觸角、多形態(tài)地危害用戶權(quán)益，謀取不法利益。

余丹告訴雷鋒網(wǎng)，在游戲行業(yè)中的欺詐正在以某種方式形成一種生態(tài)，在潛滋暗長(zhǎng)。她從兩個(gè)方面為我們?cè)敿?xì)解讀了在游戲行業(yè)中存在欺詐的類型和形態(tài)。

一方面是在游戲推廣中存在的欺詐，這種欺詐多存在于廠商通過(guò)互聯(lián)網(wǎng)推廣的版面中。國(guó)內(nèi)前段時(shí)間不允許發(fā)游戲的牌照號(hào)，導(dǎo)致很多游戲廠商去國(guó)外發(fā)牌，他們?cè)谫I量推廣中時(shí)常買到假量，從用戶看廣告、點(diǎn)廣告，甚至到跳轉(zhuǎn)到應(yīng)用商店都存在欺詐行為。另一方面是在進(jìn)入游戲應(yīng)用后的欺詐，當(dāng)用戶進(jìn)入游戲中就會(huì)面臨刷量、刷機(jī)、外掛、虛假打關(guān)、虛假購(gòu)買裝備、虛假充值等一系列欺詐。

雖然很多機(jī)構(gòu)開展反欺詐的監(jiān)測(cè)和攻擊，但所謂道高一尺，魔高一丈。在對(duì)黑產(chǎn)行為數(shù)據(jù)的追蹤、分析中，余丹發(fā)現(xiàn)了那些黑產(chǎn)們的 “障眼法”。簡(jiǎn)單來(lái)說(shuō)黑產(chǎn)們會(huì)模擬真人，尤其在點(diǎn)擊的時(shí)候，很多第三方不愿意將數(shù)據(jù)給客戶，客戶自己拿不到點(diǎn)擊數(shù)據(jù)就很難去分析，所以就給了黑產(chǎn)可乘之機(jī)。他們還會(huì)用一些高超的手段，比如虛擬用戶，通過(guò)操控腳本一起創(chuàng)建賬號(hào)，一起打關(guān)，大批量的行動(dòng)可以降低成本。有些黑產(chǎn)還會(huì)自己組織窩點(diǎn)真人刷機(jī)，但是這種方式的成本較高，并且在轉(zhuǎn)移過(guò)程中非常困難，所以很多黑產(chǎn)會(huì)選擇模擬的形式展開行動(dòng)。

“我們有專門研究黑產(chǎn)行動(dòng)的人員，之前發(fā)現(xiàn)一些黑產(chǎn)的行為實(shí)際上是一些群控的軟件，成本很高，需要買設(shè)備?，F(xiàn)在他們直接使用一些模擬器的軟件，可以直接操控一百個(gè)用戶，成本是在降低。如果他們的腳本編的好，可以實(shí)現(xiàn)設(shè)備隨機(jī)、IP隨機(jī)。當(dāng)他們要去批量控制的時(shí)候，都會(huì)遵循點(diǎn)擊進(jìn)入游戲，然后注冊(cè)登錄，再完成新手導(dǎo)航的過(guò)程，這是一個(gè)群組行動(dòng)?！?/p>

從上面黑產(chǎn)的欺詐形態(tài)中可以看出，游戲行業(yè)的每個(gè)環(huán)節(jié)中都可能存在刷量、刷機(jī)欺詐，尤其是在游戲推廣階段的刷量已經(jīng)成為黑產(chǎn)的焦點(diǎn)。在余丹看來(lái)，這種大批量的相類似行為可以成為反欺詐監(jiān)測(cè)的一個(gè)標(biāo)準(zhǔn)。

 

反欺詐的“硬核”

黑產(chǎn)雖然猖獗，但并不是無(wú)規(guī)律可尋，他們經(jīng)常以團(tuán)伙形式出現(xiàn)，模仿正常用戶行為來(lái)逃避檢測(cè)。而通常情況下，傳統(tǒng)的以行業(yè)經(jīng)驗(yàn)進(jìn)行規(guī)則創(chuàng)建和模型訓(xùn)練的反欺詐解決方案，則無(wú)法發(fā)現(xiàn)新攻擊。

“相比于傳統(tǒng)的反欺詐檢測(cè)技術(shù)，DataVisor無(wú)監(jiān)督的反欺詐方案可以查看全局內(nèi)所有賬戶的活動(dòng)信息，可以及時(shí)有效地區(qū)分潛伏賬號(hào)與合法賬號(hào)?！?/p>

以點(diǎn)擊欺詐和安裝欺詐為例。當(dāng)用戶看到廣告時(shí)，會(huì)產(chǎn)生點(diǎn)擊廣告的行為，黑產(chǎn)們會(huì)利用歸因規(guī)則，通過(guò)大點(diǎn)擊事件、點(diǎn)擊劫持去騙取歸因。此時(shí)，無(wú)監(jiān)督學(xué)習(xí)可以通過(guò)客戶提供的脫敏數(shù)據(jù)，把每一次點(diǎn)擊歸因到每一個(gè)用戶身上，再去分析用戶在下載APP之前產(chǎn)生過(guò)多少次的點(diǎn)擊，每一次點(diǎn)擊事件的行為如何，通過(guò)無(wú)監(jiān)督聚類分析，挖掘潛伏欺詐行為，并做詳細(xì)說(shuō)明。

除了可以區(qū)分賬號(hào)的“好與惡”，無(wú)監(jiān)督學(xué)習(xí)還能夠挖掘賬號(hào)之間的隱秘關(guān)聯(lián)，及時(shí)檢測(cè)未被發(fā)現(xiàn)或未在訓(xùn)練數(shù)據(jù)中標(biāo)記的新型攻擊，有效應(yīng)對(duì)不斷進(jìn)化升級(jí)的欺詐行為，并且可以有效輸出群組結(jié)果，為客戶提出多樣化風(fēng)控策略。

余丹提到，在DataVisor在服務(wù)中國(guó)區(qū)的第一個(gè)客戶Funplus時(shí)，游戲產(chǎn)業(yè)中的欺詐行為及技術(shù)便已十分多樣化。

最開始，攻擊者通過(guò)刷機(jī)、下載這種最常見的欺詐手段。隨著技術(shù)升級(jí)，他們開始做應(yīng)用內(nèi)的虛假打關(guān)，虛假活躍。他們以六小時(shí)為間隔，每六小時(shí)有一組人活躍，下一時(shí)間段換另一組活躍，一天活躍三四次。這些行為在無(wú)監(jiān)督學(xué)習(xí)的檢測(cè)下，及時(shí)挖掘群組行為之間的可疑關(guān)聯(lián)和相似屬性，及時(shí)調(diào)整模型保持時(shí)刻有效。

部分游戲公司，此前一直很穩(wěn)，后來(lái)突然出現(xiàn)了斷崖式留存，用戶在前半個(gè)月非?；钴S，到第15天時(shí)卻集體消失。通過(guò)無(wú)監(jiān)督監(jiān)測(cè)，發(fā)現(xiàn)這是黑產(chǎn)的一種手段，他們與廠商定14日留存的KPI，讓這些虛假用戶活動(dòng)14天，到15天錢款入賬后便全部撤走。實(shí)際上，DataVisor在七天的時(shí)候已經(jīng)監(jiān)測(cè)到這些黑產(chǎn)的行動(dòng)，后續(xù)又將窗口期延長(zhǎng)至15天，使輸出的群組結(jié)果更加詳細(xì)，幫助客戶制定更加準(zhǔn)確的方案。

在提到與不同廠商之間的合作時(shí)，余丹表示不同公司的情況不同，在開展無(wú)監(jiān)督學(xué)習(xí)方案，進(jìn)行用戶數(shù)據(jù)分析、建模、訓(xùn)練等過(guò)程所用時(shí)長(zhǎng)也不相同。

“我們最快可以用三天時(shí)間幫助廠商完成模型搭建，但通常會(huì)用2—3周，視廠商具體情況而定。前期一般是數(shù)據(jù)收集和特征提取，之后進(jìn)行模型訓(xùn)練，訓(xùn)練結(jié)束后需要一周時(shí)間進(jìn)行部署，與客戶一起做試運(yùn)營(yíng)和使用指導(dǎo)。”

在數(shù)據(jù)收集方面，余丹指出了三個(gè)途徑。第一個(gè)是源于數(shù)據(jù)追蹤公司，通過(guò)與游戲廠商合作的第三方數(shù)據(jù)追蹤平臺(tái)對(duì)接獲得數(shù)據(jù)。第二個(gè)是游戲廠商自己收集數(shù)據(jù)，通過(guò)線下傳遞的方式獲取，這種方式不涉及客戶隱私問(wèn)題。第三種就是DataVisor通過(guò)自己的方式獲取數(shù)據(jù)，比如SDK，可以直接采集客戶數(shù)據(jù)，方便建模。

無(wú)論是哪一種途徑，都要針對(duì)每一個(gè)客戶的數(shù)據(jù)做單獨(dú)的特征提取和模型訓(xùn)練。在模型訓(xùn)練過(guò)程中，廠商的底層技術(shù)保持不變，包括游戲中的通用流程，比如很多游戲需要登錄、注冊(cè)的步驟；而改變的是針對(duì)每個(gè)客戶的游戲特征做個(gè)性化增減，比如卡牌類游戲不需要注冊(cè)，進(jìn)入游戲后直接找對(duì)手，這就需要有針對(duì)行地去建立符合游戲特征的模型。

在實(shí)際的游戲中，無(wú)監(jiān)督學(xué)習(xí)構(gòu)建的模型是需要不斷調(diào)整的。玩家行為多變，很多時(shí)候是不容易提前預(yù)判的，尤其對(duì)于一些電腦高手來(lái)說(shuō)，他們可能會(huì)變換各種形式去進(jìn)行攻擊。而對(duì)于無(wú)監(jiān)督來(lái)說(shuō)是不需要提前預(yù)判玩家的行為和特征，而是通過(guò)批量的、集群抓取的方式，及時(shí)調(diào)整模型，聚類分析篩選出黑產(chǎn)，這其中涉及到無(wú)監(jiān)督抓取的準(zhǔn)確度和效率問(wèn)題。

“我們?cè)谧瞿Ｐ蜁r(shí)考慮到精準(zhǔn)性，模型的維度切得越細(xì)，精準(zhǔn)度就越高，比如在三維空間中和在上千維度空間中去做，一定是上千維空間的數(shù)據(jù)更準(zhǔn)確。所以我們?cè)谀玫降臄?shù)據(jù)字段做特征提取，把每一個(gè)特征都切得特別細(xì)，然后在高維空間中做聚類分析，提升準(zhǔn)確度。同時(shí)針對(duì)每一個(gè)場(chǎng)景，調(diào)整容錯(cuò)率?！币簿褪钦f(shuō)針對(duì)不同場(chǎng)景的玩家需求，調(diào)整抓取的準(zhǔn)確度。

雖然說(shuō)維度高將提升準(zhǔn)確度，但并不是標(biāo)簽越多準(zhǔn)確度越高，而是有效的數(shù)據(jù)處理字段越多，精準(zhǔn)度才會(huì)越高。比如需要用戶的經(jīng)緯度時(shí)，客戶卻報(bào)不上來(lái)，這時(shí)候就算有一百個(gè)用戶也算是無(wú)效字段，只有有效字段才能切得更細(xì)，并且需要后續(xù)調(diào)整，滿足具體需求。

余丹舉了一個(gè)例子，“在游戲欺詐里，購(gòu)買服務(wù)器是比較常見的，當(dāng)游戲廠商需要100個(gè)美國(guó)的新用戶時(shí)，黑產(chǎn)們就會(huì)買一些代理IP，能夠讓用戶的IP產(chǎn)生在美國(guó)，才能編造出來(lái)自美國(guó)的用戶。當(dāng)我們獲取數(shù)據(jù)時(shí)發(fā)現(xiàn)，這些用戶的行為很跳躍，經(jīng)過(guò)建模的聚類分析這些代理商的IP是不同段內(nèi)的，所以用戶的行為就呈現(xiàn)出全球跳躍的狀態(tài)，可能上一秒在北京，下一秒就在西雅圖，通過(guò)我們對(duì)全球欺詐用戶的觀測(cè)，我們發(fā)現(xiàn)IP最聚集的地方是柬埔寨，人力比較便宜的地方，所以黑產(chǎn)比較密集。”

隨著欺詐技術(shù)的不斷提升，無(wú)監(jiān)督學(xué)習(xí)也在不斷升級(jí)和迭代，強(qiáng)化數(shù)據(jù)化分析，精細(xì)到每一個(gè)渠道，數(shù)據(jù)上的可視化分析帶來(lái)更好的體驗(yàn)，在滿足用戶需求方面，無(wú)監(jiān)督學(xué)習(xí)與市場(chǎng)需求越來(lái)越近。

中小型企業(yè)市場(chǎng)路在何方

無(wú)論是大型企業(yè)，還是中小型企業(yè)，涉及到安全和利潤(rùn)的事情都是不容忽視的。在游戲行業(yè)，即便是一個(gè)或兩個(gè)人開發(fā)的游戲公司，也會(huì)遇到花錢買假量，這些虛假充值、虛假用戶，不僅不能實(shí)現(xiàn)增值，反而影響利潤(rùn)，甚至是長(zhǎng)遠(yuǎn)發(fā)展。在與中小型企業(yè)匹配的過(guò)程中，余丹還發(fā)現(xiàn)中小型企業(yè)有他們自身的技術(shù)問(wèn)題，比如沒(méi)有專門的技術(shù)支持，一個(gè)人要身兼多職等，這正是巨大的市場(chǎng)需求，DataVisor的觸角也正逐步拓展至中小型企業(yè)。

但是對(duì)于中小型企業(yè)來(lái)說(shuō)，他們的數(shù)據(jù)量很小，這也是很多廠商所擔(dān)心的，他們認(rèn)為自身的數(shù)據(jù)量不夠，不足以監(jiān)測(cè)欺詐，構(gòu)建模型，進(jìn)行模型訓(xùn)練。

“不依托海量數(shù)據(jù)也可以進(jìn)行反欺詐監(jiān)測(cè)，無(wú)監(jiān)督學(xué)習(xí)的核心在于特征工程研究?；旧弦粋€(gè)月有上萬(wàn)的數(shù)據(jù)量就可以做，這個(gè)數(shù)據(jù)標(biāo)準(zhǔn)已經(jīng)很低，基本上放在應(yīng)用商店里面就可以達(dá)到?！贝_切來(lái)說(shuō)，無(wú)監(jiān)督學(xué)習(xí)可以根據(jù)客戶的數(shù)據(jù)量多少構(gòu)建符合實(shí)際需求的模型，然后在后續(xù)的訓(xùn)練中逐步調(diào)整。

隨著在國(guó)內(nèi)的發(fā)展，DataVisor與中小型企業(yè)的項(xiàng)目落地已有兩年，未來(lái)繼續(xù)下沉中小型企業(yè)似乎是DataVisor必然的發(fā)展趨勢(shì)，一方面我們可以看到無(wú)監(jiān)督學(xué)習(xí)與中小型企業(yè)的數(shù)據(jù)匹配很高，另一方面是頭部市場(chǎng)已經(jīng)基本做的差不多。

在談到未來(lái)布局，余丹表示，“首先就是要節(jié)省數(shù)據(jù)對(duì)接的流程，可以直接通過(guò)第三方對(duì)接進(jìn)來(lái)；其次要給客戶提供更多的解決方案，帶來(lái)更好的體驗(yàn)，比如幫助客戶做數(shù)據(jù)采集、為客戶提供建議、提供可視化的數(shù)據(jù)分析和方案等。”

中小型游戲企業(yè)市場(chǎng)錯(cuò)綜復(fù)雜，需求多樣，如何在不斷完善自身技術(shù)的同時(shí)，深度挖掘市場(chǎng)需求，滿足企業(yè)的個(gè)性化需求，將是DataVisor打通中小型企業(yè)市場(chǎng)脈絡(luò)的關(guān)鍵。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。