[[184617]]

對于羊毛黨，許多互聯(lián)網(wǎng)金融平臺一直抱有一種“又愛又恨”的情節(jié)。一方面，羊毛黨可以快速給平臺集聚人氣、流量;另一方面，這些羊毛黨又會擠占本屬于正常用戶的“福利”，其本身則往往在享受了福利后，變?yōu)檗D(zhuǎn)化率極低的“僵尸粉”。

對于平臺而言，本應(yīng)用于獲客的營銷費(fèi)用，一旦大量羊毛黨出沒，可能面臨“血本無歸”的窘境。因此，對羊毛黨的偵測和防護(hù)，就成了許多互聯(lián)網(wǎng)金融平臺在搞營銷活動前，所必須解決的問題。

學(xué)會控制，防控羊毛黨有專業(yè)方案

從平臺的的角度來說，防控羊毛黨有“業(yè)務(wù)控制”和“技術(shù)控制”兩種主要的方案。

1. 業(yè)務(wù)控制

所謂“業(yè)務(wù)控制”，是指從業(yè)務(wù)層面增加羊毛黨“薅羊毛”的難度，如從注冊就送獎勵，升級到完成注冊到綁卡、實名認(rèn)證等所有環(huán)節(jié)，再到必須進(jìn)行投資才能得到獎勵;又比如，從送現(xiàn)金紅包，到送需要投入一定“真金白銀”才能激活的代金券等。

業(yè)務(wù)控制的主要缺點(diǎn)在于它是“無差別打擊”的，上述提到的這些措施，在限制了羊毛黨的同時，無形中也提高了非羊毛黨正常用戶進(jìn)入平臺的門檻，可能會造成潛在用戶的流失。筆者認(rèn)為，對于羊毛黨，業(yè)務(wù)控制是必要的，但絕不是包治百病的***藥，如果使用不當(dāng)，甚至?xí)斐?ldquo;殺敵800，自損1000的”的后果。

2. 技術(shù)控制

與業(yè)務(wù)控制相對應(yīng)的是技術(shù)控制，它是指通過平臺通過自研或者第三方的相關(guān)產(chǎn)品，相對精準(zhǔn)地識別出羊毛黨，然后進(jìn)行針對性的措施。技術(shù)控制可以看做“精確打擊”，然而，其難點(diǎn)在于盡量精準(zhǔn)地區(qū)分羊毛黨和正常用戶。

如果控制標(biāo)準(zhǔn)定的過寬，則會導(dǎo)致漏過的羊毛黨超過平臺的容忍度;而控制標(biāo)準(zhǔn)定的過嚴(yán)，則會導(dǎo)致嚴(yán)重的誤殺，給平臺造成潛在用戶流失甚至聲譽(yù)上的損失。因此，技術(shù)手段的精準(zhǔn)程度，直接決定了技術(shù)控制的效果。

學(xué)會分析，防控羊毛黨需要細(xì)分與精準(zhǔn)

技術(shù)控制從手段側(cè)重方向來進(jìn)一步細(xì)分的話，又可以分為“數(shù)據(jù)分析”和“行為分析”兩大類方法。

1. 數(shù)據(jù)分析方法

所謂數(shù)據(jù)分析方法，是指平臺通過檢索以往積累的數(shù)據(jù)庫，來判斷當(dāng)前的行動主體是否為潛在的羊毛黨。換言之，在數(shù)據(jù)分析方法下，判斷當(dāng)前主體是否為羊毛黨的主要依據(jù)，在于該主體之前是否存在過薅羊毛以及其他相關(guān)的風(fēng)險記錄，也即是否存在“歷史污點(diǎn)”。

2. 行為分析方法

對應(yīng)的，行為分析方法則主要通過分析羊毛黨的各種行為邏輯，從中歸納出具有共性的，可進(jìn)行追蹤的行為軌跡，然后根據(jù)行為軌跡捕捉潛在的羊毛黨。換言之，在行為分析方法下，判斷當(dāng)前主體是否為羊毛黨的主要依據(jù)，在于該主體當(dāng)前的行為，是否符合平臺設(shè)定的羊毛黨行為軌跡，也即當(dāng)前行為是否“像壞人”。

這兩種分析方法各有其優(yōu)缺點(diǎn)。

• 數(shù)據(jù)分析法的主要優(yōu)點(diǎn)在于簡單直觀，同時，累積的數(shù)據(jù)量越大，覆蓋的面越廣，則其偵測效果越好;缺點(diǎn)主要在于收到數(shù)據(jù)具有時效性的制約，如果數(shù)據(jù)清洗及更新做的不理想，會大大降低其偵測效果。
• 行為分析法的主要優(yōu)點(diǎn)在于其沒有分析的過程是基于實時的行為數(shù)據(jù)，不存在時效性的問題;主要缺點(diǎn)在于相對較為復(fù)雜，要達(dá)到精確分析或歸納行為軌跡，產(chǎn)品需要設(shè)計人有豐富的行業(yè)經(jīng)驗，同時依賴于基于數(shù)據(jù)的反復(fù)調(diào)優(yōu)。

豈安對于羊毛黨的防控，主要采取了以行為分析為主，以數(shù)據(jù)分析為輔的思路。在采集行為分析所需要的數(shù)據(jù)/信息層面，豈安采用了比較新穎的無埋點(diǎn)模式(埋點(diǎn)進(jìn)化論：從埋點(diǎn)到無埋點(diǎn))從而在保證能夠高效采集足夠信息用于支撐后臺進(jìn)行分析的同時，為平臺省去了頁面改版、新業(yè)務(wù)上線時所需的開發(fā)量，使得反應(yīng)速度更為快捷。

學(xué)會使用，防控羊毛黨也需具體事件具體分析

[[184618]]

豈安曾經(jīng)為某互聯(lián)網(wǎng)理財平臺的某項營銷活動提供羊毛黨的防護(hù)服務(wù)：

該客戶推出的這項活動，主要是鼓勵其用戶積極邀請好友去該平臺進(jìn)行注冊并進(jìn)行有效的投資，待平臺確認(rèn)后，會同時發(fā)送現(xiàn)金及其他獎勵給邀請人和被邀請人。該活動之前推出一段時間后，平臺發(fā)現(xiàn)有效客戶的轉(zhuǎn)化率不高，大量賬戶呈現(xiàn)拿到獎勵即迅速撤資的情況。

針對上述情況，豈安首先基于平臺以往的數(shù)據(jù)情況、活動細(xì)節(jié)以及之前積累的經(jīng)驗，將羊毛黨劃分為“機(jī)器羊毛黨”和“人工羊毛黨”兩大類。前者的主要特征在于少量精通技術(shù)和黑產(chǎn)工具的羊毛人員，通過腳本批量地進(jìn)行操作，而后者則是某些“羊毛頭子”，通過在論壇/QQ群等媒介，發(fā)布平臺活動信息，大量招募羊毛下線，以返傭為誘餌，誘使這些下線為其套取獎勵。

在區(qū)分了羊毛黨不同類別的基礎(chǔ)上，豈安制定了不同的偵測策略。對于機(jī)器羊毛黨，主要通過行為分析方法，通過綜合分析邀請碼關(guān)聯(lián)的注冊賬戶數(shù)，用戶的操作時間、頻次、速度，以及發(fā)起操作的設(shè)備/網(wǎng)絡(luò)環(huán)境等，總結(jié)出了機(jī)器羊毛相較于正常用戶的諸多異常行為特征，并根據(jù)這些特征進(jìn)行機(jī)器羊毛黨的捕捉。

對于人工羊毛黨，豈安主要通過數(shù)據(jù)分析方法，通過關(guān)聯(lián)豈安的相關(guān)數(shù)據(jù)、平臺累計的歷史數(shù)據(jù)，以及平臺接入的第三方數(shù)據(jù)等，加權(quán)計算得出人工羊毛黨的***概率。

另外，豈安的輿情分析系統(tǒng)(專訪豈安：互聯(lián)網(wǎng)風(fēng)控安全十問)，通過追蹤一些較為熱門的羊毛黨信息發(fā)布/交換的站點(diǎn)，可以提前獲取一些信息發(fā)布者的相關(guān)數(shù)據(jù)，并將這些數(shù)據(jù)，加入到關(guān)聯(lián)運(yùn)算中，從而提高***結(jié)果的準(zhǔn)確度。

在防護(hù)的過程中，豈安也深深感受到了羊毛黨的進(jìn)化。從早期僅僅使用較為簡單的方式和手段的散兵游勇，進(jìn)化到了現(xiàn)在“組織嚴(yán)密、分工明確、工具強(qiáng)大，手段精準(zhǔn)”的專業(yè)團(tuán)伙。要想真正地對羊毛黨進(jìn)行有效地防護(hù)，必須不斷地去分析和掌握羊毛黨行業(yè)的***動態(tài)。

“路漫漫其修遠(yuǎn)兮，吾將上下而求索”，也希望在未來，豈安能夠通過自己的專業(yè)知識和永無停止的探索鉆研精神，在群狼環(huán)伺、虎尾春冰的后流量時代，為更多互聯(lián)網(wǎng)的伙伴，提供防控羊毛黨更多更強(qiáng)大的武器。

【本文是51CTO專欄機(jī)構(gòu)“豈安科技”的原創(chuàng)文章，轉(zhuǎn)載請通過微信公眾號(bigsec)聯(lián)系原作者】

戳這里，看該作者更多好文