防作弊參考資料

點(diǎn)擊作弊點(diǎn)擊作弊是成本較低也比較容易的一種方式，一般可以利用大量測試機(jī)或者模擬器直接發(fā)送，也有一些是雇傭或者激勵(lì)式誘導(dǎo)用戶來進(jìn)行大量點(diǎn)擊。通過分析點(diǎn)擊數(shù)據(jù)的日志，會發(fā)現(xiàn)有幾種現(xiàn)象：IP離散度密集：由于作弊是通過模擬器或者雇傭用戶進(jìn)行大量點(diǎn)擊，那么就會出現(xiàn)同一個(gè)IP反復(fù)點(diǎn)擊廣告的情況出現(xiàn)。?時(shí)間周期反復(fù)：同IP離散度密集的原理一樣，作弊用戶會在一個(gè)固定的時(shí)間周期內(nèi)頻繁的點(diǎn)擊廣告（發(fā)送請求）下面兩點(diǎn)的現(xiàn)象針對于大量的使用模擬器進(jìn)行點(diǎn)擊作弊?非移動端發(fā)送為模擬器發(fā)送：為節(jié)省成本，在非移動端，會在一個(gè)電腦上部署很多個(gè)服務(wù)器，進(jìn)行點(diǎn)擊作弊?無法取到移動端的UA信息:UA的全稱為UserAgent，中文名為用戶代理，它是一個(gè)特殊字符串頭，使得服務(wù)器能夠識別客戶使用的操作系統(tǒng)及版本、CPU類型、瀏覽器及版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等。激活作弊移動廣告的效果除了點(diǎn)擊之外，更多的是效果數(shù)據(jù)，即后續(xù)的激活。常見手段部分與點(diǎn)擊作弊的方法一致，比如說測試機(jī)或模擬器模擬下載，還有像通過移動人工或者技術(shù)手段修改設(shè)備信息、破解SDK方式發(fā)送虛擬信息、模擬下載激活等等。激活作弊的現(xiàn)象當(dāng)然就也包括：IP離散度密集?時(shí)間周期反復(fù)?模擬器發(fā)送?歸因時(shí)間差不符合邏輯：正常情況下用戶從點(diǎn)擊去廣告，到產(chǎn)生激活行為，是需要閱覽了解的，需要一定量的時(shí)間，若這個(gè)時(shí)間太短，我們可以認(rèn)為是異常。作弊的防護(hù)點(diǎn)擊作弊在梳理點(diǎn)擊作弊防護(hù)的方法之前，我們先擺出來一些重要的指標(biāo)。點(diǎn)擊率=點(diǎn)擊次數(shù)/PV點(diǎn)擊率是一個(gè)判斷是否有無點(diǎn)擊作弊的關(guān)鍵的方法，一個(gè)網(wǎng)站的廣告點(diǎn)擊率過高，可以直接判定為作弊了。點(diǎn)擊率/單個(gè)IP的點(diǎn)擊率若這個(gè)數(shù)值過高，大概大于3,我們就可以認(rèn)為，這個(gè)IP值的用戶可能存在點(diǎn)擊作弊防范點(diǎn)擊作弊的方法，有以下幾點(diǎn)Cookie排重：基于本地cookie的解決方法。Cookie上會記錄著用戶的信息，可以在用戶請求數(shù)據(jù)的時(shí)候先調(diào)用戶的cookie，防止同一設(shè)備多次點(diǎn)擊同一廣告。IP防止作弊：刷點(diǎn)擊的時(shí)候，肯定不只用同一設(shè)備，所以除了^如。排重外，也可以基于IP來排重。?異常數(shù)據(jù)黑名單：對于反復(fù)出現(xiàn)的IP，我們要進(jìn)行黑名單管理，把這些經(jīng)常刷點(diǎn)擊的IP拉進(jìn)黑名單。激活作弊?激活I(lǐng)P排重：與點(diǎn)擊同理，同IP段的多次激活也應(yīng)標(biāo)記為異常激活。?歸因時(shí)間差作弊：歸因時(shí)間差即指從點(diǎn)擊到下載激活的時(shí)間。正常情況下用戶從點(diǎn)擊去廣告，到產(chǎn)生激活行為，是需要閱覽了解的，需要一定量的時(shí)間，若這個(gè)時(shí)間太短，我們可以認(rèn)為是異常。SDK加密防護(hù)：對傳輸激活的SDK進(jìn)行加密處理，提高其破解作弊的成本?；贗P地址1來自同一IP地址的多次點(diǎn)擊，會被視為一次點(diǎn)擊或直接視為作弊而被K掉賬號；同一廣告點(diǎn)擊IP大部分來自同一地理區(qū)域，也會被懷疑為作弊?；贑ookies2雖然IP不同但是Cookies相同，也會被視為作弊。主要針對利用VPN不斷變換IP地址點(diǎn)擊廣告的作弊?；趶V告點(diǎn)擊率3廣告點(diǎn)擊率有個(gè)正常范圍，遠(yuǎn)高于平均點(diǎn)擊率會被視為作弊?；陧撁嫱Ａ魰r(shí)間4在廣告頁面停留時(shí)間過短的點(diǎn)擊行為會被懷疑作弊或視為無效?；邳c(diǎn)擊位置5點(diǎn)擊點(diǎn)在屏幕中會有一個(gè)坐標(biāo)，同一坐標(biāo)重復(fù)過多會被懷疑是機(jī)器行為，視為作弊?；诹髁縼碓?流量來源一般分為直接訪問、搜索訪問和推薦訪問三種。如果廣告點(diǎn)擊中大部分來自于直接訪問，則會被懷疑是作弊?；谖谋痉治?網(wǎng)頁上有鼓動點(diǎn)擊廣告的文字，會被懷疑為作弊?；诤诿麊?犯過事兒的都有犯罪記錄?；诹髁縼碓吹臑g覽器類型9IE，chrome，搜狗，360等主流瀏覽器會在流量來源中各自占有一定的比例，如某一瀏覽器在流量來源中占據(jù)過多比重，則被懷疑作弊?；诹髁縼碓吹牟僮飨到y(tǒng)類型10各主流操作系統(tǒng)在點(diǎn)擊中會占有一定比例，如某一系統(tǒng)占據(jù)過多比重，則被懷疑作弊。1、IP防止作弊這種主要是按照24小時(shí)唯一IP計(jì)費(fèi)，將訪問用戶的IP地址記入數(shù)據(jù)庫中，當(dāng)出現(xiàn)了重復(fù)IP地址時(shí)不予計(jì)費(fèi)。很多惡意點(diǎn)擊廣告的人都會利用撥號器改變IP地址，這種情況下我們可以通過C段IP來辨別，如果出現(xiàn)了很多IP地址C段相同的情況，就很有可能是作弊。通過IP加密提交，再由接收端進(jìn)行解密記錄入庫，可以杜絕采用模擬提交數(shù)據(jù)的作弊方式。2、 COOKIES防止作弊用戶訪問了一^頁面，Cookie就會進(jìn)行記錄，當(dāng)重復(fù)進(jìn)行訪問時(shí)cookie的參數(shù)是相同的，就可判斷為重復(fù)，不予計(jì)費(fèi)。但是這種方式存在一定的缺陷，當(dāng)清空了cookies之后，就可進(jìn)行作弊。3、 點(diǎn)擊率上線設(shè)置現(xiàn)在廣告頁面的點(diǎn)擊率比以往有所下降，店家率越高，則表示了頁面與廣告的相關(guān)性越高。富媒體廣告的點(diǎn)擊率在2%至5%，普通圖片點(diǎn)擊在0.1%至1%，而且還與圖片的創(chuàng)意有關(guān)。我們可以根據(jù)廣告的點(diǎn)擊率進(jìn)行防作弊設(shè)置。4、 來源統(tǒng)計(jì)防止作弊統(tǒng)計(jì)點(diǎn)擊來源，我們也可以對作弊行為進(jìn)行組織。一方面我們可以記錄點(diǎn)擊的來源頁面，也就是廣告放置的頁面地址;另一方面我們可以記錄廣告頁面的來源，如果查找不到來源，就很有可能是直接流量，這主要是因?yàn)橹苯釉L問、收藏夾訪問、彈窗流量或者是流氓插件彈窗等。5、 通過唯一參數(shù)防止作弊網(wǎng)卡MAC物理地址、硬盤序列號，通過該類軟硬件信息生成機(jī)器碼。這種方式的缺點(diǎn)是很難在WEB上應(yīng)用，適合軟件營銷的防作弊方式。6、 時(shí)間順差防止作弊通常用戶點(diǎn)擊廣告之前都會經(jīng)歷一個(gè)從印象到關(guān)注再到點(diǎn)擊的過程，所以如果用戶訪問網(wǎng)站頁面的幾秒鐘內(nèi)就點(diǎn)擊了廣告，我們就可以視作作弊行為。如果點(diǎn)擊廣告的時(shí)間相差無幾，也可能是機(jī)器人的點(diǎn)擊行為。當(dāng)你打開一個(gè)廣告，在幾秒內(nèi)立即關(guān)閉，也可以判斷為無效點(diǎn)擊。除了效果廣告,另方面鈦動科技還為廣告主免費(fèi)提供反作弊服務(wù)。鈦動科技CEO李述昊表示:作為推廣平臺的我們是很愿意做好這件事情的，而且這件事情并沒有想象中的那么困難。鈦動科技的反作弊手段大致分為以下三種：從設(shè)備層面,IMEI、IP來判斷，比如連號、有規(guī)律、單一IMEI對應(yīng)多個(gè)IP,或者反過來；劫持反作弊，點(diǎn)擊和激活的分布規(guī)律分析;行為反作弊，通過熱區(qū)分布可以看到用戶在你的產(chǎn)品上的點(diǎn)擊行為（點(diǎn)哪里），比如機(jī)刷一般會在一個(gè)地方重復(fù)點(diǎn)擊，且只有留存、沒有用戶行為?！币苿訌V告常見的作弊類型根據(jù)廣告投放流程的節(jié)點(diǎn)分類1、 展示作弊：媒體將多個(gè)展示廣告置放到同一個(gè)廣告位，向廣告主收取多個(gè)廣告的展示費(fèi)用。2、 點(diǎn)擊作弊：通過腳本或計(jì)算機(jī)程序模擬真人用戶，又或者雇傭和激勵(lì)誘導(dǎo)用戶進(jìn)行點(diǎn)擊，生成大量無用的廣告點(diǎn)擊，從而吃掉CPC廣告預(yù)算。另外，競爭對手還可能進(jìn)行惡意點(diǎn)擊。3、 安裝/激活作弊：通過測試機(jī)或模擬器模擬下載，以及通過移動人工或者技術(shù)手段修改設(shè)備信息、破解SDK方式發(fā)送虛擬信息、模擬下載激活等等。4、 應(yīng)用內(nèi)行為作弊：典型手段是購買欺詐，即當(dāng)用戶或玩家在沒有付費(fèi)的情況下得到內(nèi)容或產(chǎn)品，導(dǎo)致控制面板及報(bào)告的收入數(shù)據(jù)過高。P.S.此處只詳細(xì)介紹根據(jù)廣告投放流程的節(jié)點(diǎn)進(jìn)行分類的常見作弊類型，其他作弊類型還有假流量作弊、流量歸因作弊等等。作弊數(shù)據(jù)的常見特征造假的數(shù)據(jù)往往有跡可循。要想消滅作弊，必須要認(rèn)識作弊數(shù)據(jù)的特征，才能從特征中識別出作弊數(shù)據(jù)。常見的特征如下：1、 廣告來源異常。2、 曝光、點(diǎn)擊頻次異常。3、 留存曲線、轉(zhuǎn)化率異常。4、 廣告訪問時(shí)間分布異常。5、 曝光、點(diǎn)擊IP/地域/設(shè)備集中。6、 廣告點(diǎn)擊沒有對應(yīng)的曝光請求。7、 廣告點(diǎn)擊和安裝的平臺/地理不匹配。8、 相同UA（用戶代理）產(chǎn)生的點(diǎn)擊/安裝過多。移動廣告中反作弊的常見方法有流量的地方，就會有作弊動機(jī)，也就存在作弊廣告。事實(shí)上，作弊現(xiàn)象無法徹底根除，但我們能做到的是最大可能地降低廣告作弊帶來的經(jīng)濟(jì)損失。而反作弊的最佳策略在于讓作弊成本劇增，使作弊行為的獲利大幅度減少，從而盡量減小作弊行為在正常商業(yè)行為中的比例。策略思路為：砌墻（不斷增加限制條件）與拆臺（大幅度減少作弊行為的獲利）。1、 排重：Cookie、設(shè)備號及IP排重。2、 SDK加密防護(hù)：對傳輸激活的SDK進(jìn)行加密處理，提高其破解作弊的成本。3、 點(diǎn)擊頻次有效期：限制點(diǎn)擊頻次的有效期，在有效期內(nèi)，后續(xù)轉(zhuǎn)化歸屬相應(yīng)平臺，如超出有效期范圍，則不予計(jì)算。4、 異常數(shù)據(jù)黑名單：對于一些比較有周期性質(zhì)點(diǎn)擊來源，或者非移動端數(shù)據(jù)的點(diǎn)擊記錄，超過一定范圍標(biāo)記為黑名單，長期過濾。5、 歸因時(shí)間差放作弊：歸因時(shí)間差即指從點(diǎn)擊到下載激活的時(shí)間。一般作弊時(shí)，偽造點(diǎn)擊與激活是并存的，所以往往在時(shí)間邏輯上是錯(cuò)誤的。6、 增加行為操作的復(fù)雜度：值得注意的是，此舉可能直接影響到用戶體驗(yàn)。從實(shí)現(xiàn)的方式上來看，Mobvista反作弊主要三種方式：1在線實(shí)時(shí)反作弊：例如實(shí)時(shí)的IP黑名單點(diǎn)擊過濾，地域異常實(shí)時(shí)過濾等，直接就將點(diǎn)擊過濾掉不發(fā)到demand側(cè)。在線實(shí)時(shí)反作弊的優(yōu)點(diǎn)是過濾及時(shí)，從數(shù)據(jù)層面廣告主并無感知，也不會污染廣告主的數(shù)據(jù)；缺點(diǎn)是能夠?qū)崿F(xiàn)的策略相對較少2離線挖掘反作弊：離線周期性按天，或者周運(yùn)行反作弊邏輯。優(yōu)點(diǎn)是有大量數(shù)據(jù)特征可供分析，而且可以做各個(gè)特征的交叉。準(zhǔn)確性和覆蓋率都比較高；缺點(diǎn)是這是事后的方式，可能損失已經(jīng)產(chǎn)生無法彌補(bǔ)3混合方式：主要是引入了算法提供數(shù)據(jù)和建議+人工決策的方式。例如對于嫌疑比較大的CASE，算法抓出來后，并不會直接做決策，而是交由人工決策是否扣款，或者是否先不付款等因?yàn)榉醋鞅资呛腿硕返募夹g(shù)方向，而人有較多的創(chuàng)新，所以反作弊的技術(shù)不全都適合機(jī)器學(xué)習(xí)來完成，必須有較多規(guī)則。所以Mobvista的反作弊，可以認(rèn)為30%模型+70%規(guī)則來實(shí)現(xiàn)

實(shí)啪測渴合機(jī)制Mobvista反作弊數(shù)w?平臺：舍戶+誕莒Mobvfeta.—E址科技——實(shí)啪測渴合機(jī)制Mobvista反作弊數(shù)w?平臺：舍戶+誕莒Mobvfeta.—E址科技——規(guī)則(70%)+模型(30%)策略組合5?＞并成略運(yùn)旨血曾配,運(yùn)宜機(jī)器決策風(fēng)險(xiǎn)離線分析Hoki款停呈天皺、周策目標(biāo)拓展反作弊特征發(fā)現(xiàn)人與機(jī)器的行為區(qū)別在反作弊分析過程中，也需要時(shí)刻牢記人的行為和機(jī)器行為的區(qū)別，雖然反作弊的人就是將機(jī)器算法的行為去模擬人的行為，但一般還是會有一些蛛絲馬跡?人：行為有共性，符合特殊分布vs機(jī)器：隨機(jī)?人：群體量大，個(gè)體分散vs機(jī)器：群體量小，個(gè)體集中

人：能力受限VS機(jī)器：能力不受限反作弊的思想，就是以下兩點(diǎn):?以人為本.以利益為出發(fā)點(diǎn)進(jìn)行探索，F(xiàn)ollowTheMoney特征舉例:重復(fù)安裝IP出現(xiàn)天數(shù)特征舉例:重復(fù)安裝IP出現(xiàn)天數(shù)出irmmm.oo^1.作弊流量(FraudTraffic):大白話，容易明白，就是騙人的流量非人為流量(No-HumanTraffic):這種流量特指一些Bot流量，機(jī)器模擬的；對于一些劫持的流量，有些灰色地帶，因此不夠準(zhǔn)確。非激勵(lì)正常流量(No-IncentiveTraffic):有些流量雖然是人為流量，但常常是由某種誘惑而來(例如不合理頁面設(shè)計(jì)，獎(jiǎng)券，紅包，游戲點(diǎn)卡等)，因此激勵(lì)流量通常轉(zhuǎn)化效果比較差。無效流量(InvalidTraffic):為了規(guī)避過于敏感的作弊(Fraud)而使用的術(shù)語，這樣不容易得罪人，無效流量中既有故意為之，也有無意為之的。異常流量(AbnormalTraffic):類似于無效流量，強(qiáng)調(diào)流量的異常性。常見流量作弊的動機(jī)：媒體：制造虛假流量，提升收入廣告代理/銷售：運(yùn)營虛假流量，保證合同，提升收入交易平臺：對虛假Supply審查不嚴(yán)格，提升收入用戶：為獲得激勵(lì)(紅包，點(diǎn)卡等)而產(chǎn)生低(無)效果流量廣告主：惡意消耗競爭對手的預(yù)算規(guī)則，黑白名單k規(guī)則簡單粗暴，高效硬件防范真機(jī)標(biāo)隊(duì)(硬件)，規(guī)則，黑白名單k規(guī)則簡單粗暴，高效硬件防范真機(jī)標(biāo)隊(duì)(硬件)，牡絕BOT機(jī)器學(xué)習(xí)搗轂制假常點(diǎn)；監(jiān)廣告展現(xiàn)釣由(BluffAds)m十成計(jì)高火匚對火色流量處理有效雙全什么是刷量：最常見的是：刷點(diǎn)擊，刷激活，刷留存。什么是撞庫：作弊廣告渠道商采集了非常多的設(shè)備信息，他們會瘋狂往對方廣告點(diǎn)擊日志服務(wù)器發(fā)送設(shè)備點(diǎn)擊信息，當(dāng)激活日志服務(wù)器采集到對應(yīng)設(shè)備的激活，就會認(rèn)為是該作弊渠道商的。通常我們在設(shè)計(jì)廣告反作弊產(chǎn)品時(shí)，會包含兩個(gè)部分：反作弊策略和歷史黑庫；其中歷史黑庫包含：黑渠道庫，黑設(shè)備庫和黑ip庫。第一個(gè)：反作弊策略的邏輯：主要基于廣告點(diǎn)擊頻次和頻率，加上一些行為規(guī)則。由于移動廣告有按點(diǎn)擊付費(fèi)，有按激活付費(fèi)，有按留存付費(fèi)，因?yàn)榉醋鞅撞呗砸仓饕轻槍@這些方面。單設(shè)備單渠道點(diǎn)擊次數(shù)：5s內(nèi)單設(shè)備，單渠道，點(diǎn)擊大于等于2次小于5次，該設(shè)備在該渠道的點(diǎn)擊標(biāo)記為異常，激活默認(rèn)為自然量；點(diǎn)擊大于等于5次，該設(shè)備在該渠道的點(diǎn)擊和激活都標(biāo)記為異常。一天內(nèi)單設(shè)備，單渠道，點(diǎn)擊大于等于3次小于6次，該設(shè)備在該渠道的點(diǎn)擊標(biāo)記為異常，激活默認(rèn)為自然量；點(diǎn)擊大于等于6次，該設(shè)備在該渠道的點(diǎn)擊和激活都標(biāo)記為異常。一周內(nèi)單設(shè)備，單渠道，點(diǎn)擊大于等于12次小于15次，該設(shè)備在該渠道的點(diǎn)擊標(biāo)記為異常，激活默認(rèn)為自然量；點(diǎn)擊大于等于15次，該設(shè)備在該渠道的點(diǎn)擊和激活都標(biāo)記為異常。單ip單渠道點(diǎn)擊次數(shù)：一天內(nèi)，單ip，單渠道，點(diǎn)擊大于等于30次，則該IP下的點(diǎn)擊和激活標(biāo)記為異常。目前已知的刷量方式有以下幾種：機(jī)器模擬：使用機(jī)器或程序來模擬廣告行為，或者通過木馬和肉雞模擬用戶的廣告行為。為了使點(diǎn)擊行為不被規(guī)則類發(fā)現(xiàn)還會控制ip分布和時(shí)間。機(jī)器模擬有如下的方法：模擬器：BlueStacks,AndyWin,GenyMotionSpoofer:不斷的修改機(jī)器的IP,IMEI,MAC等Proxy:網(wǎng)關(guān)，修改ISP,IP,UA,設(shè)備類型等蘋果：沒有模擬器，主要通過硬件和軟件模擬激勵(lì)流量（incentTraffic）:真實(shí)人流量，但是轉(zhuǎn)化率差的流量。其實(shí)對于請求，曝光，點(diǎn)擊等行為本質(zhì)上是一樣的，都可以使用以上的方式進(jìn)行請求，不同的地方大多是不同的服務(wù)地址。刷激活方法：作弊廣告渠道商采集了非常多的設(shè)備信息，他們會瘋狂往對方廣告點(diǎn)擊日志服務(wù)器發(fā)送設(shè)備點(diǎn)擊信息，當(dāng)激活日志服務(wù)器采集到對應(yīng)設(shè)備的激活，就會認(rèn)為是該作弊渠道商的。用戶戶無意行為：媒體或網(wǎng)盟的小站長在頁面掛滿廣告或誘導(dǎo)小白用戶誤點(diǎn)擊或刷新頁面也會產(chǎn)生作弊數(shù)據(jù)。人工作弊：真的雇人用真實(shí)的設(shè)備進(jìn)行廣告的各種行為操作。還有一種不能算作作弊手段，但其依然是無效流量應(yīng)該被排除，那就是搜索引擎。各家搜索引擎大量爬取著整個(gè)網(wǎng)絡(luò)，依然會消耗巨大的廣告預(yù)算。針對以上的作弊方案，我們可以有多種技術(shù)進(jìn)行處理加密：對于機(jī)器刷量行為，對于客戶端類可以采用加密技術(shù)將廣告曝光、點(diǎn)擊、激活等行為進(jìn)行加密，且加密地址使用不同的加密算法進(jìn)行處理，任何不能解密的請求都是無效行為使刷量行為無效。加密的核心問題在于對于每一個(gè)曝光和點(diǎn)擊都生成一個(gè)唯一不同的加密地址，同時(shí)結(jié)合這個(gè)唯一地址數(shù)據(jù)的頻次分析可以識別出作弊數(shù)據(jù)。（請注意以下的反作弊方案并非基于加密這個(gè)前提，本文只是總計(jì)一些常用的反作弊方案）找規(guī)律:對于機(jī)器刷量的行為一般對應(yīng)著一套刷量的邏輯代碼，也就意味著一定有其規(guī)律性，有一定的特征可以發(fā)現(xiàn)其中的規(guī)則。發(fā)現(xiàn)其中的規(guī)律即可以找到對應(yīng)的應(yīng)對方式。對于人工作弊，用戶無意行為或沒有進(jìn)行ip，用戶等混淆技術(shù)的可以基于頻次和頻率混合行為規(guī)則發(fā)現(xiàn)作弊流量：3.統(tǒng)計(jì)法：除了以上的一些方式之外，對于沒有加密的廣告在偽造ip，ua，用戶等行為基于策略的無法識別，那可以基于歷史一些統(tǒng)計(jì)數(shù)據(jù)得出一些指標(biāo)作為作弊評判標(biāo)準(zhǔn)：3.1不同廣告位的點(diǎn)擊率，一般情況下一個(gè)廣告位的點(diǎn)擊率都會在一個(gè)正常的范圍內(nèi)波動?；诖髷?shù)定律和中心極限定理?？梢钥紤]將偏離均值2個(gè)或3個(gè)標(biāo)準(zhǔn)差之外的點(diǎn)擊率作為異常數(shù)據(jù)進(jìn)行排查。3.2URl或用戶信息異常：如果同一廣告位的大量曝