韩 晶，赵锡成，黄文良（中国联合网络通信集团有限公司，北京100033）

Han Jing，Zhao Xicheng，Huang Wenliang（China United Network Communications Group Co.，Ltd.，Beijing 100033，China）

1 概述

近年来，互联网电商平台通过开展爆款产品秒杀、赠送优惠券、注册赠礼等多种形式的营销活动，实现短期拉新维系或提升平台用户的活跃度。然而，大量的营销活动已经变成了互联网黑产恶意薅羊毛的阵地，羊毛党以极低的成本侵占营销活动资源，扰乱活动秩序，使营销活动的体验大幅降低，拉新维系效果也远低于预期。据猎网平台的统计数据显示，目前互联网黑产已形成超过15个工种、160余万从业人员，其“产业规模”不低于1 152亿元人民币。2017年，电商安全生态联盟发布的《电子商务生态安全白皮书》指出，在各类电商平台大促活动中，受红包、返利等方式刺激，黑产恶意行为占比分别为，薅羊毛30%，黄牛23%，套现23%。此外黑产恶意行为会随着业务开展形态逐步升级调整，从而持续获益［1］。此外，根据同盾科技的统计数据显示，仅2017年前3季度，就有超过6亿次“薅羊毛”的行为，极端情况下，平台一场营销活动带来的营销客户流量几乎全都是由“羊毛党”的小号带来的［2］。对于电信运营商来说，随着近年来电信业务营销线上化，运营商电商平台也频繁遭遇黑产恶意行为事件，大量营销资金被恶意薅取。为此，运营商电商平台亟需进一步提升防控意识，研究黑产行为和欺诈风险防控技术，搭建业务风险防控体系和系统，针对电商生态业务进行全流程的安全防护。

2 电商黑产行为研究

电商业务中的互联网黑产（俗称羊毛党）通过参与平台上的各种奖励性质的业务活动来违规获利，根据其行为模式可以简单分为2类：一类是活跃于各类网赚平台或论坛的网络用户组织，另一类则是分工明确，技术专业的成熟产业链。前者主要是通过人工关注各大网站最新营销活动，发展下线人员一起参与活动获取奖励再转卖，或低价购买产品，汇总后批量转卖获利。后者是目前黑产的主流形态，黑产涉及手机卡商、VPN提供商、软件提供商等众多角色，每类角色有明确的分工，通过充分运用各类技术手段，有组织地开展刷单、刷量、薅羊毛等作弊行为，总体来说呈现出“专业化、团伙化、细分化”的趋势。现阶段互联网黑产生态链如图1所示。从黑产分布区域来说，电商黑产欺诈事件主要集中在北京、上海、广东、浙江、江苏、山东、河北、江西等省份，欺诈事件发生频率高且资损较大［1］。

图1 互联网黑产生态链

目前黑产各环节的行为特征主要有：

a）上游卡商购买成千上万的黑卡，通过“猫池”软件平台同时使用上百张手机卡进行养卡，通过短信验证码接收平台（即接码平台）来接收注册账号的验证码。

b）黑产组织使用接码平台购买的黑卡号，通过自动注册机在各个平台注册大量账号。

c）黑产组织通过开发的自动化脚本或利用群控设备，控制养卡手机号或账号自动操作参与活动，或伪造活动请求，从而非法获取营销推广活动的奖励费用。

3 电商业务风控方案现状

目前，大型互联网企业大都进行了反黑产欺诈方案和风控系统的研发。现有的电商黑产风险防控研究主要分为2类:一类是由大型互联网企业和部分安全领域企业对外提供的第三方黑产防控服务，此类服务提供者主要有支付宝、腾讯、百度、网易云、同盾科技、数美科技、威胁猎人等；另一类是企业自主研发的内部业务风控系统，例如京东、网易严选、爱奇艺、美团等，此类系统主要面向内部业务使用，在未来，这些内部业务安全防护能力也可能会输出为风控产品。下文针对现有方案从技术特征、服务模式和收费模式进行详述。

3.1 第三方黑产防控服务产品

支付宝小程序营销反作弊服务主要面向电商平台、O2O行业提供有效识别薅羊毛、刷单、恶意抢红包等行为的接口。该服务于2018年12月对外开放，其对接了蚂蚁金服金融级安全风控引擎，融合了设备指纹、人机识别、IP画像等技术以及蚂蚁金服的大数据能力。在实际营销活动中，服务使用者调取该接口，可实时分析用户身份特征及行为信息，从而确定用户作弊风险。目前该服务面向支付宝小程序主体免费提供，申请开通后每日支持至少1万次调用，使用该服务的商家已达2 000家。

百度活动防刷服务基于其自身威胁情报和安全技术，实现针对羊毛党、黄牛党等恶意行为的防护。服务使用者通过接入该服务的SDK可以获取设备指纹信息，通过该服务的API接口识别恶意行为，输出恶意行为风险结果，以及后续处理建议。目前该服务为收费服务。

网易云易盾营销反作弊服务依托网易云大数据计算能力，利用设备指纹、行为模型、黑名单库等技术，结合大数据分析和规则模型筛选出非法用户和非法操作，从而实时识别刷单、刷票、刷券等营销作弊行为。其服务模式包括SDK+服务端模式和纯服务端模式2种。其中，SDK实现用户点击行为数据和设备数据等风险数据采集，check接口允许服务端传入风险数据和token进行风险检测。目前该服务为收费服务，对外提供免费体验。

腾讯云天御活动防刷（AA——ActivityAntiRush）服务基于腾讯海量大数据分析用户的行为和账号的风险等级，通过建立反欺诈知识库，接入设备指纹，采集风险信息，基于智能防刷引擎识别群控设备，同时进行多渠道交叉验证，实现风险评估。该服务以接口形式提供，使用者需输入覆盖用户腾讯侧ID、手机号码、http请求信息、手机设备信息等维度的数据，通过天御的内部实时策略引擎进行风险评估，输出结果为用户风险类型和风险等级。目前该服务为收费服务，对外提供免费体验。

同盾科技的营销活动保护服务以设备指纹技术和定制化风控模型为基础，利用跨平台数据优势，帮助平台监测、识别各种营销类欺诈行为，从而过滤可疑流量，提升营销效果，保护平台用户利益。该服务提供作弊设备识别、代理IP分析和欺诈用户行为识别。目前该服务为收费服务。

3.2 企业自研业务风控系统

网易严选风控系统采用“护城河-城墙”两级防护模型，护城河为外层防护，即基于用户核心指标评估用户基础信誉，城墙为内层防护，即针对每个业务场景对用户进行再次风险评估。该系统基于APP端收集核心指标，服务端进行实时计算的思路解决了多个风控关键问题。首先，系统基于ARM架构的CPU与普通虚拟机依赖的CPU，对一些关键内存区域以及一些机器指令的执行权限控制上存在明显差异，基于CPU架构差异准确识别虚拟机，实现人机识别。其次，自主研发可信服务ID技术，即为APP端生成唯一设备ID，从而实现用户设备精准识别。此外，针对浏览器中用户ID唯一性难以判别的问题，以浏览器为基础设计了浏览器唯一ID标识，并解决了浏览器中存储唯一ID的技术难题。

京东金融天盾风控系统是基于Spark的图计算平台，分析维度主要包括用户画像、用户社交关系网络、交易风险行为特性模型，该系统已覆盖京东数十个业务节点。其内部核心是存储用户风险信用信息及规则识别引擎的风险信用中心（RCS）系统，该系统基于用户风险画像进行用户风险评分。RCS支持动态规则引擎的高效在线识别，是风控数据对外提供服务的唯一出口。RCS内部实现了一套自主研发的规则动态配置和解析的引擎，用户可以实时提交或者修改在线识别模型。系统会将实时请求的数据依据模型里的核心特性按时间分片在高性能中间件中进行统计，一旦模型中特性统计超过阈值时，前端风控系统将立刻进行拦截。

除上述方案以外，参考文献［3-5］详述了证券公司［3］、互联网金融公司［4］、餐饮外卖O2O公司［5］等企业的内部反欺诈作弊检测方案的实现过程。此外，电信运营商在用户异常行为识别［6-8］、黑卡行为识别［9-11］、用户画像［12-13］、个人信用风险评估［14］等风险防控技术方面也进行了研究验证。

可以看出现有的业务黑产风控方案和系统具有如下特点。

a）以企业自研为主，第三方产品较少，且大多为收费服务；企业自研风控系统在功能、架构、风控规则等方面均不具有普适性。

b）第三方服务仅适合作为活动前的基础性的欺诈检测，无法检测业务限制违规，无法判断请求来源合法性等，达不到全流程动态风险防控的目标。

c）一般电商风控系统进行人机识别主要依靠设备指纹，操作模式等数据，缺乏手机号码信息、黑卡信息等关键信息。

电信运营商信息系统经过多年的优化，不仅具备实时采集手机号码使用行为、用户自然人信息、基站位置信息等用户基础大数据的能力［15］，也在常年的线上风险攻防中沉淀了用户异常行为识别、黑卡行为识别、双低/三低用户分析等多种用户风险大数据，因此，电信运营商应充分发挥特有的数据资源优势，聚合风险防控能力，设计运营商特色的覆盖全业务流程的电商业务风控方案。

4 电信运营商电商业务风控方案

4.1 系统架构

为了能够最大程度地避免营销活动运营费用损失，电商业务风控平台需要确保活动奖励在黑产激活使用前被有效拦截，因此，电信运营商电商业务风控方案依托运营商独有的手机号码使用行为数据，以及运营商电商平台长期沉淀下来的黑名单库数据等，基于实时计算和规则引擎技术，进行“活动前—活动中—活动后”的全链路风险防控，基于该设计思路的风控系统架构如图2所示。

图2 电信运营商电商业务风控系统架构

电信运营商电商业务风控系统由业务系统、风控引擎、风险指标加工层和数据源层构成。其中，业务系统层根据具体活动方案编写风控规则脚本或配置风控规则，同时在活动流程全链路采集各类用户风险数据，并实时输入到风控引擎中；风控引擎层根据预设专家规则和业务特定规则，以及运营商特有的黑卡识别引擎，基于实时流计算技术和规则引擎进行风险评级，并实时输出评级结果；风险指标加工层负责将业务系统采集到的风险基础数据按规则组合成各类指标，并将指标进行缓存，供风控引擎调用；数据源层负责运营商大数据的汇聚、加工和关联，数据源层聚合了电信运营商特有的手机号使用行为大数据，具体包括集中基站养卡用户数据、语音流量使用情况、GPRS数据、低用量号码数据、用户上网日志、用户号码标签、套餐黑名单、区域黑名单、IP黑名单、设备黑名单、第三方ID黑名单等。

4.2 全链路实时风险评级模式

用户在活动全链路的风险是动态变化的，因此需要在活动全流程动态计算风险情况，如图3所示。在活动前，即在用户进入页面尚未登录或参加活动之前的阶段，基于浏览环境数据、操作行为等数据进行基础风险评级，当用户登录后，针对登录环境、身份信息、号码信息等进行登录身份风险评级；在活动中，即用户参加活动过程中，基于业务规则和深度规则进行动态评级，并实时按规则将超过风险预警值的各类数据更新到黑名单库；在活动后，再次评估风险情况，拦截已发放奖励或优惠券。活动方可以在多个环节调用风控服务，基于风险类型和风险详情做出相应处理行为。不同营销活动可以根据营销奖励金额和营销活动目的来设定针对不同评级用户的应对策略，正常用户可以参加活动并发放奖励，非正常用户或拒绝参加活动，或者给予较少优惠或奖励，或设定参加活动门槛等。此外，为了避免部分隐藏规则泄露，可将拦截风险后的提示文案模糊化或改为提示网络问题等。

4.3 黑产风险指标

图3 全链路业务风险评级

根据图1中黑产上下游各角色的行为模式，运营商电商业务风控系统可综合账号风险评估、IP行为检测、人机识别（虚拟机识别）、伪造请求识别、验证码发送和输入行为识别、黑卡识别等多种手段进行风险防护。此外，活动过程中，业务系统也会采集到更多用户参与活动的具体行为，通过业务规则模式匹配也可检测出异常情况。因此，本文基于对活动全链路关键环节风险的分析，同时基于运营商大数据资源特征，可将黑产风险识别引擎所涉及的指标进行分类（见表1）。

表1 全链路业务风控引擎数据映射

由于电商业务活动形式多样，其业务规则也呈现多样性特征，下面仅列出部分常用业务规则限制项。

a）参与次数限制：同一终端IMEI号与手机号对应次数、同一账号ID参与次数、同一号码相同IP参与次数、唯一性限制（同一手机号码、联系号码、地址、第三方ID、身份证件号、银行卡号、收货地址、终端ID等多维度仅限1次）、同一奖品同一用户允许获得次数、区域参与活动次数限制、同一套餐与同一活动奖励对应次数等。

b）号码资格限制：入网时间、套餐类型、是否黑名单套餐、新老用户规则区分。

c）参与活动间隔限制：同一IP、同一号码特定时间内发起或参与活动次数。

各类风险指标涉及的关键数据属性如表2所示。

表2 关键风控数据属性

4.4 应用效果

目前该方案在中国联通电商系统的部分互联网产品合作拉新和用户维系活动中进行了试点验证，数据显示其黑产拦截效果显著。在与某互联网APP合作的新用户赠20元礼券活动中，识别作弊用户24 955人，涉及运营费用近50万元。在另一项中国联通老用户登录支付宝小程序即送充值优惠券的短期活动中，参与用户近14万人，拦截黑产用户3 935人，避免直接经济损失近10万元。

5 结束语

企业电商业务基于风控系统或风控服务在很大程度上控制了薅羊毛行为，然而仍然面临诸多挑战。企业之间黑产数据互不共享，运营商的黑卡识别服务也尚未对外开放，企业在做黑产风险防控的过程中缺乏全局数据支撑，因此羊毛党仍然有可乘之机。如果运营商能够合作对外提供黑卡风险识别服务，同时将黑卡集中出现的物联网卡产品限定在特定号段，这将使基于黑卡识别的业务风控服务广泛应用成为可能，从而助力企业提升风控能力。此外，在风险防控过程中由于计算偏差会有真实用户被误伤，复杂的业务规则也会导致用户体验的下降。因此，进一步深度利用人工智能技术提高黑产识别准确度，降低误伤普通用户的比例，也是未来亟待解决的问题。