一、背景
1.1. 模拟点击定义及其特点
模拟点击是非常宽泛的概念,简单来说,模拟点击是指通过脚本、系统指令完成一些自动化点击的操作,不需要人为点击。黑灰产利用模拟点击技术,渗透到游戏行业、金融行业、社交行业、直播行业等等,其具备如下特点:
- “可用”设备多样:电脑和手机都可以植入模拟点击相关脚本;
- “涉及”场景多样:外挂脚本可以用来PC端打游戏、跳过广告等;手机端可以用来自动抢红包、抢购商品等;
- “实现”技术多样:从技术的角度,存在多种实现方法;
1.2. 为什么要实时防控
黑灰产利用模拟点击技术影响了很多使用场景,在激烈的攻防和快节奏的营销活动中,急需建立完备的模拟点击风控能力。
其中,对模拟点击黑灰产的实时防控能力建设的必要性体现在:
- 人赃并获,及时止损:业务实践场景需要更灵敏的黑灰产防控时效,比如领券核销场景,事后防控不能挽回损失。黑灰产的模拟点击防控讲究“人赃并获,及时止损”。
- 对事不对人:黑灰产用户可能也会有正常的操作,不宜“一棒子打死”,管控的粒度应为用户的操作,而非用户本身,“对事不对人”。
1.3. 终端设备上建立实时管控能力的必要性
模拟点击防控的“实时化”存在难点。首先在系统链路上,支付宝体系下营销活动是全民级别的,流量巨大,要兼顾风控与业务体验,这对于风控的处理时效有很高的要求;其次在防控效果上,实时的防控需要更多实时的特征刻画,云端无法获取足够的实时特征。应对模拟点击防控的难点,终端具备如下的优点:
- 针对链路:
- 分布式计算:每个设备可以计算自己的风险,没有云端大批量实时计算的压力;
- 计算前置:设备上可以自定义风控触发逻辑,可以在黑产行为发生的时候就分析计算,把分析结果实时传回给中央服务器;
- 针对防控效果:
- 行为丰富:设备终端拥有最详细的用户行为操作、环境等数据;
1.4. 全文导读
本文针对模拟点击的黑产实时防控问题,介绍过去2年蚂蚁集团在技术方面的工作,旨在介绍风险存在的原因、风险的特点、风险的技术分析以及风险的防控方法。第一节:引入风险。介绍设备终端上建立实时模拟点击防控能力的必要性。第二节:了解风险。从业务场景角度和技术特点角度两个方面,列举、剖析主流的模拟点击技术的实现方法和效果;并对风险在防控方向上进行归类。第三节:防控风险。通过介绍整体防控方法,引出端上实时防控。分为链路能力准备、端上策略规则、端上通用模型和端云联合建模三个方面介绍端上防控能力。
二、模拟点击技术的前世今生
本节从业务场景角度和技术角度来阐述模拟点击技术,分别介绍目前模拟点击的用途以及实现形式。
2.1. 业务场景角度
模拟点击技术可以帮助视障或是老年群体更方便使用手机,但随着技术的更新,模拟点击被黑灰产利用,并实践在自动化抢红包、自动聊天等黑灰产场景中。本章节收集了游戏、社交、金融等行业的业务场景和支付宝使用场景的一些典型案例。
2.1.1. 游戏外挂
游戏外挂的常见使用场景是脚本批量开新号、群控操作、脚本挂机以及脚本快速操作等。很多网页游戏都存在简单重复的挂机刷怪模式,来达到积分和装备累加的目的,这类的模拟点击工具往往带有很强的识图、识色功能,通常可以根据几个像素点的颜色来判断游戏是否进入需要模拟点击操作的阶段。
2.1.2. 自动聊天
一些交友类 APP 内有付费聊天模式,这便吸引了黑灰产通过脚本自动聊天来谋利。如附图所示脚本,可自动接收和回复消息。通过模拟点击,自动输入文字和点击发送按钮,配合精选的问答库,增加自动聊天的可信度。
2.1.3. 抢红包
自动抢红包行为需要后台脚本持续监控并且快速进行点击,比如在社交群聊应用中,可能会同时存在很多群,且群里时不时有人发红包。使用自动化脚本就能日常监控群,并在第一时间“替你”点击抢红包操作。
2.1.4. 风险类自动转账
使用模拟点击可以自动给多个指定用户进行转账。由于非支付宝商家用户不能申请支付宝的支付api,黑灰产另辟蹊径,使用恶意软件模拟手动操作支付宝实现转账功能。将需要转账的手机号写入txt文件中,每行包含一个账户信息和转账金额,使用逗号隔开,调用脚本自动化执行。
2.1.5. 商品抢购类
在用户使用支付宝时,存在许多商品/数字化藏品/消费券抢购的场景。“快”是抢购类的模拟点击操作的重要特征,比如在规定开始时间后,投放消费券,脚本通过监控时间,快速请求操作“抢”的操作。抢购类模拟点击的使用场景非常多,除了消费券,还使用于大促类活动、积分抢购以及数字藏品类的定时抢购等。
2.1.6. 广告流量场景恶意流量
广告流量业务的作弊中,恶意流量十分猖獗。针对商业化广告流量变现,媒体侧和广告主侧的作弊现象严重,损害各方的利益,主要形式是通过脚本或计算机程序模拟真人用户,又或者雇佣和激励诱导用户进行点击,生成大量无用广告点击,获取广告主的CPC广告经费。
2.2. 风险总结
2.2.1. 风险外在表现
按照暴露风险方式的不同,风险外在表现分为手势假、协议假和点击假三种。
2.2.2. 风险防控方向归类
从防控的角度,将上述的所有风险按照如下结构划分。
- 设备风险:针对手机进行的“非法”操作
- 常见的是否root等,都会在设备上留下黑灰产痕迹;
- 行为风险:
- 离线行为:不关注单次操作的风险,而在离线统计总体行为的异常;
- 在线行为:关注黑产行为的风险;
- 低级伪装:针对端上特征行为的“露出马脚”的显性异常;
- 高级伪装:一些黑灰产“高手”在特征上没有暴露显性异常,需要从更加细致的角度去发现伪装的隐性异常;
三、端上实时防控
针对上一章节中对风险的介绍和分类,本章从能力上详细介绍如何防控,分为3个方面:
- 基础风险能力:针对设备风险标签和离线的风险行为;
- 端上实时能力:
- 端上策略规则:针对“低级伪装”的在线行为防控;
- 通用端上算法:针对“高级伪装”的在线行为防控;
- 端云结合:端云各取所长,联合建模;
其中基础风险能力介绍:从技术能力沉淀的角度大致分为两个部分:(1)设备标签设备被攻击之后,会留下痕迹,鲜为人知的黑产手段比如获取root权限。这些特征的特点重点体现在离线对设备的刻画上,干了“坏事”的设备都会有记录。(2)离线风险统计黑产往往具有聚集效应,比如统计黑产行为的异常特征,这些特征会回流到中央服务器上的实时防控系统中。对于该能力本篇文章不再做详细赘述,是已有的非常成熟和完善的能力,端上防控则是对成熟能力的重要补充。
3.1. 端上的能力储备
针对模拟点击识别,设备终端上从能力储备上可以分为两个方面:(1)具备丰富的特征,为实时风险刻画提供基础;(2)具备完善的链路保障,可以根据不同的管控时效,提供不同的特征上报和下发链路。
3.2. 端上通用反作弊模型
3.2.1. 引入
(1)对抗的升级随着黑产作案技术水平的提高,存在越来越多的手法,无法被简单地发现,做到了最高级的“伪装”,针对模拟点击的脚本攻击所带来的风险操作,除了技术手段之外,防控需要具备行为异常检测方法。而这个检测方法的突破点就是用户和设备的交互行为。(2)效率的升级以前的模式中,防控实现了对业务的即插即用,快上快下,跟上了业务场景的节奏,这得益于具备很强的先验知识,针对目前越激烈的攻防,以及场景多样化的趋势下,在升级能力的同时,也需要能力对场景的覆盖,实现通用能力。
3.2.2. 建模
通过对黑产行为构建基础特征,维护了多条细粒度数据buffer,针对黑产软件的特点(如一次向上滑动)设计特征序列,特别地,我们将数据处理成图像的格式,通过卷积模型模型,兼顾对黑产单次操作的风险刻画,以及多次操作之间的关联。
3.3. 端云一体的模式探索
通用模型除了采用端上用户的细粒度数据,未来还可以加入更多特征,不仅仅是云端的其他实时特征,还包括离线积累的特征,本节对端云一体的模拟点击识别进行了探索。
3.3.1. 端云特征结合
下发高危用户云端异常特征。从行为上来说,黑灰产在离线有不符合业务逻辑的行为,高危操作的统计具有很强的风险刻画能力。因此,可以用用户历史的离线聚合信息,最大程度刻画用户的作弊风险。云特征再结合设备本地的特征,全面刻画黑产的风险行为。
3.3.2. 综合建模
模型网络主要包含四部分,分别是:
- 隐形特征交叉(DNN网络)
包括离线特征,端上实时特征,以及部分特征对应的词表。
- 显性特征较差特征交叉(CIN+FM)
机器流量识别场景的特征分布,跟推荐场景有类似之处,特征十分稀疏,特征之间的交叉很重要。因此针对最头部的高准确率下的召回率, 采用了推荐中较为常用的交叉网络CIN和FM。
- 黑产异常行为识别(TextCNN+TF)
TextCNN:捕捉机器操作在行为操作上的相似性,如黑产的机器行为具备高度的统一性。Transformer:刻画行为序列整体特征
3.3.3. 实验结果
(1)训练难点:高准确率防控对模型性能要求极高,需要具备高准确率和高召回率,但由于加入了云端离线特征,模型十分容易过拟合,虽然AUC很高,但是头部的效果(召回率)是毁灭性的。解决:针对性的调参经验:
- focal loss,降低过拟合风险;
- 调大手势识别网络的权重,减慢收敛,降低过拟合风险;
(2)网络结构实验重点关注黄色区块,在DNN网络的基础上,依次加入CIN&FM网络以及TextCNN和Transformer网络,都带来召回率上的提升。
四、总结
在过去的两年中,无论是支付宝日常的营销活动(如积分抢购),还是年中的常规大促(618、双十一、大促秋促等)还是年末的活动(如五福活动),针对“模拟点击”的风险,端上始终提供了不可或缺的实时能力,在兼顾用户体验、保障业务的同时,有效打击黑灰产。
作者 | 固琼
来源 | 阿里云开发者公众号
