数美科技时域特征：辨别引流脚本的那点猫腻儿

试想一下，如果你收到了这样的私信：

某交友平台上：看你照片觉得挺帅的，能加下微信聊聊吗，我微信**********

某音乐平台上：发现你听的歌我都爱听，要是可以的话交个朋友，我qq**********

某运动健身平台上：以前我是一个100多斤的小胖子，自从用了她家的减肥产品都瘦了二十斤了，效果真的不错，有需要的朋友加他qq**********

某二手交易平台上：阿迪达斯，耐克，LV，你喜欢的应有尽有，价格非常便宜，和正品没区别，加我的V信**********，支持货到付款

对于这类信息，我们似乎已经司空见惯，有的APP一段时间没清理，私信就变成99+。但其实，给我们发送这些私信的，既不是寂寞的帅哥美女，也不是与你音乐品味相同的“知音”，更不是减肥成功的励志小胖，他们甚至都不是真实的“人”。

“他们”很可能只是黑产用来引流的自动化脚本。

黑产为了实现发广告、卖东西、吸粉、导流、诈骗等目的，会利用平台的私信功能，批量一对一给用户发送信息，最终目的只有一个：获利。

为了使利益达到最大化，黑产手中的商品信息、导流信息、诈骗信息需要快速、大量、低成本的曝光，因此黑产不会真的一条一条手动给用户发送私信，这种方式成本高且效率低下。此时，脚本模拟、数据打接口等手段提高了黑产的“生产力”。也就是说，黑产们无需自己动手，只需要设计并运行引流脚本，就能自动将一条条私信、评论源源不断地发送给用户。

自动化引流脚本从哪获得，又如何运行？

目前市面上存在各类大大小小的脚本工作室，他们根据不同平台的特点，设计出专门针对电商平台、直播平台、交友平台、网购平台的引流脚本，有的卖家还会提供针对不同场景的引流话术，再将脚本和话术打包卖给需要引流的用户。

用户拿到引流脚本，第一步需要下载模拟器；

（模拟器是一种让手机APP在电脑上运行的软件，能够在电脑上模拟安卓系统，实现安卓应用的安装、使用和卸载）

第二步，下载、安装客户端和引流脚本；

第三步，运行客户端，注册账号；

第四步，设置引流脚本的功能、话术、操作时间；

第五步，在客户端界面运行脚本。

自动化引流脚本开始运行，黑产就能“坐收渔利”，无须手动操作，即可给用户24小时不间断地发送私信、评论，获得免费的流量。

某音乐平台中用户收到的脚本引流私信

致命弱点，让引流黑产被“抓包”

自动化引流脚本看似一劳永逸，实则存在一个致命的弱点。

黑产在利用脚本发送私信的过程中，一般需要给机器操作设置两个时间：

某短视频平台引流脚本

“操作延时”是指给一个用户发完私信，切换到下一个用户的间隔时间；“话术延时”是指给同一个用户发多句话时的间隔时间。

正常人发送私信时，时间间隔是不固定的，秒回、十分钟说一句话或者不回复都是有可能的。

而黑产的私信脚本就没有这么“人性化”了：由于机器操作的稳定性，脚本在给同一个人发多句话时，会存在稳定的时间间隔，这一点有别于真人与真人的对话。给一个人发完内容，需要切换到下一个用户的私信界面继续操作，在切换过程中，机器操作也会出现稳定的时间间隔，这也不属于正常人的行为特征。

数美科技基于自动化脚本所表现出来的时域特征，能够评估出发送信息的账号是机器操作的可能性。

“时域”就是指时间和地域。黑产的行为在时间上、地域上都会暴露一定特征，同时时间和地域的特征也存在高度关联性。因此通过时域方面的特征分析，我们就能够顺藤摸瓜，找到黑产留下的蛛丝马迹。

操作过快、操作时间间隔稳定，这类都是自动化引流脚本运行过程中所产生的不同于正常用户的时序特征。针对这些特征，数美科技实时风控引擎能够分成多个时间窗口，统计账号的行为频度，一旦操作快到一定程度，远远超出人所能达到的速度，就会识别此账号存在机器操作，从而做出拦截动作。

这种简单的频度策略，首先能够保证简黑产作恶的有限性。

批量发送消息被拦截后，黑产也不会就此罢休。他们会试探风控系统的阈值并试图绕过，此时简单的频度策略很难将他们拦住，需要依靠行为特征进行识别。正常人的行为是杂乱无序的，我们可能在一个小时内切换使用不同的软件，进行各种操作。以短视频APP为例，正常用户进行会浏览、点赞、评论等操作，但这些操作是无规律的，停留在某一页面的时间、是否点赞、评论内容都不固定。与之不同的是，机器操作行为稳定，或者存在某种周期规律，即使黑产有意识地加入随机数，仍然会被察觉出与正常人的操作有所区别。

通过分析账号的频度特征和行为特征，利用自动化脚本引流的黑产基本上就浮出水面了。

时域特征：辨别黑产团伙蛛丝马迹

数美科技曾帮助某社交APP解决违规广告引流问题，接入数美科技全栈式智能风控产品天网后，我们尝试用模拟器上登录该APP，尝试3次均提示“当前版本过低，请更新到最新版本！”，查看数美后台，拒绝理由为虚拟机+安装引流软件，绝大多数引流脚本均会被我们识别并拦截。为此，我们专门询问了脚本的卖家，得到的答复如下：

数美黑产研究同学与脚本卖家交涉

从时域上来看，黑产所表现出来的特征远不止频度特征和机器操作特征，地域离散、重要节点不一致以及各种相似聚集特征，都是我们追踪黑产的重要抓手。

依靠频度特征、行为特征、地域离散、重要节点地域特征，能够做到一个账号的单点识别。但是黑产也会批量注册账号，让每个账号保持正常活跃度，也就是我们常说的“养号”。如果对这些账号的行为单独进行分析，很难发现其中的问题。但如果能够证明这样的可疑人群是一个团伙，事情就变得简单多了。

欺诈团伙挖掘

“好人是多样的好，坏人是相似的坏” 。一个黑产团伙控制的一批账号，具备高度一致性，虽然黑产也能意识到到这点，并试图绕过，但是不能完全抹除这样的一致性，一定会留下蛛丝马迹。

数美科技曾总结出这样一条反欺诈定律：“好人”的朋友通常也是“好人”，“坏人”的朋友通常也是“坏人”。正常账号也有可能在时间和地域上表现出异常，但是如果某个分组下，几乎全是这样的异常可疑账号，则可以判断是团伙作案。异常用户存在本身是正常的，但是这些用户应该是分散的、关联性低的，如果在某些方面存在多重联系，就有足够理由怀疑其是有问题的。

时域特征在风控策略中不是孤立存在的，时域信息和设备信息、账号画像、关联网络、团伙挖掘、模型检测相互联系，从多个方面指证出黑产，才能给予精准打击。风控就像一张大网，既有层级递进结构、先后顺序、通用和专用、保底和深挖的关系，同时还有层层联系、互相配合的功能，这样才能将这张大网“织密”，达到1+1>2的效果。

目前，数美科技已经数美科技目前提供的风控4.0版本的千人千面智慧风控，从账号层、设备层、内容层三个层面形成用户画像的全面判定，以画像辅助判断账号风险、设备安全和内容和内容合规性，并不断通过新的行为输入进行画像更新修正，实现风险识别能力和用户画像体系的相辅相成，真正做到天网恢恢疏而不漏。