筆者針對(duì)移動(dòng)廣告作弊的問題，從作弊手段、產(chǎn)生危害和規(guī)避策略三方面進(jìn)行了闡釋，分享給大家。

移動(dòng)廣告作弊是指廣告主在移動(dòng)應(yīng)用推廣過程當(dāng)中，廣告商或渠道商通過非法的技術(shù)手段，偽造或劫持目標(biāo)推廣應(yīng)用的新增用戶并從中獲利的行為。

這里的非法指的是在廣告主不知情，不允許的情況下，任何單位或組織對(duì)廣告投放活動(dòng)的干擾物。

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)廣告作弊的手段和方式也在不斷進(jìn)化。這意味著黑產(chǎn)團(tuán)伙作弊手段將更加的隱蔽復(fù)雜，作弊方式也將更加的多樣和多變：從早期簡單粗暴的點(diǎn)擊撞庫、設(shè)備農(nóng)場，到現(xiàn)在可以模擬真實(shí)用戶的后續(xù)行為，甚至可以完成支付動(dòng)作。

黑產(chǎn)團(tuán)伙更加注重廣告主以推廣APP的KPI作為出發(fā)點(diǎn)開展業(yè)務(wù)，而且在技術(shù)實(shí)現(xiàn)方面逐漸向后端轉(zhuǎn)移，實(shí)現(xiàn)方式更加的繁瑣，這使得檢測難度大大增加。

在作弊產(chǎn)品功能方面，黑產(chǎn)團(tuán)伙可以根據(jù)不同的推廣APP動(dòng)態(tài)調(diào)整策略，更新迭代的速度是我們難以想象的，許多企業(yè)因?yàn)闆]有建立良好的學(xué)習(xí)和預(yù)警機(jī)制，而被欺騙導(dǎo)致利益受損。

一、作弊的手段

作弊手段，我們可以按照技術(shù)原理，將其分為歸因劫持和虛假流量。

• 歸因劫持的意思是利用歸因規(guī)則，通過發(fā)布虛假的點(diǎn)擊，劫持真實(shí)用戶產(chǎn)生的轉(zhuǎn)化。
• 虛假流量則講的是所有的轉(zhuǎn)化數(shù)據(jù)都不是真實(shí)用戶，有可能是來自于虛擬設(shè)備，也有可能來自于真機(jī)刷量。

1. 歸因劫持

1. 點(diǎn)擊泛濫，也就是大家提到的所謂的大點(diǎn)擊。非法團(tuán)伙利用腳本注入隨機(jī)數(shù)據(jù)或其他來源的目標(biāo)數(shù)據(jù)，偽造廣告的曝光或點(diǎn)擊，在lastclick歸因原則下，通過設(shè)備ID和指紋信息撞庫而獲得激活，這種方式的作弊成本最低，但隱蔽性很差。
2. 點(diǎn)擊劫持，與大點(diǎn)擊思路截然相反的小點(diǎn)擊。由于android廣播的機(jī)制存在，設(shè)備中的間諜APP或惡意插件會(huì)竊聽安裝完成事件，并盡量在用戶打開前由服務(wù)器上報(bào)相同的設(shè)，ID和指紋信息的點(diǎn)擊數(shù)據(jù)，根據(jù)lastclick規(guī)則就很容易被歸因上了，而且IOS端由于沒有安卓廣播機(jī)制，無法獲取安裝列表，小點(diǎn)擊實(shí)現(xiàn)難度更大，但隨著時(shí)間和作弊技術(shù)的發(fā)展，目前該技術(shù)也在慢慢的興起的。
3. 安裝劫持，指渠道包的劫持，也是大家在推廣Android APP是比較頭疼的問題，應(yīng)用商店或者軟件會(huì)對(duì)用戶發(fā)出不安全提示，引導(dǎo)用戶前往其相應(yīng)的地址下載，眾所周知，在不同應(yīng)用市場或推廣渠道的渠道包在打包時(shí)會(huì)通過channel ID區(qū)分來源，劫持的目的就是為用戶不在不知情的狀態(tài)下改變渠道包的來源，從而讓相應(yīng)的應(yīng)用商店或渠道獲取新用戶。

2. 虛假流量

而相對(duì)以上三種方式，虛假流量就顯得更加的自給自足。

不受歸因規(guī)則制約，不受自然量制約，點(diǎn)擊激活都是偽造出來的；在數(shù)據(jù)請(qǐng)求層面，黑產(chǎn)團(tuán)伙常用一些匿名的地址報(bào)送點(diǎn)擊和激活數(shù)據(jù)。

1. 使用代理，比如使用VPN代理服務(wù)器，數(shù)據(jù)中心等技術(shù)，經(jīng)過匿名化的處理后的數(shù)據(jù)，IP地址將發(fā)生變化，從而改變歸因結(jié)果，這種方式常常有異地的黑產(chǎn)團(tuán)伙使用，足不出戶就能做到定向國家、地區(qū)或省市的激活，注冊，刷量。近期被曝光的東南亞地區(qū)黑卡黑號(hào)刷注冊薅羊毛的這種作弊方式，其中的網(wǎng)絡(luò)環(huán)境的偽造就是靠非法的VPN和代理服務(wù)實(shí)現(xiàn)。
2. 安卓模擬器和IOS越獄機(jī)的真實(shí)使用人數(shù)有限，大規(guī)模濫用的行為，基本上可以被判定為作弊行為，同樣有群體性質(zhì)的，還有大量使用真機(jī)刷量的行為，幾百、幾千臺(tái)設(shè)備由服務(wù)器統(tǒng)一命令，按照任務(wù)定時(shí)定量的下載應(yīng)用，并執(zhí)行到相應(yīng)事件，這些設(shè)備大多數(shù)隱藏自己的IP物理地址，頻繁的重置設(shè)備ID，頻繁的恢復(fù)出廠設(shè)置，或者通過一鍵刷機(jī)精靈進(jìn)行刷機(jī)，網(wǎng)絡(luò)上經(jīng)常流傳的這種設(shè)備墻，設(shè)備農(nóng)場正是上訴場景的一種真實(shí)寫照。
3. 請(qǐng)求劫持，針對(duì)第三方SDK，就比如說像經(jīng)常使用的友盟、talkingdate等SDK，在非越獄的狀態(tài)下也可以進(jìn)行逆向拆包，提取敏感信息后，進(jìn)行非法劫持或者篡改上報(bào)信息，極有可能出現(xiàn)設(shè)備a上報(bào)了設(shè)備B的激活以及后續(xù)事件。

二、產(chǎn)生的危害

產(chǎn)生的危害主要為數(shù)據(jù)異常，無法有效判斷投放效果。

正在進(jìn)行廣告推廣應(yīng)用，暴露在這些作弊手段攻擊下，投放數(shù)據(jù)必定變得失真且波動(dòng)。

大量的點(diǎn)擊泛濫會(huì)導(dǎo)致計(jì)算出的CPC（每點(diǎn)擊成本）極低，而廣告的CTR（點(diǎn)擊率）同樣也會(huì)變得非常的異常，那么有點(diǎn)擊總數(shù)和CTR推算的廣告曝光人數(shù)也將會(huì)是一個(gè)天文數(shù)字，其實(shí)這個(gè)與實(shí)際預(yù)期的廣告受眾人數(shù)是大相逕庭的。

而轉(zhuǎn)化率方面，由于大點(diǎn)擊撞庫得來的CVR（轉(zhuǎn)化率）常常會(huì)低于正常水平，因?yàn)闊o序的點(diǎn)擊并不知道激活會(huì)在什么時(shí)候出現(xiàn)。

所以說，大點(diǎn)擊的CVR會(huì)比正常的這種投放的數(shù)據(jù)要低一些，而通過小點(diǎn)擊劫持投放出來的CVR會(huì)偏高，這兩個(gè)極端都會(huì)造成激活的時(shí)間順差異常，mtti這一指標(biāo)，定義了激活時(shí)間順差，也就是平均安裝時(shí)間。

由實(shí)際的推廣數(shù)據(jù)統(tǒng)計(jì)可以看出來，大點(diǎn)擊的激活在歸因窗口期內(nèi)分布是比較平均的，但是小點(diǎn)擊的mtti在零到五秒內(nèi)分布是比較多。

真機(jī)刷量和模擬器刷量，這些行為產(chǎn)生的激活，多在留存和roi方面會(huì)出現(xiàn)問題，刷付費(fèi)刷等級(jí)的行為，也經(jīng)常有大而集中，或者游戲等級(jí)集中的這種現(xiàn)象，那這些作弊的行為，在自身運(yùn)作的同時(shí)，也會(huì)影響著其他正常的渠道，渠道和渠道之間的搶量，渠道吸食自然量的情況屢見不鮮。

根據(jù)市場情況對(duì)近半年的投放數(shù)據(jù)匯總得知，那么大約有23%的作弊激活，影響到了正在推廣的應(yīng)用。

在做數(shù)據(jù)總結(jié)時(shí)，往往也會(huì)發(fā)現(xiàn)真實(shí)活躍的DAU與投放的力度并不是正比，左手倒右手的現(xiàn)象非常嚴(yán)重，這正是在刷量數(shù)據(jù)的影響下所顯現(xiàn)出來的一些問題。

在這里給大家提了幾點(diǎn)問題，作為我們廣告投放的運(yùn)營或者優(yōu)化大佬，是不是也在面臨著這些發(fā)人深省的問題。

三、如何規(guī)避？

設(shè)置轉(zhuǎn)化漏洞分布模型，從廣告曝光點(diǎn)擊數(shù)據(jù)到用戶激活A(yù)PP，再到激活用戶的后續(xù)行為，在所有環(huán)節(jié)的設(shè)置分層校驗(yàn)和組合關(guān)聯(lián)校驗(yàn)的邏輯。

使用監(jiān)督學(xué)習(xí)模型，建立設(shè)備級(jí)別的和IP級(jí)別的黑白名單庫，保證了更深層更高級(jí)的作弊手段能被探測到。

1. SDK加密傳輸

SDK端報(bào)文多重加密，通訊使用HTTPS，保證了端到端的通訊安全性，同時(shí)，立體的系統(tǒng)參數(shù)建模幫助判斷機(jī)器人或真機(jī)刷量等作弊方式。

2. IP和設(shè)備黑白庫

對(duì)原始數(shù)據(jù)的格式和來源通過后端驗(yàn)證，按照黑白庫邏輯是實(shí)時(shí)計(jì)算每一條點(diǎn)擊和設(shè)備ID，并動(dòng)態(tài)更新服務(wù)列表，再到最后可以通過大數(shù)據(jù)離線計(jì)算，數(shù)據(jù)的關(guān)聯(lián)性分析，對(duì)后續(xù)行為的持續(xù)跟蹤，做到實(shí)時(shí)防護(hù)和屏蔽。

3. 監(jiān)測分包劫持

分包劫持是推廣android同學(xué)比較關(guān)心的問題。通過點(diǎn)擊與激活的歸因模型能分析激活的渠道包和渠道點(diǎn)擊的關(guān)聯(lián)性，識(shí)別應(yīng)用市場或作弊渠道的劫持情況。

比如用戶A點(diǎn)擊渠道包B的廣告，這時(shí)會(huì)收集到用戶A的設(shè)備ID，用戶下載打開應(yīng)用包時(shí)，會(huì)獲取到用戶的設(shè)備ID和渠道包ID，若發(fā)現(xiàn)用戶下載的渠道包不是B,而是C，則可判斷C劫持了B的用戶。

4. 監(jiān)測關(guān)聯(lián)作弊

關(guān)聯(lián)作弊則是對(duì)作弊點(diǎn)擊和作弊激活進(jìn)行一定的識(shí)別，它依托了全局的數(shù)據(jù)。

通過分析單位時(shí)間內(nèi)同個(gè)IP下的點(diǎn)擊和激活數(shù)量來判斷是否存在作弊，通常情況下，單位時(shí)間內(nèi)同個(gè)IP的點(diǎn)擊激活數(shù)量不會(huì)太多，所以一旦監(jiān)測到大量點(diǎn)擊激活，則存在作弊嫌疑，而作弊點(diǎn)擊對(duì)應(yīng)的激活極有可能也是作弊數(shù)據(jù)。

5. 監(jiān)測虛假安裝

虛假安裝是對(duì)激活數(shù)據(jù)進(jìn)行分析，根據(jù)激活用戶的后續(xù)行為事件，勾勒出網(wǎng)狀化的用戶活動(dòng)行為習(xí)慣，不具備真人屬性的數(shù)據(jù)將會(huì)被標(biāo)記，包含了安卓的模擬器、設(shè)備工廠。

真機(jī)刷量等作弊行為，虛假安裝分析，因?yàn)椴簧婕暗近c(diǎn)擊數(shù)據(jù)的參與，可以針對(duì)推廣量和自然量都可以去做判斷。

6. 監(jiān)測點(diǎn)擊劫持

點(diǎn)擊劫持是探測是否有間諜APP或惡意插件在目標(biāo)推廣APP激活前發(fā)送虛假點(diǎn)擊搶歸因，通過分析點(diǎn)擊到激活的時(shí)間差，可以判斷是否存在點(diǎn)擊劫持現(xiàn)象。

7. 監(jiān)測僵尸用戶

僵尸用戶是展示在首次打開APP后再無任何后續(xù)行為的用戶占比，觀察周期有可以根據(jù)自己情況設(shè)置，當(dāng)然隨著時(shí)間的推移，僵尸用戶的屬性就會(huì)更加確定。

比如說，一個(gè)激活用戶，他在首次打開后，之后的七天都沒有任何的后續(xù)，就是她之后再也沒有打開，或者說在沒有去注冊，沒有注冊，登錄或者付費(fèi)的這種這種事件，我們把它認(rèn)定為一個(gè)僵尸用戶。

這個(gè)指標(biāo)和虛假安裝一樣，這里的點(diǎn)擊是不參與計(jì)算的，所以除了推廣量，我們還能看到自然量的一些情況。

最后

廣告反作弊的過程猶如逆水行舟，不進(jìn)則退，只有不斷的深入了解，保持對(duì)數(shù)據(jù)的敏感，才能不被假象所蠶食。

#專欄作家#

lennon，微信公眾號(hào)：張論（ID：woshipm123），人人都是產(chǎn)品經(jīng)理專欄作家。關(guān)注新零售電商、供應(yīng)鏈金融的產(chǎn)品經(jīng)理，擅長產(chǎn)品設(shè)計(jì)與需求分析。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來自 Unsplash ，基于 CC0 協(xié)議。