筆者針對移動廣告作弊的問題，從作弊手段、產(chǎn)生危害和規(guī)避策略三方面進行了闡釋，分享給大家。

移動廣告作弊是指廣告主在移動應用推廣過程當中，廣告商或渠道商通過非法的技術手段，偽造或劫持目標推廣應用的新增用戶并從中獲利的行為。

這里的非法指的是在廣告主不知情，不允許的情況下，任何單位或組織對廣告投放活動的干擾物。

隨著移動互聯(lián)網(wǎng)的發(fā)展，移動廣告作弊的手段和方式也在不斷進化。這意味著黑產(chǎn)團伙作弊手段將更加的隱蔽復雜，作弊方式也將更加的多樣和多變：從早期簡單粗暴的點擊撞庫、設備農(nóng)場，到現(xiàn)在可以模擬真實用戶的后續(xù)行為，甚至可以完成支付動作。

黑產(chǎn)團伙更加注重廣告主以推廣APP的KPI作為出發(fā)點開展業(yè)務，而且在技術實現(xiàn)方面逐漸向后端轉(zhuǎn)移，實現(xiàn)方式更加的繁瑣，這使得檢測難度大大增加。

在作弊產(chǎn)品功能方面，黑產(chǎn)團伙可以根據(jù)不同的推廣APP動態(tài)調(diào)整策略，更新迭代的速度是我們難以想象的，許多企業(yè)因為沒有建立良好的學習和預警機制，而被欺騙導致利益受損。

一、作弊的手段

作弊手段，我們可以按照技術原理，將其分為歸因劫持和虛假流量。

• 歸因劫持的意思是利用歸因規(guī)則，通過發(fā)布虛假的點擊，劫持真實用戶產(chǎn)生的轉(zhuǎn)化。
• 虛假流量則講的是所有的轉(zhuǎn)化數(shù)據(jù)都不是真實用戶，有可能是來自于虛擬設備，也有可能來自于真機刷量。

1. 歸因劫持

1. 點擊泛濫，也就是大家提到的所謂的大點擊。非法團伙利用腳本注入隨機數(shù)據(jù)或其他來源的目標數(shù)據(jù)，偽造廣告的曝光或點擊，在lastclick歸因原則下，通過設備ID和指紋信息撞庫而獲得激活，這種方式的作弊成本最低，但隱蔽性很差。
2. 點擊劫持，與大點擊思路截然相反的小點擊。由于android廣播的機制存在，設備中的間諜APP或惡意插件會竊聽安裝完成事件，并盡量在用戶打開前由服務器上報相同的設，ID和指紋信息的點擊數(shù)據(jù)，根據(jù)lastclick規(guī)則就很容易被歸因上了，而且IOS端由于沒有安卓廣播機制，無法獲取安裝列表，小點擊實現(xiàn)難度更大，但隨著時間和作弊技術的發(fā)展，目前該技術也在慢慢的興起的。
3. 安裝劫持，指渠道包的劫持，也是大家在推廣Android APP是比較頭疼的問題，應用商店或者軟件會對用戶發(fā)出不安全提示，引導用戶前往其相應的地址下載，眾所周知，在不同應用市場或推廣渠道的渠道包在打包時會通過channel ID區(qū)分來源，劫持的目的就是為用戶不在不知情的狀態(tài)下改變渠道包的來源，從而讓相應的應用商店或渠道獲取新用戶。

2. 虛假流量

而相對以上三種方式，虛假流量就顯得更加的自給自足。

不受歸因規(guī)則制約，不受自然量制約，點擊激活都是偽造出來的；在數(shù)據(jù)請求層面，黑產(chǎn)團伙常用一些匿名的地址報送點擊和激活數(shù)據(jù)。

1. 使用代理，比如使用VPN代理服務器，數(shù)據(jù)中心等技術，經(jīng)過匿名化的處理后的數(shù)據(jù)，IP地址將發(fā)生變化，從而改變歸因結果，這種方式常常有異地的黑產(chǎn)團伙使用，足不出戶就能做到定向國家、地區(qū)或省市的激活，注冊，刷量。近期被曝光的東南亞地區(qū)黑卡黑號刷注冊薅羊毛的這種作弊方式，其中的網(wǎng)絡環(huán)境的偽造就是靠非法的VPN和代理服務實現(xiàn)。
2. 安卓模擬器和IOS越獄機的真實使用人數(shù)有限，大規(guī)模濫用的行為，基本上可以被判定為作弊行為，同樣有群體性質(zhì)的，還有大量使用真機刷量的行為，幾百、幾千臺設備由服務器統(tǒng)一命令，按照任務定時定量的下載應用，并執(zhí)行到相應事件，這些設備大多數(shù)隱藏自己的IP物理地址，頻繁的重置設備ID，頻繁的恢復出廠設置，或者通過一鍵刷機精靈進行刷機，網(wǎng)絡上經(jīng)常流傳的這種設備墻，設備農(nóng)場正是上訴場景的一種真實寫照。
3. 請求劫持，針對第三方SDK，就比如說像經(jīng)常使用的友盟、talkingdate等SDK，在非越獄的狀態(tài)下也可以進行逆向拆包，提取敏感信息后，進行非法劫持或者篡改上報信息，極有可能出現(xiàn)設備a上報了設備B的激活以及后續(xù)事件。

二、產(chǎn)生的危害

產(chǎn)生的危害主要為數(shù)據(jù)異常，無法有效判斷投放效果。

正在進行廣告推廣應用，暴露在這些作弊手段攻擊下，投放數(shù)據(jù)必定變得失真且波動。

大量的點擊泛濫會導致計算出的CPC（每點擊成本）極低，而廣告的CTR（點擊率）同樣也會變得非常的異常，那么有點擊總數(shù)和CTR推算的廣告曝光人數(shù)也將會是一個天文數(shù)字，其實這個與實際預期的廣告受眾人數(shù)是大相逕庭的。

而轉(zhuǎn)化率方面，由于大點擊撞庫得來的CVR（轉(zhuǎn)化率）常常會低于正常水平，因為無序的點擊并不知道激活會在什么時候出現(xiàn)。

所以說，大點擊的CVR會比正常的這種投放的數(shù)據(jù)要低一些，而通過小點擊劫持投放出來的CVR會偏高，這兩個極端都會造成激活的時間順差異常，mtti這一指標，定義了激活時間順差，也就是平均安裝時間。

由實際的推廣數(shù)據(jù)統(tǒng)計可以看出來，大點擊的激活在歸因窗口期內(nèi)分布是比較平均的，但是小點擊的mtti在零到五秒內(nèi)分布是比較多。

真機刷量和模擬器刷量，這些行為產(chǎn)生的激活，多在留存和roi方面會出現(xiàn)問題，刷付費刷等級的行為，也經(jīng)常有大而集中，或者游戲等級集中的這種現(xiàn)象，那這些作弊的行為，在自身運作的同時，也會影響著其他正常的渠道，渠道和渠道之間的搶量，渠道吸食自然量的情況屢見不鮮。

根據(jù)市場情況對近半年的投放數(shù)據(jù)匯總得知，那么大約有23%的作弊激活，影響到了正在推廣的應用。

在做數(shù)據(jù)總結時，往往也會發(fā)現(xiàn)真實活躍的DAU與投放的力度并不是正比，左手倒右手的現(xiàn)象非常嚴重，這正是在刷量數(shù)據(jù)的影響下所顯現(xiàn)出來的一些問題。

在這里給大家提了幾點問題，作為我們廣告投放的運營或者優(yōu)化大佬，是不是也在面臨著這些發(fā)人深省的問題。

三、如何規(guī)避？

設置轉(zhuǎn)化漏洞分布模型，從廣告曝光點擊數(shù)據(jù)到用戶激活APP，再到激活用戶的后續(xù)行為，在所有環(huán)節(jié)的設置分層校驗和組合關聯(lián)校驗的邏輯。

使用監(jiān)督學習模型，建立設備級別的和IP級別的黑白名單庫，保證了更深層更高級的作弊手段能被探測到。

1. SDK加密傳輸

SDK端報文多重加密，通訊使用HTTPS，保證了端到端的通訊安全性，同時，立體的系統(tǒng)參數(shù)建模幫助判斷機器人或真機刷量等作弊方式。

2. IP和設備黑白庫

對原始數(shù)據(jù)的格式和來源通過后端驗證，按照黑白庫邏輯是實時計算每一條點擊和設備ID，并動態(tài)更新服務列表，再到最后可以通過大數(shù)據(jù)離線計算，數(shù)據(jù)的關聯(lián)性分析，對后續(xù)行為的持續(xù)跟蹤，做到實時防護和屏蔽。

3. 監(jiān)測分包劫持

分包劫持是推廣android同學比較關心的問題。通過點擊與激活的歸因模型能分析激活的渠道包和渠道點擊的關聯(lián)性，識別應用市場或作弊渠道的劫持情況。

比如用戶A點擊渠道包B的廣告，這時會收集到用戶A的設備ID，用戶下載打開應用包時，會獲取到用戶的設備ID和渠道包ID，若發(fā)現(xiàn)用戶下載的渠道包不是B,而是C，則可判斷C劫持了B的用戶。

4. 監(jiān)測關聯(lián)作弊

關聯(lián)作弊則是對作弊點擊和作弊激活進行一定的識別，它依托了全局的數(shù)據(jù)。

通過分析單位時間內(nèi)同個IP下的點擊和激活數(shù)量來判斷是否存在作弊，通常情況下，單位時間內(nèi)同個IP的點擊激活數(shù)量不會太多，所以一旦監(jiān)測到大量點擊激活，則存在作弊嫌疑，而作弊點擊對應的激活極有可能也是作弊數(shù)據(jù)。

5. 監(jiān)測虛假安裝

虛假安裝是對激活數(shù)據(jù)進行分析，根據(jù)激活用戶的后續(xù)行為事件，勾勒出網(wǎng)狀化的用戶活動行為習慣，不具備真人屬性的數(shù)據(jù)將會被標記，包含了安卓的模擬器、設備工廠。

真機刷量等作弊行為，虛假安裝分析，因為不涉及到點擊數(shù)據(jù)的參與，可以針對推廣量和自然量都可以去做判斷。

6. 監(jiān)測點擊劫持

點擊劫持是探測是否有間諜APP或惡意插件在目標推廣APP激活前發(fā)送虛假點擊搶歸因，通過分析點擊到激活的時間差，可以判斷是否存在點擊劫持現(xiàn)象。

7. 監(jiān)測僵尸用戶

僵尸用戶是展示在首次打開APP后再無任何后續(xù)行為的用戶占比，觀察周期有可以根據(jù)自己情況設置，當然隨著時間的推移，僵尸用戶的屬性就會更加確定。

比如說，一個激活用戶，他在首次打開后，之后的七天都沒有任何的后續(xù)，就是她之后再也沒有打開，或者說在沒有去注冊，沒有注冊，登錄或者付費的這種這種事件，我們把它認定為一個僵尸用戶。

這個指標和虛假安裝一樣，這里的點擊是不參與計算的，所以除了推廣量，我們還能看到自然量的一些情況。

最后

廣告反作弊的過程猶如逆水行舟，不進則退，只有不斷的深入了解，保持對數(shù)據(jù)的敏感，才能不被假象所蠶食。

#專欄作家#

lennon，微信公眾號：張論（ID：woshipm123），人人都是產(chǎn)品經(jīng)理專欄作家。關注新零售電商、供應鏈金融的產(chǎn)品經(jīng)理，擅長產(chǎn)品設計與需求分析。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來自 Unsplash ，基于 CC0 協(xié)議。