防作弊卫士指南(Anti-Fraud Defender Guide)
防作弊卫士是基于热云全域数据,分析常见作弊手段及场景下产生的作弊数据特征,推出的反作弊策略。我们基于大数据行为特征模型,结合历史数据利用防作弊算法,并依托多年积累的广告反作弊业务模型,识别作弊IP/设备,对虚假流量进行主动清洗过滤,使得流量不再真假难辨。
二、作弊方式&防护策略
| 作弊类型 | 作弊场景 | 防护策略 |
|---|---|---|
| 匿名IP、数据中心 | 使用VPN、Proxy server、Data Center等手段隐藏实际的IP地址上报数据 | 建立IP、设备ID黑白名单库监督学习模型,结合历史数据,动态实时拟定出入库条件 |
| 点击泛滥 | 短时间内上报大量相同IP地址的点击数据 | 根据设置的判断阈值,按天计算单个IP的点击次数 |
| 点击劫持 | 间谍App或恶意插件监听Device App list,在App激活前立刻上报点击抢归因 | 根据平均安装时间(MTTI)判断该点击是否劫持自然量或非本渠道推广量 |
| Android分包劫持 | Android应用商店或恶意软件引导用户下载非目标app | 结合渠道包channel id与点击内携带信息的关联性,判断是否为劫持 |
| 模拟器、设备工厂 | 使用模拟器伪造激活;真机反复重置设备ID或抹机,伪造‘新设备’刷量 | SDK判断device id是否被重置,并上报多维度的系统硬件信息,后端离线积累数据判断是否为刷量行为 |
| SDK报文劫持 | 对SDK在客户端发出的事件报文进行抓包或反编译,获取报文内关键参数进行篡改或伪造 | SDK端加固加密算法;对报文上报的源IP校验 |
| IP黑名单库防护 | 刷量公司或渠道,购买大量IP,利用机器程序同时帮助多个渠道伪造不存在的用户,大量报送点击/激活。有些公司也会应用VPN切换IP,控制数据特征不会在某一段时间内密集,但是这类作弊从长期历史数据来看,与正常IP是有差别的。 | 基于作弊IP的数据特征并结合不同作弊场景,制定多个策略进行交叉防护,将所有数据特征符合作弊特征的IP加入到黑名单库。在黑名单库内的IP,发生的点击都将标记为异常。同时将每个IP的历史数据表现考虑到策略中,以达到识别的精准性。例如作弊渠道使用一个IP作弊一段时间后弃用,则这部分IP将会出黑名单库 |
三、模块详解
针对这些作弊类型的防护策略,我们将数据展示在不同模块中,您可以根据不同分析维度和过滤条件选择希望展示的数据。
1.关联作弊分析(Fraud Click Through Analysis)
定义:作弊点击带来激活被称为关联作弊,关联作弊一共有三种判断维度:渠道刷量,app刷量和大点击。
指标关系:
渠道刷量+app刷量+大点击=关联作弊激活总数
激活总数=关联作弊激活总数+非关联作弊激活总数
使用小技巧:您可以根据激活总数,关联作弊激活总数,渠道刷量,app刷量和大点击排序。
| 关联作弊类型 | 说明 |
|---|---|
| 渠道 | 一段时间内IP/设备ID点击过多个渠道投放的目标app广告 |
| app刷量 | 一段时间内IP/设备ID点击过多个App广告 |
| 大点击 | 短时间内相同的IP/设备ID点击广告 |
2.虚假安装分析(Fake Install Analysis)
定义:由非真实用户产生的激活被称为虚假安装,PC端的模拟器和使用真实的移动设备刷量,都将被归为虚假安装。SDK通过对初始化时的系统环境判断和几十余个维度的系统参数上报,将区分模拟器和真机刷量。
指标关系:
虚假安装=模拟器+真机刷量
激活总数=虚假安装+非虚假安装
使用小技巧:模拟器作弊通常发生在Android端,而真机刷量双端都存在,在观察虚假安装的同时,您也可以综合‘僵尸用户分析’模块的数据同时进行分析,通常刷量渠道仅操作到激活层面,形成的激活数据很大几率会成为僵尸用户。对推广量分析的同时,也可以选择自然量对整个大盘进行判断。
3.点击劫持分析(Click Hijacking Analysis)
定义:业内所谓的'小点击',在其他渠道的推广量或自然量激活前发出与该设备信息吻合的点击抢Last Click,数据特征常表现于MTTI(Mean Time to Install)过短,与用户行为习惯不符。判断是否为点击劫持,应当充分了解用户转化路径所需时间由哪些因素影响。
指标关系:激活总数=点击劫持激活+非点击劫持激活
使用小技巧:热云提供了可调节的劫持窗口期,劫持窗口期:在激活App前X秒/分发出虚假点击抢归因,X为劫持窗口期。您可根据不同App和投放的不同渠道设置不同的劫持窗口期观察点击劫持状况。
4.分包劫持定义分析
定义:Android端应用商店或作弊渠道引导用户下载非目标app。
指标关系:激活总数=劫持激活+非劫持激活
使用小技巧:报表内展示了该渠道激活总数中,劫持其他渠道的激活总数及占比,占比越高说明劫持情况越严重。
5.归因类型分析
定义:区分精准匹配与模糊匹配。
指标关系:激活总数=精准匹配激活+模糊匹配激活
使用小技巧:模糊匹配激活数由于是通过用户指纹信息归因出的数据,精准度较设备ID归因(精准匹配)略低,观察数据前,请充分了解各个渠道的媒体属性。
精准匹配
使用设备唯一标识符归因,在广告投放中常用的设备唯一标识符有:
| 参数名 | 说明 | 备注 |
|---|---|---|
| idfa | iOS端广告标识符 | 用户打开'限制广告追踪'后无法获取,选择'重置广告标识符'后将重置 |
| imei | Android端手机序列号 | Android Q版本后无发获取,恢复出厂设备后将重置 |
| android id | Android设备唯一标识码 | Android 8版本后同一设备中Android id不同 |
| oaid | Android匿名设备标识符 | Android Q版本后开始使用 |
| MAC | 设备MAC地址 | Android 6或iOS 7版本后无法获取 |
| gaid | Google advertising id | 需支持Google service,适用于海外 |
模糊匹配
当SDK上报事件或点击数据中不携带设备唯一标识符时,将使用设备指纹信息匹配,常用的指纹信息有:
| 参数名 | 说明 | 备注 |
|---|---|---|
| ip/ip v6 | 设备当前网络ip/ip v6地址 | 公网IP,非局域网 |
| ua | User Agent,用户代理 | ua可识别出设备类型和操作系统版本 |
| device type | 设备型号 | 机型信息 |
| device name | 设备名称 | 用户自定义的设备名称 |
| os | operating system | 操作系统 |
| osv | os version | 操作系统版本 |
| manufacturer | 设备制造商 | 苹果,华为,小米等 |
6.MTTI趋势洞察(MTTI Trend Analysis)
MTTI(Mean Time to Install):平均安装时间
定义:MTTI趋势洞察模块将根据所设置的维度,展示点击到激活时间分布的占比曲线。
使用小技巧:为了使分析更加便捷,我们将MTTI在一天内的曲线独立展示,您可以选择MTTI范围为0s-24hr;而选择全部范围的MTTI,将为您展示归因窗口期内全部激活的MTTI分布。MTTI曲线分布应符合正常用户习惯,您需要留意过短或过长的MTTI,并关注占比。
时长区间粒度说明:
| Time Range |
|---|
| 0s-5s |
| 5s-15s |
| 15s-30s |
| 30s-1min |
| 1min-5mins |
| 5mins-30mins |
| 30mins-1hr |
| 1hr-2hr |
| 2hr-4hr |
| 4hr-8hr |
| 8hr-12hr |
| 12hr-24hr |
| 1d-2d |
| 2d-4d |
| 4d-7d |
| 7d-14d |
| 14d-30d |
7.僵尸用户分析(Zombie Users Analysis)
定义:用户自激活app后X天未有任何后续行为。
指标关系:激活总数=僵尸用户+活跃用户
使用小技巧:X为观察周期,您可以手动调节观察周期,可选的范围有近一天,近三天和近七天。当观察周期越长,僵尸用户的属性就越明确。
四、指标详解
| 指标 | 详细说明 |
|---|---|
| 点击总数 | 接收到点击监测链接数据的总数 |
| 有效点击总数 | 点击总数-作弊点击总数 |
| 作弊点击总数 | 命中作弊点击规则的点击总数 |
| 作弊点击占比 | 作弊点击总数/点击总数 |
| 激活总数 | 接收到激活事件的总数 |
| 有效激活总数 | 激活总数-作弊激活总数 |
| 常规防护作弊激活 | 命中常规防护规则的激活总数,常规防护规则详见'作弊数据设置' |
| 高级防护作弊激活 | 命中高级防护规则的激活总数 |
| 作弊激活总数 | 常规防护作弊激活+高级防护作弊激活 |
| 作弊激活占比 | 作弊激活总数/激活总数 |
五、IP白名单管理与防作弊等级
IP白名单
此IP设置主要针对防作弊卫士部分,设置为IP白名单后,不会被加入IP黑名单库,对应点击也就不会参与防作弊卫士功能的匹配。
防作弊等级
开通“防作弊卫士”功能后,我们默认给您全部渠道开通“普通”等级的防作弊保护。您可以修改为严格或宽松等级,或者为不同渠道设置不同的值。同时,为您提供基于全渠道的白名单设置功能,IP被加入白名单后,将不会参与黑名单库的过滤。
在“防作弊卫士配置”功能页面中,可以对防作弊等级进行修改。如下图,为全渠道的作弊等级的统一修改处,此处设置后,所有渠道都将为设置的作弊等级。
其中,我们将防作弊等级设定为“严格”、“普通”、“宽松”三种模式。防作弊功能是根据多个反作弊策略交叉实现的,越严格的设置,对作弊的控制越强。在进行防作弊等级选择时,可根据渠道特性确定。
如果投放的各渠道特性不同,需要设置不同的防作弊等级,可以对单个渠道进行设置
六、说明
1.最多可查看近185天内的数据
2.防作弊卫士数据均为离线处理,最早展示T+1天报表
3.图表默认展示Top5的数据,日期维度最多展示30天内的数据,您可根据各个模块内的排序条件更改,查看所有数据请切换至表格。
4.当分析维度为日期时,可在'虚假安装分析'和'僵尸用户分析'两个模块内分析自然量数据
5.各分析模块中被标记的用户可能重叠,我们在计算作弊激活总数时会进行排重处理,如您希望了解某渠道整体投放情况,请前往'数据汇总'
6.子账号查看相关渠道或推广活动数据,需要主账号前往'成员管理'开通权限