广告监测平台（三）：移动广告反作弊

笔者针对移动广告作弊的问题，从作弊手段、产生危害和规避策略三方面进行了阐释，分享给大家。

移动广告作弊是指广告主在移动应用推广过程当中，广告商或渠道商通过非法的技术手段，伪造或劫持目标推广应用的新增用户并从中获利的行为。

这里的非法指的是在广告主不知情，不允许的情况下，任何单位或组织对广告投放活动的干扰物。

随着移动互联网的发展，移动广告作弊的手段和方式也在不断进化。这意味着黑产团伙作弊手段将更加的隐蔽复杂，作弊方式也将更加的多样和多变：从早期简单粗暴的点击撞库、设备农场，到现在可以模拟真实用户的后续行为，甚至可以完成支付动作。

黑产团伙更加注重广告主以推广APP的KPI作为出发点开展业务，而且在技术实现方面逐渐向后端转移，实现方式更加的繁琐，这使得检测难度大大增加。

在作弊产品功能方面，黑产团伙可以根据不同的推广APP动态调整策略，更新迭代的速度是我们难以想象的，许多企业因为没有建立良好的学习和预警机制，而被欺骗导致利益受损。

一、作弊的手段

作弊手段，我们可以按照技术原理，将其分为归因劫持和虚假流量。

• 归因劫持的意思是利用归因规则，通过发布虚假的点击，劫持真实用户产生的转化。
• 虚假流量则讲的是所有的转化数据都不是真实用户，有可能是来自于虚拟设备，也有可能来自于真机刷量。

1. 归因劫持

1. 点击泛滥，也就是大家提到的所谓的大点击。非法团伙利用脚本注入随机数据或其他来源的目标数据，伪造广告的曝光或点击，在lastclick归因原则下，通过设备ID和指纹信息撞库而获得激活，这种方式的作弊成本最低，但隐蔽性很差。
2. 点击劫持，与大点击思路截然相反的小点击。由于android广播的机制存在，设备中的间谍APP或恶意插件会窃听安装完成事件，并尽量在用户打开前由服务器上报相同的设，ID和指纹信息的点击数据，根据lastclick规则就很容易被归因上了，而且IOS端由于没有安卓广播机制，无法获取安装列表，小点击实现难度更大，但随着时间和作弊技术的发展，目前该技术也在慢慢的兴起的。
3. 安装劫持，指渠道包的劫持，也是大家在推广Android APP是比较头疼的问题，应用商店或者软件会对用户发出不安全提示，引导用户前往其相应的地址下载，众所周知，在不同应用市场或推广渠道的渠道包在打包时会通过channel ID区分来源，劫持的目的就是为用户不在不知情的状态下改变渠道包的来源，从而让相应的应用商店或渠道获取新用户。

2. 虚假流量

而相对以上三种方式，虚假流量就显得更加的自给自足。

不受归因规则制约，不受自然量制约，点击激活都是伪造出来的；在数据请求层面，黑产团伙常用一些匿名的地址报送点击和激活数据。

1. 使用代理，比如使用VPN代理服务器，数据中心等技术，经过匿名化的处理后的数据，IP地址将发生变化，从而改变归因结果，这种方式常常有异地的黑产团伙使用，足不出户就能做到定向国家、地区或省市的激活，注册，刷量。近期被曝光的东南亚地区黑卡黑号刷注册薅羊毛的这种作弊方式，其中的网络环境的伪造就是靠非法的VPN和代理服务实现。
2. 安卓模拟器和IOS越狱机的真实使用人数有限，大规模滥用的行为，基本上可以被判定为作弊行为，同样有群体性质的，还有大量使用真机刷量的行为，几百、几千台设备由服务器统一命令，按照任务定时定量的下载应用，并执行到相应事件，这些设备大多数隐藏自己的IP物理地址，频繁的重置设备ID，频繁的恢复出厂设置，或者通过一键刷机精灵进行刷机，网络上经常流传的这种设备墙，设备农场正是上诉场景的一种真实写照。
3. 请求劫持，针对第三方SDK，就比如说像经常使用的友盟、talkingdate等SDK，在非越狱的状态下也可以进行逆向拆包，提取敏感信息后，进行非法劫持或者篡改上报信息，极有可能出现设备a上报了设备B的激活以及后续事件。

二、产生的危害

产生的危害主要为数据异常，无法有效判断投放效果。

正在进行广告推广应用，暴露在这些作弊手段攻击下，投放数据必定变得失真且波动。

大量的点击泛滥会导致计算出的CPC（每点击成本）极低，而广告的CTR（点击率）同样也会变得非常的异常，那么有点击总数和CTR推算的广告曝光人数也将会是一个天文数字，其实这个与实际预期的广告受众人数是大相迳庭的。

而转化率方面，由于大点击撞库得来的CVR（转化率）常常会低于正常水平，因为无序的点击并不知道激活会在什么时候出现。

所以说，大点击的CVR会比正常的这种投放的数据要低一些，而通过小点击劫持投放出来的CVR会偏高，这两个极端都会造成激活的时间顺差异常，mtti这一指标，定义了激活时间顺差，也就是平均安装时间。

由实际的推广数据统计可以看出来，大点击的激活在归因窗口期内分布是比较平均的，但是小点击的mtti在零到五秒内分布是比较多。

真机刷量和模拟器刷量，这些行为产生的激活，多在留存和roi方面会出现问题，刷付费刷等级的行为，也经常有大而集中，或者游戏等级集中的这种现象，那这些作弊的行为，在自身运作的同时，也会影响着其他正常的渠道，渠道和渠道之间的抢量，渠道吸食自然量的情况屡见不鲜。

根据市场情况对近半年的投放数据汇总得知，那么大约有23%的作弊激活，影响到了正在推广的应用。

在做数据总结时，往往也会发现真实活跃的DAU与投放的力度并不是正比，左手倒右手的现象非常严重，这正是在刷量数据的影响下所显现出来的一些问题。

在这里给大家提了几点问题，作为我们广告投放的运营或者优化大佬，是不是也在面临着这些发人深省的问题。

三、如何规避？

设置转化漏洞分布模型，从广告曝光点击数据到用户激活APP，再到激活用户的后续行为，在所有环节的设置分层校验和组合关联校验的逻辑。

使用监督学习模型，建立设备级别的和IP级别的黑白名单库，保证了更深层更高级的作弊手段能被探测到。

1. SDK加密传输

SDK端报文多重加密，通讯使用HTTPS，保证了端到端的通讯安全性，同时，立体的系统参数建模帮助判断机器人或真机刷量等作弊方式。

2. IP和设备黑白库

对原始数据的格式和来源通过后端验证，按照黑白库逻辑是实时计算每一条点击和设备ID，并动态更新服务列表，再到最后可以通过大数据离线计算，数据的关联性分析，对后续行为的持续跟踪，做到实时防护和屏蔽。

3. 监测分包劫持

分包劫持是推广android同学比较关心的问题。通过点击与激活的归因模型能分析激活的渠道包和渠道点击的关联性，识别应用市场或作弊渠道的劫持情况。

比如用户A点击渠道包B的广告，这时会收集到用户A的设备ID，用户下载打开应用包时，会获取到用户的设备ID和渠道包ID，若发现用户下载的渠道包不是B,而是C，则可判断C劫持了B的用户。

4. 监测关联作弊

关联作弊则是对作弊点击和作弊激活进行一定的识别，它依托了全局的数据。

通过分析单位时间内同个IP下的点击和激活数量来判断是否存在作弊，通常情况下，单位时间内同个IP的点击激活数量不会太多，所以一旦监测到大量点击激活，则存在作弊嫌疑，而作弊点击对应的激活极有可能也是作弊数据。

5. 监测虚假安装

虚假安装是对激活数据进行分析，根据激活用户的后续行为事件，勾勒出网状化的用户活动行为习惯，不具备真人属性的数据将会被标记，包含了安卓的模拟器、设备工厂。

真机刷量等作弊行为，虚假安装分析，因为不涉及到点击数据的参与，可以针对推广量和自然量都可以去做判断。

6. 监测点击劫持

点击劫持是探测是否有间谍APP或恶意插件在目标推广APP激活前发送虚假点击抢归因，通过分析点击到激活的时间差，可以判断是否存在点击劫持现象。

7. 监测僵尸用户

僵尸用户是展示在首次打开APP后再无任何后续行为的用户占比，观察周期有可以根据自己情况设置，当然随着时间的推移，僵尸用户的属性就会更加确定。

比如说，一个激活用户，他在首次打开后，之后的七天都没有任何的后续，就是她之后再也没有打开，或者说在没有去注册，没有注册，登录或者付费的这种这种事件，我们把它认定为一个僵尸用户。

这个指标和虚假安装一样，这里的点击是不参与计算的，所以除了推广量，我们还能看到自然量的一些情况。

最后

广告反作弊的过程犹如逆水行舟，不进则退，只有不断的深入了解，保持对数据的敏感，才能不被假象所蚕食。

#专栏作家#

lennon，微信公众号：张论（ID：woshipm123），人人都是产品经理专栏作家。关注新零售电商、供应链金融的产品经理，擅长产品设计与需求分析。

本文原创发布于人人都是产品经理。未经许可，禁止转载。

题图来自 Unsplash ，基于 CC0 协议。