发布时间:2022-09-22 02:00
动手点关注 干货不迷路
行为序列模型相对于传统机器学习的主要优势在于不依赖行为画像特征,无需强专家经验挖掘高效特征来提升模型性能,缩短了特征工程的周期,能快速响应黑产攻击。
黑产通过刷接口、群控、真人众包等作弊手段在关注、点赞、评论等核心场景进行攻击。不同作弊方式在行为序列上有不同的特点。刷接口、群控作弊属于机器作弊,行为序列呈现团伙相似性、序列周期性 / 密集性。真人众包主要通过线下软件分发任务真人账号执行,行为链路具有比较固定模式以上作弊方式在行为序列上具有显著性,所以在风控业务上序列模型有很好的落地能力。
在反作弊场景,经常会发现黑产的行为序列经常会出现重复的片段比如 11332221133222 ( 数字表示 api 接口埋点映射的数字编号),其中 1133222 为重复片段 或者会发现不同黑账号行为序列的相似度很高比如账户 A 行为序列 135555566 账户 B 的行为序列为 13555666。这是因为黑产利用脚本批量控制账号进行动作周期的重复或者非周期动作账户之间的重复,导致了黑产的行为序列度呈现一定的相似性、周期性。所以利用序列相似检测算法对黑产进行识别,相似性检测序列大都为单序列。
单行为序列是指用户仅只有单个动作构成了序列,可抽象表达为 X=(x_1, x_2..x_i..x_n)
其中 x_i 表示具体的行为动作
以上背景可归纳为以下两种作弊类
作弊序列特征:
机刷性:同一作弊用户行为序列片段相似
团伙性:不同作弊用户之间行为序列相似