薅羊毛是指在互联网上获取利益的行为，主要集中在电商平台和P2P网贷平台等。由于这些平台有明显的利益，所以很多人乐此不疲。网上有各种薅羊毛信息发布网站和薅羊毛群体，形成了一个庞大的产业。然而，由于羊毛党众多，对网站和商家来说，防范羊毛党是一项困难的斗争。本文旨在科普防范羊毛党的技术，让大家了解羊毛党的薅羊毛方法，以及如何杜绝这种行为。

羊毛党的分类

根据具体薅羊毛的方法不同，可以将羊毛党分为五类：刷单刷票类、任务类、黄牛党、黑客类和漏洞研究类。刷单刷票类主要是通过刷单、刷评论等方式获取利益。任务类指完成特定任务获取奖励，例如注册、问卷调查等。黄牛党利用信息不对称、技术优势或人脉优势获取稀缺资源并高价转手。黑客类通过找到平台安全漏洞获取利益，这种行为属于违法行为。漏洞研究类研究活动规则的漏洞并利用它们获取利益。可以将羊毛党进一步分为手动和自动两类。手动薅羊毛是指人工参与羊毛党活动，而自动薅羊毛则是通过程序在特定活动或某些平台上长期运行。

通过运营手段防范羊毛党

羊毛党对运营活动的危害非常大，可能导致运营成本失控、数据样本失真、垃圾账号混淆、公正性失信等问题。如果把握不好，羊毛党的活动可能会拖垮公司。为了防范羊毛党，最重要的是控制利益的诱惑，避免直接利益的奖励，如红包和话费等。对于需要购买才能使用的优惠券，用户的诱惑可能会减少。此外，购物需要填写明确的个人信息，羊毛党可能会更加谨慎。

通过技术手段防范羊毛党

除了运营手段，技术手段也可以用来防范羊毛党。封禁IP或IP段，封禁用户，增加验证码，实施系统限流以及进行离线数据分析等措施都可以有效减少羊毛党的活动。综合应用这些技术手段，可以得到一个综合解决方案。

总结

羊毛党的活动对于网站和商家来说是一个严重的问题，需要采取运营和技术手段来防范。控制利益的诱惑和实施技术手段是防范羊毛党的有效方法。

Q & A

本节主要回答一些关于羊毛党的问题，包括如何防范黑客、如何处理手动薅羊毛等问题。对于黑客问题，由于其复杂性和缺乏固定解决方案，讨论的意义有限。对于手动薅羊毛，除非有明确的行为数据模型，否则很难区分羊毛党和正常用户。

（图片来源：科普 | 拒绝羊毛党：运营同学必看的防薅羊毛技术完全解读）

因此，在制定营销活动时，必须制定完备的业务规则，以确保大学毕业生等年轻人能够理解其中的含义。

在制定营销活动时，必须设定相应的活动门槛和限制，例如：

用户群体限制

定义哪些类型的用户能够参与活动，明确划定分界线。可以根据特定活动的要求，提高参与门槛，比如要求V2及以上会员或有购买记录的用户才能参与。这种运营方式主要针对特定群体会员，但对于被排除在外的用户来说，体验可能会受到影响。

客户端版本限制

确定哪些APP或小程序版本可以参与活动，例如拉新活动要求必须使用最新版APP进行注册才能获得奖励。

次数/上限限制

明确规定账户、设备和实名信息等级别能够参与活动的上限和频率。合理控制活动对用户的预期，设定上限，以有效防范羊毛党。例如，设定每个账号的活动上限或每日活动预算的上限。活动规则中还应明确指出，如果发现有人通过刷单、刷票等违规操作，平台有权取消其参与资格或相应奖励。这样，在发放奖品之前就可以检查数据并排除可疑用户。最后，对于所有活动的数据，应在开展之前明确需要监测哪些数据，以确保数据的准确性。作为运营人员，对数据一定要极其敏感，如果发现用户量或参与量暴增，要小心是否有羊毛党的存在，而不只是满足于活动的成功进行。

通过技术手段防范

我们可以通过一些技术手段来防范羊毛党，下面简要介绍腾讯云的防刷接口对风险类型的定义：

高频刷接口、恶意注册账号和撞库等

这些是通过技术手段进行薅羊毛的常见方式。羊毛党通常会养卡或使用虚拟的打码平台，提供手机号和验证码服务。有些羊毛党还可能拥有大量动态IP地址、海外服务器以及批量的身份证等资源。他们还会使用一些专业设备，如猫池和卡池。对于移动端业务来说，许多这类公司还会购买大量实体手机，并通过软件进行批量控制，这被称为“群控”。对于这些羊毛党和黑灰产，传统的防护手段通常有三种：封禁IP、封禁用户和增加验证码。接下来将对这三种手段进行详细阐述。

封禁IP或IP段

针对异常IP，我们可以通过技术手段直接封禁。目前大部分网站的接入层都是采用Nginx，可以考虑使用deny配置来封禁IP或IP段。如果运维层面不方便操作，也可以通过WEB容器来封禁请求。需要注意的是，封禁IP或IP段存在一定的风险。许多公司的出口IP是统一的，如果公司内很多人同时访问某网站，可能会被误伤。共享的WIFI和某些移动基站也可能有固定的出口IP。因此，最好谨慎使用封禁IP或IP段的方式。

封禁用户

我们可以根据特定规则筛选出一批用户，并对其进行限制。可以采用黑名单机制、用户风险分级或信用分级等方式。然后根据黑名单、白名单或用户等级对特定行为进行限制，如拒绝服务、限制某些功能或限制大奖。封禁用户的标记方法有很多种，最基本的是通过登录状态封禁账号。如果没有登录状态，则可以通过设备指纹来标识设备。根据平台的不同，设备指纹可以是PC端的浏览器指纹、移动端的IMEI、MAC地址、UUID等，或者是这些条件综合计算得出的machine key，以防止伪造。在关键请求时，还可以验证machine key的合法性。网络环境也是一个因素，例如WIFI和4G的切换或网络IP的变化都可以作为拒绝服务的理由。这种方式在银行APP中最常见，如果切换网络，银行APP通常会要求重新验证身份才能继续操作。然而，目前市场上已经出现各种改机软件和模拟器，可以不断修改设备信息，使一般的设备指纹失去作用。这种方式的风险在于规则的建立需要时间，过程中难免会有遗漏和误封的情况。因此，最好的做法是默认将用户视为良好用户，然后逐步加强限制，识别出明确的恶意用户。对于可疑但不确定的用户，可以先标记其等级，然后根据观察到的后续行为对其等级进行升降，并根据不同等级限制其行为。

关于羊毛用户的识别标记，可以通过以下方式进行判断：基本数据的完整性，包括资料是否完整，是否有真实可信的昵称和手机号等；行为数据，例如鼠标点击、鼠标移动、按键次数，每次打卡是否固定时间等；更高级的方法是实施全路径实时布控策略，从APP启动、账号注册、登录，到业务场景（如直播热度/电商销量排行等），再到设备风险（篡改、虚拟机、设备农场、积分墙等）设下层层关卡，全面防御欺诈行为。

验证码是一种常见的防御手段，用于区分操作者是人还是机器。不同的验证码难度不同，普通的手机验证码可以通过打码平台提供手机号+验证码服务来绕过，而一般的图片验证码也有公开的识别服务。因此，各个平台的验证码越来越复杂，以至于连人类都难以辨认，给用户体验带来了困扰。

系统限流可以在一定程度上缓解风险，主要是为了防止恶意请求流量、恶意攻击，或者防止流量超出系统的峰值，破坏系统。封禁IP也可以理解为限流的一种形式，在接入层直接拒绝，对系统资源的损耗最小。对于网络流量，可以使用Nginx的limit模块进行限制，防止过大的流量穿透到后端应用。常用的限流算法有令牌桶算法和漏桶算法，可以用来限制网络请求的数据量、用户新增的数量以及奖品发放的数量。

离线数据分析可以用于活动进行中或者活动结束后，通过对数据进行仔细分析来判断是否存在羊毛用户。数据来源包括活动必需的数据以及在需求设计阶段确定的用于深入分析用户行为的数据。如果系统没有提供这些能力，就无法进行相关的数据分析。

综合解决方案需要考虑用户体验和效果，涉及多个方面。有许多公司专门提供这方面的解决方案，如腾讯、阿里、网易等，并结合机器学习和大数据分析，能够更准确地识别出恶意用户和黑产用户。

事前预防主要包括数据采集、业务规则和身份核验。数据采集需要在业务活动的各个阶段进行埋点，主要包括设备指纹、操作行为、网络数据、业务数据和第三方数据等。业务规则制定营销活动时需要制定完备的规则，包括活动门槛和限制，例如用户群体限制、APP版本限制和参与次数限制。身份核验可以通过实名认证等方式确认用户身份。

事中检测处置通过实时在线的方式检测风险，并采取相应的风险处置措施，以防止风险事件发生。

事后分析回馈通过长周期的离线数据分析，计算用户侧、设备侧、IP侧和业务侧的各种风险特征，并应用于事前风控和事中风控。

以上是综合解决方案中的一些策略，通过数据采集、业务规则、身份核验、事中检测处置和事后分析回馈等手段，可以有效预防和处理风险事件。

身份核验的目的是为了确保参与活动的用户身份真实有效，常见的核验手段包括手机短信校验、验证码校验、密码校验、密保问题校验、本机校验和实名认证等几种方法。对于20岁左右的大学毕业生来说，身份核验主要是为了验证用户的身份信息是否真实，以确保活动的公平性和安全性。

事中检测处置是对活动过程中的风险进行实时监测和处理的方法。其中，人机识别是通过区分人类行为和机器自动化行为来识别风险。为了保护数据的合法性，数据交互过程中可以增加数据保护措施，如数据合法性校验、数据加解密和数据篡改检测等。风控引擎是事中检测的核心工具，它主要用于识别风险，包括建立名单服务、画像服务、指标计算、风控模型和规则引擎等功能。一旦发现风险，可以通过二次校验、拦截、降低奖励、拉黑、名单监控和风险审核等手段进行处置。

事后分析回馈主要是对活动结束后的数据进行离线分析，以便提高事中实时检测和事前预防的效果。离线分析可以包括基于长周期大数据的指标计算、关联分析、复杂网络建模、模型训练、名单库积累和数据画像构建等方法。

全链路布控是全链路风控解决方案中的重要环节。它要求在业务的各个环节都进行防刷措施，比如在注册、登录和营销活动等环境中布控风控检测。同时，前置业务和后置业务需要相互配合，前置业务提供事前特征，后置业务提供事后特征，以提高风险检测的准确性和效率。

第三方解决方案在解决问题的同时也存在一些弊端，例如对系统的侵入性较大、可能导致数据泄漏和系统不可用等风险。因此，在选择使用第三方解决方案时，需要根据自身情况权衡利弊。

综上所述，身份核验、事中检测处置、事后分析回馈和全链路布控是一套完整的全链路风控解决方案。它们可以帮助活动运营方确保用户的身份真实有效，防止恶意行为和作弊行为的发生，提高活动的安全性和公平性。同时，合理选择第三方解决方案，可以更好地满足业务需求。

以上是防范羊毛党相关技术的全部内容，请大家收藏。最后，让我们回顾一下文章的主要内容。

Q & A

问题：是否需要使用第三方风控服务？答：这取决于您所在公司或业务的情况，包括对数据风险的容忍度、系统对接的难度、费用问题、招标等。需要具体分析具体情况。

问题：被拒绝的用户的体验如何？答：对于不确定是否恶意用户的情况，可以采取柔性处理，例如进行隐性限制，并根据后续行为进行进一步观察和标记。对于恶意刷接口、刷票等行为，可以返回具有迷惑性的错误提示，以避免羊毛党猜测系统的判断逻辑。例如，我曾遇到过一个刷票接口，使用技术手段尝试，每次都返回投票成功的提示，但实际上并未成功，而且没有具体的错误码和提示。请不要问我为什么知道这个例子。

问题：限制自动化有具体的例子吗？答：微信PC客户端是一个很好的例子。您可以尝试使用按键精灵或autoit等软件，会发现无法捕获微信PC客户端的窗口，因此编写自动化脚本变得非常困难。不过，在安卓系统下，由于系统可以高度定制化，这个问题就不存在了。

好了，如果大家还有其他任何疑问，请随时留言与我沟通。

参考文献：全链路风控解决方案深度解读，天御业务安全防护文档中心。