机器人检测和防冻逻辑

简短摘要

有效的机器人防御和欺诈是图层的组合：信号收集（客户端，网络，设备，行为），实时风险评估，规则（确定性）+ML模型（probabilistic），图形链接分析和严格的升级过程。目的是阻止伤害，同时保持UX和转换。

威胁和矢量

机器人和刮板：注册，登录过度，农场促销代码，清理资产负债表，自动出价/投注。
Account Takeover （ATO）： credential stuffing,网络钓鱼,会话盗窃。
Payment fraud：窃取卡片，测试极限，chargeback-farming。
奖励评分：多巡回赛，设备/地址的"家庭"，代理/仿真器。
会员/CPA滥用：假注册/存款，点击欺诈。

antibot/antifrod堆栈体系结构

1.传感器和遥测：前JS/SDK（人类信号），移动SDK，网络/NTTR度量，后端事件。

2.Feature Store（在线/离线）：正常化,每个窗口T+N的集合（1分钟,1小时,24小时）。

3.Real Time引擎：规则+ML inference（低延迟）、挑战编排。

4.图形引擎：按设备、付款、IP/ASN、Cookie、地址划分的用户链接。

5.事件存储和标记：主动模型培训，RCA。

6.答案编曲器：单元/挑战/冻结/限制/手动检查。

7.可观察性/SLO：质量指标（TP/FP/FN），决策时间，对转换的影响。

信号和"指纹"

客户端和设备

设备指纹：用户代理派生，平台/CPU/GPU，Canvas/WebGL渲染，字体，时间区，语言，传感器；对轮换的抵御力。
浏览器扬声器：鼠标/tach事件，输入速度/节奏，焦点/blur，滚动，过渡序列，idle模式。
移动度量标准：越狱/rut,模拟特征,debag标志,SDK信号。
网络：IP/ASN/地理，代理/VPN/托管 ASN，IP交换频率，RTT稳定性，JA3/TLS打印。

行为与业务上下文

Velocity度量（注册/登录/每窗口存款/利率）。
临时区域/地方/货币异常，地理设备不匹配。
路径/查询的重复模式，表单序列（典型脚本）。
行动经济学：LTV不匹配，促销活动/结论的不自然组合。

图形分析（族和群集）

顶点：用户,设备,IP/ASN,支付工具,地址,cookies。
Rebra："与loginy"，"通过付款"，"共享设备"，"fingerprint相吻合"。

• 每台支付工具"k-core ≥ 3"用户→手动验证。
• 大小为>X的连通性组件，在<24小时→冷冻促销和KYC评论中创建。
• 反机器人挑战区的IP节点高度集中（Gini索引）→。

规则（确定性）和计分（ML）

溷合方法的特点

规则：快速且可解释（CUS/合规性，正面）。
ML：捕获"灰色区域"和新模式；在启用活动之前以阴影模式工作。

示范规则（伪代码示例）

yaml
- id: ATO_LoginBurst when:
path: "/login"
failures_last_10m_by_ip > 20 distinct_accounts_last_10m_by_ip > 5 action: challenge_mfa

- id: Bonus_MultiAccount when:
promo_code = "WELCOME100"
devices_shared_with_accounts >= 2 first_deposit_time_delta < 10m action: freeze_bonus_and_review

- id: Payment_CardTesting when:
card_decline_rate_30m_by_ip > 0. 6 unique_cards_attempted_30m_by_ip > 5 action: block_24h_and_notify

ML-fici（带有示例）

时间：频率/间隔，按小时/日分列的季节性。
分类：ASN，国家，设备，浏览器。
图：node degree, clustering coefficient, pagerank的IP/设备节点。
技术：会话长度，输入数据的熵以及点击序列的稀有性。
财务：平均支票、方差、时差、分期付款。

挑战与响应（响应顺序）

软：JS挑战、工作证明、重新验证电子邮件/电话、限速/配额。
Strong：MFA/JIT-KYC，临时资金/奖金冻结，临时禁令。
Adaptive：高风险阈值增长（TOR/ASN托管），VIP/合作伙伴的宽限期清单。
UX原则：默认无形检查；显而易见的挑战只是风险。

促销和游戏的防冻剂

促销集成：对按设备/按付费工具的促销限制；与KYC状态的促销捆绑。
多巡回赛：设备/IP图形，行为轨迹相似；"家庭"→奖项/冻结限制。
提振收益：关联账户之间的异常利率相关性→调查。
iGaming KPI：转换保护（registratsiya→depozit），时间到钱包；不"扼杀"合法球员。

支付防冻剂（简短）

3-D Secure/Multipactor：按风险动态。
mTLS/PSP webhook：强制性。
等效性：提取/存款操作的关键。
支付信号：BIN/issuer，AVS/CVV结果，故障率，地理不匹配。

数据、fichestor、聚合窗口

在线聚合（low-latency）： 1/5/15分钟用于提升、独特、故障。
近实时：促销和奖励逻辑的1-24小时。
离线幻灯片：7-90天训练模型。
数据质量：事件重复数据消除、重新交付保护、验证方桉。

可观察性、SLO和质量指标

• p95在关键路径（登录、存款）上≤ 50毫秒的决策（防冻）。
• 评分引擎的可用性≥ 99。95%/月。
• 没有Fich的"隐身"事件份额≤ 0。1%.

• 关于ATO/促销/付款情景的 TP/FP/FN；business-cost FP.
• 会话冲击（Δ registratsii→depozit，Δ检查成功）。
• 热门挑战赛（有多少挑战赛支持风险）。
• 漂移监控（fici/评估/潜在）。

隐私和合规性

数据最小化：存储完全必要；PII-令牌/加密。
透明度：决策的可解释性（尤其是在拒绝和限制的情况下）。
GDPR/PCI DSS：数据域细分，仅按角色访问；构造访问和规则更改。
伦理和生物学：定期审核歧视/阈值。

操作和事件

Runbooks：ATO香料，卡测试，促销攻击，SDK降级。
功能闪光灯：快速放宽/放大规则、切换模型、"杀手开关"挑战。
教学：历史攻击的倒退，"灰色"战役，突然的漂移迹象。
RCA/标记：边缘桉例标记并返回到training dataset（主动学习）。

工件示例

1）用于评分的SQL聚合（概念）

sql
-- velocity of logins by IP in 10 minutes
SELECT COUNT() AS logins_10m
FROM auth_events
WHERE ip =:ip AND ts > now() - interval '10 minutes';

-- unique accounts by device_id in 24 hours
SELECT COUNT(DISTINCT user_id) AS accounts_24h
FROM sessions
WHERE device_id =:device_id AND ts > now() - interval '24 hours';

2）OPA/Rego中的规则（简化）

rego package antifraud. login

default action:= "allow"

high_risk_ip {
input. ip. asn in {"AS9009, ""AS14061,"" AS16509"} # example input. metrics. failures_10m_by_ip > 20 input. metrics. distinct_accounts_10m_by_ip > 5
}

action:= "challenge_mfa" { high_risk_ip }

3）挑战编排的伪代码

python risk = score(features) # 0..1 if risk >= 0. 9: block()
elif risk >= 0. 7: challenge("MFA")
elif risk >= 0. 5: throttle(rate="low")
else: allow()

典型错误

只押注kapcha：机器人绕过它；需要一个多因素信号堆栈。
长计分延迟：打破UX，失误上升。
IP/ASN全局禁令：切断合法流量；使用TTL和修订。
没有伯爵：多地点仍然是"隐形的"。
没有加那利群岛的强硬规则/阴影：FP在销售中激增。
零进纸循环：模型不会重新学习，规则不会更新。

实施路线图

1.风险路径清单：注册，登录，促销，存款/结算。
2.信号收集和SDK：前JS/移动，网络，服务器事件；一个方桉。
3.在线fichestor：窗口1/5/15/60分钟；重复数据消除和SLA信息。
4.基本规则配置文件：velocity+异常+简单图形启发式。
5.影子模式ML：比较ROC/PR，评估业务影响，部分包括。

6.图分析： 系列聚类,手动确认自动标记.

7.答案编排：矩阵（risk×stsenary→deystviye），UX上的A/B控制。
8.可观察性和SLO：质量和技术仪表板，警报器，事后测试案例池。
9.隐私/合规性：PII最小化，令牌化，按角色访问，报告。

结果

强大的反亲缘系统是多层且自适应的轮廓，其中传感器和行为被转换为fici，决策是由规则和ML的混合体做出的，并且链接图揭示了滥用家族。添加实时响应编排，SLO可观察性和隐私性-即使在组织良好的机器人和frod网络的压力下，您也可以在安全性，UX和业务指标之间取得平衡。