Բոտների հայտնաբերումը և հակաֆրոդ տրամաբանությունը
Live ռեզյումե
Բոտերի և խարդախության արդյունավետ պաշտպանությունը շերտերի համադրությունն է 'ազդանշանների հավաքումը (հաճախորդ, ցանց, սարք, վարք), իրական ռիսկի արագությունը, կանոնները (deterministic) + ML մոդելները (probabilistic), կապերի գրաֆիկական վերլուծությունը և էսկալացիայի խիստ գործընթացները։ Նպատակն է արգելափակել վնասը և միևնույն ժամանակ պահպանել UX և ծրարը։
Սպառնալիքներ և վեկտորներ
Բոտերն ու սկրեյպերները ՝ 108, լոգին-դիսկոր, պրոմոկոդների ֆերմա, հավասարակշռությունների արտանետում, ավտոսրահում։
Account Takeover (ATO): credential stuffing, fishing, նստաշրջանի գողեր։
Payme fraud: գողացված քարտեզներ, սահմանների փորձարկումը, chargeback-ֆարմինգը։
Bonus abuse: multakounting, սարքերի/հասցեների "ընտանիքներ, 108/էմուլյատորներ։
Affiliate/CPA-չարաշահումը 'կեղծ գրանցումներ/դեպոզիտներ, կլիկ-ֆրոդ։
Հակաֆրոդ ապակու ճարտարապետությունը
Շերտերն ու բաղադրիչները
1. Սենսորները և հեռուստացույցները ՝-JS/MSK (human signals), բջջային SDK, ցանցային/NTR-մետրիերը, բեքենդը։
2. Feature Store (առցանց/offline) 'նորմալացում, միավորներ T + N պատուհանի համար (1 րոպե, 1 ժամ, 24 ժամ)։
3. Real-tim շարժիչը '+ ML inference (ցածր ուշացում), Chelengy նվագախումբը։
4. Գրաֆիկ շարժիչ 'օգտագործողների հաղորդակցությունները սարքերի, կոդերի, IP/ASN, cookies, հասցեների։
5. Ստանդարտ և գծանշում 'մոդելների ակտիվ ուսուցում, RCA։
6. Պատասխանների նվագարկիչ 'բլոկ/cheleng/սառեցում/լիմիտ/ձեռքով ստուգում։
7. Դիտարկումը/SLO: Որակի չափումները (TP/FP/FN), լուծման ժամանակը, ազդեցությունը ծրարի վրա։
Ազդանշաններ և «տպագրություն»
Հաճախորդը և սարքը
Device fingerprint: User-Agent-դերիվացիաներ, պլատֆորմա/CPU/GPU, Canvas/WinGL, տառատեսակներ, timezone, լեզուն, սենսորները։ ռոտացիայի դիմադրությունը։
Զննարկիչ դինամիկա 'մկնիկի/տաչի իրադարձություններ, մուտքագրման արագություն/ռիթմ, ֆոկուս/բլուր, սկրոլ, անցումային հաջորդականություն, idle-pattern։
Բջջային մետրերը 'ջեյլբրեյք/ռութ, էմուլյատորական նշաններ, դեբիտորական դրոշներ, MSK ազդանշաններ։
Ցանցեր ՝ IP/ASN/geo, MSN/intinging-ASN, IP-smen հաճախականությունը, RTT, JA3/TMS տպագրությունները։
Վարքը և բիզնես համատեքստը
Velocity-metriks (գրանցում/տրամաբանական/դեպոզիտներ/պատուհանի համար տոկոսադրույքներ)։
Ջրային գոտիների/լոկալի/արժույթի անոմալիաները, գեո սարքի անհամապատասխանությունը։
Հետքերի/հարցումների կրկնվող փամփուշտները, ձևերի հաջորդականությունները (բնորոշ են ջութակների համար)։
Գործողությունների տնտեսությունը 'LTV անհամապատասխանությունը, գովազդային/եզրակացության անբնական համադրությունները։
Գրաֆիկական վերլուծություն (ընտանիքներ և կլաստերներ)
Գագաթները ՝ օգտագործողներ, սարքեր, IP/ASN, հիբրիդային գործիքներ, կոդեր, կոոկիդներ։
Ռեբրա '«տրամաբանեց», «վճարեց», «կիսեց սարքը», «ֆինգերպրինտ»։
Կանոնների օրինակներ
«k-24033» օգտագործողները մեկ ստացիոնար գործիքի վրա պատրաստվել են ձեռքով ստուգում։
Կապի բաղադրիչը> X չափսի հետ, որը ստեղծվել է <24 ժամվա ընթացքում պրոմո և KYC-revew սառեցման համար։
IP-հանգույցի բարձր կենտրոնացումը (Gini-ինդեքսը) գրանցվում է հակատանկային-չլենջ։
Կանոնները (դետերմինացված) և սկորինգը (ML) (ML)
Հիբրիդային մոտեցման բնութագրերը
Կանոնները 'արագ և բացատրված (KUS/complaens, բլոկը «lo»)։
ML 'բռնում է «մոխրագույն գոտիները» և նոր փամփուշտներ։ աշխատել shadow ռեժիմում մինչև գործողությունների միացումը։
Տիպիկ կանոնները (կեղծ կոդերի օրինակ)
yaml
- id: ATO_LoginBurst when:
path: "/login"
failures_last_10m_by_ip > 20 distinct_accounts_last_10m_by_ip > 5 action: challenge_mfa
- id: Bonus_MultiAccount when:
promo_code = "WELCOME100"
devices_shared_with_accounts >= 2 first_deposit_time_delta < 10m action: freeze_bonus_and_review
- id: Payment_CardTesting when:
card_decline_rate_30m_by_ip > 0. 6 unique_cards_attempted_30m_by_ip > 5 action: block_24h_and_notifyML-fici (օրինակով)
Ժամանակավոր 'հաճախականություններ/ընդմիջումներ, սեզոնային ժամեր/օր։
Կատեգորիկ 'ASN, երկիր, սարք, զննարկիչ։
Գրաֆիկ 'node degree, clustering coefficient, IP/սարքի հանգույցի pagerank։
Տեխնիկական 'նստաշրջանի երկարությունը, մուտքային տվյալների էնտրոպիան, կլինիկական հաջորդականության հազվադեպ։
Ֆինանսական 'միջին ստուգումը, ցրումը, time-to-withdr.ru, վճարումների հրաժարումների մասը։
Chelengi և պատասխաններ (response orchestration)
Softs: JS-chelenge, proof-of-work, e-mail/հեռախոսը, արագության/քվոտայի սահմանափակումը։
Strong: MFA/JIT-KYC, միջոցների/բոնուսների ժամանակավոր սառեցում, բամբան։
Adaptive: high-risk (TOR/ASN), grace թերթիկներ VIP/գործընկերների համար։
UX սկզբունքները 'անտեսանելի ստուգումներ լռելյայն; ակնհայտ chelengi - միայն ռիսկի։
Անտիֆրոդը բաց և խաղալու համար
Պրոմո-ինտեգրիտետ 'per-device/per-payment-instrument; միակցիչ KYC կարգավիճակի հետ։
Multakounting: device/IP գրաֆիկները, վարքագծային հետքերի նման, «Ընտանիքը» կազմում է մրցանակների/սառեցման սահմանափակում։
Բուստինգը հաղթեց. Անոմալ հարաբերակցությունը կապված է հաշիվների միջև կատարվում է հետազոտությամբ։
IGaming KPI 'հակադարձման պաշտպանություն (NO), Time-to-Wallet; չի կարող «խեղդել» լեգիտական խաղացողներին։
Ստացիոնար հակաֆրոդ (կարճ)
3-D Secure/բազմաֆակտոր 'դինամիկ ռիսկի։
MTSA/PSA webhuks ստորագրությունը պարտադիր է։
Idempotention 'ելքի/դեպոզիտի վիրահատության բանալին։
Վճարումների ազդանշանները ՝ BIN/issuer, AVS/CVV արդյունքները, ձախողումների արագությունը, գեո անհամապատասխանությունը։
Տվյալները, ֆիչեստորը, միավորման պատուհանը
Առցանց ագրեգատները (low-latency) '1/5/15 րոպե velocity, եզակի, ձախողումների համար։
Near-real-time: 1-24 ժամ պրոմո և բոնուս տրամաբանության համար։
Օֆլինը ֆիչին '7-90 օր մոդելների պատրաստման համար։
Տվյալների որակը 'իրադարձությունների դեդուպլիկացիա, պաշտպանություն ռուսական առաքումից, վալիդացիայի սխեմայից։
Դիտարկումը, SLO-ն և որակի չափումները
Տեխնոլոգիական SLI/SLO
p95 որոշում կայացնելը (հակաֆրոդ) 50 մգ է կրիտիկական ճանապարհների վրա (լոգին, դեպոզիտ)։
Սկորինգի շարժիչի հասանելիությունը 3699 է։ 95 %/մեզ։
«Դելոգնիտոյի» մասնաբաժինը առանց ֆիչի թիվ 0։ 1%.
Հակաֆրոդի որակը
TP/FP/FN սցենարներով ATO/promo/վճարումներ; business-cost FP.
Conversion impact (Գրանցման գրանցումը կատարվում է դեպոզիտ, No. kout success)։
Hit-rate Chelengey (քանի Chelengey ապացուցում է ռիսկը)։
Drift-2019 (fici/գնահատականներ/լատենտ)։
Գաղտնիությունը և համապատասխանությունը
Տվյալների նվազեցումը 'պահել ճիշտ անհրաժեշտ; PII-ը թունիզացիա/կոդավորում է։
Թափանցիկություն 'լուծումների բացատրություն (հատկապես խախտումների և սահմանափակումների դեպքում)։
GDPR/PCI DSS-ը տվյալների կոդերի հատվածն է, միայն դերերի հասանելիությունը։ կանոնների հասանելիության և փոփոխության տրամաբանությունը։
Էթիկան և bias: Ֆիչի ստացիոնար աուդիտը/խտրականության շեմն է։
Վիրահատություններ և միջադեպեր
Runbooks: ATO-spaik, card-testing, պրոմո-հարձակումը, MSK-ի քայքայումը։
Feature flags: արագ թուլացում/կանոններ, մոդելների փոխակերպում, kill-switch chelengy։
Ուսուցումները 'պատմական հարձակումների, «մոխրագույն» արշավների, նշանների հանկարծակի դրաֆտի։
RCA/գծագրում. Սահմանները նշելու և վերադարձնելու համար (active learning)։
Արտեֆակտների օրինակներ
1) SQL ագրեգատները սկորինգի համար (հասկացություն)
sql
-- velocity of logins by IP in 10 minutes
SELECT COUNT() AS logins_10m
FROM auth_events
WHERE ip =:ip AND ts > now() - interval '10 minutes';
-- unique accounts by device_id in 24 hours
SELECT COUNT(DISTINCT user_id) AS accounts_24h
FROM sessions
WHERE device_id =:device_id AND ts > now() - interval '24 hours';2) OPA/Rego կանոնը (պարզեցված)
rego package antifraud. login
default action:= "allow"
high_risk_ip {
input. ip. asn in {"AS9009, ""AS14061,"" AS16509"} # example input. metrics. failures_10m_by_ip > 20 input. metrics. distinct_accounts_10m_by_ip > 5
}
action:= "challenge_mfa" { high_risk_ip }3) Chelenge նվագախմբի կեղծ դասավորությունը
python risk = score(features) # 0..1 if risk >= 0. 9: block()
elif risk >= 0. 7: challenge("MFA")
elif risk >= 0. 5: throttle(rate="low")
else: allow()Տիպիկ սխալներ
Միայն գլխարկի վրա 'բոտերը շրջում են։ անհրաժեշտ է բազմաֆակտորային ազդանշան։
Սկորինգի երկար ուշացումները 'UX-ն կոտրում է, աճում է մերժումը։
IP/ASN գլոբալ բանանները ընդմիշտ 'կտրում է լեգիտ-ռուսական; Օգտագործեք TTL և շարժիչներ։
Ոչ մի գրաֆիկ, մուլտիկունտները մնում են «անտեսանելի»։
Խիստ կանոններ առանց քարերի/shadow: FP-ի աճը երկարության մեջ։
Զրոյական ֆիդբեկ ցիկլը 'մոդելները չեն փոխվում, կանոնները չեն նորարարվում։
Իրականացման քարտեզը
1. Ռիսկի ուղիների բուլարիզացիան ՝ 108, լոգին, պրոմո, դեպոզիտներ/եզրակացություններ։
2. Ազդանշանների և MSK-ի հավաքումը 'ռազմաճակատ-JS/entaill, ցանցը, սերվերային իրադարձությունները։ միասնական սխեմա։
3. Առցանց ֆիչեստորը 'պատուհանները 1/5/15/60 րոպե; deduplication և SLA fich.
4. Կանոնների հիմնական պրոֆիլը 'velocity + անոմալիա + պարզ գրաֆիկական էվրիստիկա։
5. ML ստվերային ռեժիմում 'համեմատել ROC/PR-ը, գնահատել բիզնես էֆեկտը, ներառել մասամբ։
6. Գրաֆիկ-վերլուծություն 'կոդավորման կլաստերիզացիա, ձեռքով հաստատման ժամանակ ավտո-պիտակավորում։
7. Պատասխանների նվագախումբ 'մատրիցա (ռիսկ ռուսական սցենարը գործողություն), A/B-վերահսկողությունը UX-ում։
8. Դիտարկումը և SLO 'որակի և տեխնիկայի տաշբորդները, ալերտինգը, հետպատերազմյան թեստային-քեյս-պուլերը։
9. Գաղտնիությունը/համադրումը 'PII նվազեցումը, տոկենիզացիան, դերերի հասանելիությունը, հաշվետվությունները։
Արդյունքը
Ուժեղ հակաֆրոդ համակարգը բազմաշերտ և հարմարվողական բաղադրիչ է, որտեղ սենսորները և վարքագիծը վերածվում են ֆիչիի, որոշումները ընդունվում են կանոնների և ML-ի հիբրիդ, իսկ կապերի գրաֆիկը հայտնաբերում է չարաշահման ընտանիքները։ Ավելացրեք պատասխանների իրական նվագախումբը, SLO-ի և մասնավորեցումը, և դուք ապահովեք հավասարակշռություն անվտանգության, UX-ի և բիզնես մետրերի միջև նույնիսկ լավ կազմակերպված բոտերի և ֆրոդային ցանցերի ճնշման տակ։