GH GambleHub

速度制限と乱用防止

1)速度とは何ですか、なぜそれが必要なのですか

速度制限は、指定された時間ウィンドウ内の動作周波数と動作量の制限です。目的:
  • ボーナス/プロモーションの詐欺と搾取を減らし、
  • レトレイの「嵐」から支払インフラを保護し、
  • 可能な限り「ハード失敗」ではなく、疑わしい試みをチャレンジ(3DS/SCA)に変換することで、健全な変換を維持します。

速度制御は、スコアリング、AVS/CVV、 3DS2/SCA、およびスマートルーティングを補完します。

2)制限するエンティティ(スコープ)

複数のレベルで同時に設計限界:
  • 決済エンティティ:'card_token' (vault/network)、 'bin'、 'issuer'、 'psp_route'。
  • カスタム:'account_id'、 'kyc_level'、 'email/phone'。
  • テクニカル:'device_id' (指紋/SDK)、 'ip'、 'asn'、 'session_id'。
  • ビジネスコンテキスト:'bonus_id'、 'campaign_id'、 'country'、 'mcc 7995'サブタイプ(入金/出力)。
  • 財務:'amount_bucket' (micro/medium/large)、 'currency'、 'payment_method'。
💡 原則:少なくとも1つの個人および1つの非個人スコープ(例えば、'device_id'+'card_token')-これは、カードのマルチアカウントと「フライト」の両方をキャッチする方法です。

3) Windowsおよびカウンター

固定ウィンドウ(T=15m/1h/24h)-シンプルですが、境界に敏感です。
スライドウィンドウ-より正確には、「スライド」間隔でカウントされます。
漏れやすいバケット/トークンバケット-スムーズなバースト、安定した帯域幅を設定します。
組み合わせ:バースト(短いバースト)+持続(長いストリーム)。

サンプルセット:
  • 'device_id': 15分で≤ 3回の承認を試み、24時間で10回を≤します。
  • 'card_token': 3DSなし≤ 2つの連続した減少;3つ目は必須の3DSです。
  • 'ip': 1時間あたり5個のユニークな'card_token'を≤します(別名captcha/block)。
  • 'account_id': 2つのキャンセルされた預金を≤します。さらに-クルダウン1時間。

4)制約アルゴリズム(短い)

トークンバケット(バーストを許可):
  • '容量'と'refill_rate'を初期化します。
  • 各試みの前に、「テイクアウト」1トークン;トークンがない場合-挑戦/減少。
漏出バケツ(滑らかになること):
  • キューは一定の速度で漏れます。着信イベントがオーバーフロー-スロットル。
指数関数バックオフ+ジッタ(リトレイ用):
  • 第1繰り返し:2-5分→第2:10-20分→第3:1-2 h→停止、または代替方法への転送。

5)意思決定方針

速度テストの結果を分類する:
  • 許可:低リスク、しきい値の範囲内。
  • チャレンジ:「ソフト」しきい値→3DS/SCA/captcha/KBA(質問)を超えました。
  • スロットル:透明なUXで一時的に(クールダウン)を制限します。
  • 辞退:グロス違反(カードの大量検索、ボットプール、ボーナスの乱用)。
  • 再ルーティング:PSP/メソッドの変更(例:発行者で'91/96'スパイクとA2A)。

例のミニマトリックス

'device_id'は15分で 3、 'cvv=N' 2→Decline+captchaを します。
'card_token' 2 soft-dection→3DS-challenge(必須)。
'ip' ≥ 30分で5つのユニークな'account_id'→スロットル30分+KYCチェック。
'account_id'デポジット出金-入金10分(カルーセル)→チャレンジまたは金額制限。

6)沈殿物、後退および引き出しのための速度

預金:
  • 「マイクロスタッフィング」(多くの小さなトランザクション)を保護します。
  • シーケンス'05'/'14'/'54'-詳細の「検索」を停止し、3DSに変換します。
レトライ:
  • CITとMITキューを投稿します。MITでは、ソフトT+1/T+24Hウィンドウを使用します。
  • ソフトダウンロード'SCA required'→すぐに3DS、試みを燃やさないで下さい。
結論:
  • 量/頻度のための個々の限界:例えば≤ 2つの出力/24hおよび量/週ごとの≤ N。
  • KYC「はしご」:チェックが高いほど、制限が高くなります。
  • 検出「循環」:迅速な入金と即時引き出し-手動レビュー/ホールド。

7)乱用防止プロモーションとボーナス

キャンペーンごとのキャップ:'bonus_id' ≤ 'device_id'/'ip'/'payment_fingerprint'のXアクティベーション。
「プラグ」(口座間の送金):共通カード/IP/デバイスのグラフ分析。
クールオフウィンドウ:ボーナス入金後-即時出力の禁止、ToSの透明なルール。
レベル別の制裁:一時的なロックから「永遠に」、理由のログと。

8)アーキテクチャ: ベロシティルールを生きる場所

リアルタイムゲートウェイ(オーケストレーター内):50〜100ミリ秒≤ソリューション。
カウンターストレージ:インメモリ(Redis/KeyDB)+長期「要約」(DWH)。
Fichestor:単一の窓/集計(15m/1h/24h/7d)。
ルールエンジン+MLスコアリング:モデルの上にある「safety-net」ルール。

設定フラグ: 「turn on 3DS,」 「stricter in region X」「、pause PSP-A」

Idempotence:繰り返し/タイムアウト時の重複に対する保護。

9)ルールの擬似コード(スケッチ)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) UXパターン(変換を壊さない)

クリアメッセージ:"短時間であまりにも多くの試み。15分以内に試してみてください。または銀行に確認してください。
タイマーでLaterボタンを繰り返します。
選択肢を提供する:スロットリング時に財布をA2A/localします。
SCA-softで詳細を再入力せずにAuto-3DSします。
すべてではなく、Captchaのみ(IP/ASN/bot信号による)を指す。

11)コンプライアンスとプライバシー

GDPR/PII:最小識別子(デバイスハッシュ、カードトークン、last4)、透明ポリシーを格納します。
PCI DSS:ログにPAN/CVVはありません。機密データのない速度イベント。
PSD2/SCA:完全な失敗の代わりに、必要に応じて過剰をチャレンジに変換します。

12)メトリック、アラート、SLO

KPI:
  • 承認レート(一般的なルールがトリガーされたとき)。
  • False Positive Rate of velocity rules(正直なブロックの共有→その後の正当性による)。
  • 後退の「嵐」の数と平均回復時間。
  • 減少の割合→成功したチャレンジ転送。
  • 限界が働いているセグメントのチャージバック率(私たちは期待しています)。
アラート:
  • BIN/ASNクラスタで15分で「05/14/54」+試行回数の増加>X。
  • Burst '91/96'→PSP-BでT1スレッショルド+ルーティングを自動的に上げる。
  • FPレートのルール>ターゲット(例えば、1。5 ×週間中央値)。
SLO:
  • 速度解決≤ 100ms p95。
  • ターゲットに失敗する代わりに3DSに転送された支払いの成功率≥示します。

13)アンチパターン

すべての市場および顧客のタイプのための普遍的な「合計」の限界。
AVSが正常に動作しない国では「、AVS=U/S/G」でブロックします。
CIT/MIT-サブスクリプション/リピートを分割しないでください。
jitterとidempotenceなしで再訓練-取ると嵐。
拒否の理由を隠す-サポートと毒性が増加しています。

14)実装チェックリスト

  • エンティティマップ(スコープ)とウィンドウ(15m/1h/24h/7d)。
  • アルゴリズム選択:バーストのためのスライド+トークンバケット。
  • リターン正規化:バックオフ+ジッタ、CIT/MITのための分離。
  • 3DS/SCAとの統合:ソフトオーバークロックの自動チャレンジ。
  • 結論とボーナスのための別の制限;graph-checkingリレーションシップ。
  • Observability: KPI/alert/rule監査ダッシュボード。
  • UXメッセージテンプレートと代替メソッド。
  • PCI/GDPRポリシー:トークン、マスキング、PII最小化。
  • 市場/BIN/ASNおよび顧客プロファイルによるA/B閾値テスト。
  • インシデントプレイブック:発行者/PSPの劣化、ボットスパイク。

15)概要

効果的な速度制限は、さまざまなエンティティのマルチレベルのウィンドウとカウンター、アンチエイリアスアルゴリズム(トークン/リークバケット)、スマートレトレイ、3DS/SCAとスコアリングとのタイトな通信です。このような回路は、詐欺や悪用を減らし、変換を抑制せず、発行者やトラフィックのボラティリティで安定した収益化を維持するのに役立ちます。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

Telegram
@Gamble_GC
統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。