機器人檢測和防凍邏輯

簡短摘要

有效的機器人防禦和欺詐是圖層的組合：信號收集（客戶端，網絡，設備，行為），實時風險評估，規則（確定性）+ML模型（probabilistic），圖形鏈接分析和嚴格的升級過程。目的是阻止傷害，同時保持UX和轉換。

威脅和矢量

機器人和刮板：註冊，登錄過度，農場促銷代碼，清理資產負債表，自動出價/投註。
Account Takeover （ATO）： credential stuffing,網絡釣魚,會話盜竊。
Payment fraud：竊取卡片，測試極限，chargeback-farming。
獎勵評分：多巡回賽，設備/地址的「家庭」，代理/仿真器。
會員/CPA濫用：假註冊/存款，點擊欺詐。

antibot/antifrod堆棧體系結構

1.傳感器和遙測：前JS/SDK（人類信號），移動SDK，網絡/NTTR度量，後端事件。

2.Feature Store（在線/離線）：正常化,每個窗口T+N的集合（1分鐘,1小時,24小時）。

3.Real Time引擎：規則+ML inference（低延遲）、挑戰編排。

4.圖形引擎：按設備、付款、IP/ASN、Cookie、地址劃分的用戶鏈接。

5.事件存儲和標記：主動模型培訓，RCA。

6.答案編曲器：單元/挑戰/凍結/限制/手動檢查。

7.可觀察性/SLO：質量指標（TP/FP/FN），決策時間，對轉換的影響。

信號和「指紋」

客戶端和設備

設備指紋：用戶代理派生，平臺/CPU/GPU，Canvas/WebGL渲染，字體，時間區，語言，傳感器；對輪換的抵禦力。
瀏覽器揚聲器：鼠標/tach事件，輸入速度/節奏，焦點/blur，滾動，過渡序列，idle模式。
移動度量標準：越獄/rut,模擬特征,debag標誌,SDK信號。
網絡：IP/ASN/地理，代理/VPN/托管 ASN，IP交換頻率，RTT穩定性，JA3/TLS打印。

行為與業務上下文

Velocity度量（註冊/登錄/每窗口存款/利率）。
臨時區域/地方/貨幣異常，地理設備不匹配。
路徑/查詢的重復模式，表單序列（典型腳本）。
行動經濟學：LTV不匹配，促銷活動/結論的不自然組合。

圖形分析（族和群集）

頂點：用戶,設備,IP/ASN,支付工具,地址,cookies。
Rebra：「與loginy」，「通過付款」，「共享設備」，「fingerprint相吻合」。

• 每臺支付工具「k-core ≥ 3」用戶→手動驗證。
• 大小為>X的連通性組件，在<24小時→冷凍促銷和KYC評論中創建。
• 反機器人挑戰區的IP節點高度集中（Gini索引）→。

規則（確定性）和計分（ML）

混合方法的特點

規則：快速且可解釋（CUS/合規性，正面）。
ML：捕獲「灰色區域」和新模式；在啟用活動之前以陰影模式工作。

示範規則（偽代碼示例）

yaml
- id: ATO_LoginBurst when:
path: "/login"
failures_last_10m_by_ip > 20 distinct_accounts_last_10m_by_ip > 5 action: challenge_mfa

- id: Bonus_MultiAccount when:
promo_code = "WELCOME100"
devices_shared_with_accounts >= 2 first_deposit_time_delta < 10m action: freeze_bonus_and_review

- id: Payment_CardTesting when:
card_decline_rate_30m_by_ip > 0. 6 unique_cards_attempted_30m_by_ip > 5 action: block_24h_and_notify

ML-fici（帶有示例）

時間：頻率/間隔，按小時/日分列的季節性。
分類：ASN，國家，設備，瀏覽器。
圖：node degree, clustering coefficient, pagerank的IP/設備節點。
技術：會話長度，輸入數據的熵以及點擊序列的稀有性。
財務：平均支票、方差、時差、分期付款。

挑戰與響應（響應順序）

軟：JS挑戰、工作證明、重新驗證電子郵件/電話、限速/配額。
Strong：MFA/JIT-KYC，臨時資金/獎金凍結，臨時禁令。
Adaptive：高風險閾值增長（TOR/ASN托管），VIP/合作夥伴的寬限期清單。
UX原則：默認無形檢查；顯而易見的挑戰只是風險。

促銷和遊戲的防凍劑

促銷集成：對按設備/按付費工具的促銷限制；與KYC狀態的促銷捆綁。
多巡回賽：設備/IP圖形，行為軌跡相似；「家庭」→獎項/凍結限制。
提振收益：關聯賬戶之間的異常利率相關性→調查。
iGaming KPI：轉換保護（registratsiya→depozit），時間到錢包；不「扼殺」合法球員。

支付防凍劑（簡短）

3-D Secure/Multipactor：按風險動態。
mTLS/PSP webhook：強制性。
等效性：提取/存款操作的關鍵。
支付信號：BIN/issuer，AVS/CVV結果，故障率，地理不匹配。

數據、fichestor、聚合窗口

在線聚合（low-latency）： 1/5/15分鐘用於提升、獨特、故障。
近實時：促銷和獎勵邏輯的1-24小時。
離線幻燈片：7-90天訓練模型。
數據質量：事件重復數據消除、重新交付保護、驗證方案。

可觀察性、SLO和質量指標

• p95在關鍵路徑（登錄、存款）上≤ 50毫秒的決策（防凍）。
• 評分引擎的可用性≥ 99。95%/月。
• 沒有Fich的「隱身」事件份額≤ 0。1%.

• 關於ATO/促銷/付款情景的 TP/FP/FN；business-cost FP.
• 會話沖擊（Δ registratsii→depozit，Δ檢查成功）。
• 熱門挑戰賽（有多少挑戰賽支持風險）。
• 漂移監控（fici/評估/潛在）。

隱私和合規性

數據最小化：存儲完全必要；PII-令牌/加密。
透明度：決策的可解釋性（尤其是在拒絕和限制的情況下）。
GDPR/PCI DSS：數據域細分，僅按角色訪問；構造訪問和規則更改。
倫理和生物學：定期審核歧視/閾值。

操作和事件

Runbooks：ATO香料，卡測試，促銷攻擊，SDK降級。
功能閃光燈：快速放寬/放大規則、切換模型、「殺手開關」挑戰。
教學：歷史攻擊的倒退，「灰色」戰役，突然的漂移跡象。
RCA/標記：邊緣案例標記並返回到training dataset（主動學習）。

工件示例

1）用於評分的SQL聚合（概念）

sql
-- velocity of logins by IP in 10 minutes
SELECT COUNT() AS logins_10m
FROM auth_events
WHERE ip =:ip AND ts > now() - interval '10 minutes';

-- unique accounts by device_id in 24 hours
SELECT COUNT(DISTINCT user_id) AS accounts_24h
FROM sessions
WHERE device_id =:device_id AND ts > now() - interval '24 hours';

2）OPA/Rego中的規則（簡化）

rego package antifraud. login

default action:= "allow"

high_risk_ip {
input. ip. asn in {"AS9009, ""AS14061,"" AS16509"} # example input. metrics. failures_10m_by_ip > 20 input. metrics. distinct_accounts_10m_by_ip > 5
}

action:= "challenge_mfa" { high_risk_ip }

3）挑戰編排的偽代碼

python risk = score(features) # 0..1 if risk >= 0. 9: block()
elif risk >= 0. 7: challenge("MFA")
elif risk >= 0. 5: throttle(rate="low")
else: allow()

典型錯誤

只押註kapcha：機器人繞過它；需要一個多因素信號堆棧。
長計分延遲：打破UX，失誤上升。
IP/ASN全局禁令：切斷合法流量；使用TTL和修訂。
沒有伯爵：多地點仍然是「隱形的」。
沒有加那利群島的強硬規則/陰影：FP在銷售中激增。
零進紙循環：模型不會重新學習，規則不會更新。

實施路線圖

1.風險路徑清單：註冊，登錄，促銷，存款/結算。
2.信號收集和SDK：前JS/移動，網絡，服務器事件；一個方案。
3.在線fichestor：窗口1/5/15/60分鐘；重復數據消除和SLA信息。
4.基本規則配置文件：velocity+異常+簡單圖形啟發式。
5.影子模式ML：比較ROC/PR，評估業務影響，部分包括。

6.圖分析： 系列聚類,手動確認自動標記.

7.答案編排：矩陣（risk×stsenary→deystviye），UX上的A/B控制。
8.可觀察性和SLO：質量和技術儀表板，警報器，事後測試案例池。
9.隱私/合規性：PII最小化，令牌化，按角色訪問，報告。

結果

強大的反親緣系統是多層且自適應的輪廓，其中傳感器和行為被轉換為fici，決策是由規則和ML的混合體做出的，並且鏈接圖揭示了濫用家族。添加實時響應編排，SLO可觀察性和隱私性-即使在組織良好的機器人和frod網絡的壓力下，您也可以在安全性，UX和業務指標之間取得平衡。