营销反作弊(薅羊毛)数据框架

一、营销反作弊的“八层过滤网”

营销活动涉及用户从“知道”到“参与”的全链路。XX平台的反作弊体系，在这条链路上布下了8道关卡：

设备 → IP → 手机号 → 注册 → 领券 → 下单 → 分享 → 助力

每一道关卡都在问同一个问题：这个“用户”，是真人吗？

1. 设备维度——手机的“身份证”

设备是反作弊的“第一道锁”。因为羊毛党可以换账号、换IP，但换设备成本最高。

• • 设备指纹：是否在历史羊毛活动中出现过？出现过，直接标记。
• • 模拟器检测：用电脑模拟手机？直接拒绝。真人不用模拟器抢券。
• • 设备农场：同一批设备（序列号连续、型号相同）集中注册/领券？判定为群控。
• • 设备活跃度：这台设备平时只在大促时出现，平时“休眠”？羊毛设备。

XX平台的一个规则：检测到模拟器或群控设备，该设备上所有账号的领券请求全部返回“已抢完”，连券的影子都看不到。

2. IP维度——网络地址的“前世今生”

IP地址暴露了羊毛党的“大本营”。

• • IP类型：机房IP、代理IP、VPN出口IP → 高度可疑。
• • IP集中度：同一个IP下，短时间内有大量注册/领券请求 → 脚本池。
• • IP地理跳跃：一个账号在1秒内IP从北京跳到广州 → 用了代理池。
• • IP历史：这个IP在过去是否被标记过羊毛党。

真实案例：某次“新用户注册送10元”活动，系统发现来自某个云服务商IP段的注册请求在1分钟内暴涨了500倍。IP反作弊模块自动将该IP段加入黑名单，5分钟内拦截了2万个虚假注册。

3. 手机号维度——号码的“出身”

手机号是羊毛党的“耗材”。他们用的不是正常号段。

• • 虚拟号段：170、171、165等虚拟运营商号段，成本低（几毛钱一个），羊毛党最爱。
• • 接码平台：同一手机号在短时间内接收多个平台的验证码 → 来自接码平台。
• • 号段集中度：100个账号的手机号前7位完全相同 → 批量购买的号段。
• • 手机号年龄：新激活不到1天的手机号 → 临时号。

XX平台的做法：对虚拟号段和新激活号段的注册，不发放任何新人福利，只能正常购物。羊毛党无利可图，自动退散。

4. 注册维度——账号的“出生记录”

注册环节是羊毛党批量制造账号的必经之路。

• • 注册速度：同一个设备/IP下，注册间隔小于1秒 → 脚本批量注册。
• • 注册信息：用户名随机乱码、密码简单、头像默认 → 批量注册特征。
• • 注册渠道：来自某个推广渠道的注册转化率异常高 → 可能是刷量。
• • 注册时间：凌晨3-5点是羊毛党批量注册的高峰期。

XX平台的注册风控：新注册账号不能立即领券，需要完成至少一次真实购物或实名认证后才能参与营销活动。这条规则堵住了90%的“即注即薅”羊毛。

5. 领券维度——薅羊毛的“高潮”

领券是羊毛党的核心目标。这一关的防守最激烈。

• • 领券速度：从活动开始到领券的时间<0.5秒 → 脚本调用接口。
• • 领券频率：同一个账号在1秒内领取多张不同券 → 脚本。
• • 领券路径：直接通过API调用领券接口，跳过了活动页面 → 机器行为。
• • 券的使用率：领券后从不使用，或只使用小额券 → 囤券转卖。

XX平台的一个“陷阱”设计：领券时弹出一个“滑动验证码”，真人类可以完成，脚本无法模拟。羊毛党即使过了前面的关，也会卡在这里。

6. 下单维度——羊毛的“变现”

领了券最终要下单才能“变现”。下单环节也是反作弊的重点。

• • 下单速度：领券后立即下单，间隔<1秒 → 脚本自动下单。
• • 商品选择：专门挑那些“高价值、易转卖”的商品（如茅台、购物卡）→ 羊毛党。
• • 凑单行为：订单金额刚好超过券的门槛（如199.1元）→ 刻意凑单，羊毛特征。
• • 收货地址：地址为快递柜、驿站，或地址模糊 → 羊毛党/黄牛。

7. 分享维度——裂变的“水分”

很多营销活动有“分享得券”“邀请好友”等裂变玩法。这里也是羊毛党的重灾区。

• • 分享真实性：分享后是否有真实点击？还是脚本模拟？
• • 分享渠道：分享到“文件传输助手”“个人对话”而非群聊 → 假分享。
• • 分享频率：一个账号在1分钟内分享几十次 → 脚本。

8. 助力维度——互助群的“暗战”

“助力砍价”“组队领红包”等活动，羊毛党会组建“互助群”互相刷。

• • 助力关系图谱：A帮B，B帮C，C帮A → 闭环，虚假助力。
• • 助力速度：一个助力任务在1秒内被几十人完成 → 机器刷。
• • 助力账号质量：参与助力的账号都是新注册、无头像、无行为 → 僵尸号。

XX平台的图谱反作弊：构建“助力关系网”，发现闭环或星型结构的，整个群体的助力行为判定无效，奖励全部收回。

传播点：把这8个维度比作“八门金锁阵”——羊毛党每过一关都要掉一层皮。

二、五大核心羊毛特征：黑产的“犯罪痕迹”

上面8个维度是“数据来源”，下面5个特征是“判断标准”。XX平台用这5个特征来给每个用户“定罪”。

1. 批量注册——一个人的“千军万马”

定义：利用脚本或群控系统，短时间内注册大量账号。

检测方法：

• • 同一设备/IP下，注册间隔<1秒
• • 注册账号的用户名符合随机字符串模式
• • 所有账号的注册渠道、注册时间高度一致

处置：批量注册的账号，全部打上“羊毛党”标签，所有营销活动不可参与。

2. 一机多号——一台手机，N个账号

定义：同一台设备上，登录或注册了多个不同的账号。

正常情况：一个家庭2-3人共用一台设备（比如平板），最多不超过5个。

羊毛党情况：一台设备上登录过几十甚至上百个账号 → 群控设备。

检测方法：设备指纹关联账号数。阈值通常设为5-10。超过阈值，设备进入灰名单。

XX平台的“连坐”机制：一台设备上如果有一个账号被确认羊毛，该设备上的所有账号全部标记为羊毛党。因为“设备的主人”是同一个人。

3. 同一地址——虚拟世界的“同一屋檐下”

定义：多个账号使用相同的收货地址、IP地址或联系地址。

场景：

• • 几十个账号的收货地址都是同一个快递柜 → 黄牛收货点
• • 几百个账号的注册IP都是同一个云服务商IP → 脚本服务器
• • 多个账号的紧急联系人手机号相同 → 中介或团伙

检测方法：地址归一化（把“xx小区3号楼”和“xx小区3栋”识别为同一地址），然后统计关联账号数。

处置：同一地址关联超过10个账号，该地址被加入“黑地址库”，所有发往该地址的订单重点审核。

4. 虚拟号段——手机号的“假面”

定义：使用虚拟运营商号段（170/171等）或接码平台的手机号注册。

为什么羊毛党爱用虚拟号段：成本低（0.1-0.5元/个），无需实名，用完即弃。

检测方法：维护虚拟号段表，注册时校验。同时对接接码平台识别服务，判断该手机号是否在近期接收过大量验证码。

XX平台的政策：虚拟号段注册的账号，不能领取任何优惠券，不能参与任何营销活动，只能正常购物（如果他们真的购物的话）。

5. 模拟器——在电脑上“假装”手机

定义：使用安卓模拟器（如雷电、夜神）在PC上运行App，配合脚本批量操作。

为什么模拟器是羊毛党的最爱：一台电脑可以开几十个模拟器窗口，每个窗口就是一个“手机”，比买真手机便宜多了。

检测方法：

• • 检查传感器的存在（加速度、陀螺仪）。模拟器没有真实传感器。
• • 检查系统属性（ro.kernel.qemu、ro.product.device等）。模拟器有特定标记。
• • 检查GPU渲染器。模拟器通常使用软件渲染。

XX平台的规则：检测到模拟器，直接拒绝所有操作，并封禁账号。因为真实用户不会用模拟器抢优惠券。

传播点：把这5个特征比作“五根手指”——抓住任何一根，就能揪出整个手掌。

三、羊毛党的“技术进化”与反制的“猫鼠游戏”

羊毛党和风控团队的对抗，是一场永无止境的“军备竞赛”。

羊毛党的“升级武器”

• • 初期：手动多账号，手动领券。效率低。
• • 中期：脚本批量注册+领券，使用代理IP池。效率高，但容易被检测。
• • 现在：使用云手机（真实硬件，非模拟器）、住宅代理（真实家庭IP）、机器学习模拟人类行为。越来越难识别。

XX平台的“反制手段”

• • 初级：黑名单、频率限制。对付脚本足够。
• • 中级：设备指纹、行为序列、图谱关联。对付群控和代理。
• • 高级：无感验证、蜜罐陷阱、联邦学习。对付高级羊毛党。

一个高级反制案例：蜜罐优惠券

XX平台会在活动中“掺杂”一些假券。这些券的链接在正常页面看不到，只有脚本通过遍历API才能找到。一旦有账号领取了这些“蜜罐券”，100%确定是机器脚本，直接封号。

这套“蜜罐”系统上线后，脚本识别率提升了40%，而真实用户0误伤。

四、营销反作弊的“道”：防羊毛不如“养羊毛”

XX平台营销风控负责人有一句话：

“羊毛党是薅不尽的。你能做的，是让你的羊毛‘不值得薅’。”

什么意思？

• • 增加薅羊毛的成本：要求实名认证、人脸识别、绑定银行卡。羊毛党不愿意付出这些成本。
• • 降低薅羊毛的收益：优惠券设置使用门槛（如满199减100，但羊毛党只买199.1元的东西，平台可以设置“需购买指定品类”）。
• • 让羊毛党“白忙活”：发出去的券，在核销时再做一次风控。羊毛党以为薅到了，实际用不了。

一个成功案例：某次活动，XX平台发放了10万张“满100减50”券。羊毛党用脚本抢走了7万张。但平台在核销环节加了一道“实名认证+设备验证”，结果7万张券中只有2000张成功核销，其余全部作废。羊毛党白忙一场，以后看到这个平台的活动都绕道走。

五、一个完整案例：从“羊毛狂欢”到“颗粒无收”

活动：新用户注册送20元无门槛券。

羊毛党操作：

1. 1. 用接码平台买1000个虚拟手机号
2. 2. 用脚本在模拟器上批量注册
3. 3. 注册后自动领取20元券
4. 4. 用券购买虚拟卡券（Q币、京东卡），转卖套现

XX平台反作弊系统响应：

1. 1. 设备维度：模拟器检测命中，所有模拟器上的注册请求被标记
2. 2. IP维度：注册IP为机房IP，加入临时黑名单
3. 3. 手机号维度：虚拟号段检测，这些手机号被标记“不可领券”
4. 4. 注册维度：注册间隔<0.1秒，触发批量注册规则，同一IP下的注册全部限流
5. 5. 领券维度：领券速度<0.1秒，且没有经过活动页面，直接返回“活动太火爆”

结果：1000个账号中，成功注册的不到50个，成功领券的0个。羊毛党不仅没薅到一分钱，还被封了IP和设备指纹。阿强在群里骂了一句：“XX平台太变态了，换下一家。”

写在最后

在XX平台的风控团队，营销反作弊被称为 “预算的守门人”。

每一张优惠券，都是平台的营销预算。羊毛党薅走的每一分钱，都是从真实用户口袋里掏走的。反作弊不是为了“小气”，而是为了把福利给到真正需要的人。

下次你抢不到神券的时候，别急着骂平台。也许，那些券正在被风控系统从羊毛党的脚本里“抢救”出来，准备重新发给你。

只是需要一点点时间。