点击洪水检测和假阳性挑战Tal Florentin 2020年6月22日欺诈是坏的，但假阳性可以更糟。但是是吗？与真阳性案件不同，真正的欺诈被识别和阻止，假阳性案件据称惩罚合法来源。这可能会损害广告客户与其优质媒体合作伙伴的关系，而不是保护他们免受恶意攻击一个。任何一个负责任的欺诈解决方案应以尽可能低的假阳性率为目标，以保持其完整性和可信度，同时保护客户的最佳利益兴趣。听起来就像一件简单的事去做，对吧？嗯…部分。什么是假阳性吗？为了理解假阳性测试及其影响，我们必须首先了解精确性和召回率的概念，这两个非常重要的数据分析KPI，尤其是在欺诈方面检测。错误阳性测试-图表假阳性测试为我们的欺诈检测算法设置了允许的精度水平。准确度越高-欺诈检测就越保守。另一方面，较低的准确率可能导致检测到的总流量增加，但以较高的误报为代价价格。每个欺诈规则或机器学习算法最终包括一个假阳性阈值，可以调整得更高或更低，基于多个变量和需要。那个关键是在检测尽可能多的欺诈事件，同时保持足够高的精确度之间找到适当的平衡水平。安机会主义的观点大多数营销人员的行为都有一些克制和自我反省，这就建立了他们的信誉。不幸的是，欺诈者会注意到这是一个开放的机会，我们知道欺诈者总是在寻找漏洞，以便在市场上获得偶尔的优势。这通常指的是技术漏洞，但请放心，道德边界带来了一个非常大的机会好吧。它对欺诈者来说，检查欺诈预防供应商所做的更改和更新并优化其活动以绕过检测逻辑和阈值，这已成为欺诈者的常见做法利用假阳性测试限制，在这一限制下，欺诈者会故意将合法安装混入欺诈组合中。不要将这与试图以任何方式提高其流量相混淆，而是从表面上看这种策略。这里的目标是粉饰低质量的流量。任何合法的流量或者install-coming-in意味着稍后当其他欺诈性的活动被阻止时用作反诉。超级活动设备click-flooding可以由单个设备生成，一天发送多个（有时数千次）单击。下面的示例显示了所有报告操作的相同IDFA–表明正在使用相同的设备。event_time列显示在同一天报告了所有单击（总共1645次，如下表所示）。重复类似的IP有助于识别这是同一个物理设备。但是，操作系统版本和用户代理并不适用于所有单击。这意味着有人伪造了这些价值观人为的。完全相同设备点击报告这些来源生成的"合法"安装是否仍被称为合法？点击泛滥，作为一种通用策略，依赖于大量的点击量填充真实的设备细节。然而，这些细节通常是通过非法手段获得的，例如用户设备上的恶意软件，这意味着，即使是所谓的"合法"安装，也往往是广告商根本不应该付费的有机安装——这些用户有机地完成了安装过程，却从未遇到过广告。在这种情况下，什么是正确的方法？我们是否应该阻止IP提供额外的点击，或者也许IDFA无法获得进一步的信任归因。随便我们的解决方案是，它不会是没有错误的，必须要冒一些风险，更保守的策略是建立在统计模型上的，这些模型显示了每一次点击的转化率，结果，广告商被大量的点击所轰炸，因为他们很难转换成一个应用程序。欺诈者可以填充虚假的点击信息，并代表用户将其传达给广告商，这些用户根本不知道这是在进行的，点击泛滥另一种策略是对每个广告印象使用点击URL。用户可能会接触到真实的广告，但实际上没有广告点击。用户很可能会多次查看广告，从而增加了他们"点击"转换的机会。一旦用户最终下载了应用程序，欺诈者就赢得了一个有机的安装。创建欺诈者和他们的运营几乎不需要支付这些虚假点击的成本，而且他们不介意低转换率，因为盈利能力很高。在雷达下偷袭类似，但更复杂的点击泛滥方法点击的分裂尝试是否会涌入较小的网站-每一个都与较低数量的咔嚓。这个可能会使每个单独的网站在检查时看起来"无辜"独立的。但是，当你看到更大的图片时，这和上面的例子没有什么不同这实际上是欺诈者实施的BI的一个很好的例子，测试反欺诈阈值，并优化其流量分布，使其不受怀疑地低于各自的流量微型雷达网站点击泛滥大多数网站的转化率很低；但是，那些将转换的通道将呈现出更好的潜在转化率，并将被用作优化生命线，呈现这些"好"通道作为保持活动的一种手段-去。什么时候媒体合作伙伴将一个站点的ID名称拆分成数千个毫无意义的名称，这对AppsFlyer来说是一个严重的问题，但对广告客户来说更是如此，这使得他们更难准确衡量和进一步改进成功的广告活动。或者，抛弃表现不佳的资源。考虑到这些站点中的大多数在其生命周期内只有少量的安装，因此研究它们的方法已经成为不可能。这个因为这些低规模网站几乎不可能被实时屏蔽，所以AppsFlyer的后归因欺诈检测发挥了作用。回溯算法可以追溯到这种活动，并将其分配到不适用于高实时检测的欺诈趋势中精确。一些那些因故意操纵这一参数而声名鹊起的网络，会受到更为极端的对待。在一个不那么细致的层面上检查他们的流量——这意味着这些小网站将通过它们的前缀名以及其他类似的参数聚合在一起——它们将被"判断"并被实时屏蔽。我们意识到，一些"合法"网站可能会受到这些行为的影响，因为它们混入了一个欺诈性的小网站群中地点。虽然我们在尽可能减轻这种边缘情况上下了很大的努力，但上面显示的逻辑强调了这些操作的必要性是。一个无情的方法是不是说我们放弃了假阳性检测？当然不是，就像前面提到，假阳性检测对于维护生态系统的完整性和可靠的欺诈保护机制至关重要。然而，我们不会接受粉饰和玩世不恭地利用低规模的"质量"流量作为保持有害源活跃的借口。这是一个很好的例子，我们愿意降低我们的准确率标准，变得更加宽容，阻止更多的欺诈行为安装。单击洪水封锁（在其他类型的欺诈中）不是瞬间发生的，它需要时间，并仔细检查每个出版商独立。为了在规模上做到这一点，我们不断改进我们的集群阻止机制，允许在安装时收集到的信息不足时进行欺诈检测level.AppsFlyer不会容忍来自特定媒体的辱骂行为，这些行为对生态系统都有害，更具体地说，我们的目标是更早、更快、更有效地捕捉来自不同来源的欺诈企图。关于好未来，好未来作为Protect360集团的一部分，领导反欺诈数据分析团队。在加入AppsFlyer之前，好未来曾在广告业和金融业工作，帮助企业更好地理解和提高业绩。跟随Tal Florentin