反作弊研究总结

Mobvista

1、CTIT Distribution

• 从点击到安装时间过短 -> 作弊嫌疑
• 在不同时间(week or day or hour)窗口的安装数趋于平滑（长尾现象），由click injection(click flooding)造成 -> 作弊嫌疑
• 点击量高但转化率低 --> 作弊嫌疑
• 安装数集中在一个很短的时间范围（比如20秒内） --> 作弊嫌疑
  

  需要注意的是: CTIT的分布和app本身的大小也有关系。

2、Intraday Distribution

• 大量的安装来自一个异常的时间段：
  
  • 睡眠时间产生大量安装；
  • 其它大多数渠道安装数都很少的区间，在该渠道产生大量安装；

3、IP

• 使用匿名IP --> 作弊嫌疑
• 同一个IP（或相似度很高的IP）产生大量的点击、安装和不同的设备 --> 作弊嫌疑
• 同一台设备，点击时的IP和安装、首次登陆的IP不一样 --> 作弊嫌疑

4、互动度过高

• 同一 device_Id 下多次点击广告 --> 作弊嫌疑

5、设备评分

• 使用一个庞大的高维特征集，来对一台设备进行评分。包括用户的交易数据和过去的作弊情况。评分低 --> 作弊嫌疑

6、mismatch

• 安装的App版本和当前可下载的版本不一样 --> 作弊嫌疑
• 点击和安装不在同一个设备上 --> 作弊嫌疑
• 点击和安装的地理位置不一样 --> 作弊嫌疑G
• 苹果的应用广告，被安卓的设备点击 --> 作弊嫌疑（反之亦然）

7、 安装来自的地理位置异常

• 安装总是来自某几个地区 --> 作弊嫌疑
• 安装不是来自投放广告时预设的地区 --> 作弊嫌疑
• 渠道内的大量安装，没有国家、城市等信息 --> 作弊嫌疑

8、Install match type

• 如果"install match type"是由经过两次或三次哈希的IDFA 与 md5 和 sha1 组成 --> 作弊嫌疑

9、请求方式

• 使用http未加密的方式请求 --> 作弊嫌疑

10、Device

• 同一台设备有多个IDFA（一般人都不会多次重置IDFA的值）--> 作弊嫌疑
• 某个渠道产生的安装，只来自某几个系统版本 --> 作弊嫌疑
• 渠道内，LAT（Limit Ad Tracking）设备的安装数的占比过高 --> 作弊嫌疑
• DeviceId 是一组连续的数字 --> 作弊嫌疑

11、一致性检验

• 大量的安装来自于少数几个品牌和型号的设备 --> 作弊嫌疑
• 大量的安装来自于少数几个的UserAgent --> 作弊嫌疑
  

  正常的流量，设备品牌 和 FingerPrint的信息应该是一个 balanced mix。

12、是否有足量的应用内行为

• 应用被安装后，并没有产生用户行为，比如注册、使用、升级等。 --> 作弊嫌疑
  

  广告主，可以设置一个真实安装的用户行为标准，比如必须玩到5级以上。