✅ 一、顶层方向(一级维度)
注册后判定用户是否是作弊 / 羊毛党的大方向,大致可以归为以下 6 个维度:
- 环境信息维度
- 账号行为维度
- 网络信息维度
- 资产路径维度
- 交易行为维度
- 社交/渠道关联维度
✅ 二、二级细分指标
1️⃣ 环境信息维度(设备/浏览器等)
| 指标 | 判定逻辑 |
|---|
| 相同设备指纹注册多个账户 | 高危:一机多号 |
| 设备指纹或 User-Agent 异常 | 模拟器/自动脚本特征 |
| 注册来源 UA 为爬虫或工具型 | curl/okhttp/postman 等异常来源 |
| 使用虚拟环境(如 root、模拟器) | 风控评分可加权判定 |
2️⃣ 账号行为维度(注册/登录/行为节奏)
| 指标 | 判定逻辑 |
|---|
| 注册后立即操作多个功能 | 自动化脚本行为,如 5 秒内下单+提币等 |
| 注册后只登录1-2次 | 极可能是羊毛专用账号 |
| 注册后在特定时段批量爆发 | 集群操作,可能是“活动时段羊毛” |
| 注册后未绑定真实信息(手机号/邮箱) | 低门槛注册行为,一般为低质量账户 |
3️⃣ 网络信息维度(IP、地理位置、代理)
| 指标 | 判定逻辑 |
|---|
| IP归属为云服务商(如 AWS/阿里云) | 高危:容易批量注册 |
| IP/国家和身份证件/语言不匹配 | 冒用他人身份注册 |
| 使用代理/VPN/高匿名代理注册 | 羊毛党惯用伎俩 |
| 大量注册IP集中在某一个网段/地区 | 判定“地推团伙”或刷子群 |
4️⃣ 资产路径维度(充值/提现)
| 指标 | 判定逻辑 |
|---|
| 注册后从多个账号地址收款 | 洗钱/搬砖/薅羊毛脚本 |
| 收款来源为中心钱包或“黑历史地址” | 与黑产相关联地址 |
| 提现地址绑定多个 UID | 一地址多号,属于搬砖套利行为 |
| 注册账户之间频繁小额互转 | 套利路径验证行为 |
5️⃣ 交易行为维度(下单/成交)
| 指标 | 判定逻辑 |
|---|
| 注册后只交易指定活动币种 | 活动投机行为 |
| 下单无成交 / 自己对敲 | 刷成交量、骗返佣 |
| 下单过于频繁、间隔均匀 | 程序化行为,非真实用户 |
6️⃣ 社交/渠道/标签维度
| 指标 | 判定逻辑 |
|---|
| 来源渠道集中、邮箱或邀请码复用 | 羊毛组织 |
| 推荐人关联用户质量极差 | 刷注册/刷推荐 |
| 注册邮箱为临时邮箱 | 常用于羊毛注册 |
| 同一渠道用户异常高占比为僵尸账户 | 群控行为 |
✅ 三、构建「风险标签体系」
将上述二级维度做成标签,例如:
device.same_fingerprint_10_uid = trueip.source = aws_cloudregister.behavior = burst_batch_registertx.has_internal_loop_transfer = trueemail.is_temp_mail = true
并结合规则引擎或模型打分,给用户加一个风险标签:
{
"user_id": 123456,
"risk_tags": ["多账户设备", "高风险IP", "注册即提币", "活动刷子疑似"],
"score": 87,
"risk_level": "高"
}
