深度分析的基本思想是,从某个类型的子图中寻找 Connected Component ( 连通分量,后简称 CC ), 对 CC 进行画像,定位出存在异常的 CC,再从这个 CC 出发寻找与之相关联的订单或其他节点。
在挑选子图时,尽可能选择一些强关联关系,比如邀请关系 ,邀请者与被邀请者是具体的,事实的存在。而像 Account -(use_ip)-> IP 这样的关联,并非稳定关系,尤其是在中国 IPv4 地址资源有限的环境下,绝大多数人上网使用的是动态 IP,一个 IP 在一段时间内可能为黑产所用,在另一段时间可能是一个正常用户在用。
关系的强弱稳定,在不同场景下是不一样的,需要具体问题具体分析。读者也可以思考一下,在动态 IP 环境下,账户与IP之间的关联关系是否完全失去意义,是否可能有其他利用价值。这部分内容我们留到下一个案例来讨论,学完之后将更能体会到,基于对业务的认识采用适合的 Schema 设计,可以很大程度提升分析效率。
在这个案例中,我们所说到的 CC,特指由邀请关系 构成的子图中的连通分量。
前面说到,因为成本效益的考虑,黑产团伙会尽可能资源使用成本,这样一来必然会在某些资源上出现共用,或者体现出一些独特的使用策略。
具体来说,在本案例中,我认为黑产团伙构成的 CC 可能具备如下特征:
如何寻找 CC
在这个案例中,邀请关系构成的子图是一个有向无环图 ( Directed Acyclic Graph ) ,在有向无环图中寻找 Connected Components,最简单的方法就是先寻找 CC 的祖先 ( ancestor ),即某个 CC 中,唯一一个入度( in-degree )为 0 的节点。可以用祖先节点的 id,作为 CC 的 id。
寻找 CC 的方法如下,忽略不必要的代码部分:
复制 ...
MaxAccum<VERTEX> @ancestor;
all_accounts = {Account.*};
ancestors =
SELECT t
FROM all_accounts:t
WHERE t.outdegree("invite") > 0 AND
t.outdegree("reverse_invite") == 0
ACCUM t.@ancestor = t
;
children = ancestors;
WHILE (children.size() > 0) DO
children =
SELECT t
FROM children:s -(invite:e)-> Account:t
ACCUM t.@ancestor = s.@ancestor;
END;
... 使用一个节点累加器 @ancestor 来存储每个节点的祖先 id,这里用 MaxAccum 和 MinAccum 是一样的。第一次遍历,先寻找图中所有出度大于0,入度等于0的节点,令他们的 @ancestor 等于自己。然后从这些祖先出发,一步一步告诉自己的邻居,自己的祖先是谁。循环结束之后,全图所有的节点,都知道自己的祖先是谁。
深度过大的 CC
很多时候,由于活动规则的限定,加上黑产本身有避免被追踪的动机,黑产团伙会避免一个账号邀请过多的人。体现在图上,会发现黑产的邀请关系往往深度很大,在传统关系型数据库中,要计算一个邀请链条的深度,是一件开销很大的事情。当然,更深的邀请关系,还有成本效益上的考量,这点后面会再次提到。
代码 执行结果
复制 CREATE QUERY comps_depth_rank(INT k) FOR GRAPH MyGraph {
TYPEDEF TUPLE<VERTEX ancestor, INT depth> comp_depth;
MaxAccum<VERTEX> @ancestor;
ListAccum<VERTEX> @invite_chain;
GroupByAccum<VERTEX ancestor, MaxAccum<INT> depth> @@comp_depth_stats;
HeapAccum<comp_depth>(k, depth DESC) @@comps_depth_rank;
all_accounts = {Account.*};
/*
寻找所有 cc 的祖先
*/
ancestors =
SELECT t
FROM all_accounts:t
WHERE t.outdegree("invite") > 0 AND t.outdegree("reverse_invite") == 0
ACCUM t.@ancestor = t
;
/*
将祖先信息传递到所有节点,并在每个节点上记录从祖先出发到达该节点,中途经过的节点
*/
children = ancestors;
WHILE (children.size() > 0) LIMIT 30 DO
children =
SELECT t
FROM children:s -(invite:e)-> Account:t
ACCUM t.@ancestor = s.@ancestor,
t.@invite_chain = (s.@invite_chain + [s])
;
END;
/*
统计每个 cc 最深的邀请链条有多少层
*/
_t0 =
SELECT t
FROM all_accounts:t
ACCUM @@comp_depth_stats += (t.@ancestor -> t.@invite_chain.size())
;
/*
保留 top k 个最深的 cc,作为结果返回
*/
FOREACH (ancestor, depth) IN @@comp_depth_stats DO
@@comps_depth_rank += comp_depth(ancestor, depth);
END;
FOREACH c IN @@comps_depth_rank DO
PRINT c.ancestor AS ancestor,
c.depth AS depth
;
END;
} 以 k=10 作为参数执行脚本,找出最深的 10 个 cc
复制 [
{
"ancestor": "1879",
"depth": 30
},
{
"ancestor": "2704",
"depth": 30
},
{
"ancestor": "5283",
"depth": 30
},
{
"ancestor": "2090",
"depth": 30
},
{
"ancestor": "361",
"depth": 30
},
{
"ancestor": "1275",
"depth": 26
},
{
"ancestor": "855",
"depth": 24
},
{
"ancestor": "5491",
"depth": 22
},
{
"ancestor": "1919",
"depth": 19
},
{
"ancestor": "5390",
"depth": 16
}
] 在之前的案例中,我们已经接触到了 tuple 和 HeapAccum 的用法。TYPEDEF TUPLE 定义一个 tuple 型数据结构,相当于 python 中的 namedtuple 。他常常与 HeapAccum 配合使用,用来对结果进行排序,并保留最大或者最小的 K 个结果。
GroupByAccum 和 MapAccum 很类似,区别在于 GroupByAccum 的 key 是一些基础类型,value 是累加器,并且 key 和 value 都可以有多个。比如,你想分别统计全国所有城市,每个月份气温的最高值、最低值与平均值,你可以定义这样一个 GroupByAccum
复制 GroupByAccum<
STRING city,
STRING month,
MaxAccum<FLOAT> max_temp,
MinAccum<FLOAT> min_temp,
AvgAccum<FLOAT> avg_temp
> @@city_temp_stats;
...
@@city_temp_stats += ("北京", "1月" -> 0, 0, 0);
@@city_temp_stats += ("北京", "1月" -> -1, -1, -1);
...
@@city_temp_stats += ("北京", "2月" -> 5, 5, 5);
...
@@city_temp_stats += ("上海", "1月" -> 2, 2, 2);
...
// 访问 GroupByAccum 的几种方式
// 1. 获取上海2月平均气温
@@city_temp_stats.get("上海", "2月").avg_temp
// 2. foreach 遍历每个分组
FOREACH g IN @@city_temp_stats DO
PRINT g.city, g.month, g.max_temp, g.min_temp, g.avg_temp
END;
// 3. foreach 遍历每个分组,类似 python 做一个 unpack
FOREACH (city, month, max_temp, min_temp, avg_temp) in @@city_temp_stats DO
PRINT city, month, max_temp, min_temp, avg_temp
END; 下图展示的是发现的最深的一个 cc
非对己订单比例很高的 CC
正常情况下,用户邀请别人注册,得到的话费奖励,会给自己的手机号充值。黑产更多的则是拿出去变现,即消耗自己的积分给别的手机号充值,这里我们称之为非对己订单 。一个 CC 中如果非对己订单比例很高,则该 CC 受控于黑产团伙的概率就很大。
下图中浅蓝色的点代表账号,紫色的点代表订单:
代码 执行结果
comps_nonself_order_ratio_rank.gsql
复制 CREATE QUERY comps_nonself_order_ratio_rank(INT min_num_orders, INT k) FOR GRAPH MyGraph {
TYPEDEF TUPLE<VERTEX ancestor,
INT num_orders,
INT num_nonself_orders,
DOUBLE nonself_order_ratio> tp_comp_stat;
MaxAccum<VERTEX> @ancestor, @order_recvr;
GroupByAccum<VERTEX ancestor,
SumAccum<INT> num_orders,
SumAccum<INT> num_nonself_orders> @@ancestor_order_counter;
HeapAccum<tp_comp_stat>(k, nonself_order_ratio DESC) @@comps_stats;
all_accounts = {Account.*};
all_orders = {BonusOrder.*};
/*
寻找所有的祖先
*/
ancestors =
SELECT t
FROM all_accounts:t
WHERE t.outdegree("invite") > 0 AND t.outdegree("reverse_invite") == 0
ACCUM t.@ancestor = t
;
/*
将祖先信息传播到所有节点
*/
children = ancestors;
WHILE (children.size() > 0) DO
children =
SELECT t
FROM children:s -(invite:e)-> Account:t
ACCUM t.@ancestor = s.@ancestor
;
END;
/*
将奖励接收人信息,记录到 order 节点上
*/
_t0 =
SELECT t
FROM all_orders:s -(recv_bonus:e)-> Account:t
ACCUM s.@order_recvr = t
;
/*
对比奖励的发送人和接收人,分别统计每个 CC 的对己订单数与非对己订单数
*/
_t1 =
SELECT t
FROM all_accounts:s -(send_bonus:e)-> BonusOrder:t
ACCUM
CASE
WHEN s == t.@order_recvr
THEN @@ancestor_order_counter += (s.@ancestor -> 1, 0)
ELSE @@ancestor_order_counter += (s.@ancestor -> 1, 1)
END
;
/*
按照非对己订单比例对 cc 进行排序
*/
FOREACH (ancestor, num_orders, num_nonself_orders) IN @@ancestor_order_counter DO
IF num_orders >= min_num_orders THEN
@@comps_stats += tp_comp_stat(
ancestor, num_orders, num_nonself_orders, 1.0 * num_nonself_orders / num_orders
);
END;
END;
FOREACH g IN @@comps_stats DO
PRINT g.ancestor AS ancestor,
g.num_orders AS num_orders,
g.num_nonself_orders AS num_nonself_orders,
g.nonself_order_ratio AS nonself_order_ratio
;
END;
} 以 k=10 ,min_num_orders=10 作为参数,执行该脚本
复制 [
{
"ancestor": "6597",
"num_orders": 21,
"num_nonself_orders": 21,
"nonself_order_ratio": 1
},
{
"ancestor": "2090",
"num_orders": 52,
"num_nonself_orders": 52,
"nonself_order_ratio": 1
},
{
"ancestor": "1837",
"num_orders": 16,
"num_nonself_orders": 16,
"nonself_order_ratio": 1
},
{
"ancestor": "2386",
"num_orders": 11,
"num_nonself_orders": 11,
"nonself_order_ratio": 1
},
{
"ancestor": "7729",
"num_orders": 11,
"num_nonself_orders": 11,
"nonself_order_ratio": 1
},
{
"ancestor": "7277",
"num_orders": 15,
"num_nonself_orders": 15,
"nonself_order_ratio": 1
},
{
"ancestor": "6582",
"num_orders": 13,
"num_nonself_orders": 13,
"nonself_order_ratio": 1
},
{
"ancestor": "7419",
"num_orders": 10,
"num_nonself_orders": 10,
"nonself_order_ratio": 1
},
{
"ancestor": "5954",
"num_orders": 11,
"num_nonself_orders": 11,
"nonself_order_ratio": 1
},
{
"ancestor": "2390",
"num_orders": 16,
"num_nonself_orders": 16,
"nonself_order_ratio": 1
}
] 这个部分没有什么新的知识点,新的语法是在 ACCUM 操作中使用 CASE WHEN 语句来做分支判断。我们为该查询定义了一个 min_num_orders 阈值参数,只有 CC 中的订单数超过阈值的,才会考虑。
下图展示的 CC,非对己订单比例为 1,可以看到,这个 CC 中各账号获得的奖励,都充值给了中间的那个账号。
CC中存在大量设备共用
下图中浅蓝色的点代表账号,粉红色的点代表设备:
代码 执行结果
comps_share_device_rate_rank.gsql
复制 CREATE QUERY comps_share_device_rate_rank(INT min_comp_size, INT k) FOR GRAPH MyGraph {
TYPEDEF TUPLE<VERTEX ancestor, FLOAT share_device_rate, INT num_accounts> tp_comp_sdr;
MaxAccum<VERTEX> @ancestor;
GroupByAccum<VERTEX ancestor, VERTEX imei, SetAccum<VERTEX> accounts> @@accounts_grby_anc_imei;
GroupByAccum<VERTEX ancestor, AvgAccum share_device_rate, SetAccum<VERTEX> accounts> @@comps_counter;
HeapAccum<tp_comp_sdr>(k, share_device_rate DESC) @@comps_stats;
all_accounts = {Account.*};
/*
寻找所有的祖先
*/
ancestors =
SELECT t
FROM all_accounts:t
WHERE t.outdegree("invite") > 0 AND t.outdegree("reverse_invite") == 0
ACCUM t.@ancestor = t
;
/*
将祖先信息传播到所有节点
*/
children = ancestors;
WHILE (children.size() > 0) DO
_t0 =
SELECT t
FROM children:s -(use_imei:e)-> IMEI:t
ACCUM @@accounts_grby_anc_imei += (s.@ancestor, t -> s)
;
children =
SELECT t
FROM children:s -(invite:e)-> Account:t
ACCUM t.@ancestor = s.@ancestor
;
END;
FOREACH (ancestor, imei, accounts) IN @@accounts_grby_anc_imei DO
@@comps_counter += (ancestor -> accounts.size(), accounts);
END;
FOREACH (ancestor, share_device_rate, accounts) IN @@comps_counter DO
IF accounts.size() >= min_comp_size THEN
@@comps_stats += tp_comp_sdr(ancestor, share_device_rate, accounts.size());
END;
END;
FOREACH c IN @@comps_stats DO
PRINT c.ancestor AS ancestor,
c.share_device_rate AS share_device_rate,
c.num_accounts As num_accounts
;
END;
} 以 min_comp_size=30 ,k=10 作为参数,执行脚本。
复制 [
{
"ancestor": "1879",
"share_device_rate": 21,
"num_accounts": 42
},
{
"ancestor": "5283",
"share_device_rate": 19.6,
"num_accounts": 98
},
{
"ancestor": "8017",
"share_device_rate": 18,
"num_accounts": 36
},
{
"ancestor": "6606",
"share_device_rate": 4.625,
"num_accounts": 37
},
{
"ancestor": "7753",
"share_device_rate": 4.04762,
"num_accounts": 85
},
{
"ancestor": "361",
"share_device_rate": 3.57143,
"num_accounts": 75
},
{
"ancestor": "3236",
"share_device_rate": 3.33333,
"num_accounts": 60
},
{
"ancestor": "2090",
"share_device_rate": 3.09091,
"num_accounts": 34
},
{
"ancestor": "6597",
"share_device_rate": 2.90909,
"num_accounts": 32
},
{
"ancestor": "8660",
"share_device_rate": 2.05556,
"num_accounts": 37
}
] 这个语句不涉及到新的语法。大体思路是,用两个 GroupByAccum,@@accounts_grby_anc_imei 的 key 是 (ancestor, imei),统计每个 CC ,每个 imei 下对应的账号数。然后在用 @@comps_counter 来统计每个 CC 下平均一个 IMEI 对应对少个账号。
下图展示来一个高设备共用率 的 CC:
可以看出,这个 CC 中大部分账号都共用了一台手机
CC的行为疑似机器操作
这里说的行为疑似机器,想表达的是,CC的行为,看上去像是一个预谋好的,有策略性的,由脚本控制的活动。
我们之前不断说过,黑产与反黑产的对抗,本质就是成本与效益的博弈,黑产团伙使用的资源都是有成本的,只有成本低于收益的时候,才有利可图。如何更加有效的利用资源,是黑产团伙的核心技术。
假设某优惠活动的规则如下,每邀请 3 个人,则可以换取一份奖励,某个黑产团伙一共拥有 10 个手机号。那么对于这次营销活动,他们有以下这 3 种薅羊毛策略。
策略 1 有浪费,策略 2、3 效率相同。但是策略 2 容易暴露,因此多数黑产会使用策略 3。
因此黑产 CC 在邀请关系图上,会体现出如下特征:
一个 CC 中,有邀请过别人的账号,我们称之为邀请者 ,如果营销活动的规则是邀请10个人可以兑换一份奖品,那么黑产 CC 中,每个邀请者一定会不多不少刚刚好邀请 10 个人,这样才不会造成资源浪费。
那么如何来衡量一个 CC 中,邀请者邀请人数 的均匀程度呢?统计我们常常用基尼系数 ( Gini Coefficient ) 来衡量均匀程度。
基尼系数为洛伦兹曲线与45度直线构成的区域的面积占三角形面积的比例
过去,基尼系数常常被用来衡量一个国家的贫富分化程度。我们将一个国家所有人的收入从低到高排序,洛伦兹曲线上的点,代表收入最低的 k% 的人口拥有 n% 的社会总财富。这个曲线越陡峭,说明大多数人掌握社会的少部分财富 ,贫富分化严重,基尼系数很大。
在黑产 CC 识别中,我们运用类似的思想,对一个 CC 中所有邀请者邀请的人数构成的数列,求基尼系数。黑产团伙的基尼系数往往很低,接近于 0。
基尼系数的一种计算方法:
G = ∑ i = 1 n ∑ j = 1 n ∣ x i − x j ∣ 2 n ∑ i = 1 n x i G = \frac{\sum_{i=1}^{n}\sum_{j=1}^{n}{|x_{i}-x_{j}|}}{2n\sum_{i=1}^{n}{x_i}} G = 2 n ∑ i = 1 n x i ∑ i = 1 n ∑ j = 1 n ∣ x i − x j ∣ 代码 执行结果
复制 CREATE QUERY comps_gini_rank(INT k=100, INT min_comp_size=30) FOR GRAPH MyGraph {
TYPEDEF TUPLE<VERTEX ancestor,
INT comp_depth,
INT comp_size,
DOUBLE gini> tp_comp_stat;
MaxAccum<VERTEX> @ancestor;
GroupByAccum<VERTEX ancestor, VERTEX sendr,
SumAccum<INT> num_recvrs> @@num_recvrs_grby_ancestor_sendr;
MapAccum<VERTEX, MaxAccum<INT>> @@comp_depth;
MapAccum<VERTEX, SumAccum<INT>> @@comp_size;
MapAccum<VERTEX, BagAccum<INT>> @@num_recvrs_arr;
HeapAccum<tp_comp_stat>(k, gini) @@comp_stats;
INT depth = 1;
INT comp_depth = 0;
INT sum_diffs;
INT sum_arr;
DOUBLE gini;
all_accounts = {Account.*};
all_orders = {BonusOrder.*};
ancestors =
SELECT t
FROM all_accounts:t
WHERE t.outdegree("invite") > 0 AND t.outdegree("reverse_invite") == 0
ACCUM t.@ancestor = t,
@@comp_size += (t -> 1)
;
children = ancestors;
WHILE (children.size() > 0) DO
children =
SELECT t
FROM children:s -(invite:e)-> Account:t
ACCUM t.@ancestor += s.@ancestor,
@@comp_depth += (s.@ancestor -> depth),
@@comp_size += (s.@ancestor -> 1),
@@num_recvrs_grby_ancestor_sendr += (s.@ancestor, s -> 1)
;
depth = depth + 1;
END;
FOREACH (ancestor, sendr, num_recvrs) IN @@num_recvrs_grby_ancestor_sendr DO
@@num_recvrs_arr += (ancestor -> num_recvrs);
END;
FOREACH (ancestor, comp_size) IN @@comp_size DO
sum_diffs = 0;
sum_arr = 0;
gini = 0;
FOREACH x1 IN @@num_recvrs_arr.get(ancestor) DO
sum_arr = sum_arr + x1;
FOREACH x2 IN @@num_recvrs_arr.get(ancestor) DO
sum_diffs = sum_diffs + abs(x1 - x2);
END;
END;
gini = 0.5 * sum_diffs / (@@num_recvrs_arr.get(ancestor).size() * sum_arr);
IF comp_size >= min_comp_size THEN
@@comp_stats += tp_comp_stat(
ancestor,
@@comp_depth.get(ancestor),
comp_size,
gini
);
END;
END;
FOREACH comp_stat IN @@comp_stats DO
PRINT comp_stat.ancestor AS ancestor,
comp_stat.comp_depth AS comp_depth,
comp_stat.comp_size AS comp_size,
comp_stat.gini AS gini
;
END;
} 以 min_comp_size=30 ,k=10 执行该脚本
复制 [
{
"ancestor": "8262",
"comp_depth": 5,
"comp_size": 71,
"gini": 0
},
{
"ancestor": "8433",
"comp_depth": 2,
"comp_size": 31,
"gini": 0
},
{
"ancestor": "5628",
"comp_depth": 3,
"comp_size": 31,
"gini": 0
},
{
"ancestor": "8440",
"comp_depth": 9,
"comp_size": 91,
"gini": 0
},
{
"ancestor": "11584",
"comp_depth": 2,
"comp_size": 31,
"gini": 0
},
{
"ancestor": "4231",
"comp_depth": 5,
"comp_size": 51,
"gini": 0
},
{
"ancestor": "8478",
"comp_depth": 2,
"comp_size": 31,
"gini": 0
},
{
"ancestor": "6678",
"comp_depth": 3,
"comp_size": 51,
"gini": 0
},
{
"ancestor": "15928",
"comp_depth": 4,
"comp_size": 41,
"gini": 0
},
{
"ancestor": "11686",
"comp_depth": 4,
"comp_size": 41,
"gini": 0
}
] 这个查询语句除了麻烦一点,和之前的相比,并不算太复杂。先统计每个 CC 下,每个邀请者,邀请的人数。然后对每个 CC 进行统计,计算基尼系数。除此之外,该语句还顺便统计了一下 CC 对深度和大小。
上图分别展示了不同基尼系数的 2 个 CC 的邀请关系图。基尼系数更小的 CC,更有可能是黑产行为。
