•如何做好项目活动的防刷,如果在活动规则制定和技术层面来实现
•活动规则的制定非常重要,完善的活动规则可以在很大程度上避免项目被刷
•在技术层面依据活动规则制定相应的防刷策略
•通过内部分控系统与外部风控系统的结合建立更加完善的风控系统
•根据整个活动期间的数据表现与分析动态调整防刷策略
风控流程系统架构图
DDoS 高防(需付费)•提供DDoS攻击防御功能。当网络流量超过清洗阈值时,会开始对攻击流量进行清洗,并尽可能保障业务可用;当网络流量超过弹性防护阈值时,则会触发黑洞机制,服务器的外网访问将被暂时屏蔽
•拥有中国大陆地域最大的BGP带宽资源,最高防护带宽达到1.5T,可以应对超大流量攻击
•拥有中国大陆地域最优质的BGP带宽资源,BGP线路覆盖电信、联通、移动、教育等运营商线路,平均访问时延仅20ms左右
•各个云厂商都有提供DDoS服务,可以根据项目需要来购买
IP层拦截•基于用户的IP做过滤,建立黑名单与白名单进行过滤,限制用户在单位时间内的访问次数
•采用openresty加lua脚本,在nginx层面对用户IP做过滤拦截
•对于黑名单之内的 IP ,拒绝提供服务
限流( Rate Limiting )•为防止API接口被恶意滥用,故对API进行限流
•针对应用程序的API接口建立限流机制,规定用户在单位时间内请求API接口的请求次数
•超过阈值的请求将被拒绝,判定该用户存在非法且恶意行为,并锁定该用户规定时间内不能访问所以API接口
•对于违规用户记录该用户信息进入内部分控系统的信誉积分数据库
风控系统----内部风控系统•根据用户在应用程序内的行为进行风险判定与记录
•当用户存在违规行为时,依据相应规则进行信誉积分的累积
•依据用户的信誉积分划分等级(无风险,低风险,中风险,高风险)
•依据用户的信誉积分等级限定用户在应用程序中的行为,如:降低中奖概率、进行人机验证码校验(需付费)、屏蔽所有中奖、禁止用户访问等
风控系统----第三方风控系统(需付费)•接入第三方风险识别系统
•通过提供用户的IP、手机号码、邮箱地址、mac地址、用户昵称、 userAgent进行用户的风险识别
•针对第三方风险识别系统返回该用户的评分,依据相应规则进行处理,如:降低中奖概率、进行人机验证码校验(需付费)、屏蔽所有中奖、禁止用户访问等
•可以购买阿里云的风控产品,或者购买腾讯的天御,百度云也有类似的产品
风控系统----人机校验(需付费)•接入第三方人机校验系统
•人机验证服务提供滑动验证、无痕验证、智能验证等多种验证方式。通过生物特征判定操作计算机的是人还是机器,从而取代传统的验证方式。
•依据风控系统中用户的信誉等级划分提供人机校验,如: 滑块验证码、动态语义验证码
•也可以自己实现人机校验系统,但是相对于阿里云和腾讯云的人机校验来说在数据采样上会差很多