运维的同学作为IT行业公认的背锅侠，不仅每天要负责机房巡检、服务器上架、网络管理、应用运维的日常维护，版本投产、变更管理、数据查询等等工作有不少都要熬夜实施。按照ITIL的管理流程，出了一定程度的现网问题，还少不了和开发同学一起背锅。

但其实这还不是最坑的时刻，在电商行业做运维压力最大的时刻之一估计要算是公司搞营销活动了。除了要提前准备好带宽，多在腾讯云等公有云上搞一批云主机，还要提前和开发一起优化访问体验。开发的H5活动页面一旦上线，运维同学需要时刻看着CPU、带宽、内存等设备性能指标，同时密切关注应用连接数、网页打开时间、应用访问失败率等应用层面的性能指标。

结果你可能突然发现坑爹的事情来了，准备的百万级营销资源本来是市场的同学准备拉新用户的，结果在一些论坛里居然出现了这样的帖子，一群羊毛党要来组队刷你们的营销资源，真正的新用户反而被他们堵在门外了。

要是营销资源都被“羊毛党”刷完了，今年下半年市场同学和运维同学的KPI就要完不成了好么。

之前做在线旅游的同程也碰到过类似的问题，看看他们是怎么搞定的吧。在一场基于微信的火车票免单活动里，居然有95%是各类羊毛党来刷营销资源，再转卖牟利的。

同程是如何解决这个电商防刷的问题呢？

其实如果要识别这些刷促销资源恶意用户，以用户特征来说，我们还是可以有章可循。

举例来说，如果在某一个代理IP段出现了大量的用户聚集：

在某个深夜凌晨3-5点这种正常用户较少下单的时间，出现的密集订单，或者是在某个偏远且人口稀少的西部地区，出现了与其人口密度不匹配的大量订单。

尽管理解防刷的原理并不难，但要搭建一套电商防刷系统还需要相当的技术积累和海量的数据训练。以风险学习引擎为例，腾讯云天御采用了黑/白双分类器风险判定机制。之所以采用黑/白双分类器的原因就在于减少对正常用户的误伤。某个IP是恶意的IP，那么该IP上可能会有一些正常的用户，比如大网关IP。如果要尽可能的提升识别的准确率，对于电商防刷系统其实有着很强的数据积累要求，只有通过大数据集的多次训练，恶意用户的识别准确率才可能做到准确。

也正是基于这样的原因，同程在第一时间接入了腾讯云天御系统，在腾讯云的技术同学的支持下，半天的时间里，结合天御的海量用户特征信息，按照IP段、用户信息、用户行为模式等纬度，对255万条参与活动的用户信息进行了数据识别，发现了230万条恶意用户信息，为同程挽回了近百万的营销资源潜在损失。

总结

电商的运维们在促销活动中要最大限度避免刷单，又减少对正常用户的体验影响，我们可以主要从以下三个方面下手，对恶意用户进行“柔性打击”

1.注册环节：识别虚假注册、减少“羊毛党”能够使用的账号量。在注册环节识别虚假注册的账号，并进行拦截和打击。

2.登录场景：提高虚假账号登录门槛，从而减少能够到达活动环节的虚假账号量。比如，登录环节通过验证码、短信验证码等手段来降低自动机的登录效率，从而达到减少虚假账号登录量、减轻活动现场安全压力的目的。

3.活动环节：这个是防刷单对抗的主战场，也是减少“羊毛党”获利的直接战场；这里的对抗措施，一般有三个方面：

1）通过验证码（短信、语音）降低黑产刷单的效率。

2）系统实时接入腾讯云天御这样的防刷系统，对恶意用户数据进行实时识别。

3）营销系统层面，大幅度降低异常账号的优惠力度。

作者：腾讯云布道师贺嘉