← 返回博客

广告反作弊 归因

广告作弊为什么越来越难防?

十几年前,广告作弊很好认。今天很多作弊流量看起来几乎「正常」——直到留存和 ROI 对不上账。

十几年前,广告作弊很好认。IP 一看就是机房,UA 一看就是爬虫,点击间隔固定 0.3 秒,设备型号只有三款——一眼假。

今天不一样了。很多作弊流量,表面看起来几乎「正常」:真机、合理的网络、像样的行为路径、甚至还能过一部分归因校验。广告主对账时才发现:花出去了,用户留不住,ROI 对不上。

所以问题不是「要不要防」,而是:

为什么越花力气,感觉越难防干净?

这篇文章讲清楚真正在变难的五个原因。

先说结论

  1. 作弊从「脚本」升级成「供应链」:代理、设备、归属、结算各司其职
  2. 隐私政策砍掉了大量好用的强标识:精确跟踪变难,误杀成本升高
  3. 攻击形态从刷量变成抢归因:你看到的「转化」,未必是你买来的
  4. 真机 + 住宅代理 + 自动化,让传统 IP / UA / 指纹规则大面积失效
  5. AI 降低伪造成本,「像人」不再昂贵

一句话:不是规则写少了,而是对手开始按工业化方式运作;不是信号不够,而是强信号正在变少、变贵、变脏。

一、作弊已经不是「一个人写脚本」

早期你可以想象一个黑客:写个自动点击 → 机房 IP → 刷一晚上 → 分钱。

现在的常见形态更像一条流水线:

流量转售 / 黑产渠道
    → 住宅代理池(看起来像普通家庭宽带)
    → 真机农场或云手机矩阵
    → 归因劫持 / SDK 伪造 / 行为脚本
    → 结算与对账套利

每一环都可以外包。做代理的人不管点击,做设备群控的人不管归因,做结算的人不碰技术细节。

结果是:你在端侧看到的「一个用户」,背后可能是整条黑产协作。

防御方如果还按「拦脚本」的思路出牌,天然落后一轮。

二、隐私合规,砍掉了大量「简单好用」的检测手段

这点很多人不好意思明说,但这是行业残酷现实。

过去十年里,广告反作弊很依赖这些东西:IDFA / GAID、Cookie / 跨应用标识、粗暴的设备指纹拼接、大量应用列表与精确位置等敏感信号。

然后隐私政策来了:iOS ATT、Android 广告 ID 限制,以及各国对设备指纹、跨应用追踪的监管加压。

强标识变少 = 精确关联变难 = 误杀与漏判同时上升。

广告主更难回答两个问题:这个安装到底是不是我买的?这个设备过去有没有刷过十次类似活动?

攻击者当然很高兴——他们本来就不靠「合法标识」过日子,靠的是伪造、轮换和撞窗口。合规砍的是正规军的望远镜,不是黑产的刀。

所以你会感觉:越合规,好像越难防。不是合规错了,而是反作弊必须从「盯身份」转向「盯一致性」——端云信号是否自洽、行为是否像人、留存是否像真实用户。

三、最贵的作弊,不是刷量,而是「抢归因」

很多人以为作弊 = 虚假点击 / 虚假安装。对,但不完整。

移动增长里,最痛的一类是:

安装是真的,用户也是真的,但钱付给了不该拿钱的渠道。

1. 点击注入(Click Injection)

用户自然要装 App 了,恶意程序在安装完成前抢先补一次点击,把归因抢走。

2. 点击泛滥(Click Spam)

海量伪造点击,赌概率撞上自然安装。

3. SDK 伪造

不装真 App,直接伪造归因事件上报。

对业务方来说,这最难防,原因很实际:Dashboard 上「转化」是绿的,媒体口径很好听,直到看留存、LTV、复购,才发现不对。

刷量是脏;抢归因是偷。脏流量好骂,偷归因更隐蔽——因为它混在真实转化里。

四、真机农场 + 住宅代理,把「一眼假」打没了

传统规则依赖几个廉价信号:

老信号如今为什么不够
数据中心 IP住宅代理 / 移动网络出口大量替代
统一 UA / 设备型号真机农场型号更分散,也能随机化
机房时区矛盾代理地理与设备设置可以人工对齐
简单指纹碰撞刷机、多开、改机降低碰撞率

当攻击方愿意投入真机和住宅代理时,单点规则几乎送人头。你仍然能拦一批低级流量,但剩下那批「贵」的作弊,恰好躲在规则盲区里。

这也是为什么行业开始强调:端云一致性、行为生物特征、设备聚类 / 图关联、业务留存闭环。因为「这是不是刷量」已经不能只靠 IP 名单回答。

五、AI 让「像人」变得更便宜

过去,自动化很高效,但很机械:点击坐标固定、停留时间卡死、传感器毫无扰动——很容易被行为风控抓住。

AI 进来之后,变化不是「黑产突然会编程了」,而是:触摸轨迹、停留、滚动可以生成更接近真人的分布;不同设备可以批量生成差异化变体;绕过规则的试探可以更快迭代。

作弊不再追求完美像人一次,而是追求「平均像人、便宜可规模化」。

防御方如果只训练一个「是否真人」的二分类,会很快被分布漂移打败。更稳的做法是把 AI 当工具,而不是指望它成为银弹:规则 + 统计异常 + 端侧完整性 + 业务反馈,一起用。

六、为什么很多公司感觉「防了也没用」

失败 1:只做端,不做云

端侧能看环境和行为,但看不到全局关联,也挡不住根本不经过 App 的协议伪造。

失败 2:只做黑名单,不做评分

二元拦截要么误杀渠道关系,要么不敢拦——最后名单越来越肥,作用越来越小。

失败 3:技术和商务脱节

安全团队说「拦了很多」;投放团队说「量没了,ROI 还是差」。因为没人把拒付、留存、LTV闭环回风控。

真正有效的反作弊,一定长这样:

端侧信号 × 端云一致性 × 归因时序 × 业务留存
                ↓
           风险评分(不是一刀切)
                ↓
     结算降权 / 复核 / 拒付 / 渠道治理

防不住 100%,但能让作弊变贵、变慢、变不划算

七、那还有希望吗?

有。而且方向其实越来越清楚。

  1. 别再迷信单点规则
  2. 把归因可信度当成一等公民(时序、商店链路、端上 SDK 完整性)
  3. 用业务结果给技术打分(留存差的「高转化」优先怀疑)
  4. 端云协同,而不是端上逞能
  5. 接受评分制:中风险降权,高风险拒付,比全量封禁更可持续

广告作弊会一直存在,因为它有真金白银。难防的本质,是利益足够大,足以养活一条对抗产业链。

你要做的,不是幻想「清零」,而是把防御做成可持续抬升攻击成本的系统

最后一句

作弊方完成了产业化,防御方却还在用工具化思维作战。

当你开始用供应链视角看对手、用评分体系做决策、用留存闭环验收效果——难度还在,但至少打得上号。