“315”曝光：带货直播间水军泛滥，该如何应对？

2023年“央视315晚会”曝光了一些网络平台明目张胆地售卖直播水军，人气、播放量、点赞、评论等等，均可24小时自助下单，达成烘托直播间气氛的目的。根据报道，某公司推出额云控系统，一台手机，可同时操控200到20000台手机。为了让水军看起来更像真实用户，该云控系统还能事先设定批次、进入时间以及不同的发言内容等进入直播间，甚至还可以去竞争对手的直播间，自动投诉甚至抹黑。

据最新报道，当地联合执法组第一时间赶赴现场，已对该公司进行查封，对所有手机和其他设备等现场封存。该公司负责人已被公安机关控制。后续将依法依规予以严查严处，并及时向社会通报。

除了刷量，“网络水军”还有什么危害

所谓“网络水军”，又名“网络枪手”，指的是在网络中针对特定内容发布特定信息的、被雇佣的网络写手，由最初简单的发帖“灌水”逐步发展而来，通常活跃在电子商务网站、论坛、微博等社交网络平台中。通过伪装成普通网民或消费者，通过发布、回复和传播贴文等对正常用户产生不利影响。

“网络水军”的危害主要体现在三方面：

一是制造虚假流量，破坏行业生态。网民的浏览、转发、评论、点赞数量已渐成为公众衡量其认可度的重要指标，“网络水军”通过有偿刷量服务，在视频、直播、资讯、电商等服务下刷量，满足一些企业和个人的流量指标。

二是制作虚假评论，破坏运营秩序。商家为提升商品或店铺的信用度美誉度，通过各种手段，批量制作虚假交易、虚假订单、虚假评论、虚假评分等，以提升店铺或商品的排名，获取消费者信任，误导消费者购买以次充好、以劣充优商品。

三是编造虚假信息，制造网络矛盾。随着自媒体、短视频和直播平台的快速兴起，一些不法分子运营大量账号故意编造虚假信息“造热点”“蹭热点”，借此吸引眼球、收割流量、牟取利益，严重危害网络生态。

在互联网上数量就是流量，流量意味着影响力、权利、收益。“网络水军”的行为破坏了公平、公正、公开的“三公”规则，给用户造成误导，影响客户决策，破坏网络空间秩序，污染网络生态，不仅侵踏消费者权益，也影响企业品牌形象，损害行业健康发展。

揭秘“网络水军”使用的作弊工具

当虚假数字成了一门需求，“网络水军”变成了一个分工明确的生意。以“刷量”为例，“网络水军”的大体运作过程如下：

首先，通过电商、社群、论坛、社区揽客接单。

其次，安排刷量计划；

然后，系统派单给刷手；

最后，执行刷量。

“刷量”有两种方式：人刷和机刷。“人刷”主要是通过社群、任务平台等招募人员进行采用人海战术完成投票、加粉、下载、刷阅读，这不仅需要耗费大量时间和精力，更需要投入大量资金。“机刷”就是主要利用软件、脚本，使用脚本程序批量刷票一键刷票、投票、刷粉、刷阅读，投入成本低，见效果快。

“网络水军”进行机刷时，会用到如下作弊工具：

黑卡。账号注册需要借助电话卡，黑灰产利用黑卡进行注册，以隐藏真实身份、规避对账号控制主体的溯源。黑卡来自通过拖库撞库、木马、钓鱼等方式从网上收集大量身份信息，然后通过黑卡运营商批量验证得到实名卡；实名制管理不够严谨的物联网卡和虚拟运营商卡，以及海外购得的境外手机卡等。

秒拨IP。IP 地址就是用户上网时的网络信息地址。黑灰产使用秒拨 IP 的工具，能够自动调用全国甚至国外的动态IP地址，具有自动切换、断线重拨、自动清理浏览器的Cookies缓存、虚拟网卡信息等功能，能够快速无缝切换国内国外不同区域的 IP 地址。

模拟器。GPS 定位就是用户使用网络服务时所处的地理位置信息，黑灰产利用模拟软件、第三方工具，就可以改变所在位置的经纬度，可以实现任何地方的瞬间“穿越”。

改机工具。设备的型号、串码、IMEI等具有唯一性。黑灰产利用改机工具能够从系统层面劫持设备接口，当应用调用这些接口来获取设备的各项参数时，获取到的都是改机工具伪造出来设备的属性信息。一般来说，2-3分钟改机工具就能完成1000个设备属性。

注册机。 注册是创建一个账号的关键流程。黑灰产利用注册机能够进行批量自动化账号注册，从而注册几百乃至几万个账号，以实现大量抢货、囤货。

接码平台。注册、登录、抢购、交易等环节都有验证码的校验，为了快速抢购，黑灰产会利用引入机器学习和神经网络等人工智能技术来智能识别图片中的验证码要素，绕过验证码校验。

群控。黑灰产利用群控可以实现一台电脑控制上几十、几百部乃至几千台设备，进行统一的注册、登录、抢购、下单等。群控还提供模拟定位、摇一摇、批量导入通讯录等功能，还可以进行消息推送。2023年“央视315晚会”曝光的某公司云控系统就是该工具。

黑设备。也就是黑灰产使用的智能手机、平板电脑等设备，主要用来下载App、注册登录账号、执行各类任务的载体，是黑灰产不可或缺的设备。黑灰产的设备主要两个来源：统一购买某个性价比高的新手机、在二手市场购买旧手机。其中，二手手机由于保留有原主人的账号及隐私信息更受黑灰产青睐。

揭秘“网络水军”不为人知的技术特征

业务链条长，风险漏洞多，单点防控难度大。黑灰产手握大量账号，个体行为合法、群体非法，识别难度大。攻击者中既有不良用户，又有专业黑灰产，还有可能是恶意同行。专业工具不断更新，新手段层出不穷，对抗防御难度大。

国内首部业务安全图书《攻守道——企业数字业务安全风险与防范》中，详细列举了“网络水军”的几个显著特征。

IP地址高度统一或频繁更换。正常用户来自五湖四海，注册登录操作的IP地址各不相同。而“网络水军”们的注册设备和软件通常使用同一个宽带线路接入网络，注册和登录平台的IP地址基本固定；或者为了规避平台的防控，“网络水军”使用拨号VPN软件或IP变化软件，需要短时期高频切换IP，以绕过平台对IP地址的限制。

单一设备上有多个账号。“网络水军”的这些账号分别安置在不同设备上，一台设备上安装了多个账号，通过群控、软件等控制账号，因此存在同一台设备存在多账操作行为。

单一账号短时间内大量参与活动。在具体操作行为上，同一账号，在一定时间段内参加大量活动，具有只为活动而生的特征。

账号注册登录行为特别流畅。正常用户注册登录时，要人工输入用户名、密码、手机号，收到验证码后还要再次手动输入，整个过程不规律且有一定延迟，过程中可能会因为不熟悉规则或因为其他事情而耽搁中止。而“网络水军”使用自动化的软件工具进行账户注册，流程化作业如行云流水般一气呵成，速度和节奏上是人工速度的数倍。

设备地理特征长时间无变化。正常用户注册登录时，可能坐在椅子上、躺在床上、坐在车上，手机会根据动作进行不同角度的调整，手机的水平高度也会不停地调整。“网络水军”使用软件操控批量设备，这些设备大多是放置在不同机架上，24小时保持角度和水平线无变化。

操控的手机型号比较单一。““网络水军””为了牟利，会尽量降低设备投入成本以实现利润最大化，因此价格低廉的手机或者二手手机是他们重要的设备来源。

监管部门针对“网络水军”的治理

互联网经济是诚信经济，只要流量不要质量、只要热度不要态度、只看商业价值不看社会价值等做法，不仅损害用户的合法权益，也会侵蚀互联网的信任基石，无异于杀鸡取卵。治理“网络水军”，需要政府、平台、网友齐心协力，共同参与。

2022年8月23日，中央网信办相关负责人介绍，网信办结合每年开展的“清朗”系列专项行动，将网络群组、网站论坛、电商、小程序等平台作为治理网络暴力、网络水军乱象的一个重点。

2022年11月，中央网信办印发《关于切实加强网络暴力治理的通知》，提出要建立健全网暴预警预防机制，加强内容识别预警、构建网暴技术识别模型、建立涉网暴舆情应急机制。

2022年，全国公安网安部门紧紧依托“净网2022”专项行动，依法严厉打击整治“网络水军”违法犯罪活动，共侦办“网络水军”相关案件550余起，关闭“网络水军”账号530余万个，关停“网络水军”非法网站530余个，清理网上违法有害信息56.4万余条。

今年“两会”上发布的《最高人民法院工作报告》显示，过去5年，全国法院依法惩治信息网络犯罪，审结电信网络诈骗及关联犯罪案件 22.6万件。审理涉网络 “水军”、网络 “黑公关”等案件，严惩散布虚假信息、危害网络生态的犯罪行为，决不允许网络空间沦为法外之地。

第一，加强法律震慑。针对“网络水军”恶意行为，《网络安全法》、《个人信息保护法》、《互联网信息服务管理办法（修订草案征求意见稿）》、《关于进一步压实网站平台信息内容主体责任的意见》、《关于切实加强网络暴力治理的通知》等提供了有力的法律依据和支撑，加大对组织雇佣网络水军的幕后黑手执法力度，明确界定标准，发挥法律应有的震慑力和约束力。

第二，强化平台管理。各网站平台都已上线公示账号IP地址的归属地、网络账号所属MCN机构信息等功能，为网友监督创造了条件。在此基础上，需要加大违法违规账号查处力度。严格审核平台内容，铲除网络水军滋生土壤，逐步压缩网络水军的生存空间。

第三，提升技术防护。借助大数据、人工智能等技术，对“网络水军”的行为进行全流程的监测，加强对水军账号进行识别分析和行为监测，及时对恶意行为进行预警和处置。向面临风险的平台和用户发送风险提示，引导用户开启“一健防护”功能等。

平台如何有效自动化识别“网络水军”

针对“网络水军”修改IP和GPS的识别。识别客户端的设备指纹是否合法，是否存在注入、hook、模拟器等风险。与真机的比较，模拟器有些是无法实现的，例如运营商信息、系统信息、硬件信息、用户行为、CPU指令以及模拟器特征有效分辨模拟器作弊行为。

针对“网络水军”设备的识别。识别客户端的设备指纹是否合法，快速识别刷机改机、Root、越狱、劫持注入等风险。

针对“网络水军”账号识别与检测。快速识别同设备多次激活、同设备关联IP行为异常，同IP短时间大量聚集、同一渠道中老设备型号占比异常、同一渠道中老操作系统占比异常等维度；建立本地名单动态运营维护机制，基于注册数据、登录数据、激活数据，沉淀并维护对应黑白名单数据，包括用户ID、手机号、设备等维度的黑名单。

针对“网络水军”账号异行为检测。基于用户行为进行策略布控，针对同设备切换大量账号进行订单发起的账号进行布控。

针对“网络水军”行为变化的分析与预测。线上数据有一定积累以后，通过风控数据以及业务的沉淀数据，对注册、登录、下单、抢购行为进行建模，模型的输出可以直接在风控策略中使用。

针对“网络水军”绕过验证码的防范。通过提升验证要素识别难度，高频率地更新验证图片库，并采集验证环境信息，判断完成验证时的验证环境信息和 token，及时发现异常和风险操作。

技术上如何有效防控“网络水军”

基于“网络水军”的特征和业务防护策略，各平台需构建一个覆盖多渠道全场景，提供多阶段防护的安全体系。该体系打通平台的前台、中台和后台，覆盖各渠道平台和各业务场景，提供威胁感知、安全防护、数据沉淀、模型建设、策略共享等安全服务，能够满足不同业务场景，拥有各行业策略且能够基于自身业务特点实现沉淀和更迭演进，实现平台的精准防控。

事前

1、分别从业务规则、业务逻辑、业务安全防控措施、业务安全应急预案等方面做好评估和准备，保证业务和系统的公平性。例如，业务系统上缺少安全组件，在上线时就需要增加安全组件的使用。提前准备应急预案，一旦发现业务有漏洞或被恶意访问，可以及时快速进行应急预案，应用提前制定好的规则，进行防护。

2、基于业务安全情报，发现新风险新变化，帮助企业加速对行业中新型威胁的布防速度和能力，帮助企业提前获取黑灰产发动威胁的工具、路径、意图等信息，勾勒出攻击者画像。

事中

1、建立在线热部署等布控能力。攻击来袭时，持续对账户行为进行分析，并根据策略情报和风险数据进行实时应用和判定，一旦发现异常及时拦截，并及时更新调整规则和策略。

2、通过业务监控，来实时观察业务进行中的数据情况，便于及时发现异常情况，进行针对性处理。

事后

1、基于每日的业务数据进行分析，发现隐藏的异常。

2、沉淀每日的风险数据，挖掘攻击特征，利用每日风险数据、交易数据、安全策略，进行升级更迭，调整风控引擎和风控模型。

3、定期对业务大数据做深度挖掘，通过关联网络技术发现潜在隐患和团伙，防范新的威胁攻击。

4、此外，完成线上安全运营策略和模型的迭代闭环。针对用户的投诉、举报、案件等反馈信息，结合沉淀的业务数据和风险数据，将迭代的模型和风险名单，应用安全决策系统中，实现完整的业务闭环，不断完善平台的安全体系。