0827-联众玩家安全隐患分析数据挖掘项目报告-马4

2021-08-26联众玩家平安隐患分析

数据挖掘工程报告博易智讯〔北京〕信息技术Bizinsight(Beijing)InformationTechnologyCo.,Ltd地址：北京市朝阳区朝阳路69号财满接西区1号楼4单元1002室：+86-10-52021088：+86-10-52021058

北京·上海-为“北京联众电脑技术有限责任公司数据分析部〞制作-本工程报告书为北京联众电脑技术有限责任公司〔以下简称：联众〕和博易智讯〔北京〕信息技术〔以下简称：博易智讯〕的机密文件，未经对方书面同意，任何一方不得向第三方透露双方洽谈的情况以及签署的任何文件，包括合同、协议、备忘录、工程建议书、工程报告等所包含的一切信息；博易智讯拥有本工程报告书的全部版权和知识产权，受法律保护。未经博易智讯书面许可或授权，任何单位及个人不得以任何方式或理由对本报告书的任何局部进行使用、复制、修改、抄录、传播或与其它产品捆绑使用销售；对任何侵犯版权和泄密的行为，以及由此对博易智讯造成的经济损失，博易智讯保存追究其法律责任的权力。联众客户从本页开始继续阅读本报告书即说明同意遵守本保密和版权约定。对本工程建议书如有任何疑问，请与博易智讯的客户经理联系。联系人：吕敬华先生电话：010－52021088；；E-mail:lvjinghua@bizinsight 保密和版权声明目录研究工程概要工程背景研究目标研究路线研究结果：1、正常用户行为与价值分析研究结果：2、极端用户行为与价值分析研究结果：3、被盗用户特征分析研究结果：4、潜在被盗用户侦测模型建模研究结果：5、会员天数行为分析工程经验总结04050607091920283943项目名称联众玩家安全隐患分析数据挖掘项目研究目标通过比较研究正常玩家与被盗玩家群体的特征（虚拟财富拥有特征、联众币消费特征、购买道具标志等行为特征）、用户消费行为和他们的群体划分，帮助联众数据分析部能够分析：1、被盗用户的ID范围和用户特征；2、盗号者的行为特征；3、高风险用户模型；4、盗号者行为预测模型；研究对象被盗玩家：目前已知的来投诉账号被盗的玩家；按损失方式分：损失联众币玩家、损失会员天数玩家正常玩家联众公司从所有总体玩家中，随机抽取的6209个玩家研究方法数据挖掘数据范围2008年4月1日至2009年7月31日，研究对象的所有虚拟财富变动的账务数据数据量被盗玩家：4002个ID，481,698条记录正常玩家：6209个ID，1,811,764条记录数据文件大小：500M左右研究工程概要工程背景联众遇到非法网络入侵问题概述2021年底和2021年初，联众遇到非法网络入侵问题，有黑客攻入数据库系统，窃取局部客户数据表资料，随后开始盗号盗号多发生在2021年11月3日和2021年1月21日，引起大量玩家的投诉；多数是用窃取或算出的玩家的账号密码登录，修改玩家密码或不修改密码，然后将玩家的联众币、会员天数、标志、财富值、万能豆等资源兑换或转卖；盗号行为并没有彻底结束，到现在还有玩家投诉被盗，因此盗号者还可能在今后一段时期内利用获得的用户数据继续进行各种窃取和交易行为；联众希望分析出这几次盗号的影响范围和程度，估算损失程度，分析能影响到其它业务的方面最好能够找到捕捉盗号行为的模型，并能在现有玩家中分析出潜在账号被盗的未报告玩家；工程源起博易智讯作为国内领先的专业数据挖掘软件效劳与市场研究咨询的公司，被邀请合作参与此工程。博易智讯希望能够以该工程为范例，协助联众了解数据挖掘工程的平台特征、工程过程和特点，从而为数据分析部的工作提供有力的支持；本工程按过程分解后，分为两个阶段，相应要到达两个目标建立分析数据库搭建数据挖掘平台量化损失数量分析被盗玩家群的特征建立被盗玩家推测模型，估计潜在被盗用户探索未来可能的研究和解决方案方向研究目标一研究目标二研究目标业务理解数据理解研究字段选择数据抽取、加载、转换建模评估探索性数据分析被盗玩家账务数据正常玩家账务数据搭建分析数据库搭建数据挖掘平台玩家账务特征分析玩家细分被盗玩家特征模型预测潜在被盗玩家具体研究路线：研究路线用户id行为时间ip地址联众币金额行为类型行为详细说明当前剩余联众币当前修改密码次数帐号注册时间年份联众币流入额重新分类帐号年龄〔天〕月天联众币流出额帐号出入标志时点星期每用户IP数量原始字段衍生信息研究路线+研究结果正常用户80/20分析正常用户账户虚拟货币流入流出关联分析正常用户花费结构正常用户价值细分10111215页码研究结果1、正常用户行为与价值分析虽然为新型的网络游戏行业，但客户的价值模式并没有颠覆传统的2/8原那么。从以下图数据展示出，在分析的时期内，帐号输入金额排名前20%的用户占据了总花费联众币金额的82.7%。研究结果1：正常用户行为与价值分析正常用户80/20分析：花费联众币累积花费联众币比例前20%玩家后80%玩家玩家比例正常帐号流入流出金额根本上呈斜率为1的线性分布，所以选择一个流入金额做为客户等级划分指标，可以根本代表客户的消费行为规模分布。研究结果1：正常用户行为与价值分析正常用户账户虚拟货币流入流出关联分析：研究结果1：正常用户行为与价值分析样本正常用户总花费结构：大型游戏的花费占据了主要的收入比重。联众币花费累积用户％正常用户的花费百分比结构：研究结果1：正常用户行为与价值分析累积用户％低花费群体在其他的联众效劳上和联众秀上消耗比重较高，高花费群体主要消耗都在大型游戏上100%研究结果1：正常用户行为与价值分析正常用户花费结构对于消耗频率远高于额度的产品，可以考虑适当提高价格，以增加联众币消耗速度。也可以从产品线综合考虑，设置不同等级的替代产品。一般为博彩游戏消耗研究结果1：正常用户行为与价值分析帐号流入联众币总金额帐号活动频率b活泼低价值客户a不活泼低价值客户d活泼高价值客户c不活泼高价值客户占用资源高，奉献价值少，想方法转化或者清理掉。优质客户，可在很短周期内奉献大量价值。注意平常的维持和效劳工作奉献价值少，占用资源也少，先采取措施提高活泼度。奉献价值高，但周期长，想方法增加活泼性，缩短消耗周期。正常用户行为价值细分：研究结果1：正常用户行为与价值分析正常用户行为价值细分〔演示性分析〕：赵智：这里想要一个或两个图，描述前页中所说的4个群体的比例结构、消费额规模和消费额比例联众币次研究结果1：正常用户行为与价值分析4个象限对应的用户群对联众不同产品的平均消费结构：群体总消费规模数据表现看出，不同象限客户消费结构具有差异，对不同产品有不同的偏好。活泼低价值客户不活泼低价值客户不活泼高价值客户活泼高价值客户研究结果极端用户行为特征分析19页码研究结果2、极端用户行为与价值分析研究结果2：极端用户行为与价值分析极端用户花费行为特点〔08.4——09.8〕博彩游戏异常频次用户，绝大多数的花费次数都在博彩游戏上，其他行为相对来说具有很少的发生频次，说明该类帐号在大量不停的刷各种博彩游戏。研究结果 被盗用户总体数量、规模、价值分析 正常/被盗帐号消费行为比较被盗用户中超常IP地址名单222627页码研究结果3、被盗用户特征分析研究结果3：被盗用户特征分析被盗用户总体数量、规模、价值分析获得赔偿、返还联众币总额直接损失未获赔偿返还，但减少花费的联众币总额潜在减少花费的联众币总额投诉玩家未投诉玩家研究结果3：被盗用户特征分析被盗用户总体数量、规模、价值概览数据清理后共3370个被盗用户，其中有返还记录1288个。目前已返还总额为：2,713,233联众币对1228个有返还记录的数据分析，发现返还日期前31天平均消费水平降低25%，返还后31天消费水平提高28%。-25%+28%联众币研究结果3：被盗用户特征分析被盗用户总体数量、规模、价值分析研究结果3：被盗用户特征分析被盗用户总体数量、规模、价值分析每用户平均每次消费联众币该用户平均月消费次数×前1个月平均消费降低25％×目标用户数3370-1288=2082×1,025,221.6联众币未获赔偿，但减少花费的联众币总额＝注：按1个月估算研究结果3：被盗用户特征分析被盗用户总体数量、规模、价值分析未控制因素

〔1〕需要排除玩家得到赔偿后再次被盗，联众币立刻又被盗号者消耗的情况；〔2〕需要排除欺诈投诉的情况；〔1〕建议对多数投诉玩家，给与退还联众币的政策。因为用户获得返还赔偿后，会促进玩家更多的花费，花费额度会明显增加。〔2〕返还赔偿，同时可以减少玩家被盗号的不良体验，对维护玩家兴趣和人气有帮助。研究结论建议

研究结果3：被盗用户特征分析正常/被盗帐号人均总消费额比较正常/被盗帐号消费倾向指数比较研究结果3：被盗用户特征分析正常/被盗帐号消费行为比较消费倾向指数=被盗用户各项花费占总花费百分比/正常用户各工程花费占总体百分比综合看联众秀消耗上的倾向性较高，值得注意。大师指导转出虽然总发生频次不是很高，但两个帐号群内的频次差异极大，正常用户19次，被盗帐号中129次，可能是一个值得注意的行为。研究结果3：被盗用户特征分析正常/被盗帐号消费行为比较研究结果3：被盗用户特征分析异常IP地址名单天津网通联众公司北京工行北京网通北京互联通衢州网通北京航空德州网通石家庄网通济南网通威海网通中科院北京农行深圳网通南京网通珠海网通嘉兴网通长春网通宁波网通福州电信宿州电信研究结果 模型构建难点说明 对盗号有区分力的指标 分析模型构建过程模型筛选评估分析推荐模型规那么3134373840页码研究结果4、潜在被盗用户侦测模型建模结构性混合被盗帐号本身的正常及异常行为标志混杂。一个帐号的正常行为和盗窃者行为都被记录为被盗标志，做为被盗行为对待。不同客户的正常非正常行为模式混杂。对不同的客户，异常行为的模式定义不同，有些客户的异常行为，对其他客户是正常行为。研究结果4：潜在被盗用户侦测模型建模模型构建难点单变量无法有效甄别整体行为结构上的混合，行为信息无法对帐号个体进行研究结果4：潜在被盗用户侦测模型建模模型构建难点不同联众币金额消费水平上，被盗与非被盗也混合在一起研究结果4：潜在被盗用户侦测模型建模模型构建难点研究结果3：被盗用户特征分析对盗号区分能力的指标分析____密码修改次数多数帐号的密码修改次数都小于20次，平均来看密码修改次数高的被盗比率稍小。账号数研究结果3：被盗用户特征分析对盗号区分能力的指标分析____每帐号对应IP数量对应IP数量少的帐号，被盗的比重高。账号数研究结果3：被盗用户特征分析对盗号区分能力的指标分析____帐号年龄〔天〕平均看帐号年龄长，被盗的比重稍高。账号数被盗用户联众币花费分析模型模型构建及评估选择说明：仅对当前数据具有甄别意义，不具有普遍性的数据不选择进入模型输入，如日期。选择了个体行为粒度数据和月层级汇总数据进行多种模型的建模。月度数据建模中，衍生了流入出方向数据以获得行为序列方面的信息。由于帐号数据量的庞大，不可能以个体观察的方式完成特征分析，所以构建一个流向字段，以+1，-1记录帐号流向，衍生流向字段的月总和，月平均做为模型的输入字段之一。另外衍生了每帐号IP数量，帐号年龄〔天〕等信息，进入模型输入字段。最后根据性能及模型简约度综合衡量，淘汰不适宜模型。研究结果4：潜在被盗用户侦测模型建模模型构建过程联众币金额联众币行为类型迄今帐号剩余联众币帐号年龄迄今密码修改次数每帐号IP数量是/否联众币金额均值联众币金额总和帐号年龄〔天〕每帐号ip数量流入流出标志总和流入额度和流入额度均值流出额度和流出额度均值行为重分类C5LOGISTICCARTCHAID每月联众币发生额汇总每月联众币发生额均值月帐号流入均值月帐号流入总额月帐号流出均值月帐号流出总额流入流出标志均值流入流出标志总和修改密码次数月行为频次是/否是/否是/否模型结构说明研究结果4：潜在被盗用户侦测模型建模模型构建过程模型评估选择表C5.0（个案数据）Logistic模型（按日行为汇总）CHAID（按月汇总）CART(按日行为汇总)模型结构输入联众币金额联众币行为类型最后一次行为剩余联众币帐号年龄当前为止密码修改次数每帐号IP数量联众币金额均值联众币金额总和帐号年龄（天）每帐号ip数量流入流出标志总和流入额度和流入额度均值流出额度和流出额度均值行为重分类每月联众币发生额汇总每月联众币发生额均值月帐号流入均值月帐号流入总额月帐号流出均值月帐号流出总额流入流出标志均值流入流出标志总和月行为频次每帐号修改密码次数每帐号IP数量联众币金额均值联众币金额总和帐号年龄（天）每帐号ip数量流入流出标志总和流入额度和流入额度均值流出额度和流出额度均值行为重分类输出是否被盗是否被盗是否被盗是否被盗性能准确99.5%目标命中率71%准确69%目标命中率46%模型准确率70%目标命中率80%模型准确率76%目标命中率50.8%是否淘汰是是是淘汰原因模型复杂，层级过多（25层），过度拟合目标项（被盗）准确率低目标项（被盗）准确率低备注动态输入，稳定性弱，需要定期更新及检测模型。研究结果4：潜在被盗用户侦测模型建模模型构建过程（CHAID)模型——规则用于判断被盗用户-包含10个规则规则1(810;0.743)如果流入流出标志_Mean<=-1并且每帐号ip数量<=8并且流出额度_Sum<=-330则1规则2(461;0.503)如果流入流出标志_Mean<=-1并且每帐号ip数量<=8并且流出额度_Sum>-330并且流出额度_Sum<=-150则1规则3(652;0.647)如果流入流出标志_Mean<=-1并且每帐号ip数量<=8并且流出额度_Sum>-150并且流出额度_Sum<=-51则1规则4(732;0.526)如果流入流出标志_Mean<=-1并且每帐号ip数量<=8并且流出额度_Sum>-51则1规则5(422;0.72)如果流入流出标志_Mean<=-1并且每帐号ip数量>8并且每帐号ip数量<=14并且流出额度_Sum<=-602则1推荐模型规那么研究结果4：潜在被盗用户侦测模型建模模型构建过程推荐模型规那么（CHAID)模型——规则用于判断被盗用户-包含10个规则规则6(1,335;0.525)如果流入流出标志_Mean<=-1并且每帐号ip数量>8并且每帐号ip数量<=14并且流出额度_Sum>-602并且流出额度_Sum<=-51则1规则7(815;0.566)如果流入流出标志_Mean<=-1并且每帐号ip数量>14并且每帐号ip数量<=32并且流出额度_Mean<=-175.042则1规则8(451;0.57)如果流入流出标志_Mean<=-1并且每帐号ip数量>14并且每帐号ip数量<=32并且流出额度_Mean>-80并且流出额度_Mean<=-20.200并且帐号年龄（天）<=1,180则1规则9(877;0.623)如果流入流出标志_Mean>0.971并且流入额度_Mean>39.902并且流入额度_Mean<=250则1规则10(938;0.698)如果流入流出标志_Mean>0.971并且流入额度_Mean>250则1研究结果4：潜在被盗用户侦测模型建模模型构建过程研究结果4：潜在被盗用户侦测模型建模模型筛选评估分析模型71%的预测准确率模型预测总体中的38%为潜在被盗玩家×26.9％按该模型估计潜在被盗未投诉玩家在总体玩家中的比例＝研究结果 分析说明 会员天数各项消耗频率及结构 会员天数各项消耗规模及结构

404142页码研究结果5、会员天数行为分析研究结果5：会员天数行为分析“会员行为天数〞本质上做为一种虚拟货币使用，分析时候采用和联众币同样的方法。数据中会员天数的记录量远少云联众币的记录数量，按照同样的方式建模，没有构建出具有有效甄别能力的模型。根据会员天数变动说明重新构建了一个分类，后面的数据展现出被盗和正常帐号在不同分类上的一些行为差异。分析说明次会员天数分析___频率结构会员天数盗号的主要行为在幸运游戏、购置会员兑点券上。这些主要活动都在可以快速有效的转移虚拟资产。研究结果5：会员天数行为分析天会员天数分析___金额结构幸运游戏上活动频次高，但每次可消耗的数值具有限制，所以流出的金额比率不是最高，购置会员兑点券