Как работает антифрод-система: 3 слоя сигналов в 2026

Антифрод-система работает за счёт трёх независимых слоёв сигналов: технический fingerprinting устройства, поведенческая биометрия сессии и сетевая разведка по IP. Один слой даёт либо много ложных срабатываний, либо пропускает сложный фрод. По данным Juniper Research, потери индустрии от ad fraud достигли 84 миллиарда долларов в 2023 году, прогноз на 2028 — 172 миллиарда. ^[1] Стандартные rule-based фильтры ловят менее 40% сложных AI-ботов, поэтому однослойная детекция в 2026 году не работает. ^[2]

Этот гид разбирает принцип работы антифрода под капотом: как считаются fingerprint и JA3, как поведенческие сигналы ловят click farms, как сетевая разведка отличает резидентный прокси от настоящего домашнего IP, и как ML-скоринг объединяет всё это за время менее 100 миллисекунд. Расширенный обзор смотрите в пилларе по антифроду для арбитража трафика. Базовое определение терминов — в материале «Что такое антифрод».

Какие 3 независимых слоя сигналов используют современные антифрод-системы?

Современный антифрод опирается на три независимых слоя сигналов: технический fingerprint, поведенческую биометрию и сетевую разведку по IP. По данным HUMAN Security, односигнальная детекция пропускает 30–45% SIVT-трафика, а многослойная снижает пропуск до 5–8% при контролируемом false positive rate. ^[2] Каждый слой решает свою задачу: один ловит ботов, другой — click farms, третий — резидентные прокси.

Идея многослойности проста. Атакующий может подделать один слой относительно дёшево. Может, с большими затратами, подделать два. Подделать одновременно три слоя так, чтобы они согласовывались, экономически невыгодно почти всегда. Цель антифрода не в идеальной детекции, а в том, чтобы поднять стоимость одного «качественного» фрод-клика выше выплаты за конверсию.

Зачем именно три слоя, а не один сильный

Однослойные системы повторяют одну и ту же ошибку. Они оптимизируют один сигнал до состояния, в котором атакующий вынужден инвестировать в его обход. Атакующий инвестирует. Дальше система ловит только тех, кто не дотянул до этой инвестиции.

Многослойная архитектура заставляет атакующего попасть в три согласованных fingerprint одновременно. Если canvas-хеш чистый, но JA3 говорит «curl», сессия фрод. Если JA3 настоящий Chrome, но мышь движется по идеальной кривой Безье, сессия фрод. Если поведение человеческое, но один и тот же fingerprint появляется с 47 IP за час, сессия фрод.

Citation capsule. Современные антифрод-системы используют три независимых слоя сигналов: технический fingerprint (canvas, WebGL, JA3, навигатор), поведенческую биометрию (мышь, скролл, touch, время на странице) и сетевую разведку (ASN, threat-intel, энтропия IP-устройство). По данным HUMAN Security, односигнальная детекция пропускает 30–45% SIVT, многослойная снижает пропуск до 5–8%.

Как работает технический fingerprinting?

Технический fingerprinting собирает десятки параметров устройства и браузера, ищет несоответствия и формирует устойчивый хеш сессии. По нашим внутренним замерам, технический слой в одиночку ловит около 70% автоматизированного трафика без поведенческого анализа. Это дешёвая базовая линия защиты, но не полный барьер: anti-detect браузеры подделывают большинство сигналов этого слоя за минуты.

Подделать всё сразу с согласованной картиной сложнее. Именно несогласованность fingerprint между подсистемами выдаёт автоматизацию чаще, чем любой отдельный сигнал. Антифрод не спрашивает «что говорит User-Agent», он спрашивает «согласован ли User-Agent с canvas, с JA3, с шрифтами и с часовым поясом».

User-Agent vs реальные возможности браузера

Подделать строку User-Agent можно одной строкой кода. Подделать реальные API, которые есть в этом браузере и отсутствуют в другом, гораздо сложнее. Антифрод сверяет:

• UA утверждает iOS Safari, но в navigator нет iOS-специфичных свойств вроде standalone или Touch API.
• UA утверждает Chrome 124, а Chrome DevTools Protocol объекты не отвечают так, как должен Chrome 124.
• UA говорит «Android Chrome», но в WebGL renderer виден код десктопной видеокарты.

Несоответствия такого рода однозначно индицируют спуфинг. Реальный браузер физически не может выдать такие комбинации.

Canvas и WebGL fingerprint

Canvas-fingerprint, это хеш изображения, которое браузер рендерит при заданной инструкции рисования. Разные комбинации GPU, драйвера, шрифтов и версии браузера дают разные хеши. Автоматизированные среды (headless Chrome, Puppeteer без патчей) дают повторяющиеся хеши, потому что их рендер-стек одинаков на всех инстансах.

WebGL добавляет информацию о видеокарте: производитель, модель, версия драйвера. Anti-detect браузеры добавляют шум в canvas, но шум имеет статистическую сигнатуру: он распределён равномерно, тогда как естественные различия рендеринга на разных GPU подчиняются другим распределениям. Антифрод считает энтропию шума и отличает искусственный «джиттер» от реального разнообразия аппаратуры.

TLS и JA3 fingerprint

JA3, это хеш параметров TLS-рукопожатия: версия протокола, набор шифров, расширения и порядок. Каждая библиотека и каждый движок браузера оставляет характерный JA3. Когда сессия приходит с заявленным «iPhone Safari», а JA3 совпадает с сигнатурой Node.js, curl или Go HTTP, это спуфинг. JA3 работает до загрузки страницы, до выполнения JavaScript, до сбора любых других сигналов: это первая проверка на любом запросе.

JA3, это мощный инструмент, потому что подделать его сложно. Атакующий вынужден патчить TLS-стек своей библиотеки, чтобы он повторял рукопожатие настоящего Chrome. Это требует низкоуровневой работы, которая отбивается на масштабе, но повышает стоимость одного клика.

Headless-маркеры и временные характеристики

Headless-браузеры выдают себя несколькими прямыми сигналами:

• Свойство navigator.webdriver равно true в неподпатченных средах.
• Отсутствие нативных плагинов (PDF Viewer, Native Client).
• Отсутствие части шрифтов, которые установлены в полноценной ОС.
• Характерное время отклика на DOM-события: миллисекундная стабильность, которой нет у реальных браузеров.

Опытные фрод-операторы патчат navigator.webdriver и подделывают плагины. Временные характеристики подделать сложнее: реальный браузер реагирует на события с микро-задержкой из-за обработки в основном потоке, headless без эмуляции потока выдаёт идеально ровные миллисекунды.

Citation capsule. Технический fingerprinting объединяет canvas, WebGL, JA3, навигатор и шрифты в одну устойчивую сигнатуру сессии. Подделать один сигнал просто, подделать все сразу согласованно — нет. Технический слой в одиночку ловит около 70% автоматизированного трафика, но без поведенческой и сетевой надстройки пропускает click farms и резидентные прокси.

Как поведенческий анализ ловит ботов?

Поведенческий анализ ловит то, что технический fingerprint пропускает: реальные устройства с автоматизированным управлением и click farms с реальными людьми. По данным HUMAN Security, AI-боты 2025 года эмулируют миллисекундное поведение на уровне отдельных сигналов с точностью 88–96%, но проваливаются на корреляциях между сигналами. ^[2] Поведенческий слой работает именно через корреляции.

Сильный антифрод не задаёт вопрос «как двигалась мышь», он задаёт вопрос «согласовано ли движение мыши с фокусировкой формы, паузами в скролле и временем заполнения полей». Согласованность нескольких поведенческих каналов гораздо сложнее подделать, чем каждый канал по отдельности.

Энтропия движения мыши

Реальный человек двигает курсор по сложной нелинейной траектории с тысячами микродвижений. Бот рисует прямые линии, идеальные кривые Безье или ступенчатые перемещения. Антифрод считает энтропию траектории: количество поворотов, дисперсию угла, наличие пауз и микро-исправлений.

В нашей внутренней практике различение «человек vs автоматизация» по одной только энтропии мыши даёт точность около 92% на десктопном трафике, при условии что сессия длится больше 4 секунд. На мобильном трафике мышь, конечно, отсутствует, и слой переключается на физику touch-событий.

Скорость скролла и паузы

Человек скроллит неравномерно: пролистнул блок, остановился прочитать заголовок, докрутил до призыва к действию, вернулся вверх. Бот часто скроллит с постоянной скоростью либо вообще не скроллит. Антифрод строит распределение скоростей по сессии и сравнивает с эталонной кривой реальных пользователей. Аномально гладкое распределение, это явный сигнал автоматизации.

Физика touch-событий

На мобильных устройствах поведенческий слой опирается на физику касания. Каждое touch-событие несёт координату, площадь касания, давление (на поддерживаемых устройствах) и timing. Реальный палец оставляет вариативное пятно с микро-дрожанием. Эмулятор и автоматизированный SDK выдают одинаковые координаты с пиксельной точностью, без вариации давления.

Click farms здесь интересный случай. Работник на реальном смартфоне даёт реальную физику касания. Антифрод не отличит его по одному touch-событию. Но интент работника отсутствует: он не читает страницу, не задерживается на призыве к действию, не реагирует на анимацию. Кластеризованная аномалия по нескольким сессиям выдаёт click farm даже при нормальной физике на отдельной сессии.

Распределение времени на странице

Один из самых надёжных сигналов поведенческого слоя — распределение времени сессии. Реальные пользователи дают непрерывное распределение: 5 секунд, 18 секунд, 47 секунд, 2 минуты. Фрод-трафик кластеризуется на подозрительно ровных значениях: ровно 3,2 секунды в 10 тысячах сессий, ровно 8 секунд в 5 тысячах. Антифрод строит гистограмму и ищет аномальные пики в распределении по источнику.

Citation capsule. Поведенческий анализ ловит ботов и click farms через корреляции между сигналами: энтропия движения мыши, распределение скорости скролла, физика touch-событий и кластеризация времени на странице. AI-боты эмулируют отдельные сигналы с точностью 88–96%, но не выдерживают одновременной согласованности по всем поведенческим каналам.

Что такое IP intelligence и как детектируется residential-прокси?

IP intelligence, это сетевой слой антифрода, который классифицирует каждый IP по типу подключения, репутации, поведению и согласованности с устройством. Самая сложная задача этого слоя — отличить настоящий домашний IP от резидентного прокси, потому что оба сидят в одном диапазоне ASN. По данным HUMAN Security, доля резидентных прокси в SIVT-трафике 2025 года достигает 35–42%. ^[2]

Никакой отдельный признак не даёт стопроцентного ответа. Сетевой слой работает через ансамбль сигналов, каждый из которых добавляет вес к общей оценке. ASN-классификация ловит дата-центровый трафик. Threat-intel фиды ловят известные пулы прокси. Поведение IP во времени отличает домашнего пользователя от ротирующейся прокси-сети.

Классификация ASN

Каждый IP принадлежит к Autonomous System (ASN), у которого есть тип: дата-центр, резидент, мобильная сеть, бизнес, хостинг. Дата-центровый ASN (Amazon AWS, Google Cloud, OVH, Hetzner) — почти всегда GIVT. Резидентный ASN (Comcast, AT&T, «Ростелеком», «МТС») может быть как настоящим домашним пользователем, так и резидентным прокси.

Антифрод-вендоры поддерживают собственные базы классификации ASN, обогащённые публичными данными (MaxMind, IPinfo) и приватными threat-intel фидами. Простая классификация уже отсеивает большую часть GIVT без захода в более тонкие сигналы.

Threat-intelligence фиды

Сетевой слой использует несколько источников репутации:

• Spamhaus DROP, EDROP, SBL: известные ботнеты и абьюзивные диапазоны.
• Project Honeypot: IP, замеченные на брутфорсе и спаме.
• AbuseIPDB: открытый crowdsourced-источник.
• Приватные базы вендоров: известные пулы резидентных прокси (Luminati/Bright Data, Oxylabs, Smartproxy).

Threat-intel снимает простой пласт фрода и работает как первый фильтр перед более дорогими ML-моделями.

Энтропия пары IP-устройство

Самый сильный сигнал для детекции резидентных прокси, это энтропия пары fingerprint-IP. Настоящий домашний пользователь сидит на одном IP часами, иногда днями. Резидентный прокси-сервис ротирует IP за десятки секунд, но fingerprint устройства атакующего остаётся прежним.

Антифрод считает: сколько разных IP за час использовал один и тот же canvas-хеш. Один человек, это 1–2 IP за час, бывают редкие 3–4 в случае переключения Wi-Fi и мобильной сети. Резидентный прокси с тем же fingerprint, это 20–50 IP за час, физически невозможно для человека.

Геоконсистентность

Сильный сигнал, который часто упускают слабые системы — согласованность гео между IP, часовым поясом браузера и языком интерфейса. Токийский IP с нью-йоркским часовым поясом и английской локалью — почти всегда прокси. Жители Японии не используют en-US локаль и нью-йоркский TZ как комбинацию.

Геоконсистентность ловит часть резидентных прокси, потому что выходной IP в одной стране не совпадает с настройками браузера, которые остались от исходного хоста атакующего. Когда вендор прокси добавляет «гео-маскировку», он повышает стоимость прокси, что снова работает на экономику обороны.

Citation capsule. IP intelligence отличает резидентный прокси от настоящего домашнего IP через ансамбль сигналов: классификация ASN, threat-intel фиды, энтропия пары fingerprint-IP и геоконсистентность браузера. По данным HUMAN Security, резидентные прокси формируют 35–42% SIVT-трафика 2025 года и не ловятся одной только ASN-классификацией.

Как все 3 слоя комбинируются в real-time за время менее 100 мс?

Три слоя сигналов объединяются в единый вердикт через weighted ensemble ML-моделей за время менее 100 миллисекунд. Это отраслевой стандарт latency, закреплённый в гайдлайнах MRC для синхронного скоринга. ^[3] Стек включает feature extraction, lookup в горячих кэшах, инференс трёх моделей и взвешенное голосование. Каждый шаг укладывается в свой бюджет latency.

Архитектура спроектирована так, чтобы худший случай не превысил 100 мс на 99-м перцентиле. Это требует одновременной оптимизации hot-path кода, кэширования fingerprint-хешей, in-memory лоадинга моделей и асинхронной записи логов. Lazy I/O или внешние API-вызовы на критическом пути недопустимы.

Пайплайн скоринга

Полный путь события через антифрод укладывается в 5 шагов:

1. Feature extraction (5–15 мс): парсинг fingerprint-полезной нагрузки от JS-тега или S2S-postback.
2. Lookup в горячих кэшах (3–10 мс): проверка по известным fingerprint-ам, IP-репутации и недавним аномалиям.
3. Inference ML-моделей (20–40 мс): три параллельных модели на gradient boosting или мелких нейронных сетях.
4. Weighted ensemble (1–3 мс): взвешенное голосование с весами, обученными на исторических данных.
5. Запись лога и ответ (5–15 мс): timestamp, версия модели, разбивка по сигналам в async-очередь.

Сумма даёт worst-case в районе 70–80 мс, оставляя буфер на сетевую задержку до клиента.

Weighted ensemble vs единая модель

Weighted ensemble держит три независимые модели, каждая обучена на своём слое сигналов. Технический классификатор смотрит fingerprint, поведенческий смотрит мышь и скролл, сетевой смотрит ASN и репутацию. Финальный score, это взвешенная сумма с весами, обученными на исторических подтверждённых лейблах.

Ансамбль устойчивее единой модели по двум причинам. Первое: атакующему нужно одновременно обмануть три классификатора, что экспоненциально дороже, чем обмануть один. Второе: при дрейфе одного слоя (новый тип fingerprint-спуфинга) остальные слои продолжают давать сигнал, и общий вердикт деградирует постепенно, а не обвально.

Что делает антифрод при сетевых задержках API

Реальная сеть нестабильна. Скоринговый API может задержаться на 200 мс из-за сетевого пика, перегруза или регионального инцидента. Антифрод-движок реализует fail-open механизм: если ответ не пришёл за установленный timeout (обычно 80–150 мс), клик пропускается как «не проскорен», помечается флагом и записывается в очередь для асинхронной перепроверки.

Fail-open, это компромисс. Он жертвует частью защиты ради того, чтобы инфраструктурный сбой не блокировал реальные конверсии. Альтернатива (fail-closed) приведёт к тому, что при региональной деградации сети все клики из этого региона будут отклонены, и рекламодатель потеряет легитимный трафик. Для рекламы fail-open почти всегда правильный выбор.

Citation capsule. Три слоя сигналов объединяются в weighted ensemble ML-моделей за время менее 100 миллисекунд: feature extraction, lookup в горячих кэшах, инференс трёх параллельных моделей и взвешенное голосование. Архитектура держит worst-case в 70–80 мс на 99-м перцентиле и реализует fail-open механизм при сетевых задержках, чтобы инфраструктурный сбой не блокировал легитимные конверсии.

Почему single-signal детекция не работает в 2026?

Single-signal детекция не работает, потому что современные AI-боты обходят отдельные сигналы со скоростью, недостижимой для разработки противодействий. По данным HUMAN Security, стандартные rule-based фильтры на одном сигнале ловят менее 40% сложных AI-ботов, тогда как многослойная детекция держит catch rate выше 90% при контролируемом false positive rate. ^[2] Разница экспоненциальная.

Проблема не в том, что single-signal система плохая. Проблема в экономике обхода. Подделать один сигнал стоит дёшево. Подделать три согласованных сигнала стоит дорого. Стоимость обхода единственного сигнала ниже выплаты за конверсию даже на low-CPC офферах. На multi-signal стеке стоимость обхода превышает экономику фрода для большинства вертикалей.

Что обходится в каждой однослойной архитектуре

Системы, опирающиеся на один слой, имеют известные слабые места:

• Только IP-блокировка: обходится резидентными прокси с ротацией за 60 секунд. Кстати, это самая распространённая ошибка вендоров, которые называют себя антифродом, но фактически фильтруют IP по спискам.
• Только User-Agent или fingerprint: обходится anti-detect браузерами вроде Multilogin, GoLogin, Dolphin. Стоимость лицензии 50–150 долларов в месяц, окупается за один день фрод-операции.
• Только rule-based пороги: обходятся тонкой настройкой бота под пороги. Если правило говорит «блокировать, если CTR выше 8%», бот будет давать 7,8%.
• Только поведение без сетевого слоя: пропускает координированные атаки, где каждая сессия выглядит как нормальный человек, но 200 сессий за 3 минуты на одну кампанию, это координация.

Где multi-signal даёт качественный скачок

Multi-signal не складывает три «не очень хороших» детектора в один «более хороший». Он перемножает требования к обходу: атакующему нужно одновременно сделать так, чтобы fingerprint выглядел человеческим, поведение выглядело человеческим, и сетевой контекст согласовывался с fingerprint. Каждое требование сокращает множество атакующих в десятки раз.

В практике мы видим, как однослойные системы провисают на CPA-вертикалях (gambling, dating, finance) с потерями 20–30% бюджета, тогда как переход на многослойную детекцию восстанавливает 8–22% бюджета за первые 60 дней.

Citation capsule. Single-signal детекция в 2026 году ловит менее 40% сложных AI-ботов, потому что обход одного сигнала стоит атакующему дешевле выплаты за конверсию. Multi-signal детекция перемножает требования к обходу: одновременная согласованность fingerprint, поведения и сетевого контекста экономически невыгодна для большинства фрод-операций и поднимает catch rate выше 90%.

Что даёт fail-open механизм при задержках API?

Fail-open механизм защищает конверсии при инфраструктурных проблемах, пропуская клик как «не проскорен», если скоринговый API не отвечает за установленный timeout. Это сознательный trade-off: пропустить редкий фрод-клик предпочтительнее потери легитимных конверсий из-за сетевой задержки. По нашим внутренним замерам, доля fail-open срабатываний в нормальной работе составляет 0,3–0,8% от общего трафика, что приемлемо для рекламного контекста.

Альтернативная схема (fail-closed) держит конверсию заблокированной до получения вердикта. Это допустимо в банковских системах, где блокировка платежа на 2 секунды лучше пропущенного мошенничества. В рекламе это работает иначе. Заблокированная конверсия означает потерянного клиента, который не вернётся.

Что происходит, когда срабатывает fail-open

Сценарий fail-open запускается при превышении timeout, обычно 80–150 миллисекунд. Действия:

1. Клик пропускается как валидный, постбэк уходит в трекер с пометкой «scored=false».
2. Событие записывается в асинхронную очередь для перепроверки, когда API восстановится.
3. Срабатывает алерт мониторинга: SRE команда вендора видит инцидент в реальном времени.
4. Метрика fail-open rate считается отдельно и не входит в основной false negative rate.

Когда API восстанавливается, очередь обрабатывается в течение нескольких минут, и подтверждённый фрод записывается в отчёты с флагом «caught post-hoc». Это не блокирует выплату ретроактивно, но даёт основание для апелляции в рекламной сети.

Зачем мониторить fail-open отдельно

Высокий fail-open rate, это сигнал проблем с инфраструктурой вендора, а не результат фрода. Если он растёт выше 2–3% от трафика, это знак того, что вендор не справляется с нагрузкой или у него региональные проблемы с сетью. Контракт с антифрод-вендором должен предусматривать SLA на fail-open rate отдельно от SLA на uptime API.

Citation capsule. Fail-open механизм пропускает клик как валидный при сетевых задержках API, чтобы инфраструктурный сбой не блокировал легитимные конверсии. Доля fail-open срабатываний в нормальной работе составляет 0,3–0,8% от трафика. SLA на fail-open rate отдельно от SLA на uptime API, это контрактная гарантия, которую стоит требовать от вендора.

Как использовать антифрод-сигналы в трекере и партнёрской сети?

Антифрод-сигналы поступают в трекер через S2S-postback и REST API, где они конвертируются в правила автоматической блокировки и сегментации источников. По данным внутреннего опроса медиабайеров на performance-вертикалях, 68% используют антифрод как часть Keitaro, Binom или Voluum, остальные интегрируются напрямую через JS-тег на лендинге. Архитектура зависит от того, где у вас находится истина по конверсии.

Самые частые интеграции — Keitaro и Binom для арбитража, Voluum и RedTrack для аффилиатов, прямой API для команд с собственными трекерами. Подробный разбор настройки в материале «Антифрод в Keitaro». Для дополнительной защиты лендинга от бот-трафика смотрите «Защита от спам-ботов».

Schema постбэка

S2S-постбэк передаёт в антифрод параметры клика: clickid, IP, User-Agent, реферер, гео, sub-параметры от рекламной сети. Антифрод возвращает score (0–100), вердикт (clean / fraud / review) и разбивку по сигналам (technical, behavioral, network). Трекер записывает разбивку в отчёт и применяет настроенные правила: блокировать конверсию, заносить IP в чёрный список, исключать источник из ротации.

Где Adsafee помогает

Adsafee предоставляет real-time антифрод для арбитражников, агентств и performance-команд. Мы скорим каждый клик по трём слоям сигналов, возвращаем вердикт за время менее 100 миллисекунд через JS-тег, S2S-постбэк или REST API, и публикуем доказательные отчёты с разбивкой fingerprint, поведения и сетевых сигналов по каждому событию. Интеграция с Keitaro, Binom, Voluum, BeMob и RedTrack встроена.

Если хотите проверить, сколько фрода реально проходит через вашу текущую защиту, запустите бесплатный аудит. Первая интеграция занимает около 10 минут.

Citation capsule. Антифрод-сигналы поступают в трекер через S2S-постбэк и REST API: трекер шлёт параметры клика, антифрод возвращает score, вердикт и разбивку по техническому, поведенческому и сетевому слою. 68% медиабайеров на performance-вертикалях используют антифрод как часть Keitaro, Binom или Voluum, остальные интегрируются напрямую через JS-тег на лендинге.

FAQ: техника работы антифрод-системы

Что такое JA3 fingerprint и почему он важен для антифрода?

JA3, это хеш параметров TLS-рукопожатия клиента: версия протокола, набор шифров, расширения, порядок. Каждый headless-браузер, эмулятор и автоматизированная библиотека оставляет характерный JA3, отличный от настоящего Chrome или Safari. Антифрод сверяет JA3 с заявленным User-Agent: если строка UA говорит «iPhone Safari», а JA3 совпадает с Node.js или curl, сессия помечается как невалидная ещё до загрузки JavaScript-сигналов.

Можно ли подделать canvas fingerprint?

Технически да, но устойчиво подделать его сложно. Anti-detect браузеры (Multilogin, GoLogin, Dolphin) добавляют шум в canvas-рендер. Антифрод-вендоры борются на двух фронтах: считают энтропию шума (искусственный шум распределён иначе, чем естественные различия GPU) и сверяют canvas-хеш с WebGL renderer, аудио-fingerprint и font enumeration. Когда три fingerprint-канала несогласованы, антифрод выдаёт высокий fraud-score даже без блокировки по canvas отдельно.

Как антифрод отличает реальный residential IP от прокси?

По нескольким независимым признакам. Первый — энтропия пары IP-устройство: один fingerprint за час с 47 разных IP невозможен для человека. Второй — поведение ASN: настоящий домашний пользователь сидит на IP часами, прокси-сеть прокручивает IP за минуты. Третий — threat-intel фиды, которые собирают известные пулы резидентных прокси. Четвёртый — корреляция с временем суток: домашний трафик подчиняется циркадному ритму, прокси работают круглосуточно.

Почему скорость антифрода критична?

Латентность определяет, что именно может сделать антифрод. Вердикт за 50–100 миллисекунд позволяет блокировать клик до загрузки лендинга, до фиксации конверсии и до отправки постбэка в рекламную сеть. Вердикт за 500 мс уже не успевает: пользователь видит страницу, конверсия записана, бюджет списан. Отраслевой стандарт MRC и крупных performance-сетей, это вердикт за время менее 100 мс на 99-м перцентиле задержки.

Каждый клик скорится отдельно или агрегированно?

Сильный антифрод скорит каждый клик отдельно в реальном времени и одновременно ведёт агрегированную аналитику по источнику, IP-кластеру и кампании. Per-click скоринг даёт мгновенный вердикт, агрегированный анализ ловит координированные атаки, в которых каждый отдельный клик выглядит нормально, а их совокупность нет. Например, 200 «чистых» кликов с разных IP за 3 минуты на одну кампанию, это координация, видимая только в агрегате.

Что такое weighted ensemble в антифроде?

Weighted ensemble, это композиция нескольких ML-моделей, каждая из которых отвечает за свой слой сигналов: fingerprint, поведение, сеть. Каждая модель выдаёт собственный score, итоговое решение принимается через взвешенное голосование с весами, обученными на исторических данных. Это устойчивее к атаке, чем единая модель: подделать сигналы одного слоя проще, чем обмануть три независимых классификатора одновременно.

Что делает антифрод при недоступности API из-за сетевой задержки?

Реализуется fail-open механизм: если скоринговый эндпоинт не отвечает за установленный timeout (обычно 80–150 мс), клик пропускается как валидный и помечается флагом «не проскорен», чтобы не блокировать конверсию из-за инфраструктурного сбоя. Параллельно событие пишется в очередь для асинхронной перепроверки. Это компромисс: лучше пропустить редкий фрод-клик, чем потерять реальную конверсию из-за неверной блокировки.

Как обновляются ML-модели антифрода?

Сильные вендоры переобучают модели еженедельно или чаще на новых лейблах: подтверждённый фрод, апелляции от рекламодателей, ручная разметка. Параметры моделей версионируются и катятся постепенно: новая модель сначала работает в shadow-режиме (выдаёт score, но не блокирует), её результаты сверяются со старой, и только после A/B-валидации модель становится боевой. Это снижает риск роста false positive rate при выкатке.

Главное о принципе работы антифрода

Антифрод-система работает за счёт трёх независимых слоёв сигналов: технического fingerprint, поведенческой биометрии и сетевой разведки по IP. Каждый слой решает свою задачу: технический ловит автоматизацию, поведенческий ловит click farms, сетевой ловит резидентные прокси. Комбинация даёт catch rate выше 90% при false positive rate в районе 1–2%, что делает антифрод экономически выгодным на спенде выше 5 000 долларов в месяц.

Real-time вердикт за время менее 100 миллисекунд через weighted ensemble ML-моделей, это отраслевой стандарт 2026 года. Fail-open механизм гарантирует, что инфраструктурные задержки не блокируют легитимные конверсии. Single-signal детекция в 2026 году не работает: AI-боты обходят отдельные сигналы быстрее, чем разработчики выпускают противодействия.

Следующий шаг, это выбор системы, которая закрывает все три слоя на вашем стеке. Подробный сравнительный обзор смотрите в материале «Лучшие антифрод-системы 2026» и в пилларе по антифроду для арбитража трафика. Базовое определение терминов разбирается в материале «Что такое антифрод».

---

Источники

1. Juniper Research, «Future Digital Advertising: AI, Ad Fraud & Ad Spend 2023–2028» — 84 млрд долларов потерь в 2023, прогноз 172 млрд к 2028. juniperresearch.com (на 17 мая 2026). ↩

2. HUMAN Security, «Quarterly Threat Report 2025» — сложные AI-боты обходят rule-based фильтры (catch rate ниже 40%), точность прохождения CAPTCHA 88–96%, доля пропущенного SIVT при однослойной детекции 30–45%, доля резидентных прокси в SIVT-трафике 35–42%. humansecurity.com (на 17 мая 2026). ↩

3. Media Rating Council, «Invalid Traffic Detection and Filtration Guidelines Addendum» — определения GIVT и SIVT, требования к latency скоринга и сертификации. mediaratingcouncil.org (на 17 мая 2026). ↩