程序员大战黄牛党，破解演唱会门票秒光之困( 二 ) _黄牛

比如说第一种，采用实名制＋人脸识别，不允许转赠、退改。今年在上海梅赛德斯奔驰文化中心举办的梁静茹演唱会就采用了“强实名制”，不仅不支持退票，还写明不能转赠及转售。
但是就在演唱会开始前，有200多人拉微信群维权要求退票。原因很简单，他们认为不许退改不合理，消费者理应拥有退票权。随后，梁静茹演唱会举办方发布了24小时退票公告。
▲图 | 网友热议关于实名制购票
第二种，采用实名制+人脸识别+限时退票。这一招确实更为中庸，在阻挡黄牛的同时，也能一定程度上保护消费者权益。但黄牛党也可能会选择“玉石俱焚”，先集中买票，临近开演的最后退票时间进行大规模退票，这将会给票务平台造成极大的损失。
除了制度上的限制，是否有技术手段从根源上拦截黄牛呢？
马子扬是反黄牛专项组的一位成员，是腾讯资深安全专家。据他介绍，五月天粉丝提到的黄牛使用的“高科技手段”其实就是恶意BOT来进行0秒抢购。所谓BOT，就是Robot机器人的简称，是一种自动化程序。
▲图 | 与黄牛对抗的安全专家
其实就是黄牛党把点开链接、选择日期、提交和支付等一系列动作，通过毫秒级别的计算机程序完成，操作速度是人的成百上千倍。比较初级的抢票技术就是大家常在视频网站上看到的“脚本带你一键秒杀”，黄牛党一般会采用自动化手段调用浏览器程序来抢票。而更高阶一点的黄牛则会在设备上做手脚，比如有黄牛会买一堆手机（或者是猫池）回来，通过批量指令对手机进行群控来抢票。
尽管黄牛下单的请求动作和正常人的请求动作一致，但是在技术维度上他们在执行动作时的细节特征不一致。因此如果想要反制黄牛，可以从技术手段上拦截这些自动化程序。
#03
平台引入正规军，绞杀黄牛党
天下苦黄牛久矣，今年1月初，中国香港地区的演唱会市场率先复苏，许多热门演出的门票被黄牛党一抢而空，引起市民的强烈不满，香港媒体纷纷报道。
为了保证市民的合法权益，香港某票务平台迅速和腾讯安全成立了反黄牛专项组，1月4日10点召开紧急会议，拉开了与黄牛党对抗的序幕。
实际上相比于内地，在香港打击黄牛党的难度更大。“因为在内地，很多票务平台会要求实名购票，需要输入身份证来进行人与身份证的一个强绑定。”马子扬说，“香港比较注重用户体验，一般不要求实名购票，同时支持会员和非会员购票，非会员不需要登录就可以完成购票，这样就给了黄牛党许多可操作性的空间。”
在会议上，票务平台也强调，不希望设置太多认证，影响用户体验。这让安全专家们压力山大，本就是敌暗我明，不能设置太多认证的话，这就如同在迷雾中狙击群狼，对射击功力的考验极大。
专家们要来了平台过往几个月的订单信息，希望从中寻找黄牛的“蛛丝马迹” 。罗卡定律表明，凡有接触，必留痕迹。2个小时后，腾讯安全专家通过算法模型对数据进行深度挖掘后，有了许多收获——
下午2点，反黄牛专项组结合挖掘到的信息和数据，输出了初步的防护方案。
第一阶段，从流量端入手。前文有提到，黄牛党都是用恶意机器人进行自动化抢票。所以，腾讯安全专家在票务网站的流量入口部署了腾讯云WAF集群，通过实时算法和一系列的规则配置，在抢票通道开启的那一刻，对访问流量进行实时清洗，拦截恶意机器人，让正常的用户顺利进入到抢票通道。

文章插图