移动卡怎么刷钻：设备指纹学习笔记和思考

设备指纹：用户登录网页、APP时，后台记录的登录设备的“指纹”，能够准确识别该设备是否曾经登录过。设备指纹的核心是使用设备的唯一识别码。使用该唯一识别码，可以追踪用户登录网页、APP的行为特征，从而达到检测异常行为及欺诈行为的目的。

传统的设备识别技术

自PC互联网时代起，设备识别就是互联网用户追踪的重要手段。传统的设备识别技术主要包括：IP地址、cookie以及移动互联网特有的设备ID：

IP地址是最早出现的设备标识方案。因为其简单易用，直到现在仍然广泛使用。但是由于网络中存在大量以一个公网IP作为出口的局域内网，以及移动网络中的动态IP分配技术，使得IP地址作为设备标识的分辨率和准确度大为下降。

Cookie技术同样出现于90年代的互联网早期，在Web领域广泛应用于对设备的识别与标识。但是因为Cookie采用一种用户数据本地存储的实现方式，恶意用户可以通过清除本地数据的方式来轻易的逃避检测，所以其应用范围受到很大的限制。同时，由于对用户隐私保护的日益关注，主流浏览器厂商已经限制并逐步摒弃cookie技术的使用。

设备ID是移动终端独有的物理设备标识符，包括iOS设备的IDFA，IDFV；Android设备的IMEI，MAC等。随着Apple公司收紧相关的政策，同时大量黑产改号工具的出现，使得设备ID用于设备识别的效果大为降低，特别是在业务反欺诈领域，设备ID成为黑产人员首先攻击的对象。

设备指纹分为三大类

主动式:

在Web、APP嵌入SDK或者JS，主动收集与设备相关的信息和特征。

主动式设备指纹算法一般将这些信息组合起来，通过特定的hash算法得到一个设备指纹ID值，作为该设备的唯一标识符。同时，考虑到设备指纹的稳定性，一般还会结合其他的持久化的存储技术，将设备指纹ID长期保存起来。

被动式：

在终端设备与服务器通信的过程中，从数据报文的OSI七层协议中，提取出该终端设备的OS、协议栈和网络状态相关的特征集，并结合机器学习算法以标识和跟踪具体的终端设备。

混合式：

即既有主动采集部分，又有服务端算法生成部分。

同一浏览器、Web和APP内部使用主动式设备指纹技术，不同浏览器、Web和APP内部使用被动式设备指纹技术。

对于主动式设备指纹来说，其最大的局限在于其收集的设备特征在Web域和App域中存在着区隔，即在不同的浏览器中，收集到的设备特征也各不相同。因而主动式设备指纹在不同的浏览器中，以及Web和App之间，会生成不同的设备指纹ID，无法实现Web与App间，不同的浏览器之间的设备关联。主动式设备指纹的另一个缺陷是，由于依赖于客户端代码，指纹在反欺诈的场景中对抗性较弱。

另外，主动式设备指纹所取特征均暴露于客户端，欺诈者可轻易通过一些一键新机等工具篡改相应特征信息，从而使指纹无效。

被动式设备指纹技术可以很好地解决Web与App之间、不同的浏览器之间的设备关联问题。但是由于其需要使用复杂的机器学习算法来进行设备的识别，所以占用的处理资源较多，响应时延也要比主动式设备指纹更长。

混合式设备指纹技术克服了主动式设备指纹和被动式设备指纹技术各自的固有的缺点，在准确识别设备的同时扩大了设备指纹技术的适用范围。

三种设备指纹技术的现状和未来

目前，国内大部分企业采用的设备指纹技术都是主动式的，但由于企业和公众隐私保护意识日渐强烈，隐私保护政策日益严格，主动式设备指纹技术的应用越来越受限。

而被动式设备指纹技术因为系统和算法比较复杂，往往需结合大数据处理和机器学习技术才能实现，技术门槛相对较高，目前在国内还处于起步阶段。只有少数公司可以做到较高的准确率，并得到业界和客户的认可。

混合式设备指纹技术的公司更是凤毛麟角，主要原因之一是由于混合式的技术壁垒也并不比被动式低。能够成功研发混合式设备指纹的公司，往往在被动式上已经有了相当大的进展和积累；或者从外部采购其他公司的被动式设备指纹技术作为混合式的研发基础。在业内较为知名的被动式指纹技术专家如maxent，也已为多家业务伙伴提供此类的技术合作与支持。

在未来，我们有理由相信，被动式设备指纹技术将逐步成为设备识别技术的中流砥柱。

而混合式设备指纹技术，作为二者结合、扬长避短的综合性解决方案，同时兼顾了应用场景、用户隐私保护、响应速度与准确性等多方面的要求，可以在智能化的商业新环境中，助力企业在营销、运营、交易等各个环节，实现业务目标。

2017-07-20-猛犸反欺诈CTO周辉

移动互联网的快速发展，特别是O2O行业与互联网金融行业的迅猛崛起，使得寄生其上的黑色产业链达到了泛滥的地步。据权威机构统计，2015年整个互联网行业因为欺诈造成的损失已经高达7000亿元。在这巨大的黑产利润诱使下，相应的欺诈技术也快速发展。现在的黑产产业，通过整合刷号软件、自动化脚本、验证码打码平台、短信接口和代理服务器等技术，已经实现了全自动化的欺诈作业流程，可以在短时间内给企业造成巨大的经济损失。

针对移动互联网推广与运营中所面临的设备识别与追踪的问题，数字设备指纹技术成为了行业关注的焦点。业内设备指纹技术一般采用Javascript代码或SDK，在客户端主动地收集与设备相关的信息和特征，通过对这些特征的识别来辨别不同的设备和相关用户。这种主动式设备指纹技术有其特有的优点和适用场景，但是在实际的应用中，也暴露出了一些不足与局限。

主动式设备指纹技术需要在客户端上植入自己的Javascript或SDK代码，主动收集设备相关的特征，用以标识设备和用户。在特征的选取上，需要考虑特征的稳定性和准确度。理想的特征应该在一定的时间段内不会因为外界的条件变化、或是用户的操作行为而发生变化，同时在不同的设备上具有显著的差异。

通常可用的特征有：

• 浏览器本身的特征，包括UA，版本，操作系统信息等；

• 浏览器中插件的配置，主要是插件的类型与版本号等；

• 浏览器的Canvas特征，影响该特征的因素有GPU特性造成的渲染差异，屏幕的分辨率以及系统不同字体的设置等；

• 系统flash的配置；

• 设备的传感器特征，比如麦克风、加速传感器的特征等；

• 设备操作系统的特征，比如是否越狱等；

• 设备的网络配置；

设备指纹算法会将这些信息组合起来，通过特定的hash算法得到一个最后的ID值，作为该设备的唯一标识符。通过对这个标识符的检测与追踪，就可以在设备的IP，cookie甚至设备ID都发生改变时，仍然识别出该设备。同时，考虑到设备指纹的稳定性，一般还会结合其他的持久化的存储技术，比如Flash ID，WebDB等，将设备指纹的标识符长期保存起来。主动式设备指纹技术解决了在复杂的移动互联网环境下设备的识别与追踪问题，在反欺诈与系统安全方面有着诸多的应用。

一方面，O2O、互联网金融与电商等行业，长期面临着各种业务欺诈的压力。黑产产业通过广告流量欺诈、推广套利、虚假交易、伪冒身份、金融信用欺诈等多种方式，骗取企业的推广营销费用、商品、贷款等，给企业造成巨大损失。这类欺诈活动的明显特征，就是欺诈者通过刷号、代理等各种手段，隐藏自己的真实身份和设备信息，以达到欺骗的目的。主动式设备指纹技术可以向企业运营人员展示这些欺诈活动背后的真实设备信息，从而让企业可以侦查、监测这类诈骗活动。

另一方面，在更加基础的系统安全领域，比如账户安全、访问控制等方面，主动式设备指纹技术同样可以帮助企业监测可能的账户密码暴力破解、账户异常接管等事件。通过溯源某些异常的操作是否来源于同一台设备，可以判断是否有系统安全的风险存在。

主动式设备指纹技术已经在互联网领域得到了大量的应用，但与此同时该项技术本身固有的一些局限性也逐步显现出来：

• 主动式设备指纹技术存在用户隐私相关的风险，其原因是该技术需要在客户端收集设备和用户的相关信息。该风险不仅包括用户的隐私被收集、泄露和滥用的风险，也包括因为违反Apple和Google的用户隐私保护政策而造成APP下架的风险。

• 主动式设备指纹技术不能实现Web与APP间的设备关联。由于嵌入Web页面的Javascript代码和移动APP中的SDK收集的设备特征不同，导致生成的设备指纹标识符也不相同。从而造成了同一设备上Web访问和APP使用的相关事件无法关联在一起，限制了主动式设备指纹技术使用的范围。

• 主动式设备指纹技术在欺诈与反欺诈的对抗中，处于被动应对的状态。欺诈者可以通过反编译等技术，破解客户端中嵌入Javascript代码和SDK，知晓设备指纹算法选取的特征，从而在欺诈与反欺诈的攻防战中占据主动的优势地位。

采集要素

采集要素即设备中的硬件本身信息以及软件设置信息。常见的要素示例如下：

IMEI：International Mobile Equipment Identity，存储与手机里的国际移动设备标识串号。

IDFA：Identifier For Advertising，iOS独有的广告标识符。

UDID：Unique Device Identifier，唯一设备标识码。

MEID号， 移动设备识别码(Mobile Equipment Identifier)是CDMA手机的身份识别码，也是每台CDMA手机或通讯平板唯一的识别码。

在以下的每个页面，均可让内部研发做相应的埋点，从而获取到不同的设备指纹。对反欺诈比较有意义的有注册设备指纹、登录设备指纹、授信设备指纹、提现设备指纹，不同的变量采用一定的算法加密之后会形成不同的设备指纹。一般建议在这几个页面一定要做相应的设备埋点。

设备类型及其关键属性

iOS

UDID(Unique Device Identifier)

唯一识别码，iOS5以后，被苹果禁止使用。

MAC地址

MAC地址是由网卡决定的，是固定的。不过iOS7后返回02:00:00:00:00:00。

OPEN UDID

OpenUDID是通过第一个带有OpenUDID SDK包的App生成，如果将设备上所有使用了OpenUDID的应用程序删除，且设备关机重启，OpenUDID就会重新生成新的值。

IDFA(Identifier For Identifier)

广告标示符，适用于广告推广等跨应用的用户追踪等。 iOS10以后，用户开启了限制广告跟踪，IDFA返回00000000-0000-0000-0000-000000000000。不过，一个基于可持续、隐私、友好的identifier方案——OpenIDFA。

In iOS 10.0 and later, the value of advertisingIdentifier is all zeroes when the user has limited ad tracking.

IDFV(Identifier For Vendor)

来自同一个运营商的APP运行在同一个设备上，IDFV是相同的；不同的运营商的APP运行在同一个设备上值不同。 例如，有一个taobao的APP重新安装后的IDFV不变，如果taobao的APP全部删除，重新安装后的IDFV改变。

Android

IMEI(国际移动设备识别码)

手机硬件唯一标识。一个正常的手机硬件出厂的时候，都有这么一串IMEI编码，用来标识别通信硬件，由GSM1统一分配。非手机设备如平板电脑、电视、音乐播放器等，无法获取IMEI。IMEI长度为15位，每位数字仅使用0～9的数字。

输入*#06#即可查询。

IMEI=TAC + FAC + SNR + SP

TAC：机型，6位 ； FAC：厂家号码，2位；SNR：产品序号，6位；SP：校验，1位

IMSI(国际移动用户识别码)

区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效ID。

MAC地址

使用手机Wifi或蓝牙的MAC地址作为设备标识，只有wifi或者蓝牙打开的时候才能获取到。

SIM

装有SIM卡的设备，获取到SIM序列号。但是CDMA设备不存在。

ANDROID ID

在手机首次启动时，会随机生成一个64位的数字，并把它以16进制字符串作为ANDROID ID保存下来。

在主流厂商生产的设备上，有一个bug：每个设备都会产生相同的ANDROID ID：9774d56d682e549c。

MEID（Mobile Equipment ID）

MEID2是全球唯一的56bit（56/4=14 bytes）移动终端标识号，主要分配给CDMA1手机。

Browser

js采集见：https://github.com/Valve/fingerprintJS

主要属性：

Cookie，userAgent，language，screen.height screen.width，flash，plugin,font

客户端的操作系统

webRTC，canvas指纹

利用不同浏览器不同设置实现会在canvas绘图功能，同样的内容，会绘制出具有细小细节差别的图片。通过对这些图片数据进行hash，可以得到一个粗略的指纹。

GSM和CDMA是不同的两种2G网络制式，中国移动和中国联通采用的2G网络制式为GSM，而中国电信的2G网络制式采用了CDMA。它们的主要区别是无线发送接收的制式不同，调制解调的方法不同，对于用户的区别：通话质量、辐射和上网速度。现在中高端手机普遍都支持两种模式，它们的组合模式是：

（1）中国移动：GSM、TD-SCDMA；

（2）中国联通：GSM、WCDMA；

（3）中国电信：CDMA、CDMA2000；

全网通双卡双待4G手机有两个IMEI，一个MEID。这三个ID是为了让基站标识手机的bp，基站只跟bp打交道，跟ap无关。

不管是主动式设备指纹，还是被动式设备指纹，均是基于以上变量加工，区别在于算法不同。一个好的设备指纹，具有防篡改功能。黑产可以使用改机软件修改设备参数，如修改了IMEI，但手机内存或CPU未修改，但设备指纹ID不会发生变化。

应用场景

防垃圾注册、防撞库、防薅羊毛、反刷单、精准营销、支付反欺诈、授信反欺诈、用户画像分析、复杂关系网络等，涉及领域电商、支付、信贷等。下面举两个实际例子：

场景一：集中式的机器注册

黑产发现某贷款平台拉新活动的漏洞，进行批量注册，未修改设备参数。还如电商平台为了获取新客户，往往会为新注册用户设置较高的奖励，例如注册就送优惠券、首单减免、首次充值返券等促销手段。一着不慎，地下黑产就会像蝗虫一样蜂拥而至，用虚假信息在极短时间内注册大批新用户，再将所获的优惠券或低价商品转卖套现

某团伙，在2月1日凌晨2点，突然在我们公司APP申请页面，多人同时操作一个手机进行用户注册，并且通过了到了提现环节。

次日，我们在公司的服务器的数据端，看到该节点该时间段，有将近10个人同时使用设备ID为：XXXXXX12345的数据，我们判断此场景为团伙集中性作案，有多人登录同个设备id，最后在提现环节，我们将这伙申请人全部拒批。

防范策略：

平台通过短期内多人共用设备ID，判断遭受黑产攻击，进而在授信或提现环节阻断其交易。

单一通过设备指纹并不能完全防住黑产从业者，但可以极大提高黑产和恶意欺诈、骗贷、中介恶意包装等作案成本。比如黑产为了防止被设备指纹规则拦截，需要养号等。

场景二：中介远程换设备操作

中介远程操作帮客户申请贷款，注册、登录、OCR及活体检测环节由客户本人操作，但资料填写及最终提交授信由中介操作。

某中介，帮客户小明操作申请贷款。在用户注册填写资料环节都是中介操作，因为中介帮小明避开策略将进件信息资料填写得完美些。但这个中介坐标在台湾。之后注册节点结束，中介告知小明具体登录账号跟密码。在登录与OCR环节，由小明自己操作过了人脸。最后到了授信节点。

在授信环节发现同个客户编码对应两个设备，而且还定位到不同的地理位置，很明显该客户有较大为非本人操作嫌疑。

防范策略：

通过中介的操作行为，可判断在同一次授信过程中，有两次登录APP行为，且有两个设备指纹ID，最终确定用户此次授信非本人申请的嫌疑很大。

场景三：电商平台的运营环节--获客环节

广告防刷量和渠道效果统计

互联网广告通常按点击、按转化（如App下载）来结算广告费用，并比对广告点击的设备ID与App下载的设备ID作为对账标准。一般情况下，这些设备ID与物理设备是一一对应的。

然而，广告刷量人员通常会在各类移动设备上虚拟出多台设备，并用自动化脚本实现对广告的点击、下载安装APP、激活运行，完全模拟真人的行为模式，从而伪造出广告的点击、转化等一系列的事件，套取广告主的广告费用。

应用设备指纹技术，广告主就能发现模拟出的新设备其实都是同一台物理设备，从而分辨出正常广告点击与虚假刷量，并拒绝为这部分广告点击付费。

设备指纹技术不仅可以帮助广告主避免广告刷量，更能帮助广告主明确每个推广渠道的真实效果。尤其在App推广中，广告主一般会同时雇佣多个地推团队，或在多个第三方平台通过H5页面的形式推送广告，应用设备指纹技术，广告主就可以准确分辨每一次App下载的真实来源渠道，从而更好的分配营销预算。

运营环节——防止黄牛刷优惠、抢秒杀

与新用户激励一样，逢年过节的打折促销、令人心动的超低价秒杀也是薅羊毛的重灾区。

对于电商平台来说，其降价促销的目的是为了获取新用户，或是为了吸引已有的用户增强平台黏性，而黄牛和经销商则破坏了这种平衡，对正常用户非常不公平。而薅羊毛、刷优惠券等行为更是无本生意，让电商平台的营销预算白白浪费。

面对这种情况，电商平台通常的做法是给交易设置限制，例如每个账户限购一次，但这不能从根本上解决问题。

有的平台尝试限制同一收货地址的购买次数，但道高一尺魔高一丈，有的黄牛甚至跟负责本片区的快递员串通，用一系列虚假的地址分别下单，快递员看到这些地址就直接将包裹送到他手中并换取分成。

应用设备指纹技术，电商平台就可以找出刷单的设备，并通过数据分析揭示设备和交易背后的关联，拒绝风险设备的交易请求。

防刷评论、刷钻

对电商平台来说，还有一个问题就是商家为了营造商品热销的假象，或提高店铺等级而自己刷单、刷虚假评论。

而应用设备指纹技术，电商平台就可以识破刷单人员常用的VPN刷单、虚拟机小号刷单等手段，准确识别异常设备。

个性化推荐与再营销

除了防欺诈，个性化推荐和再营销也是电商运营的重点之一，并不是所有电商都有BAT这样的强账号体系来保证个性化推荐的准确性。尤其是当多人共用一个IP比如学校或者公司时，依靠同一IP的推荐体系往往并不准确，很可能将A浏览过的商品推荐给了B，不但起不到再营销的效果，还会让人感觉莫名其妙。

而通过设备指纹技术，即使用户浏览时并没有登录，电商平台也可以准确的知道这台设备是哪个具体的用户在使用，并关联这个用户的其他设备，准确无误的做个性化推荐。

场景四：安全保护

防拖库、撞库

用户账户的保护是所有互联网企业都面临的一个安全问题，一旦用户账户被攻破，那么后续的业务流程都存在着极大的风险。而拖库与撞库攻击是最为常见攻击种类。

拖库和撞库的原理也很简单：绝大多数用户常用的注册邮箱和密码只有几种组合，而在我们注册过的各种网站中，很多对于账户安全的保护并不到位，例如一个冷清的小论坛。这些网站的账户体系一旦被攻破，用户的账户名和密码信息就会流入地下黑产的数据库中。攻击者通过伪装自己的IP地址，模拟正常用户的登录行为，去尝试自己数据库中所有的账户与密码。一旦成功登陆，就很可能给用户带来经济损失，企业一般很难防范这种攻击方式。

而应用设备指纹技术，电商平台可以实时发现并拦截这些设备发出的登录请求，从而杜绝拖库撞库，保护用户账。

账户异常

应用设备指纹技术，还可以帮助电商平台实时发现账户异常，例如异地登录、非常用设备登录、使用IP代理等。电商平台可根据具体情况，设置二次验证规则，或拒绝交易。户安全。

由此可看出，在电商平台经营的各个环节，设备指纹技术都是降低欺诈风险，提高营销ROI和企业营收的一大利器。

关于设备指纹的反欺诈策略，大致如下图：

设备指纹的核心技术

设备指纹技术是一个综合性的系统工程，掌握这门技术需要跨越一系列的技术门槛，这也是为什么虽然应用场景广阔，至今市场上此项技术提供者并不多的原因。这里介绍了设备指纹两项关键的技术，大规模在线概率式记录关联和机器学习，让大家对设备指纹有个整体的认识。

大规模在线概率式记录关联

设备指纹的核心任务是，给定两条请求事件，给出这两条请求是否来自同一个设备的判断。了解数据库的人可能会觉得这个有点似曾相识，这很像数据库里的self join。如下：

SELECT column_name(s)FROM table1 T1, table1 T2WHERE T1.a = T2.a;

实际上设备指纹的一项关键技术是概率式记录关联（Probabilistic Record Linkage）,它的非概率式版本确定式记录关联（Deterministic Record Linkage）确实和self join很像。对于这项技术的最早的研究与健康医疗数据库相关，其中记录一词也来源于医疗记录。我们以self join举例，看看它的概率式版本。

SELECT column_name(s)FROM table1 T1, table1 T2WHERE P(T1.a, T1.b, T2.a, T2.b) > threshold;

我们看到，这里最后一行的匹配条件变了，不再是一个确定的操作符等于号，而是一个介于零和一之间的值。

这里的P(代表概率，probability)，是一个关于T1, T2的函数, 计算T1和T2是同一设备的概率。概率式记录关联也因此有时被称为模糊匹配。

设备指纹的原理很简单，那么难点在哪里呢？第一在于设备指纹的典型应用场景反欺诈、营销追踪等都需要实时地给出匹配结果，也就是要在线，这就意味着数据来源不是数据库，而是数据流。

第二，传统的数据库的记录规模往往不是特别大，而在线反欺诈，每一个页面访问（PV）都会产生一条请求，要匹配的请求数，每天至少是亿级的。

熟悉数据库的人都知道，一个一亿条记录的表格self join的复杂度是多高。这还只是简单的确定式的匹配。第三，概率式模型，我会放在后面详细介绍。

所以做好设备指纹的第一步就是建立起一个大规模在线概率式记录关联平台。它牵涉到流数据的处理、分布式内存计算、算法优化、高效的信息搜索等多个环节。

机器学习

早期的设备指纹技术是基于规则的，典型的规则系统是一棵决策树。如果cookie相同，返回true, 否则看IP是否相同，诸如此类的决策逻辑。在此基础上，又衍生出给各项信息赋予权重的打分系统。而这些权重则来自于经验。

对于移动互联网，各种信息数据都在不停地变化，这种经验式的系统根本没有稳定性，也难以维护。对于大规模信息的处理，机器比人更具优势，这也就是在大数据的时代，机器学习流行起来的原因。

对于设备指纹技术，机器学习的方法从数据中学习，让数据说话，摒除了人工规则方法的偏见和不稳定性。但是机器学习的方法也面临一定的挑战，最重要的挑战就是在很多场景下，标注数据是不足的。

近年来，半监督学习的兴起给设备指纹的机器学习带来了新的思路。半监督学习可以认为是监督学习的扩展，与一般监督学习不同的是，监督学习只能在标注数据上训练，而半监督学习可以同时利用标注数据和未标注数据。

生成式模型是一种典型的半监督学习方法，对设备指纹技术有很好的效果。

设备指纹的评估指标

设备指纹的本质是记录关联问题，而记录关联从机器学习的角度来看是典型的分类问题。分类问题的评估指标有很多，但并不是所有的指标都适合于对设备指纹的评估，有些甚至是严重误导的，因此有必要在这里对这些指标做一下梳理。常见的指标基本是由以下几个数字计算得出。

常见的分类评估指标有以下几个：

准确度（Accuracy）

准确度(Accuracy)虽然经常被用作分类器评估的指标，在设备指纹的评估中却很少使用。原因是设备指纹的匹配中，正负标注非常不平衡, 分母和分子中的真负（TN）占比例过高，将完全主导最后的准确度值，计算所得准确度总是接近于1, 而毫无意义。同样的问题也出现在分类问题中广为使用的另一指标ROC上。

精确率和召回率

精确率（Precision）, 有时也被称为查准率，即被预测为匹配的结果实际确为匹配的概率。

召回率（Recall）, 有时也被称为查全率，即一对事实上匹配的设备被正确匹配上的概率。

一种设备指纹技术的精确率和召回率越高越好，但在很多时候，这两项指标很难兼顾。比如在一些电商的场景下，对于精确率的要求很高，以避免误报。但在一些营销的场景下，则是对于召回率的要求很高。

F测度

F测度，或者说F1测度，是一个综合性的指标，它是精确率和召回率的调和平均值。精确率和召回率以相同的权重反映在F测度上。如果对精确率和召回率有所偏好，也可以由广义的Fβ测度给出。其中β越高，则表示召回率的比重越大。常用的两个值为β＝2或β＝0.5。

不管是精确率，召回率还是F测度，都不计入真负例（TN），其实从下面这个例子就可以看出其中的原因。这是两个数据集A(25条)和B(20条)进行匹配的结果展示，从图中可以看出空的虚线框，即我们正确地作出的非匹配的判断，占绝大多数，但这却是我们最不关心的。

思考：

1：黑产会通过改机软件或模拟器修改设备参数、定位、IP等信息，如设备参数被修改，设备指纹ID发生变化，是否还能防住其欺诈行为？

2：PC端或H5端是否有足够的设备信息开发出精准的设备指纹ID？

3.如何定义多用户的概念？以手机号，身份证还是其他？

4.设备如果被中介用改机软件修改后，还是否能识别到是否是同个设备指纹？

5.如果已经抓取到具体的指纹数据后，如何进行相关的数据存储？