1、引言

因行業處於特殊位置，經常會出現賬號被盜、資金被刷、異常登錄、交易風險產生，以至於很多平檯面臨被互聯網”灰產”從業者盯上，刷平台漏洞、刷跨平台，故此，做好平颱風控勢必是為產品保駕護航；免受不可預估的經濟和財產損失而綽手不及；特別是我們所處的行業與安全、金錢打交道的菠菜行業，風險控制更加重要，資金安全的本質就是風控。因此，可以看到，各種菠菜企業都會有大量的風控人員、運營人員，通過各種調查、規則建立、人工審核來保障業務順利運行。像互聯網金融行業支付、P2P、供應鏈金融等互聯網金融，大部分交易都在線上進行，因此比我們這個行業，交易各個方面的風險控制更加信息化。並且，大數據的興起，為風險控制提供更好的技術手段；本身風控系統的建立就是依賴於數據的積累做規則與分析。

業務安全從流程設計維度可劃分為賬戶體系安全、交易體系安全、支付體系安全、用戶信息存儲安全、數據體系安全、風控管理。對於我們這個行業來說，其實很多都是在前端可看，並且也做到了初步的風控規則，例如登錄賬戶、取款。

業務安全模型

2、風控的設計範圍

1、風控系統需要考慮的問題

1.1、性能

首先，我們要做的就是考慮系統性能；因為性能的好壞直接影響產品的使用頻率，也是考驗一個平台的重要指標，再優秀的平台沒有一個良好的性能，也是不完善的；需要在特殊場合採用最合理的架構模式設計。

性能指標：

1、登錄流暢，響應時間短；

2、可根據時間隨意查詢數據，吞吐量大；

3、資源使用率低（cpu佔用率、內存使用率、磁盤I/O、網絡I/O）

4、每秒點擊數（客戶端每秒向服務器提交的請求數量，如果客戶端發出的請求數量越多，與之相對的平均吞吐量也應該越大；）

5、並發用戶數（客戶端的同一批用戶同時執行一個操作的數量。）

1.2、擴展性

多數的平台系統是基於基礎平台分析而來，這時候需要在現有的系統上做兼容，不能破壞原有系統的流程，也要兼顧老系統的業務支撐，在現有系統上做風控調整預估；才能更加合理安排,需要系統在短時間內對於業務邏輯的擴展進行較好的支持，是系統建設中的一個挑戰。

主要表現為：基礎設施不需要經常變更，應用之間較少依賴或耦合，可以對需求變更快速響應。它對擴展開放，對修改關閉。架構設計會考慮到未來功能的可擴展性，所以當系統增加新功能時，不需要對現有系統的結構和代碼進行修改。

1.3、大數據

特指在分析過程中需要用到海量的數據用戶輔助分析，如何提取海量數據中有價值的信息，松耦合地嵌入到實時分析過程中，是系統建設中的一個挑戰，這個時候我們需要綜合考慮在實際業務中的數據兼容模式。

數據來源：

1、網站流量

1、訪問量

2、日均訪問量

3、最高訪問量

4、 PV%

5、獨立IP

6、獨立訪客

7、 UV%

8、重複訪客

9、重複訪客百分比

10、重複訪問數量

11、人均訪問頁面數

2、用戶行為

1、訪問深度

2、新訪客

3、同時在線人數

4、最高小時在線人數

5、訪問入口

6、訪問出口

7、訪問最多的頁面

8、退出最多的頁面

9、首頁訪問數

10、站點覆蓋

11、訪客所用搜索引擎

12、訪客所用關鍵字

13、最頻繁的關鍵字

14、訪客停留時間

15、訪客平均停留時間

三、數據來源

1、登錄

2、註冊

3、充值

4、取款

5、投注

6、活動

7、下載

8、團隊報表

1.4、防欺詐手段

互聯網是一把雙刃劍。進入互聯網時代以來，技術的飛速發展不斷的提升效率降低成本。遺憾的是，在提升服務的同時，互聯網也大幅的降低了欺詐成本，提高了欺詐的效率。更加不幸的是，由於互聯網服務的高度自動化，很多在過去需要有人工介入的環節都由系統自動化進行操作。缺少的人的主觀判斷，使得欺詐更加容易發生。

看似公開透明的網絡空間本質上如同一個群狼環伺的暗黑深林，一旦互聯網平台出現了反欺詐漏洞或者出現了一種新的欺詐形式，各種黑產團伙便會群攻而上。在互聯網的加持之下，這種攻擊造成的損失規模巨大，輕則導致互聯網平台傷筋動骨,重則直接倒閉。而由於法律法規和監管的滯後性，互聯網欺詐受到的威懾和懲戒又往往不足，導致當前互聯網領域的反欺詐壓力不斷增大。

在平台內部需要有一套完善的防欺詐手段系統維護機制，保證用戶的資金不受損失，在這個基礎上我們應該對現有的互聯網環境做風險預測，給予一定的建議，發現問題技術糾正用戶選擇和引導。只有了解了欺詐手段，從根源上才能做好防範；常見的互聯網欺詐形態：

薅羊毛：利用互聯網平台業務邏輯、技術上的漏洞，冒充正常用戶套取返現、積分、獎勵等；

騙貸：利用虛假資料騙取原本無法取得的互聯網平台授信額度；

刷單：通過與賣方勾結，通過人工或利用技術手段，製造虛假交易量或訪問量；

刷好評：通過人工或技術手段，在互聯網平台上進行留言，製造虛假的好評率；

……

1.4.1防欺詐手段及技術：

1.4.1.1防欺詐手段

1、資金需審核

2、多種驗證方式（綁定手機、郵箱、微信、QQ、GA密碼等）

3、建立信譽庫

信譽庫即傳統的黑、白名單，通過內部積累、外部獲取的各種人員、手機號、設備、IP等黑、白名單對欺詐行為進行判斷，是一種實施簡單、成本較低的反欺詐手段。與此同時，信譽庫也存在着準確度低、覆蓋面窄的缺陷和不足，僅可作為互聯網反欺詐的第一道過濾網使用。

4、建立專家規則：

專家規則是目前較為成熟的反欺詐方法和手段，主要是基於反欺詐策略人員的經驗和教訓，制定反欺詐規則。當用戶的操作請求和操作行為觸發了反欺詐規則時，即被認定為欺詐行為並啟動攔截，常見的如各種聚集度規則等。

專家規則的優勢在於實現較為簡單、可結實性強，但缺陷在於專家規則存在有嚴重的滯後性，對於新出現的欺詐手段和方法無法及時的進行應對，往往需要着付出大量損失後才能總結教訓提取新的規則。此外，由於人腦的限制，專家規則只能使用一個或幾個維度的標量進行計算和識別，往往存在有較大的誤報率。

專家規則嚴重依賴於策略人員的經驗和教訓，不同水平的策略人員制定的專家規則效果也會純在較大區別，主要可以作為互聯網反欺詐的應急響應手段和兜底防線。

5、機器學習：

機器學習反欺詐是近年來比較火的一種反欺詐方法，目前也取得了一定的成果，最為常見的如芝麻信用分等。機器學習反欺詐是通過機器學習方法，將用戶各個維度的數據和特徵，與欺詐建立起關聯關係，並給出欺詐的概率。

常見的機器學習反欺詐包括有監督和無監督兩種：

A、基於有監督機器學習的反欺詐：

有監督機器學習反欺詐是目前機器學習反欺詐中較為成熟的一種方法。其基本思路是通過對歷史上出現的欺詐行為進行標記，利用邏輯回歸等機器學習算法，在海量的用戶行為特徵、標籤中進行分類，發現欺詐行為所共有的用戶行為特徵，並通過分值、概率等方式予以輸出。

由於互聯網欺詐行為的多樣性，很難百分百的將欺詐行為與正常行為完全進行區分，因此有監督機器學習反欺詐等最大難點在於如何準確獲取大量欺詐行為的標記。

1.4.1.2技術

互聯網反欺詐常用的技術主要包括數據採集、特徵工程、決策引擎、數據分析等幾個類別：

1、數據採集技術

數據採集技術主要是應用於從客戶端或網絡獲取客戶相關數據的技術方法。值得強調的是，數據採集技術的使用，應當嚴格遵循法律法規和監管要求，在獲取用戶授權的情況下對用戶數據進行採集。

2、設備指紋

設備指紋是目前在互聯網領域被廣泛使用的一種技術手段，其在反欺詐體系中的作用也從最早的設備唯一標示，變為了客戶端數據採集器。

設備指紋服務目前市場上有大量的服務提供商，評價一個設備指紋服務的優劣應當綜合考慮覆蓋度、唯一性、全面性等幾個方面。

3、網絡爬蟲

網絡爬蟲技術即可以用於用戶運營商數據、信用卡數據、網絡交易數據等各類數據等的爬取，也可以應用於司法老賴名單、網絡核查數據的爬取。

4、特徵工程技術

特徵工程技術是指可以從原始數據中進行數據挖掘的各類技術。常見的特徵工程技術如生物識別、活體檢測、文本語義分析、知識圖譜等。

5、生物識別

生物識別，如聲音識別、人臉識別等，是指對用戶特定生物特徵進行檢測和識別一種技術手段，通過比對用戶的生物特徵信息，判斷用戶身份，主要用於用戶身份的核實等場景，防止出現用戶帳戶被盜用的情況。

6、活體檢測

活體檢測技術主要通過要求用戶做特定動作或朗讀特定內容，對用戶是活人還是機器進行判斷和檢測，是防範欺詐團伙批量攻擊的一種有效手段。

7、文本語義分析

文本語義分析主要用於對文本類數據的解析和挖掘，從用戶評論等文本內容中提取用戶特徵。

8、知識圖譜

知識圖譜是利用圖數據庫，從特定維度對不同用戶和不同操作行為之間進行關聯和計算，從而發現不同用戶和不同操作之間的關聯關係，可以用於團伙特徵檢測等場景。

9、數據分析技術

隨着互聯網反欺詐方法等不斷演進，數據分析技術也成為反欺詐能力構建的一個核心能力。海量數據和特徵的處理也對數據分析技術提出了更高的要求。常見的數據分析技術包括實時分析（如Storm）和離線分析（如Hadoop）兩類，具體介紹可以參見大數據相關技術。

10、決策引擎

反欺詐決策引擎是互聯網反欺詐體系的大腦和核心。一個功能強大的決策引擎，可以將信譽庫、專家規則和反欺詐模型等各類反欺詐方法有效的整合，並為反欺詐人員提供一個操作高效、功能豐富的人機交互界面，大幅降低反欺詐運營成本和響應速度。

對於決策引擎好壞的判斷，應當從引擎處理能力、響應速度、UI界面等多個維度進行綜合判斷。

反欺詐技術能力猶如鍋碗瓢盆灶，反欺詐技術能力的高低，決定了互聯網反欺詐能力的高度。與線下反欺詐不同，互聯網反欺詐是攻守雙方在技術上的對抗。特別是在欺詐團伙已經開始產業化，並且廣泛使用大數據、人工智能等前沿技術的時候，反欺詐技術能力直接影響着互聯網反欺詐效果的好壞。

1.4.1.3數據

數據是互聯網反欺詐能力的基礎。互聯網反欺詐體系的建設，對於數據的廣度和深度都提出了非常高的要求。業內目前常用的數據從類別上可以分為以下幾類：

1、設備類

設備類數據主要指用戶客戶端（如手機、平板電腦、筆記本、PC等）等各類參數，主要通過頁面、APP內嵌入各類sdk、js腳本等方式進行採集和獲取。

2、環境類

環境類數據是指用戶發起操作請求時所處環境的相關數據，可以分為虛擬環境和物理環境兩大類。

虛擬環境數據，主要指用戶所的IP、WiFi等網絡環境相關數據。

物理環境數據，主要指用戶的手機定位、基站位置等相關數據。

3、行為類

行為類數據是指用戶在網頁或APP上進行各種操作時的各類數據，如用戶頁面停留時長、文本輸入時長、鍵盤敲擊頻次等。

4、第三方數據

第三方數據指通過從公開途徑或第三方數據服務商處獲取的各類數據，包括但不限於用戶的運營商數據、電商消費數據、銀行數據、司法數據等各類數據。

反欺詐是一個跨安全、風控、數據、研發、內控等多學科的一個新興領域。正如本文開頭所訴，反欺詐作為一個職能，在互聯網、金融、傳統零售等各行各業廣泛的存在，但卻沒有一套完整的理論框架和方法論。

2、風控系統的措施

1.5、風險等級

等級的劃分根據業務風險來劃分，安全始終是我們這個行業的重點；從用戶的心理可以看出，賬戶的安全、資金的安全始終是用戶的關注點；按等級劃分：低、中、高；常見的風險如下：

1、交易安全

2、支付安全

3、登錄安全

風險分析——從業務層面去解析我們的風險，主要來源如下：

1、訂單日誌

2、支付日誌

3、取款日誌

1.6、根據等級制定策略

不建議加強圖形驗證碼複雜程序方式，因為在專業羊毛黨的角度看，這只不過是1分錢還是兩分錢的低微成本區別，而且從用戶體驗角度看；嚴重影響用戶體驗。

運營策略上阻絕刷機、刷獎、刷活動行為，可以在活動規則中增加諸如”針對非法批量參與刷機、刷獎、刷活動的用戶行為有權拒絕發獎”的前置文案；

設置異常觸發監控，當用戶通過非常規渠道（如直接刷接口、調用接口）參與自動ban掉或列入重點監控名單，定期集中處理。

收集非法IP庫（段）和有過不良記錄的機器碼，針對這些IP段直接ban掉，使用這些機器碼的賬號直接封號或列入監控。

根據系統特定條件進行搜索，風險的分析有賴於對用戶行為數據的收集與

4、業務風控

3.1、拿到足夠的數據

1、用戶更讓人中心數據

2、用戶歷史日誌、平台交易數據

3.2、做足夠靈活的分析平台去分析風險

3.3、產出風險事件進行阻攔風險

3.4、量化風險攔截的價值和不斷分析案例和策略優化

4、現階段需要解決的問題

4.1、定義高危風控事件

通過系統級的定義，需要區分出來那些是屬於高危風控事件，註冊、登錄、轉賬、鏈接開戶等，需要對這些事件做實時的監控加強風險防範。

對於什麼樣的事件會列入高風險事件，需要通過一些列的統計範疇來區分，以那些維度出現的數據作為基準來權衡，出現了惡意的風險後，對於善後的風險我們能做什麼，能給我們帶來多少的問題，能解決現階段的什麼問題。自動化以後，還需要人工干預規則加入，這樣可以避免有做不盡職責的地方，能夠及早發現問題,對於一些靈活的數據多次做重複重新組織規則，增加對風控引擎的算法。支持歷史數據的回溯，能夠發現以前的一些風險，找到有參照的數據。做基礎的數據對比，防範於未然。

風險的口徑把握：登錄頻率、登錄次數、交易次數、關閉訂單次數、時間頻率出現高的、單用戶操作習慣等，最近統計等，對一系列的數據做重組排序。

解決內審介入前已經有了一套成型的應用體系，不用為了準備複雜的資料和文檔而煩惱,很快得解決了歷史數據的風險把控問題。