互联网企业风险控制风控Word格式.doc
- 文档编号:13163691
- 上传时间:2022-10-07
- 格式:DOC
- 页数:21
- 大小:2.21MB
互联网企业风险控制风控Word格式.doc
《互联网企业风险控制风控Word格式.doc》由会员分享,可在线阅读,更多相关《互联网企业风险控制风控Word格式.doc(21页珍藏版)》请在冰豆网上搜索。
关于案例
限于我的工作经历,本文中的案例仅针对互联网企业风控
错误反馈
如果您发现任何错误,可以留言告诉我
利益
说起风控的时候,人们经常提起“黑产”,他们是我们的对手。
很多时候我坐在办公室,盯着监控问自己“我面对的究竟是怎样的一群对手?
” 我没法准确给一个定义,但是我至少知道这帮人逐利,而这一点是最重要的。
黑产的参与者不停地在发现利益,而我们将利用“利益”发现他们的踪迹,并通过压薄他们的利益来对抗他们。
赔钱的生意没人做,杀头的生意有人做
当我和别人说起来黑产的时候,大部分人都会想到电影里面的黑客,轻轻松松就可以黑近别人的电脑。
虽然电影里的有点夸张,不过黑产中确实有很多在技术上有长处的人负责解决“技术问题”。
除了普通人脑海中的“黑客”,还有很多人负责体力活。
下图就是很有名的App Store刷榜照片。
在综艺活动投票、App评分这两个领域,有很多这样的人参与。
黑产从业者里有很多“兼职”,有学生也有无稳定工作的人,有时候你会发现这帮人很有分享精神,兼职论坛论坛也是红红火火。
有一次我们被刷,监控到的时间和论坛的发帖时间只隔了3分钟,可见这种论坛的传播效率。
过年的时候我坐在亲戚家,一个亲戚知道我在互联网公司工作,便问我知不知道刷帖,QQ群说有人拉他干,问我是不是骗人的,是不是要管他要押金,是不是传销。
我的这位亲戚是一个老实本分的人,只不过家里因为治病生活很拮据,又赶上工厂效益不好,想找个挣钱的事情。
很巧我读到过这样一篇新闻,以下是节选要想成为一名刷手,必须经过两个小时的业务培训——
考试合格后,必须通过管理员身份认证,才能成为正式刷手。
记者看到,在这个刷单群里共有十一个小组,人数超过了1万人。
每天都会有大量刷单需求滚动出现在公告栏,提示刷手到相应的小组抢单。
每个小组都有几名主持,主持的主要工作就是放单和指导刷手如何做单。
记者看到,一个为汽车用品在淘宝上刷销量的单子,短短几分钟就被刷手抢完。
每名刷手根据自己淘宝账号的信用等级能挣到4元到6.5元不等的酬劳。
一位从事刷单业务的主持小刘道出了其中的秘密。
小刘告诉记者,刷单群一般分三个等级,团长、主持和普通刷手,团长负责对外接单,然后分发给主持,主持再放单给普通刷手。
记者:
“刷手的人数能达到多少?
”
负责人:
“每个平台流动的都有几十万,也形成了一个相当于正规的行业了差不多,对他们来说。
“一年大概能有多少收入?
“就反正是那个六位数。
记者注意到,一个网站或APP一个人只能实名注册一次,因此,刷单群为了完成客户要求的注册量,就需要不停的招募新的刷手。
小刘告诉记者,为了吸引更多的人成为刷手,刷单群都会制定各自的拉人奖励机制。
在群公告里记者看到,拉一个人缴费进群,就可以得到38元的奖励,两个人奖励80元,三个人120元。
不仅如此,群里还设计了专门的赚钱宝典,指导成员如何通过社交平台吸引亲朋好友甚至陌生人前来加入
实际上参与黑产的人并不都是大奸大恶,有很多是普通人,因为没有稳定的经济来源只好做些临时工作。
很多时候他们不知道这个是违法的,因为他们不知道整件事是怎么运转的,对于他们而言只是动了动鼠标、输了几个数字,这怎么能算违法。
现在的黑产已经形成了一个完整的产业链,里面有形形色色的人,有形形色色的分工,但是我们可以抓住他们的一个共性——利益。
一个人将他的时间花在什么事情上,是取决于哪件事情可以带来最大的回报。
需要注意的是两点
1并不是有利益就会有人干,要利益足够大
2人们总是从多个有利益的选项中选取最优
假设一个人的普通工作可以给他带来2000元每月的回报,但是当从事黑产可以得到3000元每月的时候(两者都有利益),他还不至于放弃已有工作,因为换工作也需要成本(经济学成为交易费用)、入会也需要成本(经济学成为上头成本),假设从事的各种成本和费用是1000元,算一下从事黑产是并没有明显好处的。
更别提还有比较严重的行为会受到法律的追求。
目前收入2000 + 各种成本和费用1000 + 法律追究?
>
= 从事黑产的利益3000当从事黑产的回到达到10000元每月的时候,在不同程度的法律追究强度下,就可能促使这个人从事黑产
<
= 从事黑产的利益10000
这个公式只是一个简化了的情况,里面也许还会涉及个人名誉等虚拟且价格因人而异的东西(不同人看待名誉的程度不同)。
我们在这个公式基础上在简化一步就是不做黑产收入 <
/=/>
做黑产收入 - 可见和不可见的直接成本从这个公式中,我们的工作应该可以得出
1消灭黑产并不需要迫使他们的利益为0,实际上也很难甚至做不到
2消灭黑产应该尽量增大公式左边部分的利益,减少右边的利益。
对于第一条,需要个人和政府的双方努力,个人要提升自己的价值,政府也要提供一个就业、收入稳定的社会。
人们可以通过努力获得精神和物质上的利益。
这个已经超出了本文的范围。
接下来的内容将都是围绕"
减少右边的利益"
开始的。
蛛丝马迹
“It is not the answer that enlightens, but the question.” –Decouvertes
在风控中,提出一个好的问题十分重要:
1为什么昨天凌晨1点的订单比均值高?
2为什么派券比往常快了半个小时?
3为什么最近有很多连续的IP访问我们?
而我们提出这些有价值的问题是通过发现不同寻常的数据,所以我们要对风控数据有很强的搜集能力和分析能力,当然还有人对数据的敏感。
态势感知
阿里有一个概念叫态势感知,其中有一点就是要收集大量数据,包括用户业务数据、用户行为数据、服务器日志、客户端执行环境等方方面面的数据,并对这些数据进行统计和监控。
这个概念不算是什么创新,因为很多公司已经在这么干了,只不过阿里走的早点。
例子:
监控刷单
为了更直观说明监控,介绍一下我们监控刷单行为的表格,为了加强效果,我扩大了数据时间范围到30天。
一般一台手机只会被一个人使用,一个人一般在我们公司只会注册一个账号(不同业务具体分析,例如我妈注册了多个QQ号,因为她在玩斗地主,一个账号的欢乐豆不够),上图中可以清晰判定这三台设备参与了刷单。
图中对可疑的数据会自动高亮,并会推送报警到管理员的手机,方便我们尽快解决问题。
了解更多
多维度判断
我们已经知道要搜集蛛丝马迹了,下面介绍如何使用它们。
在法庭上,判定一个人有罪或是无罪,需要有多个证据。
在风控中判定一次请求是正常或是恶意,也不能简单的只考虑一个证据。
按照维度整理数据
在上一章看到的例子中,通过观察在一台设备上登录的用户数和下单数来推测刷单,这对于一些简单场景也许足够了,但是对于大多数场景都是不够的。
我们通常将风控信息或者说风控数据按照不同维度组织。
相同的一组数据按照不同维度整理,会有不同的结果。
以下是某网站的登陆记录,我们试着将数据从不同维度统计以下
用户IDIP
设备号
1
50.0.0.0
DeviceA
2
DeviceB
3
50.0.0.1
用户维度
用户ID
登陆次数
设备维度
你可以试着将IP维度的数据整理出来吗?
时间
2016-04-04 00:
00:
002016-04-04 00:
012016-04-05 00:
00
登陆设备数
1
2
用户数
21
将数据整理完成后,我们会从多个维度来验证一次交易、一个用户甚至是一次HTTP请求。
实例
一名用户正在登陆Jim的账号,我们希望判断出是不是真的是Jim本人。
从之前刷单的例子已经知道,限制单台设备的登陆次数和人数是个不错的主意,我们看看Jim过去1个月的设备统计
DeviceA10
1如果只从设备号维度看,一切正常,虽然登陆次数是10次,但是考虑到是一个月,也不会显得很频繁,但是我们不妨试试多维度交叉分析。
我们试试用户名(假设用户名和用户ID唯一)维度。
用户名
登陆次数登陆设备数
Jim10
10天,这个人在干什么?
!
这个人虽然在设备A上只登陆了一次,但是他同时也在另外9个设备上登陆了。
这个人很可疑,幸好我们没有只从一个维度考虑。
不过,到底发生了什么呢?
不要急,后面的几章会慢慢解释。
限制频率
在上一章中我们分维度统计数据的时候,是将不同维度的数据求和,然后看这个和的大小。
但是我们仍不能忘了一个重要的前提,就是时间。
还是以用户登录为例,Jim想要登录自己的社交网站,我们可以因为他连续10次输错密码阻止他登录,但是不能因为他10个月里每个月都输错了一次密码。
换句话说,我们限制的是频率(次数/时间),而不是简单的总数。
而限制频率也是最常使用的手段。
先列举一些常见的限制频率的场景:
1限制每天用户输错密码的次数,用以控制密码暴力破解
2限制每台设备领用优惠券的次数,用以控制普通用户注册多个账号刷券
3限制每张银行卡每天的消费金额,用以控制盗号
优点
简单:
无论从统计逻辑还是理解上,都是十分简单
快速:
对频率的计算和比较,都是一些基础的计算。
无论是数据库还是程序,对这类计算都很好的支持,且不需要很多高耗时的算法应用范围广:
你几乎可以在每一个场景下找到它的影子实时性强:
往往不需要大数据的离线计算,可以实时统计,实时使用
缺点
也有场景局限:
对于利用漏洞导致的攻击,或者复杂的场景,限制频率的效果有限
可以减缓攻击,不能阻止攻击:
虽然限制了频率(给定了一个阈值),但是在达到阈值之前的请求可能会被放过,例如限制每小时密码可以错10次,实际上每天还是可以尝试240次绕过手段成熟:
通过批量注册、IP代理、多开虚拟机等手段可以削弱频率类规则的效果
多维度频率限制
你可能已经猜到了,很多场景下,我们通过限制一个指标的频率很难起到作用,很容易被绕过去。
这个时候我们可以从多个维度入手,限制多个维度的频率。
单指标多个频率限制
除了多个维度的限制,在单个维度的单个指标上,也可以限制多个频率。
还是拿暴力破解密码的场景,限制“每小时密码可以错10次”的基础上我们增加一条“每天只能错15次”,这样虽然没有克服缺点中的第二条,但是比原来的方案更好的保护了用户。
我们认为不同的频率限制有不同的可疑程度,满足“每天只能错15次”的请求要比“每小时密码可以错10次”更可疑的,所以我们对前者的惩罚更重,或者验证更谨慎。
防范代理IP
IP维度的频率规则很常见,但很多时候并不好用。
因为黑产通常会购买大量代理IP,通过一个代理IP请求几次,再换下一个代理IP。
互联网上有大量代理IP,价格很
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 企业 风险 控制
![提示](https://static.bdocx.com/images/bang_tan.gif)