業務風控實戰指南:基于業務流程/治理流程的風控方法

4 評論 14889 瀏覽 110 收藏 17 分鐘

在對抗黑產的風控中,如何找到行之有效的風控方法一向是個難題。筆者結合自己的經驗為我們提供了兩個切入點:一是基于業務流程去思考風控方法,二是基于治理流程去思考風控方法。

這篇文章將會從產品和運營視角,針對風控的方法和手段進行闡述,目的就是將多年與黑產對抗的經驗總結和分享出來。

一方面讓大眾了解一般互聯網行業在業務安全上付出的努力,和我們這群站在產品背后的安全人。另一方面也想與各行業的安全從業者共享我們在對抗過程中積累出的行之有效的風控方法,希望對大家產生幫助。最后也希望借助這篇文章去搭建起安全行業內大家溝通的橋梁,一起為互聯網安全貢獻一份力,為“天下無賊”的愿景而前進。

一、黑產行業與特點介紹

1. 黑產行業規模與產值

據統計,截止至2017年,中國黑灰產業從業人員已超150萬,年產值達千億級別。從業者分布前三為廣東、江蘇和浙江。

2. 黑產特點:有利益存在的地方就有黑產存在

黑產遍布在互聯網的各個領域,無論一個平臺提供的是什么樣的產品,只要這個產品可以帶來收益轉化的可能性,這個平臺就會成為黑產的攻擊目標。

  • 如果平臺做流量分發,那么黑產就會攫取流量進行多次轉化,可能是進行線下欺詐,也可能是流量二次分發轉化成直接利益。
  • 如果平臺做的是交易,那么黑產就會變成羊毛黨將原本給予用戶的優惠轉化成自己的利益。
  • 如果平臺上存在著有價值的數據,黑產就會通過各種手段獲取數據進行倒賣。

總之對于黑產來說,產品是什么不重要,利益才是唯一的思考方式。

3. 黑產組織的分工

為了攫取更多的利益,黑產會不斷優化他們的攻擊模式和團隊分工。每個團隊專攻一個垂直方向是效率最優解,效率的提升就代表著成本的降低間接影響著最終收益。所以黑產會分化成很多個小團伙,每個小團伙會專門攻擊一個方向,最大可能的榨取這部分的所有價值。

以通常的業務場景舉例,黑產主要分化以下幾種:

通過販賣數據獲利:這部分黑產會通過抓取手段不斷的去獲取web端的信息,通過數據販賣來獲利。這里面存在競爭對手也存在著專業黑產團隊

通過販賣賬號獲利:這部分黑產團隊會著重攻擊全站的注冊和登錄環節,不間斷的通過各種手段注冊賬號,盜取賬號。再將賬號轉賣給下游黑產進行獲利。

通過認證進行獲利:這部分黑產通過一些不法手段獲取公民隱私數據,通過攻擊個人認證和企業認證的環節完成白號到認證賬號的轉變。因為大部分業務都有前置認證的條件,所以完成認證的賬號價值可能是白號的100到500倍以上。

通過發布信息獲利:這部分會利用QQ群或者一些黑產論壇社區承接需求,通過信息發布服務收取服務費用。一般發布的內容都是違規或欺詐內容。這部分也是黑產對抗最激烈的部分。

通過線下欺詐獲利:這部分黑產群體就是黑產鏈條中最底層的組成部分,同時也是數量最龐大的群體。他們通過虛假信息進行站內到微信或者QQ或者線下的轉化,由此完成欺詐行為獲取直接金錢收益。

上面是跟業務安全對抗的黑產群體的一個簡要畫像,其實真實的情況要比描述的復雜很多,很多分工是有交叉或重合的部分,或者存在著更細的分工。同時也存在著一群不直接攻擊網站,但是為這些黑產從業者提供所需資源的群體,比如一些卡商,隱私數據的二道販子等。

4. 只要有獲利的可能,對抗就不會停止

只要平臺存在著價值,就一定有產生利益的可能性,有可能性對抗就會永遠進行下去。與黑產的對抗是一場戰爭,只有當黑產的收益沒法覆蓋成本的時候,對抗才會逐漸減少。這個時候黑產會向另外的平臺或產品進行轉移。

二、業務風控的治理經驗

1. 風控的核心點

上文提到,只有當黑產的收益無法覆蓋成本的時候,對抗才會減弱和轉移。那分析黑產的成本組成就是一個比較重要的事情。

黑產的成本按照比較粗的粒度可以分為兩類:

第一類是人力成本,一切黑產技術的研發,欺詐的實施等等環節都離不開人的參與。

第二類是資源成本,黑產想要完成攻擊要準備很多的資源,比如IP、手機號、設備、身份證信息、銀行卡、企業信息等等。每一步的黑產攻擊都絕對離不開資源的支持。

所以我們看到,如果想要讓黑產的成本不斷攀升,我們只需要去提升黑產的人力成本或者資源成本就好。兩者對比起來,對人力成本的控制效果難以預估,難度頗大,受影響因素大。而對資源成本的控制對于企業來講簡單可行并且行之有效。

所以通過上面的分析,我們可以得出一個結論——風控的核心在于對黑產資源的打擊。

另外補充一點,資源之所以稱之為資源,需要具有穩定的唯一性和不可再生的特征,一旦一個資源被打擊,這個資源在業務中就再也不會為黑產帶來利益。

2. 風控治理的切入點

當遇到需要解決的風控問題時,基于我們一直以來的經驗,我們會推薦從以下兩個方向去分別思考和解決。第一個是基于業務流程去思考風控方法,第二個是基于治理流程去思考風控方法。

1. 基于業務流程的風控治理方法

在介紹這種方法之前,需要普及兩個前提:

1)如果一個用戶是黑用戶,那么他在所有的業務流程中產生某種行為的目的極大概率上是為了提升最終獲利轉化,那么他在每一個業務節點上產生的行為都大概率是異常的。

2)我們無法指望在一個業務節點上解決所有的安全問題。

所以基于業務流程去思考風控治理的時候,我們首先要繪制出來完整的用戶行為路徑。繪制用戶行為路徑的目的是摸清每一個可能產生異常行為的業務位置,并且通過每一個位置的分析去逐步打擊最終實現治理效果。

以信息的發布為例,我們可以繪制出這樣路徑:

互聯網業務風控實戰指南

根據這個路徑我們一般會產生這樣的解決方案:

1)當用戶只產生流量沒有實際UserID產生時,分析流量分布和瀏覽行為,提取異常數據流入注冊環節作為輔助數據。

2)當用戶注冊時,分析這次注冊是否為正常注冊,如果產生批量注冊、養號等異常行為,針對賬戶或相關資源進行高危標記。如果判斷不了,數據留存轉入登錄環節進行判斷。

3)當用戶登錄時,判斷登錄行為是否異常,是否是撞庫、爆破、異常環境等。如果是,核驗賬號身份,并且做出標記流轉至發布環節判斷。

4)當用戶發布時,判斷發布行為和內容兩部分是否異常。如果異常則阻止發布或者進行挑戰。并且將數據同步至全部環節作為輔助。

5)當產生申訴投訴時,回歸策略準召率進行相應優化并且妥善處理相關異議。將確認的數據同步至全部環節作為輔助。

可以看到按照這種方法去思考,我們沒有在一個業務環節中去解決所有的安全問題,而是將用戶的行為進行拆分,在每一個業務節點都努力將問題率控制在最低,這樣就達到了各個擊破的效果。這種方法在黑產每一個動作上都產生了影響,因為黑產追求高效,有不同的團隊分工,所以黑產在行為上不是連貫的而是分離的,所以黑產想完全消除掉這種影響成本非常巨大。這樣也就能產生比較好的風控效果。

基于這個方法的總結和核心注意事項:

1)每一個關鍵的業務節點,都應盡可能有效的完成風險控制,不能將所有的風控問題寄托在一個業務節點的風控治理中。

2)每個業務節點的數據串聯是重中之重,當前業務節點產生的所有有效結論,都應該流入下一個業務節點作為輔助特征。下游節點產生的確切結論,也應反哺上游判斷。

3)關于異常行為的處理方法:

① 離獲利轉化越遠的業務節點,越不應該做直接阻斷和強對抗。比如在注冊環節直接攔截注冊行為,我們就相當于為黑產提供了試錯機制,只要一個賬戶注冊能突破現有策略,那么這個業務節點的風控就相當于完全淪陷。針對這樣的業務風控,我們需要做的是做出有效的標記并完成流轉。讓阻斷、封禁、刪帖這種類似的處理方法在最后的轉化關鍵節點中完成,這樣會給將黑產作弊或攻擊的成本提升N倍。

② 各種挑戰方式,比如驗證碼等,如不能明確得出風險結論,則用來采集數據作為后續的風控輔助數據。

③ 因為黑產分工在行為路徑上分離的特點,不定時的確認用戶在各個業務環節中的身份一致性是一個好方法。

④ 處理方法應該有輕有重去適用各種策略準召率的情況,處理要盡量做到可以限制每一個關鍵業務環節的權限。

4)盡量做到有限資源被明確定性之后,一切業務環節都參照相關定性去完善識別能力。

如果說,上面提到的基于業務流程的風控治理是在確保風控的效果,那么下面介紹的基于治理流程的風控方法就是進入到每一個風控節點去確保效率。

2. 基于治理流程的風控思考方法

當我們基于治理流程去思考的時候,我們需要介紹下在任何一個需要風控的業務場景中,面對風險我們的一般的治理流程:

互聯網業務風控實戰指南

如果當我們只考慮某一個具體的風控業務場景時,我們最好的方法是——通過去不斷提升每一個治理環節的效率去提升整體風控的效率,風控的效率提升了,我們就可以在有限的時間內做出更多有效的決策用于黑產對抗,頻率越快給黑產帶來的成本增加越高。

所以基于這種思考方法,我們要做的就是針對每一個風控環節制定產品解決方案,將效率做到極致。下面就是在通常的業務中關于這個流程的一些整理:

1. 風險發現環節:發現什么、怎么發現、怎么快速發現是核心痛點。

(1)發現什么:什么是我們要解決的安全或風控問題,就發現什么。

  1. 安全漏洞
  2. 垃圾信息
  3. 重大輿情
  4. 黑產資源

(2)怎么發現:通過什么樣的手段來發現風險

  1. SRC、漏洞掃描器(漏洞)
  2. 聚類分析、信息巡檢抽檢(垃圾信息)
  3. 輿情抓取分析(重大輿情)
  4. IP畫像、手機號畫像(黑產資源)
  5. 一些第三方提供的威脅感知能力

(3)怎么快速發現:整個監測預警機制的搭建

2. 風險分析環節:如何快速分析產生決策是核心痛點。

對應著一些核心能力:智能分析平臺、風控引擎、算法孵化平臺。

3. 風險處置環節

如何處置:

我們將用戶所有的權益進行總結。以電商網站為例,用戶可以擁有:發布的權益、瀏覽的權益、賬戶使用的權益、推廣的權益等,在每一個關鍵的權益上都需要有著靈活的處理方法。

處置哪些:

所有資源類的唯一性數據都是處置的范圍,處置的時間范圍應該覆蓋過去和未來,當一個資源被定性成黑產,那么相關的所有資源都會被處理,最大程度的提升黑產對抗成本。

一些核心能力:聚類處理、社區挖掘、策略回溯。

4. 效果回歸

通過對已產生效果的策略生命周期進行監控,隨時關注在業務中的準召率,并及時作出優化。

以上就是在風控業務中常用的兩個切入點,不同的思考方法適合不同的風控階段。

比如對于風控初期的業務,到處救火是常態,可能基于業務流程的思考方法更加適合,這樣就可以從整體上去思考快速建立起一套比較有效的風控體系。

如果對于風控穩定期的業務,可能更加追求穩定和可控,基于治理流程的思考方法可以幫助業務進一步的提升風控能力,讓每一步產品動作都會產生價值沉淀,每一步的沉淀都會讓風控這件事情變得更加得心應手。

寫在最后

以上是我在風控這個領域中積累出的一些比較行之有效的方法論,但是因為時間原因很多風控執行的細節、一些核心技術的架構和實現方法都沒有做具體的介紹,后續如果有時間,可能會分別針對某一個細節方向相關的風控經驗和產品架構做一些分享。

 

本文由 @gology 原創發布于人人都是產品經理。未經許可,禁止轉載

題圖來自 Unsplash,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
gology
3篇作品 40401總閱讀量
05-034168 瀏覽
旅行規劃問AI?千萬別問!
11-083987 瀏覽
ChatGPT全工具集成:AI領域的下一個大爆炸?
03-058517 瀏覽
當了用人方后,才明白自己當實習生時為啥總挨罵
03-034349 瀏覽
上線“百億補貼”,京東在打什么算盤?
06-122629 瀏覽
谷歌整了幾個新域名,讓我們距離網絡詐騙更近了一步
評論
評論請登錄

  1. 這片文章放到今天,依然是很使用,感謝分享~

    來自北京 回復

  2. 期待?。?!

    來自北京 回復

  3. 期待更多的分享,很棒!

    回復

  4. 作為一名風控實際操作人,文章寫的很實用,加油,期待分享更多經驗。

    來自福建 回復