作者介绍:
王荣凯,2018 年加入 Qunar,目前在网站运营中心安全组担任风控产品经理。FRM 持证人,7 年银行、支付领域风险管理经验,现从事旅游平台业务安全风控工作,负责建立智能风控体系,精准识别欺诈风险,全方位保证业务安全。未来将致力于量化分析、风控模型、营销反爬等风险管理工作。热爱旅游、热爱工作、热爱分享,愿结识更多的伙伴,享受更多生活的快乐。
前言
如今,风控不再仅仅是互联网金融或者支付行业的必修课,越来越多的羊毛党、黑产群体开始加入到业务活动中,业务活动也正在受到风险行为的冲击。构建完备的风控体系以实现对风险管理的目标量化和动态监控,消灭或减少风险事件发生概率,避免风险损失。
风控体系职能
风控体系 = 账号安全 + 业务反欺诈 + 内容安全 + 风控能力建设 + 风控能力输出
建立完备的风控体系、保证业务活动风险可控是安全组业务安全团队的使命和愿景,也是每一名团队成员的责任和目标。
风控体系构建
构建完备的风控体系能够发现可疑人群,精准识别进行拦截,保证使活动效果达到最优。风控体系主要由风控场景、风控规则、风控参数、风控措施、风控反馈五部分组成,仿照 PDCA 管理循环原则,从计划(Plan)、执行(Do)、检查(Check)、处理(Act)展开,实现风控闭环。
风控场景
风控场景 = 定义场景 + 风险点评估风控场景。
定义什么样的场景下,对哪些用户需要部署相应的风控措施,每一个场景,风险评估的侧重点都有所不同。
比如:
• 登录过程中,可能产生的风险有:频繁登录尝试密码、高频登录消耗资源、高频异地登录 • 市场活动中,可能产生的风险有:同设备不同手机号高频刷活动、短时间内异地登录抢优惠券 通过划分和定义,明确哪些场景和哪些环节实施风控,做到有的放矢。
风控规则
风控规则 = 组合策略 + 防御手段
风控规则,就是对于每个场景,定义一些规则,来进行相应的控制。
比如:
• 登录过程中,制定同一个手机号在 X 分钟内最多获取 N 条验证码 • 市场活动中,制定同一设备每天最多能参加 X 次助力活动 “没有规则,不成方圆”。针对不同场景,配置不同规则,做到逐个击破。
风控参数
风控参数,定义每一个风控规则的具体数值。
通过独立的阈值控制,采取更具有针对性的措施。
比如:
• 登录过程中,对于在可信城市列表中登录的用户,密码错误 5 次将临时锁定,而对于异地登录的用户,密码错误 3 次就采取临时锁定措施 • 市场活动中,对于新用户可以允许好友助力 5 次/天,而对于老用户的好友助力机会只有 3 次/天,达到拉新促活的效果 风控参数需要伴随内部、外部环境的不同,随机应变,拥抱变化,实现最优。
风控措施
风控措施,指触发风控规则后,采取的必要措施。
风控措施设置的好坏,会直接影响到用户体验。由于大部分风控规则和参数,是对用户透明的,用户只有被拦截后,才会感知,因此风控措施必须考虑用户体验。
比如:
• 拦截型措施:对于触发历史黑名单的用户,绝不姑息,一律拦截 • 加强验证型:在登录过程中,如果用户在 1 分钟内登录超过 5 次,增加图片验证;超过 10 次,增加短信验证 不同风险不同措施,照顾用户体验的同时,完成风险管控。
风控反馈
风控反馈,即综合评估现有风控体系能力。
从风险指标维度评估哪些规则需要调优,可以理解为 PDCA 原则中的检查和处理阶段。风控规则建立初期通常根据历史经验设计,缺少数据支持。实践后,收集数据及用户反馈逐渐丰富,那么就可以评估现有的风控体系是否完备,是否还有改进的空间。不断地反馈、优化、评估、实施,最终实现风控体系的最优。
风控体系核心
BOSS风控系统
风控体系核心是建立完备的风控系统,实施主动管理风险,实现风控可控。BOSS风控系统是风控体系的骨骼框架,没有完备的系统,再强的体系也是单兵作战,没有协同作战的能力。
1. BOSS 风控系统架构
2. BOSS 风控系统构成
BOSS 系统承载了所有风控的功能,无论是账号安全、业务反欺诈、内容安全、验证码服务等等,满足应用层的一切风控需求,实施流程大致分为三部分:
(1)系统对接:任何业务线,统一联调唯一 Dubbo 接口,0.5 PD 即可实现风控对接
(2)风控判断:业务数据越全面,风控效果就越好,数据流通过预处理、逻辑计算、引擎过滤,最快 100ms 就可以对当前交易完成风险识别
(3)风控措施:风控系统向业务线返回判断结果,业务线可根据风控意见,指引用户完成后续业务流程 BOSS 不仅覆盖范围广、对接成本低,而且可以根据环境变化实时做出配置变更。所有的风控规则、策略、配置参数都在系统内界面完成,运维人员只需要完成共通及个性化配置,就可以部署风控规则,最快 5 分钟完成规则部署。
大数据风控
基础数据是风控体系的力量之源。简言之:“数据才是王道”,没有数据支撑,风控无从谈起。没有数据“底蕴”的风控措施,即便体系再完整,实施过程也是捉襟见肘。
BOSS 风控系统的基础数据包含名单数据以及用户的安全数据。
1. 数据名单
BOSS 系统中积累的历史黑名单库,是目前公司内部最大的名单数据库。目前名单存量 1.02 亿左右,常用标签涵盖网监、恶意注册、机器行为等,共计 386 个,覆盖了用户 ID、手机号、设备 ID 等 28 个用户属性的维度,为所有业务线提供名单过滤服务。
同时,为了保持黑名单数据的时效性,黑名单数据还具备以下三点创新:
(1)内部挖掘,从用户的历史行为中进行“提炼”和“萃取”,找到可疑的用户行为,增加到黑名单中,目前平均每月新增名单过万 (2)联防联控,与携程安全建立了名单共享机制,实现无论是携程的用户还是去哪儿的用户,都能够得到同等的风控服务 (3)外部协作,建立第三方名单服务,完成外部名单过滤,尤其对于新客历史信息少的情况进行名单过滤识别,降低批量新客薅羊毛行为
历史积累结合外部补充,名单库正在不断的丰富自己。目前从单纯的黑名单数据,逐渐已经扩充了白名单和灰名单数据,后续将按照名单等级或可疑程度对外输出名单服务。
2. 用户安全行为数据
BOSS 系统中积累了用户从注册、登录开始,到完成下单,再到订单反馈评论,全流程的用户安全行为数据。风控系统只记录用户侧安全数据,严控信息安全,对于用户行为敏感数据并不留存。
(1)某设备在注册环节批量同设备注册,这样的设备会被打上“恶意注册”标签,带有此标签的设备休想再“薅羊毛” (2)某用户批量下订单后频繁找人代付,并且指向同一个代理商,疑似代理商刷单行为,这样的用户会被打上“刷单用户”标签,后续下单行为可以进行拦截 (3)某用户经常预订有价值订单,并且评论良好,这样的用户我们也会打上“高价值用户”标签,带有此标签的用户参与活动将有“白名单”优先放行的待遇
用户安全行为数据贯穿业务全流程,BOSS 系统将从每一个阶段、每一个时间段进行积累、聚类和统计。基于历史,预测未来,BOSS 系统结合大数据风控,实现了对用户行为是否有风险的预测和评估,更好的完成了自己的使命。
风控事件案例
案例一:官网登录界面短信攻击
1. 攻击时间:2018 年 11 月 29 日 20:00 -21:00 2. 攻击现象:官网短信登录接口被恶意攻击,攻击者轮询手机号登录,迫使下发短信验证,但手机号 90% 以上都不是去哪儿用户,造成客诉,对商誉造成影响 3. 攻击特征 • 攻击者手机号来自全国各地,没有地域集中特征 • 手机号离散,没有连号的情况 • 攻击请求均使用不同的 IP 地址,无法定位 IP 地理位置信息 • 攻击请求均通过网页完成,导致无法准确采集到手机设备信息 4. 风控措施 聚类攻击者行为,发现刷单请求虽然 IP 不同、手机号分布离散,但是都是来自同一浏览器,于是风控系统第一时间根据此场景特征,部署风控规则,第一时间对异常的浏览器标识进行拦截,消除恶意刷接口的不良影响 5. 风控反馈 自风控规则部署后,攻击者持续攻击了 6 天,风控系统日均拦截攻击 5.35 万次,保护手机号共计 80489 个,日均 13414 个,每日为上万手机号保驾护航,确保商誉不再受到风险冲击。
(案例一:官网登录界面短信攻击)
后续风控策略不断进行修正,基于浏览器维度进行实时统计,部署频次速率限制规则,做到事前预测风险,杜绝类似事件再次出现。自从上次被攻击之后,再也没有出现类似的攻击事件。
案例二:市场活动黑产测试库存刷新时间
1. 风险事件时间:2018 年 11 月 27 日、12 月 1 日、12 月 3 日
2. 风险事件现象:大量用户在每日 0 点都抢购同一个活动的同一个产品,并且抢购的用户大部分是黑产用户,而且抢购后并不使用优惠券,但是每天会准时抢购。
3. 风险事件特征
• 抢券用户行为固定,都是在每日 0 点左右上线抢购,并且都是针对某一特定产品
• 抢券用户抢到优惠券后,并不使用,转化率极低
• 抢券用户大部分已经被识别出是黑产用户
(案例二:市场活动黑产刷库存)
4. 风控措施
• 监控到黑产动向之后,运营人员通知市场活动部门修改库存发放的时间,观察黑产下一步行为
• 将与黑产用户一起抢券的用户进行打标签操作,观察其后续用户行为。
5. 风控反馈
• 当活动修改库存发放时间为每日 10 点后,风控监控发现上午 10 点请求量和拦截量出现突增,并且与之前的用户 ID 相同,确认为团伙作案刷库存行为
• 将疑似用户 ID 全部加黑处理,拦截其参与活动,保护正常用户的权益不受影响。后续并未收到用户投诉,说明疑似用户识别正确
风控体系愿景
在未来的风控体系中:
(1)风控场景将继续以账号安全、业务反欺诈、内容安全为核心展开,从增强验证、模型分析、图片文本检测等维度提升识别风险的能力
(2) 风控规则将结合外部的威胁情报以及数据共享服务,更好的适应风控环境的变化,做到“随机应变”
(3)风控参数和措施将从现有专家经验的基础上,逐步丰富机器学习的能力,采用模型辅助工具,更好的保证规则合理、有效
(4)风控反馈将建立统一的监控业绩指标,标准化衡量风控体系的效用