临近双十一,顶象特别策划了双十一风险防控系列主题直播内容,为各企业双十一业务保驾护航。
10月27日下午15:00,顶象资深策略专家安心就业务安全风控策略的实操要点为大家做了详尽的介绍,主要从四个维度展开,即风控体系搭建所需要的平台,决策引擎的底层架构功能、策略专家必备的三个能力、风控策略的实操流程、产品如何配合风控策略。
决策引擎功能如何配置?
在第二期《业务安全平台架构》直播课程中,我们介绍过业务安全技术的演进趋势——黑灰产的攻击手段是随着业务安全的攻防技术不断更新迭代的。
2014 年以前黑灰产的攻击手段主要以批量注册机、暴力破解器等为主,此时的业务安全技术则处在一个被动风险运营阶段,即事件触发被动型风险运营。
2015 年之后,黑灰产的攻击手段更多转向了打码平台、猫池等,此时的业务安全技术走向了主动风险运营阶段,即专家团队主动型风险运营。
2018年之后,黑灰产的攻击手段也转向了设备智能化方向,诸如一些智能辅助工具(自动监控、抢单、锁单)、云手机设备等等。此时业务安全也转向了智能化、自助化风险运营。
可以预测,未来5~8年内我们便可根据行业的风险信息自动生成风控策略,人工只需审核,甚至在某些风控防控层面,可以做到无需人工介入。
正如前文所说,安全对抗是一个持续投入、持续对抗和运营的过程。结合当前业务安全的对抗技术,一个完成链路的风控体系,应该具备情报、端加固、设备指纹、决策引擎、验证类产品以及机器学习产品。
其中,决策引擎涉及到产品策略规则的部署执行,也叫做决策平台/风控平台。
风控引擎基于设备指纹流计算等技术可以毫秒级的输出决策结果,也可以通过可视化方式呢,去配置防控策略,它是构建业务安全体系的一个重要平台。
作为支撑构建业务安全体系的重要平台,需要具备以下几个功能:
按照从右往左的顺序,我们依次来看。
最左边是设备指纹埋点。对于电商行业的业务安全防控来说,设备维度的策略在整个防控安全体系中是比较重要的。
决策引擎的底层是一个规则引擎,主要是用来执行策略里的规则。
指标中心是一个可以根据实时数据源进行实时计算的技术,例如在策略规则中常用到的一些变量,近一分钟同用户访问次数。
风险可视化主要是将策略运营分析过程中可能要用到的一些数据维度、图表等进行产品化,为运营人员分析提效。例如风险地域的分布、风险趋势图和命中top展示。
策略实验室则是满足多种不同来源的数据演练。当策略上线时,我们可以通过策略实验室进行策略规则测试。
模型管理主要是对接本地的模型,在策略中调用模型的一些能力。
名单管理则会实时沉淀一些线上的数据到名单。比如手机号黑名单,IP黑名单,策略也会经常要用到名单数据。
监控中心主要是进行数据回放,线上的一些风险数据的抽样,数据分析调优会应用到。
案件中心主要是解决,但有一些风险请求,有一些可疑或者是疑似的请求时,我们可以放到案件中心去进一步分析。
权限管理主要是要满足多个部门的一些业务需求,然后进行部门间的数据隔离。
系统管理主要是系统的基础功能,涉及到账号管理、许可授权等。
最右边是对接自有模型平台和数据服务的能力,这是一个比较完整的决策引擎它所应该具备的一些功能点。
接下来我们来看一下引擎和业务系统客户端之间的交互模式。
首先客户端向业务系统发起请求,业务系统会将请求所包含的一些相关信息提交给到决策引擎,决策引擎会根据事先部署的一些规则逻辑去执行,然后返回风险等级给到业务系统,业务系统会结合风险等级给客户返回一个请求结果。
一般而言,引擎会返回的风险会分成三种,一种就是低风险,相当于无风险,比如说业务系统收到了无风险请求,用户就可以正常访问。反之,如果收到的是高风险请求,那么可能会拒绝用户访问。如果引擎返回的是中风险,那么就需要复审——最常见的是客户端弹出验证码,客户验证后,业务系统会根据验证结果来判断是否要返回什么样的请求结果。
策略人员应该具备的三大能力
整体而言,策略人员应该具备三大能力。
1、行业知识储备能力
知识储备顾名思义就是要有一定的行业知识背景。如需要熟悉行业业务节点的常规业务流程、各个场景可能存在的业务风险、黑灰产工具、攻击行为数据特征、掌握业内对抗黑产的各种安全产品的功能及区别点,并且要持续关注行业动态。
以电商行业为例,业务分类主要分为以下五种。
第一种就是推广作弊,对应的业务场景有App下载激活,主要是推广渠道流量作弊的风险,黑产利益点主要是获取推广费用。前期调研期间,最好要把黑产攻击目的以及变现链路搞清楚。
第二种是账号安全,主要涉及到注册登录场景,常见的有批量注册、批量养号、盗号、批量获取会员奖励、批量操控账号变现。
第三种是营销风控场景,一般营销场景的黑产,手里都会有大量的会员账号,所以我们在做这个场景的风控方案的时候,建议接入注册登录场景,这样一来,我们就可以做到联防联控,把注册登录场景的一些风险数据给到营销场景去调用。
常见的营销场景有签到领券抽奖、秒秒杀和积分活动,主要是存在同人批量领取刷的一些风险。
第四种是数据访谈,第五种是订单保护,这里就不展开说明了。
2、数据分析能力。
熟练Excel、SQL、python等数据分析工具。
数据分析的目的是提取风险特征,实现策略迭代,达到更精确的风险识别。简言之就是提高准确率,提高召回,减少误差。
Excel要尽量去熟练使用数据分析工具和函数,比如数据透视啊,图表制作、批量数据合并等。
SQL要去熟悉SQL语言基本的查询语句以及函数,能够独立完成基础数据的查询。
Python,熟悉Python的语言,掌握批量数据清洗和可视化图表的制作。
在策略运营阶段,要用到数据分析的类型主要有以下几种:
一是总结阶段,总结一般会按照周、月、季度为周期,我们需要周期性数据。
二是活动总结,一般以活动的时长为周期数据,一个活动的总结类数据分析报告。
三是业务风险感知类分析,需要针对业务感知到的一些异常用户的行为进行分析,输出数据分析报告,比如说有一些营销活动设置了领券任务,有的用户他可能会在很短的时间内就达到了领券标准,业务人员可能会希望针对这种,就是特别快速就能获取到的这种用户进一步分析,看是不是存在一些作弊行为。
四是突发异常事件,指的就是线上异常波动,针对异常数据,就要需要进一步分析,快速定位原因,比如在没有推广助力的情况下,注册场景的用户数突然间激增,那我们就需要针对激增的这些数据进一步分析。
3、风险控制意识。
风险控制意识指的是风险预警的能力。要具备行业风险的敏感度,善于捕捉各环节的异常的指标,并且要对异动进行分析,对异警进行追踪,面对异常能够快速定位问题,分析原因,给出解决方案,并且推动落地。
风控意识是综合能力的要求。例如监管敏感度,就是需要及时了解国家监管政策。
风控策略实操流程
风控策略实操流程大致可以分为五个阶段。
1、需求调研阶段。
业务需求阶段主要参与团队是业务运营团队和风控策略团队。
业务需求调研主要从以下三个维度去展开调研。
一是基础信息,如端类型,我们需要需求产品的端类型是什么,不同的端风险防控是有区别的。还有就是业务场景和需求,比如大型活动的活动护航需求、日常的防控需求、针对黑产的对抗需求。
二是业务信息,不仅需要了解业务内容、流程、规则,参与门槛以及业务数据。
举个简单的例子。
活动A是针对购买了某品牌车的车主来举办的活动,日参与流量在100人左右,奖品是满减券,可以在商城购物。
活动B是针对于全量的手机号注册用户,日常流量呢在10万左右。奖品是无门槛的大额券,从这两个业务信息,我们其实就可以简单的推测出活动A对于黑产来说,参与门槛高,获利低,可以推断出该活动当前的风险是比较低的。
而活动B对于黑产来说,参与门槛低,它只要手机号就可以获利高,并且奖品是无门槛的大额券,所以黑产来薅羊毛的风险会相对偏高。这就需要我们基于调研的信息做风险的评估。
三是风控现状,例如现有的防控方式和防控效果是什么样的,它是否有一些黑产样本的积累,是否沉淀了黑产特征,是否要结合这些去做策略的调用。
在明确需求之后,策略负责人还需要结合业务情况,输出风险评估和解决方案思路。
2、策略开发阶段。
首先,我们要对业务可传参数进行字段衍生。
以领券场景为例,常见的传参字段会有六个,但如果我们只用这六个维度去定制策略,那明显是不够的,我们需要对字段进行初步解析。
比如通过设备指纹产品,我们可以解析出设备端的一些风险类型,还可以对它的指纹脱进行风险校验。
再比如手机号。手机号常见的解析维度有IP风险分、手机号归属地、解析不同号段。
可以看到通过解析后,我们可用的维度就变得丰富了。
但是光有字段解析还不够,还需要进行进一步的变量衍生。指标变量衍生常见的组合方式是统计时间维度+统计参数+统计函数。
最后,制定策略的维度,常见的策略维度我们可以分成五种类型。
第一种是基础对抗,主要是识别黑产设备、黑产工具、黑产行为的专家规则类,比如像设备端风险批量养号行为、设备多地跳转行为等。
第二种是业务规则,主要是业务活动的限制参与门槛。
第三种是数据产品,应用比较多的是手机号黑名单和IP风险名单。
第四种本地名单,比如历史沉淀的一些数据应用。
最后是应急模式,最主要的就是要提前预制好规则,在特殊突突发情况的时可以实现一键降级或者一键升级。
3、测试上线。
常见的测试方式有三种。
一是初步按照测试数据模拟,一般是在一个测试环境中进行的,检查规则是否能够正常执行。
二是线上数据空跑,对接线上数据,但不对接处置,结合风险命中情况评估策略上限以及对业务的影响。
三是策略的灰度上限,灰度的比例一般是从小到大切换,在这个环节决策引擎产品可以通过以下产品功能来支撑。
比如策略实验室,它可以使用线上的实时数据、历史数据或者是自定义数据进行测试。
策略上线完成后,整个风控体系就搭建起来了,上线后业务最关心的问题就来了——误拦截和防不住。
针对误拦截,我们需要以下几个产品功能来支撑,一个是刚提到的策略实验室上线前先用线上的实时数据来测试,对测试结果进行分析和评估,第二是灰度上线我们要可以提前发现问题的一个能力,第三是策略免疫功能,就是当出现了问题,我们要有功能可以针对指定策略执行,最后要有名单功能,一旦发现这种case,我们要有一个加白的机制,避免按键升级。
除了产品功能以外,我们还需要有一个事前事中事后的用户分层的运营机制。
针对防不住的问题,运营过程要有策略闭环迭代的机制,从启动数据到数据的应用策略的迭代进行闭环,通过数据闭环的迭代机制,不断更新反控策略,提高风险覆盖和召回。
综上,风控策略的这些功能可以帮助企业大大缩短策略的落地周期,还可以帮助运营高效的分析数据。
最后再给大家简单介绍下顶象业务安全大讲堂。
顶象业务安全大讲堂汇集了业内大咖,分享万亿级业务安全攻防经验,打造时下最专业的业务安全直播课,通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT等各类业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻防实战,助您打造零风险的数字业务。
下期直播将由顶象数据科学家翼龙带来主题为《关联网络在业务安全场景中的应用》的直播课程,敬请期待!