3.2 防控体系构建
通过对反欺诈理念的不断实践,我们逐渐构建了一个三层的反欺诈防控体系,包含终端风控层、分析决策层和数据画像层,同时,威胁情报体系会贯穿这三层,其结构如图3.2所示。
图3.2 反欺诈防控体系
终端风控层主要由设备指纹、生物探针和智能验证码构成,其中最重要的一环是设备指纹。
设备指纹核心能力有以下两点:
· 采集设备硬件信息,使每一台移动设备成为唯一ID,这个ID 生成后不会因为用户对设备的日常使用而改变。
· 为每一台移动设备生成风险标签,标记这个设备潜在的业务风险,供分析决策使用。
生物探针通过采集终端的操作行为、传感器信息等数据综合建模,通过机器学习区分出操作业务的是自然人还是自动化工具。智能验证码则是一种常见的风控工具,本质上也是区分操作业务的是否为自然人。生物探针和智能验证码虽然功能大体一致,但是使用场景有所区别,前者适用于全业务场景检测是否是机器,后者适用于特定场景对抗机器批量行为,需要用户进行拖动、点击等交互操作。生物探针能够在应用后台自动识别人机,不影响用户交互,而智能验证码是一款有悖于用户交互体验的产品。利用生物探针的识别结果,对正常用户不会弹验证码,而对可疑用户才会发起挑战,两者结合使用能够在满足用户体验的前提下达到较好的风控效果。
分析决策层是各种数据、规则和模型汇总计算的中心。当一次业务请求被发送到决策引擎时,系统将业务数据、终端层采集的数据及生成的设备风险标签、系统风险数据标签等进行规则判断和模型运算,在极短的时间内判断是否阻断该次业务请求。对于一些可以事后判断的业务风险场景来说,后续由离线的风险决策系统进行事后判断。
分析决策层的实时指标计算系统为决策引擎的决策速度提供了重要的支撑。实时指标计算系统会根据决策引擎的策略配置情况,提前做好大量复杂的运算。例如,系统配置的某条策略可能需要计算某IP 在一个较长时间内出现的次数,并且分析出该IP 在此时间窗口内关联的用户账号的个数和风险分布情况。这类需要回溯过去一段时间的数据情况进行综合计算的策略,如果不提前计算好相关指标,那么决策引擎在判断风险时就会有非常大的时间开销,以至难以达到实时风控的效果。
风险态势感知系统侧重于宏观的统计分析,利用业务核心数据、设备信息及风险决策结果等各类数据,通过预置的分析算法模型进行实时、H+1、T+1多种周期组合的分析计算。其核心功能是感知、展示和预测整个业务体系的风险事件变化趋势。当风险决策结果发生非预期的波动时,运营人员就必须人工分析策略漏杀、误杀的情况。运营人员结合数据分析和底层的机器学习的离线计算结果更新风控模型,实时调整决策引擎的风险策略。在推动优化风险策略的同时,风险态势感知系统还可以对黑产攻击事件做预警。
数据画像层包括黑产攻击事件、黑手机号名单、IP 画像、设备画像。黑产使用的手机号、IP、手机设备等资源是相对有限的,会重复用于针对各个不同互联网平台的攻击活动。在为多个客户提供SaaS 防控的过程中,沉淀黑产风险数据形成画像体系是一个非常有效的“联防联控”技术手段。
欺诈情报体系作为贯彻整个流程的重要子系统,为整体的防控效果提供了“攻击者视角”的能力补充和评估。通过对黑产社区的监控、黑产动态的追踪和自动化分析研判,欺诈情报体系能够快速感知到防护体系中的弱点,驱动风控运营人员进行针对性的优化。黑产的攻击方式是不断变化的,防控策略也需要不断升级。