一、網際網路化帶來的業務風控難題
網際網路社群內出現大量廣告水文,電商營銷活動中面臨薅羊毛、刷單等問題,航旅出行平臺遭遇大量惡意爬蟲,企業O2O推廣經費石沉大海……以上是各個行業的網際網路場景都會遭遇的業務難題。
在移動支付興起之後,越來越多企業增加了在網際網路業務上的投入,紅包返現、優惠券、免單券等“羊毛”越來越多,以考拉海購(原網易考拉)為例,全年大促就有10多次,比如:春節大促、元宵大促、618大促、818大促、雙11大促、雙12大促、黑五大促、聖誕大促、元旦大促、年底年貨節等。再加上大大小小的營銷活動、拉新活動等,全年的營銷費用多達10億元。
在營銷活動頻率如此頻繁、優惠力度如此之大的背景下,企業業務必然會遭遇到各類非正常使用者的威脅:羊毛黨和黑灰產。
羊毛黨:普通意義的羊毛黨主要是指關注與熱衷於“薅羊毛”的群體,是指那些專門選擇網際網路公司的營銷活動,以低成本甚至零成本換取高額獎勵的人。
黑灰產:羊毛黨的主要角色是“真人”,而黑灰產則主要側重於利用平臺漏洞、或者使用各種黑灰產資源,開發出各種自動化工具,比如手機黑卡、代理IP、群控平臺、改機工具等,從而實現投入資源少、套利變現快的目的。此類人群比羊毛黨的危害要大得多,國內至少有百萬級別的人從事黑灰產活動。
龐大的羊毛黨和黑灰產,再加上裝備精良的黑灰產武器,一般的企業都很難招架住。所以,對於企業而言,很容易出現以下的問題:
- 各種小號、垃圾賬號氾濫
- 撞庫攻擊、盜號、毀號、拖庫等
- 拉新10w留存率不到5%
- 百萬營銷費用,卻增加不了使用者粘性
- 投票票數差距非常懸殊
- 各種榜單被垃圾賬號佔領
- 實物獎勵被機器人領走
- 紅包被秒搶
- 下單不付款佔庫存
- 虛擬佔座
- 刷單炒信
- ……
二、傳統的防護手段
對手如此兇猛,而對於一般的企業而言,有哪些防護手段呢?比較常見的有:
1)IP封禁
一般的羊毛黨,或者是初入行的黑產小白來刷活動時,一般是使用相同的IP。其表現是:
- 同一個IP,在短時間內,非常頻繁的參與營銷活動;
- 同一個IP,在短時間內,非常頻繁的切換賬號。
因此,對於這種刷子,封禁高頻操作的IP,是一種效果非常明顯的手段。
2)使用者封禁
如果一個使用者違反業務規則,或者非常頻繁的參與營銷活動(比如:1s一次,累計操作50次)、或者只下單不成交(下單不成交佔資源、變現率非常低)等,即可封禁該使用者。
3)增加驗證碼
在註冊、登入,或者評價、投票、下單等場景,非常多的企業都增加了驗證碼的校驗。驗證碼主要用於區分人和機器,對於普通的刷子而言,驗證碼的效果非常好。
三、傳統防護手段的侷限性
通用的幾種防刷的手段,對普通的刷子效果比較明顯,而對於專業的黑灰產而言,不但效果不明顯,並且可能帶來其他問題:
- 誤殺真實使用者,同一個公司的人幾乎使用同一個出口IP,若將公司出口IP封禁,則整個公司的人都將無法正常使用;
- 使用者體驗不佳:驗證碼增加了使用者操作成本,並且非常多的驗證碼為了應對破解,可辨識度非常差,使用者體驗非常不好。
因此,一個比較好的風控解決方案,不僅要考慮使用者體驗,同時又要兼顧效果,需要考慮很多方面,比如:
- 最好對使用者是無感知的;
- 最好能識別作弊的裝置和經過改機軟體篡改過的裝置;
- 最好能識別機器作弊的一些行為,從行為軌跡上進行識別和攔截;
- 最好能識別作弊的IP;
- 最好能識別作弊的手機號、賬號。
四、網易易盾是怎麼做業務風控的?
基於以上的出發點,易盾開發了全鏈路風控解決方案,包括三大部分:事前預防、事中檢測處置、事後分析回饋。
事前預防:透過資料採集收集使用者側資訊、透過業務規則來限定參與活動的門檻、透過身份核驗來確認使用者身份等手段,防止風險事件的發生。
事中檢測處置:透過實時線上的手段來檢測風險,並做相應的風險處置,防止風險事件的發生。
事後分析回饋:基於長週期的離線資料分析,計算使用者側、裝置側、IP側、業務側的各種風險特徵,並作用於事前風控和事中風控。
1.1事前預防
事前預防主要有三個層面的事項:資料採集、業務規則、身份核驗。
a)資料採集
在業務活動的各個階段,都需要埋點採集資料,主要有裝置指紋、操作行為、網路資料、業務資料、第三方資料等。採集的資料主要用於事中的風險監測和事後的離線分析。
b)業務規則
在制定營銷活動時,必須制定完備的業務規則,必須要有相應的活動門檻和限制,例如:
- 使用者群體限制:定義哪些型別的使用者能參與活動,指定清晰的分界線。比如:電商大促經常出現的神券,可以限制賬戶等級>3、年度內購物次數>2才能領取等等。
- APP版本限制:定義哪些APP版本能參與,比如:拉新活動要求必須使用最新版APP註冊才給獎勵。
- 參與次數限制:明確定義賬戶級、裝置級、實名資訊級能參與活動的上限和參與活動的頻率等。
c)身份核驗
身份核驗主要是為了確保是使用者自己來參與活動,主要手段包括:
- 手機簡訊校驗;
- 驗證碼校驗;
- 密碼校驗;
- 密保問題校驗;
- 本機校驗:校驗手機號對應的SIM卡是否在當前裝置中使用;
- 實名認證,有三種:1)身份證OCR校驗;2)身份證OCR、人臉校驗;3)身份證OCR、活體檢測;
1.2 事中檢測處置
事中檢測主要依賴人機識別、風控引擎、風險處置三個手段。
a) 人機識別
人機識別主要區分是人,還是機器自動化的行為。客戶端與後端的資料互動過程中,增加如下的資料保護手段,一旦發現資料有問題,則都是機器行為。
b)風控引擎
事中檢測的核心工具就是風控引擎,風控引擎主要的工作是識別風險,一般的風控引擎都需要如下幾個功能:
- 名單服務:建立黑、白、灰名單;
- 畫像服務:建立基於IP、手機號、賬戶等層級的畫像服務;
- 指標計算:一般包括高頻類統計、求和、計數、求平均值、求最大值、求最小值等等;
- 風控模型:基於採集到的資料,建立風控模型,比如:裝置模型、行為模型、業務模型等;
- 規則引擎:最終的風控資料進入規則引擎,由規則引擎判斷是否存在風險。風控運營需基於業務建立各種風控規則,以識別風險。
c)風險處置
識別到風險之後,需要對風控進行處置,處置手段一般有:
- 二次校驗:比如,正常使用者無需二次校驗,有風險的使用者需再次校驗手機簡訊等;
- 攔截:拒絕當前業務操作;
- 降低獎勵:比如,正常使用者的獎勵金是1元,風險使用者獎勵金是0.01元;
- 拉黑:直接進黑名單;
- 名單監控:進灰名單監控;
- 風險稽核:進入人工稽核,比如:電商場景的訂單業務,一般嫌疑類風險訂單,都會安排人工稽核。
1.3 事後分析回饋
事後主要是做離線分析,分析結果可作用於事中實時檢測和事前預防。對於T+N的業務(比如:拉新獎勵金提現),離線分析之後,若識別出風險,也可以做攔截(拒絕此次提現)。
離線分析主要有幾個方面:
- 離線指標:基於長週期、大資料的離線指標計算;
- 關聯分析:基於前後關聯業務、關聯資料做關聯分析,識別風險使用者、風險操作;
- 複雜網路:基於使用者資料、裝置資料、網路資料、業務資料,建立複雜關係網路,基於資料與資料之間的關係,來識別風險;
- 模型訓練:基於機器學習、深度學習技術來構建業務模型、裝置模型、行為模型,或文字類模型(異常地址檢測、異常暱稱檢測)等;
- 名單庫:透過離線分析,積累、沉澱各種名單庫;
- 資料畫像:基於離線分析,對賬戶、IP、裝置、手機號等構建資料畫像。
1.4 全鏈路布控
全鏈路風控解決方案另一個非常重要的過程是:全鏈路布控。若只是構建了全鏈路風控模型(工具),未做全鏈路部署,那也是大材小用。
全鏈路布控主要要做到:
- 多業務佈防:在業務的各個環節都需布控防刷手段,一般的營銷活動都需先註冊、登入,再參與營銷活動。所以,可以在註冊、登入、營銷活動各個環境都布控風控檢測。
- 聯防聯控:前置業務為後置業務產出事前特徵,避免後置業務風控檢測冷啟動;後置業務為前置業務提供事後特徵,比如:準實時、中長週期的風險特徵。
五、結束語
羊毛黨和黑灰產是一群非常活躍的群體,只要有利可圖(獲利、引流等)他們便如蝗蟲一般湧入,給企業帶來非常大的經濟損失。
但如此強大的黑灰產,也並非無懈可擊,他們的動機很純粹,即:獲利。只要投入產出比不高,他們便不會“戀戰”,便會轉戰其他投入產出比更高的平臺。
所以,風控防刷的主要目的是提高刷子的成本,當然,其中不乏各種策略對抗。透過構建全鏈路風控方案和多業務聯防聯控的解決機制,便能逐步提高刷子的成本,最終讓刷子“望而卻步”。