全鏈路風控解決方案深度解讀

一、網際網路化帶來的業務風控難題

網際網路社群內出現大量廣告水文，電商營銷活動中面臨薅羊毛、刷單等問題，航旅出行平臺遭遇大量惡意爬蟲，企業O2O推廣經費石沉大海……以上是各個行業的網際網路場景都會遭遇的業務難題。

在移動支付興起之後，越來越多企業增加了在網際網路業務上的投入，紅包返現、優惠券、免單券等“羊毛”越來越多，以考拉海購（原網易考拉）為例，全年大促就有10多次，比如：春節大促、元宵大促、618大促、818大促、雙11大促、雙12大促、黑五大促、聖誕大促、元旦大促、年底年貨節等。再加上大大小小的營銷活動、拉新活動等，全年的營銷費用多達10億元。

在營銷活動頻率如此頻繁、優惠力度如此之大的背景下，企業業務必然會遭遇到各類非正常使用者的威脅：羊毛黨和黑灰產。

羊毛黨：普通意義的羊毛黨主要是指關注與熱衷於“薅羊毛”的群體，是指那些專門選擇網際網路公司的營銷活動，以低成本甚至零成本換取高額獎勵的人。

黑灰產：羊毛黨的主要角色是“真人”，而黑灰產則主要側重於利用平臺漏洞、或者使用各種黑灰產資源，開發出各種自動化工具，比如手機黑卡、代理IP、群控平臺、改機工具等，從而實現投入資源少、套利變現快的目的。此類人群比羊毛黨的危害要大得多，國內至少有百萬級別的人從事黑灰產活動。

龐大的羊毛黨和黑灰產，再加上裝備精良的黑灰產武器，一般的企業都很難招架住。所以，對於企業而言，很容易出現以下的問題：

• 各種小號、垃圾賬號氾濫
• 撞庫攻擊、盜號、毀號、拖庫等
• 拉新10w留存率不到5%
• 百萬營銷費用，卻增加不了使用者粘性
• 投票票數差距非常懸殊
• 各種榜單被垃圾賬號佔領
• 實物獎勵被機器人領走
• 紅包被秒搶
• 下單不付款佔庫存
• 虛擬佔座
• 刷單炒信
• ……

二、傳統的防護手段

對手如此凶猛，而對於一般的企業而言，有哪些防護手段呢？比較常見的有：

1)IP封禁
一般的羊毛黨，或者是初入行的黑產小白來刷活動時，一般是使用相同的IP。其表現是：

• 同一個IP，在短時間內，非常頻繁的參與營銷活動；
• 同一個IP，在短時間內，非常頻繁的切換賬號。

因此，對於這種刷子，封禁高頻操作的IP，是一種效果非常明顯的手段。

2)使用者封禁

如果一個使用者違反業務規則，或者非常頻繁的參與營銷活動（比如：1s一次，累計操作50次）、或者只下單不成交（下單不成交佔資源、變現率非常低）等，即可封禁該使用者。

3)增加驗證碼

在註冊、登入，或者評價、投票、下單等場景，非常多的企業都增加了驗證碼的校驗。驗證碼主要用於區分人和機器，對於普通的刷子而言，驗證碼的效果非常好。

三、傳統防護手段的侷限性

通用的幾種防刷的手段，對普通的刷子效果比較明顯，而對於專業的黑灰產而言，不但效果不明顯，並且可能帶來其他問題：

• 誤殺真實使用者，同一個公司的人幾乎使用同一個出口IP，若將公司出口IP封禁，則整個公司的人都將無法正常使用；
• 使用者體驗不佳：驗證碼增加了使用者操作成本，並且非常多的驗證碼為了應對破解，可辨識度非常差，使用者體驗非常不好。

因此，一個比較好的風控解決方案，不僅要考慮使用者體驗，同時又要兼顧效果，需要考慮很多方面，比如：

• 最好對使用者是無感知的；
• 最好能識別作弊的裝置和經過改機軟體篡改過的裝置；
• 最好能識別機器作弊的一些行為，從行為軌跡上進行識別和攔截；
• 最好能識別作弊的IP；
• 最好能識別作弊的手機號、賬號。

四、網易易盾是怎麼做業務風控的？

基於以上的出發點，易盾開發了全鏈路風控解決方案，包括三大部分：事前預防、事中檢測處置、事後分析回饋。

事前預防：通過資料採集收集使用者側資訊、通過業務規則來限定參與活動的門檻、通過身份核驗來確認使用者身份等手段，防止風險事件的發生。

事中檢測處置：通過實時線上的手段來檢測風險，並做相應的風險處置，防止風險事件的發生。

事後分析回饋：基於長週期的離線資料分析，計算使用者側、裝置側、IP側、業務側的各種風險特徵，並作用於事前風控和事中風控。

1.1事前預防

事前預防主要有三個層面的事項：資料採集、業務規則、身份核驗。

a)資料採集

在業務活動的各個階段，都需要埋點採集資料，主要有裝置指紋、操作行為、網路資料、業務資料、第三方資料等。採集的資料主要用於事中的風險監測和事後的離線分析。

b)業務規則

在制定營銷活動時，必須制定完備的業務規則，必須要有相應的活動門檻和限制，例如：

• 使用者群體限制：定義哪些型別的使用者能參與活動，指定清晰的分界線。比如：電商大促經常出現的神券，可以限制賬戶等級>3、年度內購物次數>2才能領取等等。
• APP版本限制：定義哪些APP版本能參與，比如：拉新活動要求必須使用最新版APP註冊才給獎勵。
• 參與次數限制：明確定義賬戶級、裝置級、實名資訊級能參與活動的上限和參與活動的頻率等。

c)身份核驗

身份核驗主要是為了確保是使用者自己來參與活動，主要手段包括：

• 手機簡訊校驗；
• 驗證碼校驗；
• 密碼校驗；
• 密保問題校驗；
• 本機校驗：校驗手機號對應的SIM卡是否在當前裝置中使用；
• 實名認證，有三種：1）身份證OCR校驗；2）身份證OCR、人臉校驗；3）身份證OCR、活體檢測；

• 個人資訊。

1.2 事中檢測處置

事中檢測主要依賴人機識別、風控引擎、風險處置三個手段。

a)  人機識別

人機識別主要區分是人，還是機器自動化的行為。客戶端與後端的資料互動過程中，增加如下的資料保護手段，一旦發現資料有問題，則都是機器行為。

• 資料合法性校驗
• 資料加解密
• 資料篡改檢測

b)風控引擎

事中檢測的核心工具就是風控引擎，風控引擎主要的工作是識別風險，一般的風控引擎都需要如下幾個功能：

• 名單服務：建立黑、白、灰名單；
• 畫像服務：建立基於IP、手機號、賬戶等層級的畫像服務；
• 指標計算：一般包括高頻類統計、求和、計數、求平均值、求最大值、求最小值等等；
• 風控模型：基於採集到的資料，建立風控模型，比如：裝置模型、行為模型、業務模型等；
• 規則引擎：最終的風控資料進入規則引擎，由規則引擎判斷是否存在風險。風控運營需基於業務建立各種風控規則，以識別風險。

c)風險處置

識別到風險之後，需要對風控進行處置，處置手段一般有：

• 二次校驗：比如，正常使用者無需二次校驗，有風險的使用者需再次校驗手機簡訊等；
• 攔截：拒絕當前業務操作；
• 降低獎勵：比如，正常使用者的獎勵金是1元，風險使用者獎勵金是0.01元；
• 拉黑：直接進黑名單；
• 名單監控：進灰名單監控；
• 風險稽核：進入人工稽核，比如：電商場景的訂單業務，一般嫌疑類風險訂單，都會安排人工稽核。

1.3 事後分析回饋

事後主要是做離線分析，分析結果可作用於事中實時檢測和事前預防。對於T+N的業務（比如：拉新獎勵金提現），離線分析之後，若識別出風險，也可以做攔截（拒絕此次提現）。

離線分析主要有幾個方面：

• 離線指標：基於長週期、大資料的離線指標計算；
• 關聯分析：基於前後關聯業務、關聯資料做關聯分析，識別風險使用者、風險操作；
• 複雜網路：基於使用者資料、裝置資料、網路資料、業務資料，建立複雜關係網路，基於資料與資料之間的關係，來識別風險；
• 模型訓練：基於機器學習、深度學習技術來構建業務模型、裝置模型、行為模型，或文字類模型（異常地址檢測、異常暱稱檢測）等；
• 名單庫：通過離線分析，積累、沉澱各種名單庫；
• 資料畫像：基於離線分析，對賬戶、IP、裝置、手機號等構建資料畫像。

1.4 全鏈路布控

全鏈路風控解決方案另一個非常重要的過程是：全鏈路布控。若只是構建了全鏈路風控模型（工具），未做全鏈路部署，那也是大材小用。

全鏈路布控主要要做到：

• 多業務佈防：在業務的各個環節都需布控防刷手段，一般的營銷活動都需先註冊、登入，再參與營銷活動。所以，可以在註冊、登入、營銷活動各個環境都布控風控檢測。
• 聯防聯控：前置業務為後置業務產出事前特徵，避免後置業務風控檢測冷啟動；後置業務為前置業務提供事後特徵，比如：準實時、中長週期的風險特徵。

五、結束語

羊毛黨和黑灰產是一群非常活躍的群體，只要有利可圖（獲利、引流等）他們便如蝗蟲一般湧入，給企業帶來非常大的經濟損失。

但如此強大的黑灰產，也並非無懈可擊，他們的動機很純粹，即：獲利。只要投入產出比不高，他們便不會“戀戰”，便會轉戰其他投入產出比更高的平臺。

所以，風控防刷的主要目的是提高刷子的成本，當然，其中不乏各種策略對抗。通過構建全鏈路風控方案和多業務聯防聯控的解決機制，便能逐步提高刷子的成本，最終讓刷子“望而卻步”。