網易易盾首席產品風控官imlolo分享對社交業務安全風控的認知和思考

2020年3月28日晚，安在新媒體攜手網易共同舉辦了安在講堂網路安全公益講座第一季特別專場，以“泛社交業務安全風控”為主題，進行了深入的探討和分享。網易易盾首席產品風控官imlolo、愷英網路資訊保安總監楊曉東、VIPKID業務安全專家馮博圍繞著活動主題發表各自的見解和看法。

本文記錄了網易易盾首席產品風控官imlolo在公益講座時所做的分享（完整嘉賓分享，請見：安在講堂 | 直播實錄：泛社交業務安全風控大家談），具體請見如下：

話題一：我們常說業務安全很重要，但到底怎麼理解業務安全，有無確切定義？或者誰來定義？業務部門還是安全部門？

imlolo：我認為業務安全其實是沒有確切定義的，往大了說，業務在運營過程中涉及的所有安全問題都統稱為業務安全。這與安全部門控制風險，治理問題，保障業務安全運營的職能有很大關係。
安全部門需要從落實政策角度出發，而站在業務的角度，需要考慮的是使用者體驗，運營平衡，考慮業務發展，比如是否存在薅羊毛的行為，對平臺產生資損，是否存在虛假註冊，拉低平臺的使用者質量等。所以為了解決不同的問題，我們逐步剝離出內容安全、網路安全、移動安全，由專業的人負責更垂直的事情，而其他圍繞業務產生的新安全問題統稱為業務安全，也叫業務風控。當然，從治理的角度，解決方法可以是交叉、序列的，比如業務風控部門也有可能解決內容安全的問題，具體就看各個公司的業務情況及內部分工了。

所以總的來說，業務安全是沒有明確定義的，但是它緊貼業務，根據新風險不斷加強治理能力是一定的。未來，業務安全能解決的問題也將越來越具體，越來越場景化。

話題二：疫情當下，這樣的黑天鵝，對網際網路業務為主的企業有怎樣的影響？

imlolo：對於我們所服務的廠商多是文娛社交產品來說，業務影響並不是很大，因為使用者線上時間變多，訪問量活躍度都有大幅提升。但是對我們業務風控部門來說，支援業務的壓力變大了。

這次疫情對我的最大的啟發就是，各個企業中的風控部門平時就需要對緊急情況進行準備，尤其是積累建設業務風控能力非常重要，主要分為以下幾個方面：

第一個是治理經驗，體現在配合各類業務營銷活動的經驗沉澱。在面對突發情況，我們需要快速配合業務部門上線風控策略，這裡面涉及到對活動規則的安全審計，對活動玩法的風險評控，以及制定的風控策略對使用者體驗的平衡。如果我們已經具備積累多場景多玩法的活動風控案例，那在這個環節上就可以事半功倍。

其次是平臺能力，各類營銷活動同時接入，我們的業務安全人員只需簡單的互動操作，就能完成對應活動玩法的風控模型配置，解放業務安全人員機械式的對接活動的工作；

最後是系統的冗餘處理能力，面對DAU的瘋狂上漲，風控系統需要具備動態擴容的能力，來輕鬆應對高併發流量。所以這場疫情，對業務風控部門是一個不小的挑戰。所幸，易盾依靠平時的積累，關鍵時刻，這塊做的還是挺不錯的。

話題三：請各位嘉賓分享一下，在各自熟悉的領域，業務安全問題有哪些典型場景和案例（對網易這樣成熟的網際網路企業來講，業務安全風控經驗？）？

imlolo：回答這個問題必須要先談風險的源頭——黑色產業鏈，黑產現在已經是一個完整的產業鏈了，17年的時候已經達到150萬人。為了獲取更多的利益，黑產也在不斷的優化他們的攻擊模式和團隊分工。根據網易易盾灰黑產研究，黑產根據供求關係，分為上下游，上游主要負責生產和提供各類黑產資源。相關角色包括：卡商（號商）、黑產工具開發者；下游包括接碼平臺、賬號代售平臺、刷量工作室、刷手等。

根據不同的作弊方式，利益越高，風險越大。從危害角度，一般主要分為資金風險和影響運營平衡。資金風險主要是以薅羊毛和欺詐為主；薅羊毛是指利用平臺規則漏洞，用非法手段獲取平臺利益，灰黑產會通過大量搶佔平臺資源，倒賣低價商品賺取差價獲利；欺詐主要是誘騙行為居多。

而下面這些主要是破壞社群氛圍，嚴重影響使用者體驗的：

1、刷量：通過機器手段，人為干涉熱度，比如高閱讀量、高訪問量、高關注量、高點贊量、高投票量等，來營造“熱門“、”優質“的假象；

2、引流：在UGC場景下比較多，目的通過批量刷屏來增加曝光概率，惡意搶佔熱門資源的行為。

​

接下來給大家分享幾個遇到過的案例： 

案例一：拉新活動引入傳銷玩法平臺損失嚴重：客戶找到我們時，有如下問題——一個是註冊拉新被薅羊毛，另外個則是平臺內容安全治理能力有限。我們分析了之後發現：活動的玩法很誘人，他們引入了傳銷玩法（A 邀請 B，B 的消費 A 可以提成），平臺資損將更大。黑產的攻擊手段：是通過手機黑卡，利用批量註冊手段（改機軟體+自動化工具），在平臺批量註冊新號，來謀取不當獎勵。

案例二：因為使用者關注問題導致新功能流產：非社交的產品為了增加使用者粘性，引入了交友功能，第一期上線關注功能。上線不到一週，運營收到使用者投訴，主要是使用者一開啟App，私信列表中一堆關注者打招呼，而使用者並沒有做任何曝光的行為。使用者被騷擾嚴重，甚至懷疑是平臺的“運營手段”。使用者反饋直斥：平臺用力過猛。

上面介紹的幾個案例，最終的影響是平臺大量使用者流失，在風控體系沒有建立的情況下，業務為了增長設計的新活動、新玩法都留不住使用者。

那麼，怎麼解決這些問題呢？加強風控能力建設，完善風控體系。結合網易易盾的實踐經驗，這裡給大家介紹方法：貼合業務流程的全鏈路風控。大家看下業務流程圖：

設計思路：遵循使用者行為路徑，在各個業務節點進行防控，這樣的好處是可以定位每一個可能產生異常行為的業務節點，並且針對每個節點的風險去治理，最終實現風控治理的效果。比如：加好友環節，使用者行為路徑是：註冊→登入→發私信，那麼遵循使用者的行為路徑在各個業務節點進行埋點、風控檢測。

其中，風險檢測包括：

a、當使用者註冊時，分析這次註冊是否為正常註冊，如果產生機器註冊、批量註冊、小號註冊等異常行為，需要針對賬戶或相關資源進行高危標記。如果判斷不了，資料留存轉入登入環節進行判斷；b、當使用者登入時，分析登入行為是否異常，是否是批量登入、撞庫攻擊、暴力破解、養號登入等。如果是，增加二次校驗，或者做出標記流轉至釋出環節進行判斷；

c、當使用者發私信時，判斷內容和使用者的釋出行為是否異常。如果異常則阻止釋出或者進行二次驗證，並且將資料同步至全部節點作為特徵輔助。

​

可以看到，我們沒有在一個業務節點中去解決所有的安全問題，而是從整個業務流程出發，將使用者的行為按照業務節點進行拆分，在每一個業務節點都針對性的布控，從面到點，再從點到面，這樣就達到了各個擊破的效果。這種方法在黑產每一個動作上都產生了影響，因為黑產追求高效，在業務流程上的行為上是分散的，這與他們的團隊分工有關。因此，對黑產而言，在每一個節點上的流轉都是向利益轉化更近一步，業務流程越靠後，黑產特徵就會越來越明顯，危害也越大。所以黑產想完全破解這樣的風控策略成本會變得非常高，這也是為什麼全鏈路風控會起到比較好的風控效果的主要原因。

總結一下：

1、業務風控是一場持久戰，只有當黑產的投入成本高於收益時，對抗才會逐漸減少。這個時候黑產會向另外的高流量產品進行轉移，如此迴圈……所以業務風控切入點是提升黑產成本；

2、根據黑產畫像，黑灰產成本由人和資源組成。黑產資源主要由工具、具有唯一性的裝置、賬號、身份資訊等組成，從可控性來講，打擊黑產資源更可控。即提升黑產的攻擊成本，對具有唯一性的裝置、賬號、身份資訊進行打擊，使它不會為黑產帶來利益，所以風控的治理核心打擊黑產資源；

3、處罰思路上：輕管控、重檢測、快迭代。在註冊、登入等環節對異常賬號進行標記，但不處罰，在每一個業務節點將上一環節的檢測結果向下輸送，直至在末端場景中或UGC場景中阻斷風險行為；

4、全鏈路風控的好處：保護使用者體驗；提高黑產試錯成本，提升風控效果。

話題四：業務安全未來有沒有新思路、新方法、新技術？

imlolo：首先是統一的安全架構。隨著企業不斷推進資訊化，業務和資料逐步中臺化，業務安全將變得越來越重要，面對的挑戰也來越複雜，業務風控中臺積極整合內外資源是未來趨勢。

其次是業務安全上的投入將會越來越多。業務安全的重要性體現在體系化的建設，它的核心是業務驅動，貼合業務輸出的風險場景，並針對這些風險場景建設風控體系，可以說是千人千面的。因此，業務風控團隊需要有足夠多的經驗，解決的問題足夠多，無論是風險預判能力，對業務流程的風控治理能力，還是風控技術的創新能力等，可以預見到業務安全的投入將會越來越多。

在未來，風控也將會跟隨政策、跟隨業務越來越精細化，業務風控部門任重而道遠。除了持續加強自身建設外，選擇一個乃多個外部安全合作伙伴，實現”業務安全經驗融合的雙保險機制“將會是個選擇。網易安全風控的工具也不是全部自建輪子，在反作弊這塊我們有比較好的優勢，擁有比較豐富的業務風控運營經驗，依託運營經驗產生的近億級體量特徵庫，以及應對風險問題的技術能力。比如全鏈路分析進行資料圖譜關聯、專門研究人機差異的生物行為模型、還有適配業務定製需求的規則引擎等技術手段，目前已在上百個應用中得到實踐，也歡迎大家採用我們的服務，目前是免費開放的（傳送門：網易易盾反作弊服務2020全年免費，限額100家，抓緊搶佔！）。 

問答：

問：網易易盾的反作弊和其他同類產品有什麼獨特優勢？

imlolo：主要還是依託於我們服務網易產品時深入業務各個環節所積累的經驗；其次依託大廠公司的技術優勢、資源優勢，在深入解決某些問題的時候會交付更快。當然，我們對每一家安全廠商都是非常尊重的，希望未來也能加強業內交流，共同建設風控能力。

問：嘉賓們的公司是如何評估反作弊工作的價值的？和其他部門協同時有什麼經驗？

imlolo：我認為反作弊其實是一種檢測手段，它更擅長對抗黑灰產工具，識別非法請求。但是我們不可能指望一種檢測手段就解決所有問題，所以在全鏈路的風控方案中，根據各個業務節點所產生的風險，有針對性的選擇治理方案是比較合適的做法。而這其中，需要業務部門儘可能的提供業務資料，使得風險特徵更加清晰，從而形成比較全面的風控方案。像今天介紹的類似案例，其實還有很多，比如聊天室搶紅包、充值風險、直播場景使用者側風險和主播側風險產生的水軍、返點、套現等。總之玩法取決於業務，所以業務資料是必不可少的。

問：我們公司懷疑有羊毛黨刷單，但如何精準定位，不誤傷正常使用者？網易有什麼經驗嗎？

Imlolo：首先我們需要承認的是，風控是幫助業務降低風險，提升安全性，但凡事都有兩面性，是沒有辦法做到100%準確的。但是我們需要理解業務部門的保護使用者的心情，常規的做法是增加線上策略查驗環節，會在註冊、登入、業務場景各個節點進行埋點，上游節點一般對賬號進行標記，流入到場景中作為輔助條件判斷；其次增加一些二次驗證，尤其是對於無法得出準確結論的，例如增加驗證碼等二次確認方式；第三對於風控部門來說，不斷通過上下游資料的交叉驗證來迭代策略的準確率是持之以恆的工作。

點選免費搶佔網易易盾反作弊服務。