臨近雙十一，頂象特別策劃了雙十一風險防控系列主題直播內容，為各企業雙十一業務保駕護航。

10月27日下午15:00，頂象資深策略專家安心就業務安全風控策略的實操要點為大家做了詳盡的介紹，主要從四個維度展開，即風控體系搭建所需要的平臺，決策引擎的底層架構功能、策略專家必備的三個能力、風控策略的實操流程、產品如何配合風控策略。

決策引擎功能如何配置？

在第二期《業務安全平臺架構》直播課程中，我們介紹過業務安全技術的演進趨勢——黑灰產的攻擊手段是隨著業務安全的攻防技術不斷更新迭代的。

2014 年以前黑灰產的攻擊手段主要以批次序號產生器、暴力破解器等為主，此時的業務安全技術則處在一個被動風險運營階段，即事件觸發被動型風險運營。

2015 年之後，黑灰產的攻擊手段更多轉向了打碼平臺、貓池等，此時的業務安全技術走向了主動風險運營階段，即專家團隊主動型風險運營。

2018年之後，黑灰產的攻擊手段也轉向了裝置智慧化方向，諸如一些智慧輔助工具（自動監控、搶單、鎖單）、雲手機裝置等等。此時業務安全也轉向了智慧化、自助化風險運營。

可以預測，未來5~8年內我們便可根據行業的風險資訊自動生成風控策略，人工只需稽核，甚至在某些風控防控層面，可以做到無需人工介入。

正如前文所說，安全對抗是一個持續投入、持續對抗和運營的過程。結合當前業務安全的對抗技術，一個完成鏈路的風控體系，應該具備情報、端加固、裝置指紋、決策引擎、驗證類產品以及機器學習產品。

其中，決策引擎涉及到產品策略規則的部署執行，也叫做決策平臺/風控平臺。

風控引擎基於裝置指紋流計算等技術可以毫秒級的輸出決策結果，也可以透過視覺化方式呢，去配置防控策略，它是構建業務安全體系的一個重要平臺。

作為支撐構建業務安全體系的重要平臺，需要具備以下幾個功能：

按照從右往左的順序，我們依次來看。

最左邊是裝置指紋埋點。對於電商行業的業務安全防控來說，裝置維度的策略在整個防控安全體系中是比較重要的。

決策引擎的底層是一個規則引擎，主要是用來執行策略裡的規則。

指標中心是一個可以根據實時資料來源進行實時計算的技術，例如在策略規則中常用到的一些變數，近一分鐘同使用者訪問次數。

風險視覺化主要是將策略運營分析過程中可能要用到的一些資料維度、圖表等進行產品化，為運營人員分析提效。例如風險地域的分佈、風險趨勢圖和命中top展示。

策略實驗室則是滿足多種不同來源的資料演練。當策略上線時，我們可以透過策略實驗室進行策略規則測試。

模型管理主要是對接本地的模型，在策略中呼叫模型的一些能力。

名單管理則會實時沉澱一些線上的資料到名單。比如手機號黑名單，IP黑名單，策略也會經常要用到名單資料。

監控中心主要是進行資料回放，線上的一些風險資料的抽樣，資料分析調優會應用到。

案件中心主要是解決，但有一些風險請求，有一些可疑或者是疑似的請求時，我們可以放到案件中心去進一步分析。

許可權管理主要是要滿足多個部門的一些業務需求，然後進行部門間的資料隔離。

系統管理主要是系統的基礎功能，涉及到賬號管理、許可授權等。

最右邊是對接自有模型平臺和資料服務的能力，這是一個比較完整的決策引擎它所應該具備的一些功能點。

接下來我們來看一下引擎和業務系統客戶端之間的互動模式。

首先客戶端向業務系統發起請求，業務系統會將請求所包含的一些相關資訊提交給到決策引擎，決策引擎會根據事先部署的一些規則邏輯去執行，然後返回風險等級給到業務系統，業務系統會結合風險等級給客戶返回一個請求結果。

一般而言，引擎會返回的風險會分成三種，一種就是低風險，相當於無風險，比如說業務系統收到了無風險請求，使用者就可以正常訪問。反之，如果收到的是高風險請求，那麼可能會拒絕使用者訪問。如果引擎返回的是中風險，那麼就需要複審——最常見的是客戶端彈出驗證碼，客戶驗證後，業務系統會根據驗證結果來判斷是否要返回什麼樣的請求結果。

策略人員應該具備的三大能力

整體而言，策略人員應該具備三大能力。

1、行業知識儲備能力

知識儲備顧名思義就是要有一定的行業知識背景。如需要熟悉行業業務節點的常規業務流程、各個場景可能存在的業務風險、黑灰產工具、攻擊行為資料特徵、掌握業內對抗黑產的各種安全產品的功能及區別點，並且要持續關注行業動態。

以電商行業為例，業務分類主要分為以下五種。

第一種就是推廣作弊，對應的業務場景有App下載啟用，主要是推廣渠道流量作弊的風險，黑產利益點主要是獲取推廣費用。前期調研期間，最好要把黑產攻擊目的以及變現鏈路搞清楚。

第二種是賬號安全，主要涉及到註冊登入場景，常見的有批次註冊、批次養號、盜號、批次獲取會員獎勵、批次操控賬號變現。

第三種是營銷風控場景，一般營銷場景的黑產，手裡都會有大量的會員賬號，所以我們在做這個場景的風控方案的時候，建議接入註冊登入場景，這樣一來，我們就可以做到聯防聯控，把註冊登入場景的一些風險資料給到營銷場景去呼叫。

常見的營銷場景有簽到領券抽獎、秒秒殺和積分活動，主要是存在同人批次領取刷的一些風險。

第四種是資料訪談，第五種是訂單保護，這裡就不展開說明了。

2、資料分析能力。

熟練Excel、SQL、python等資料分析工具。

資料分析的目的是提取風險特徵，實現策略迭代，達到更精確的風險識別。簡言之就是提高準確率，提高召回，減少誤差。

Excel要儘量去熟練使用資料分析工具和函式，比如資料透視啊，圖表製作、批次資料合併等。

SQL要去熟悉SQL語言基本的查詢語句以及函式，能夠獨立完成基礎資料的查詢。

Python，熟悉Python的語言，掌握批次資料清洗和視覺化圖表的製作。

在策略運營階段，要用到資料分析的型別主要有以下幾種：

一是總結階段，總結一般會按照周、月、季度為週期，我們需要週期性資料。

二是活動總結，一般以活動的時長為週期資料，一個活動的總結類資料分析報告。

三是業務風險感知類分析，需要針對業務感知到的一些異常使用者的行為進行分析，輸出資料分析報告，比如說有一些營銷活動設定了領券任務，有的使用者他可能會在很短的時間內就達到了領券標準，業務人員可能會希望針對這種，就是特別快速就能獲取到的這種使用者進一步分析，看是不是存在一些作弊行為。

四是突發異常事件，指的就是線上異常波動，針對異常資料，就要需要進一步分析，快速定位原因，比如在沒有推廣助力的情況下，註冊場景的使用者數突然間激增，那我們就需要針對激增的這些資料進一步分析。

3、風險控制意識。

風險控制意識指的是風險預警的能力。要具備行業風險的敏感度，善於捕捉各環節的異常的指標，並且要對異動進行分析，對異警進行追蹤，面對異常能夠快速定位問題，分析原因，給出解決方案，並且推動落地。

風控意識是綜合能力的要求。例如監管敏感度，就是需要及時瞭解國家監管政策。

風控策略實操流程

風控策略實操流程大致可以分為五個階段。

1、需求調研階段。

業務需求階段主要參與團隊是業務運營團隊和風控策略團隊。

業務需求調研主要從以下三個維度去展開調研。

一是基礎資訊，如端型別，我們需要需求產品的端型別是什麼，不同的端風險防控是有區別的。還有就是業務場景和需求，比如大型活動的活動護航需求、日常的防控需求、針對黑產的對抗需求。

二是業務資訊，不僅需要了解業務內容、流程、規則，參與門檻以及業務資料。

舉個簡單的例子。

活動A是針對購買了某品牌車的車主來舉辦的活動，日參與流量在100人左右，獎品是滿減券，可以在商城購物。

活動B是針對於全量的手機號註冊使用者，日常流量呢在10萬左右。獎品是無門檻的大額券，從這兩個業務資訊，我們其實就可以簡單的推測出活動A對於黑產來說，參與門檻高，獲利低，可以推斷出該活動當前的風險是比較低的。

而活動B對於黑產來說，參與門檻低，它只要手機號就可以獲利高，並且獎品是無門檻的大額券，所以黑產來薅羊毛的風險會相對偏高。這就需要我們基於調研的資訊做風險的評估。

三是風控現狀，例如現有的防控方式和防控效果是什麼樣的，它是否有一些黑產樣本的積累，是否沉澱了黑產特徵，是否要結合這些去做策略的呼叫。

在明確需求之後，策略負責人還需要結合業務情況，輸出風險評估和解決方案思路。

2、策略開發階段。

首先，我們要對業務可傳引數進行欄位衍生。

以領券場景為例，常見的傳參欄位會有六個，但如果我們只用這六個維度去定製策略，那明顯是不夠的，我們需要對欄位進行初步解析。

比如透過裝置指紋產品，我們可以解析出裝置端的一些風險型別，還可以對它的指紋脫進行風險校驗。

再比如手機號。手機號常見的解析維度有IP風險分、手機號歸屬地、解析不同號段。

可以看到透過解析後，我們可用的維度就變得豐富了。

但是光有欄位解析還不夠，還需要進行進一步的變數衍生。指標變數衍生常見的組合方式是統計時間維度+統計引數+統計函式。

最後，制定策略的維度，常見的策略維度我們可以分成五種型別。

第一種是基礎對抗，主要是識別黑產裝置、黑產工具、黑產行為的專家規則類，比如像裝置端風險批次養號行為、裝置多地跳轉行為等。

第二種是業務規則，主要是業務活動的限制參與門檻。

第三種是資料產品，應用比較多的是手機號黑名單和IP風險名單。

第四種本地名單，比如歷史沉澱的一些資料應用。

最後是應急模式，最主要的就是要提前預製好規則，在特殊突突發情況的時可以實現一鍵降級或者一鍵升級。

3、測試上線。

常見的測試方式有三種。

一是初步按照測試資料模擬，一般是在一個測試環境中進行的，檢查規則是否能夠正常執行。

二是線上資料空跑，對接線上資料，但不對接處置，結合風險命中情況評估策略上限以及對業務的影響。

三是策略的灰度上限，灰度的比例一般是從小到大切換，在這個環節決策引擎產品可以透過以下產品功能來支撐。

比如策略實驗室，它可以使用線上的實時資料、歷史資料或者是自定義資料進行測試。

策略上線完成後，整個風控體系就搭建起來了，上線後業務最關心的問題就來了——誤攔截和防不住。

針對誤攔截，我們需要以下幾個產品功能來支撐，一個是剛提到的策略實驗室上線前先用線上的實時資料來測試，對測試結果進行分析和評估，第二是灰度上線我們要可以提前發現問題的一個能力，第三是策略免疫功能，就是當出現了問題，我們要有功能可以針對指定策略執行，最後要有名單功能，一旦發現這種case，我們要有一個加白的機制，避免按鍵升級。

除了產品功能以外，我們還需要有一個事前事中事後的使用者分層的運營機制。

針對防不住的問題，運營過程要有策略閉環迭代的機制，從啟動資料到資料的應用策略的迭代進行閉環，透過資料閉環的迭代機制，不斷更新反控策略，提高風險覆蓋和召回。

綜上，風控策略的這些功能可以幫助企業大大縮短策略的落地週期，還可以幫助運營高效的分析資料。

最後再給大家簡單介紹下頂象業務安全大講堂。

頂象業務安全大講堂彙集了業內大咖，分享萬億級業務安全攻防經驗，打造時下最專業的業務安全直播課，透過“技術+方案+實踐”三大核心專題，帶您全面瞭解金融、網際網路、航旅出行、跨境電商以及目前大熱的NFT等各類業務風險及防範手段，深入解析背後的產品技術，抽絲剝繭攻防實戰，助您打造零風險的數字業務。

下期直播將由頂象資料科學家翼龍帶來主題為《關聯網路在業務安全場景中的應用》的直播課程，敬請期待！