淺談風(fēng)控的架構(gòu)

淺談風(fēng)控的架構(gòu)其實(shí)不同行業(yè)，不同領(lǐng)域的風(fēng)控還是有很大區(qū)別的，這里只針對典型刷量，刷榜，不當(dāng)獲利等類型的網(wǎng)絡(luò)行為，進(jìn)行風(fēng)控體系的一些基本架構(gòu)。當(dāng)然，時(shí)代與時(shí)俱進(jìn)，有些新的思路可能已經(jīng)超出我的認(rèn)知，也歡迎批判指正。1、數(shù)據(jù)預(yù)警當(dāng)業(yè)務(wù)數(shù)據(jù)有比較明顯波動(dòng)的時(shí)候，無論是往好的方向，還是壞的方向，都應(yīng)該立即提示預(yù)警，這個(gè)波動(dòng)范圍是多少呢？對于巨大的互聯(lián)網(wǎng)平臺而言，超過5%的同比變化很可能就是一個(gè)預(yù)警閾值，但對于很多創(chuàng)業(yè)小團(tuán)隊(duì)來說，可能大幅度變動(dòng)比較頻繁，閾值可以設(shè)置的高一些。我做個(gè)假設(shè)，如果你是微信產(chǎn)品經(jīng)理，你發(fā)現(xiàn)今天在沒有產(chǎn)品升級，沒有熱點(diǎn)新聞的情況下，朋友圈的瀏覽和轉(zhuǎn)發(fā)增加了5%，你會(huì)認(rèn)為這是自然增長么？多半你會(huì)暗罵一句，媽蛋，又是什么裂變套路失控了。來，思考題，為什么微信不遺余力的絞殺各種裂變運(yùn)營？裂變難道不是數(shù)據(jù)向好么？這是一個(gè)典型的風(fēng)控認(rèn)知問題。曾經(jīng)，人人網(wǎng)會(huì)認(rèn)為這是好數(shù)據(jù)，所以它死掉了。數(shù)據(jù)預(yù)警不代表一定存在問題，但快速甄別和判斷是需要的，正確理解數(shù)據(jù)變動(dòng)的原因，并快速確認(rèn)，這是一個(gè)風(fēng)控需要處理的問題。數(shù)據(jù)預(yù)警不只是總量信息的預(yù)警，比如來自于某個(gè)特征的數(shù)據(jù)突然激增，也是需要關(guān)注并確認(rèn)的，比如某個(gè)地區(qū)的訪問量突然激增，或者某種設(shè)備的訪問量突然激增，就很可能來自于某些刷機(jī)的機(jī)池。至于怎么分析數(shù)據(jù)異常，以前提過，對比、細(xì)分、溯源，我這三板斧可以解決絕大部分的數(shù)據(jù)異常定位問題。2、風(fēng)控的處置引擎處置引擎用于對數(shù)據(jù)進(jìn)行清洗，過濾和阻斷。處置引擎的處理策略包括實(shí)時(shí)處理和回溯處理。實(shí)時(shí)處理就是針對當(dāng)前的操作，當(dāng)前的行為進(jìn)行判定，并實(shí)時(shí)進(jìn)行標(biāo)簽，過濾或阻斷?；厮萏幚砭褪菍v史數(shù)據(jù)做分析，并做出合理的判斷和處理，比如清洗數(shù)據(jù)，或者常見的砍單。標(biāo)簽的意思是，系統(tǒng)懷疑這個(gè)數(shù)據(jù)有問題，先標(biāo)記下來，后續(xù)人工校驗(yàn)。過濾的意思是，這個(gè)數(shù)據(jù)系統(tǒng)認(rèn)為無效，不予記錄，但用戶仍然可以有效的進(jìn)行操作和交互。阻斷的意思就是，這個(gè)行為被認(rèn)定無效，用戶交互被阻斷。3、規(guī)則配置處置引擎通常是基于規(guī)則進(jìn)行處理的，那么規(guī)則的配置就是一個(gè)典型的系統(tǒng)。典型如黑名單，比如符合什么條件的被阻斷，符合什么條件的記錄要被清洗，符合什么條件的記錄打標(biāo)簽。這里有兩種常見規(guī)則，一種是針對單條信息基于明確的規(guī)則阻斷，比如來自于黑名單的ip不予訪問。另一種是基于某些統(tǒng)計(jì)規(guī)律進(jìn)行清洗，比如來自同一個(gè)ip區(qū)段的重復(fù)點(diǎn)擊超過閾值后不再記錄。4、機(jī)器學(xué)習(xí)在古早互聯(lián)網(wǎng)，規(guī)則的產(chǎn)生是來自于針對歷史經(jīng)驗(yàn)教訓(xùn)的總結(jié)，一個(gè)資深的風(fēng)控基于日志分析和過往被侵襲的記錄，逐條設(shè)置規(guī)則，防范欺詐點(diǎn)擊或其他不當(dāng)?shù)美?。但現(xiàn)在不一樣了，機(jī)器學(xué)習(xí)開始逐漸替代人工，自動(dòng)基于一些壞記錄，整理規(guī)則，甚至超出人類的常識。而這些規(guī)則，很多時(shí)候，是可做，不可說的，比如說，某個(gè)現(xiàn)金貸平臺，基于歷史的壞賬記錄，機(jī)器學(xué)習(xí)總結(jié)出一條規(guī)律來，身份證號碼前幾位是什么什么數(shù)字的，壞賬率明顯偏高，那么這個(gè)規(guī)律就被寫入了風(fēng)控規(guī)則庫。那你說是不是有誤殺，機(jī)器關(guān)心的整體效率，比如整體壞賬率2%，而符合這個(gè)規(guī)則的壞賬率是10%，10%已經(jīng)會(huì)導(dǎo)致平臺嚴(yán)重虧損，所以加入這條規(guī)則，雖然會(huì)誤殺掉符合條件的90%的好人，平臺也是愿意的。為什么可做不可說的，你講出來，這叫什么，地域歧視，你憑什么說人家這個(gè)地區(qū)的就是壞人。你畢竟誤殺了90%的好人對不對，但這是機(jī)器學(xué)習(xí)做出來的，所以，可做，不可說。5、情報(bào)體系風(fēng)控的負(fù)責(zé)人員，核心人員，應(yīng)該加入一些安全行業(yè)的內(nèi)部社群，參與一些安全行業(yè)的交流活動(dòng)，甚至還需要滲透到各種羊毛黨群，各種黑灰產(chǎn)社群，潛伏了解一些流傳的攻擊手段和攻擊資源。我以前說過一句話，一個(gè)公司的信息安全，三分靠技術(shù)，七分靠人脈，今天還是要重復(fù)這個(gè)觀點(diǎn)，真的。有人覺得我能力強(qiáng)，水平高，我不混圈子。信息安全，風(fēng)控這個(gè)行業(yè)水很深，可能你的平臺被某些對手搞了很久，圈內(nèi)都知道了，就你不知道。這種事其實(shí)挺常見的，早些年那個(gè)空空狐創(chuàng)業(yè)者，自稱被投資人欺負(fù)的那個(gè)，數(shù)據(jù)是因?yàn)橛薮赖难a(bǔ)貼策略，被信用卡套現(xiàn)的羊毛黨薅出來的，各種社群都在交流，就創(chuàng)業(yè)者自己不知道，還覺得自己業(yè)務(wù)數(shù)據(jù)挺好。6、業(yè)務(wù)影響評估風(fēng)控也不是越嚴(yán)格越好，因?yàn)檫^度嚴(yán)格的風(fēng)控會(huì)把業(yè)務(wù)搞死。今天我們說商旅行業(yè)羊毛黨仍然有很多玩法和路數(shù)，那些商業(yè)巨頭難道不清楚？為什么航空公司，酒店集團(tuán)，對積分里程的各種羊毛玩法沒有斬盡殺絕，水至清則無魚啊，讓會(huì)員總覺得有便宜可以賺，也是一種維持用戶增長的途徑。所以各種風(fēng)控策略上線后，依然要基于數(shù)據(jù)不斷評估和反思，是不是某些策略所處理的問題已經(jīng)不那么嚴(yán)重，誤殺率是不是有點(diǎn)過高，對正常用戶的行為是不是造成了干擾，可能特殊階段會(huì)有比較嚴(yán)格的策略，那么這個(gè)階段過去后，相關(guān)的策略是否可以減弱甚至取消？風(fēng)控其實(shí)有兩個(gè)指標(biāo)，第一是對不良行為的清洗，阻斷率，是不是真正有效的讓那些干擾和噪音不再影響業(yè)務(wù)和決策者的判斷。第二是對正常業(yè)務(wù)的干擾率，風(fēng)控不可能是完全精確的，任何一條策略都可能干擾到正常用戶行為和正常業(yè)務(wù)數(shù)據(jù)。那么這個(gè)影響是否可以控制在足夠小的范圍內(nèi)。這是要經(jīng)常反思和分析的，千萬不要被業(yè)務(wù)負(fù)責(zé)人過來追著罵的時(shí)候，才想起來這里可能有問題。大體如此，實(shí)際細(xì)節(jié)還是非常多的，而且還不敢展開，一展開就暴露我的無知了。搜索“對比，細(xì)分，溯源”的闡述，網(wǎng)上翻到一篇舊文，這篇文章是我寫的，100%是我寫的，