移動數(shù)字金融與電子商務(wù)反欺詐白皮書

．．移動數(shù)字金融與電子商務(wù)反欺詐．．，白皮書 ．，．．．． ．．．．．．．．．移動數(shù)字金融與電子商務(wù)反欺詐白皮書移動數(shù)字金融與電子商務(wù)反欺詐白皮書PAGE\*ROMANPAGE\*ROMANV目錄圖目錄 VI表目錄 VIII一、移動數(shù)字金融與電子商務(wù)中的欺詐現(xiàn)狀 1移動數(shù)字金融與電子商務(wù)欺詐概述 1營銷活動欺詐 2渠道流量欺詐 3虛假用戶裂變欺詐 5盜取信息欺詐 6惡意交易欺詐 6金融支付欺詐 7網(wǎng)絡(luò)刷單欺詐 7電信欺詐 8網(wǎng)貸欺詐 9優(yōu)質(zhì)內(nèi)容爬取欺詐 9移動數(shù)字金融和電子商務(wù)領(lǐng)域的反欺詐場景 10移動用戶的身份判斷 10移動欺詐的狀況評估 11移動欺詐的行為判斷 12數(shù)字欺詐對我國經(jīng)濟的影響與分析 12當(dāng)前網(wǎng)絡(luò)欺詐的現(xiàn)狀 12移動互聯(lián)網(wǎng)欺詐的模型和結(jié)果分析 13二、黑產(chǎn)欺詐態(tài)勢分析 19黑產(chǎn)欺詐問題當(dāng)前態(tài)勢 19欺詐在移動業(yè)務(wù)中的趨勢和特點 29行為模式：“被動”變?yōu)椤爸鲃印?30安全漏洞：“碎片”變?yōu)椤跋到y(tǒng)” 31商業(yè)邏輯：“孤島”變?yōu)椤叭诤稀?31變現(xiàn)邏輯：“量變”變?yōu)椤百|(zhì)變” 33迭代速度：“緩慢”變?yōu)椤把杆佟?34三、移動數(shù)字金融和電子商務(wù)領(lǐng)域的反欺詐方案 35現(xiàn)有反欺詐方案面臨的挑戰(zhàn) 35全棧式實時反欺詐方案 36全場景識別體系 37全路徑實時布控體系 37全方位策略體系 39全流程運營體系 39移動設(shè)備唯一性甄別實時反欺詐方案 40賬號識別及保護反欺詐方案 41營銷活動反欺詐方案 41網(wǎng)絡(luò)安全/提供風(fēng)控方案 42互聯(lián)網(wǎng)金融反欺詐方案 42四、反欺詐的技術(shù)與效果評估 45反欺詐技術(shù)體系架構(gòu) 45接入層 46業(yè)務(wù)邏輯層 47決策層 47基礎(chǔ)引擎層 47模型數(shù)據(jù)層 48基礎(chǔ)平臺層 48管理層 49反欺詐技術(shù)詳解 49反欺詐情報體系 49設(shè)備指紋技術(shù) 49實時決策引擎（規(guī)則引擎）技術(shù) 55知識圖譜 56有監(jiān)督機器學(xué)習(xí)技術(shù) 58無監(jiān)督機器學(xué)習(xí)技術(shù) 60實時畫像引擎技術(shù) 61實時統(tǒng)計引擎技術(shù) 64可信ID技術(shù) 65運營商風(fēng)控技術(shù)實踐 66運營商業(yè)務(wù)風(fēng)控系統(tǒng) 66通信數(shù)據(jù)在風(fēng)控中的應(yīng)用 68反欺詐效果驗證與評估 70事前評估 70事中分析 71事后評估 72五、移動業(yè)務(wù)反欺詐的挑戰(zhàn)及展望 75反欺詐的困難和挑戰(zhàn) 75業(yè)務(wù)風(fēng)險不確定性分散 75風(fēng)控效果不可判斷性高 75認知盲區(qū)不認知性強 75追求數(shù)據(jù)美觀不務(wù)實性多 76反欺詐未來展望 76加強技術(shù)升級優(yōu)化 76基礎(chǔ)共性技術(shù)開源 78構(gòu)建產(chǎn)業(yè)協(xié)作組織 78推動完善法制建設(shè) 79附錄A：移動互聯(lián)網(wǎng)欺詐模型推演 80附錄B：RETE算法詳解 81PAGE\*ROMANPAGE\*ROMANVIII圖目錄圖1營銷活動反欺詐示例 3圖2渠道流量反欺詐示例 4圖3虛假用戶裂變反欺詐示例 5圖4網(wǎng)絡(luò)刷單欺詐示例 8圖5反欺詐擴散模型示例 14圖6支付詐騙趨勢（中國信息通信研究院） 20圖7惡意機器流量趨勢（CNNIC） 20圖8黑產(chǎn)廣告造成的人均損失《2018年網(wǎng)絡(luò)詐騙趨勢研究報告》21圖9詐騙場景示例 22圖10黑產(chǎn)手法及設(shè)備 22圖11黑產(chǎn)態(tài)勢 23圖12黑產(chǎn)鏈條示例 23圖13全棧實時反欺詐方案 37圖14全路徑實時布控體系 38圖15全流程閉環(huán)策略體系 40圖16反欺詐技術(shù)流程體系 45圖17反欺詐云架構(gòu) 46圖18設(shè)備指紋的作用 50圖19虛擬機示例 51圖20安卓和蘋果設(shè)備信息篡改示例 52圖21多開軟件示例 53圖22RETE算法 56圖23知識圖譜示例 57圖24黑產(chǎn)知識圖譜建模 58圖25無監(jiān)督學(xué)習(xí) 60圖26實時畫像數(shù)據(jù)流轉(zhuǎn)示意圖 62圖27實時畫像架構(gòu)圖 63圖28實時統(tǒng)計引擎示意圖 64圖29運營商業(yè)務(wù)風(fēng)控系統(tǒng) 67圖30通信大數(shù)據(jù)優(yōu)勢 69圖31反欺詐效果評估體系 72表目錄表1電子商務(wù)及欺詐市場明細 16表2擬合參數(shù)結(jié)果 16表3預(yù)測損失結(jié)果 16表4欺詐損失GDP占比預(yù)測 17表5策略動態(tài)配置示例 55表6風(fēng)險控制與管控策略對應(yīng)表 72移動數(shù)字金融與電子商務(wù)反欺詐白皮書移動數(shù)字金融與電子商務(wù)反欺詐白皮書PAGEPAGE17一、移動數(shù)字金融與電子商務(wù)中的欺詐現(xiàn)狀移動數(shù)字金融與電子商務(wù)欺詐概述金融和商品交易是現(xiàn)代經(jīng)濟體系的核心。隨著信息技術(shù)的發(fā)展，以網(wǎng)貸平臺為例，截止2018年末，累計出現(xiàn)問題的平臺數(shù)量超過4000家，占網(wǎng)貸平臺總量的70%以上。而在電子商務(wù)領(lǐng)域，根據(jù)P在2017年10月發(fā)布的一份全球電子商務(wù)欺詐報告，電商欺詐將導(dǎo)致全球電商市場在2017年損失580億美元。在此背后的500PC互聯(lián)網(wǎng)承載的業(yè)務(wù)，都在逐步向移動端拓展。而其在整個移具體而言當(dāng)前的移動欺詐主要包括以下幾種形式：營銷活動欺詐在營銷活動欺詐中，存在羊毛黨和黃牛黨兩種關(guān)鍵角色。圖1營銷活動反欺詐示例l羊毛黨：操縱大量賬號仿冒新用戶，參與營銷活動，獲取優(yōu)惠券獎勵?；蛘咄ㄟ^收取費用代人下單，從而獲取利益。l黃牛黨：操縱大量賬號參與營銷活動，活動購買資格，購買渠道流量欺詐渠道流量欺詐指，黑灰產(chǎn)利用技術(shù)手段仿冒移動應(yīng)用新增用戶，獨自或與第三方推廣平臺合作，共同騙取移動互聯(lián)網(wǎng)應(yīng)用（App）市場運營成本的場景。據(jù)數(shù)美科技統(tǒng)計，2017AppApp7.8%AppApp11%～12%201711～13目前，隨著移動互聯(lián)網(wǎng)的高速發(fā)展，渠道流量作弊也呈現(xiàn)出快速增長的趨勢。圖2渠道流量反欺詐示例l 機刷：通過批量地虛擬機、篡改設(shè)備等手段，刷安裝激活；l 人刷：通過做獎勵任務(wù)形式，人肉刷安裝激活；l 木馬刷：通過感染移動設(shè)備，在正常手機后臺偷偷刷下載激活；l Appl IPl App率看起來正常；虛假用戶裂變欺詐虛假用戶裂變欺詐是指App采用“用戶裂變”的方式來進行推廣獲客時，黑產(chǎn)通過控制大量假賬號，騙取平臺拉新補貼的場景。AppApp圖3虛假用戶裂變反欺詐示例73-8盜取信息欺詐惡意交易欺詐金融支付欺詐POS機虛構(gòu)交易套現(xiàn)；將非法所得的資金轉(zhuǎn)移到第三方支付平臺賬戶，在線購買游戲點卡、比特幣、手機充值卡等物品，再對外銷售進行洗錢等活動。這些行為嚴重擾亂了金融和社會秩序。網(wǎng)絡(luò)刷單欺詐接利用軟件工具來實現(xiàn)對平臺玩家的粉絲數(shù)/評論數(shù)等多項指標(biāo)進行刷榜造假；與有需求用戶交易，從而謀取利益。圖4網(wǎng)絡(luò)刷單欺詐示例電信欺詐網(wǎng)貸欺詐產(chǎn)業(yè)鏈利用技術(shù)手段劫持互聯(lián)網(wǎng)貸款平臺信息惡意進行團伙欺詐行為。隨著互聯(lián)網(wǎng)+模式的深入各個行業(yè)，互聯(lián)網(wǎng)貸款市場也在不斷擴大，隨之而來的是大規(guī)模的線上逾期風(fēng)險和線上黑色產(chǎn)業(yè)野蠻生長。優(yōu)質(zhì)內(nèi)容爬取欺詐優(yōu)質(zhì)內(nèi)容爬取欺詐，是指通過網(wǎng)絡(luò)爬蟲（又稱網(wǎng)絡(luò)蜘蛛，按照某種規(guī)則在網(wǎng)絡(luò)上爬取所需內(nèi)容的腳本程序。對于被爬取內(nèi)容的各種資訊類App來說，損失非常巨大。這些\運營出的高質(zhì)量內(nèi)容，卻很快被爬蟲竊取，形同侵權(quán)。AppApp上的機票價格大都采IP需要在數(shù)據(jù)清洗時剔除……為模式上就越接近真人，也就更加增加數(shù)據(jù)分析時的難度。久而久之，移動數(shù)字金融和電子商務(wù)領(lǐng)域的反欺詐場景移動用戶的身份判斷APP和網(wǎng)站在注冊時都是需要利用手機號、IP等（618160萬次。虛假賬號的識別是反欺詐場景的基礎(chǔ)，也是企業(yè)對抗黑灰產(chǎn)的基礎(chǔ)。移動欺詐的狀況評估1001元的成本，在企業(yè)上線了很多策略后，黑灰產(chǎn)仍然能投入1元賺取100元的話，那說明這些策略的可以從以下幾個維度去判斷：虛假賬號量注冊風(fēng)險登錄風(fēng)險流量欺詐風(fēng)險內(nèi)容風(fēng)險活動風(fēng)險數(shù)據(jù)風(fēng)險設(shè)備風(fēng)險移動欺詐的行為判斷商平臺需要通過多維度特征加行為分析才能夠有效識別出刷單的欺詐行為。具，如“可信ID的風(fēng)險。1.3 數(shù)字欺詐對我國經(jīng)濟的影響與分析1.3.1 當(dāng)前網(wǎng)絡(luò)欺詐的現(xiàn)狀CNNIC8億，普及率超過609070％，100％，20%以上。CNNIC201830％以上的網(wǎng)民遭遇了個人信息泄漏，超過25％的用戶遭遇網(wǎng)上詐騙，23.819.2％的用戶賬號或密碼被盜。全年境內(nèi)感染病的移動毒終端累計超過3000萬臺，國內(nèi)被篡改網(wǎng)站累計超過7萬個，安全漏洞累計18901個，其中高危系統(tǒng)漏洞累計7654個，較2017年增長了31％。1.3.2 移動互聯(lián)網(wǎng)欺詐的模型和結(jié)果分析完成業(yè)務(wù)或服務(wù)，就構(gòu)成了欺詐行為。2所示：圖5反欺詐擴散模型示例（商家和用戶都可能成為欺詐者的行為模式（欺詐行為（移動互聯(lián)網(wǎng)的不同業(yè)務(wù)相互作用——一方面是在欺詐者數(shù)量S，欺詐所獲得的收益I的條件G(SI)。作為一個典型的反應(yīng)擴散模型，可以看到欺詐者數(shù)量S獲得的收益I濟行為一樣，無論是欺詐者數(shù)量S還是欺詐所獲得的收益I，都會隨（。具體推導(dǎo)過程可參照附錄A。書參與單位聯(lián)合提供的數(shù)據(jù)，首先我們統(tǒng)計出可疑賬號的數(shù)量，從2014年到2018年依次為330萬、412萬、534萬、723萬、1060萬。為了估算出從2014-2018年欺詐造成的總體（直接）損失，我們6533.13萬、3.98萬、4.51萬、4.24萬、3.31萬。表1電子商務(wù)及欺詐市場明細時間電子商務(wù)市場規(guī)模（萬億）數(shù)字金融市場規(guī)模（萬億）欺詐造成的損失（億）疑似欺詐者賬號數(shù)量（萬）單賬戶欺詐造成年均的損失（萬元）201412.68.110323303.13201516.911.216424123.98201619.315.724115344.51201722.416.130727234.24201825.217.2351310603.31不難看到，隨著疑似欺詐賬戶的增加，使得欺詐的同行“競爭”同時，根據(jù)上述數(shù)據(jù)對本本模型進行參數(shù)擬合，可以得到表2擬合參數(shù)結(jié)果參數(shù)pq數(shù)值0.0020.0130.150.31表3預(yù)測損失結(jié)果年份疑似欺詐者賬號數(shù)量（萬）單賬戶欺詐造成年均的損失（萬元）欺詐造成的總損失（億）201912503.093870202013103.935150202117403.415940202223003.087100從統(tǒng)計結(jié)果來看，2018年我國移動互聯(lián)網(wǎng)欺詐造成的損失大約GDP0.3%GDP6.5%的速度發(fā)20192022GDP的比例依次為4GDP占比預(yù)測年份2019202020212022欺詐造成的損失占GDP的比例0.4%0.5%0.55%0.61%注意實際情況中，還存在大量未被發(fā)現(xiàn)的欺詐賬號和欺詐行為，同時隨著我國數(shù)字經(jīng)濟的發(fā)展，新的業(yè)務(wù)和新的欺詐形式也可能同時出現(xiàn)。因此，在實際中欺詐造成的損失很可能比本文推算的更大。移動數(shù)字金融與電子商務(wù)反欺詐白皮書移動數(shù)字金融與電子商務(wù)反欺詐白皮書PAGEPAGE72二、黑產(chǎn)欺詐態(tài)勢分析黑產(chǎn)欺詐問題當(dāng)前態(tài)勢黑產(chǎn)從業(yè)人數(shù)高達1502015GDP比例多達4000圖6支付詐騙趨勢（中國信息通信研究院）圖7惡意機器流量趨勢（CNNIC）圖8黑產(chǎn)廣告造成的人均損失《2018年網(wǎng)絡(luò)詐騙趨勢研究報告》黑產(chǎn)無孔不入，損失巨大/4000圖9詐騙場景示例黑產(chǎn)作惡多端，手段多樣圖10黑產(chǎn)手法及設(shè)備黑產(chǎn)靈活多變，進化神速7*24圖11黑產(chǎn)態(tài)勢黑產(chǎn)鏈條完備，分工明確黑產(chǎn)上下游分工明確，形成了產(chǎn)業(yè)鏈。圖12黑產(chǎn)鏈條示例黑產(chǎn)情報QQ/微信群、電報群等。信息獲取后，就會有專門的業(yè)務(wù)滲透人員和腳本人員，了解分析清楚產(chǎn)品邏輯、必需資源和必要工具/腳本，厘清活動性質(zhì)，如是新賬號首單還是老賬號拉活，是否涉及地域性，是否涉及綁卡等。進而基于前期分析后做出相關(guān)操作決策，如充錢，屯號等，以確保在活動開始前，做好準備。核心資源獲取與基礎(chǔ)工具巧婦難為無米之炊，單個賬號能薅的羊毛通常會有產(chǎn)品限制，IP（1）賬號欺詐賬號的來源有兩個，一個是注冊，一個是盜號。批量惡意注冊需要批量手機號短信驗證碼，此類黑產(chǎn)分為幾代：第一代：虛擬運營商手機號，即170、171開頭的手機號。虛商從2013年發(fā)展至今，已有阿里、京東、蘇寧等幾十家機構(gòu)拿到了虛擬運營商牌照。虛擬卡主要應(yīng)用在臨時場景，辦卡門檻較低，因此受到了黑灰產(chǎn)網(wǎng)絡(luò)欺詐的青睞。盡管其成為較常見的黑產(chǎn)手機號來源，但因為識別簡單，防御起來門檻較低。（只能收短信0第三代：注冊時使用的手機資源還需要提升接碼效率，貓池+卡API冊欺詐提供了強有力的支持。第二個號碼來源是盜號，此類黑產(chǎn)同樣也在不斷變遷：/“洗庫”廠商轉(zhuǎn)型移動端。web端存在時，XSSCSRFcookie中登錄票據(jù)等私密信息的泄漏。在此類登錄票據(jù)的有效期內(nèi)，黑灰產(chǎn)可以利用此號碼+票據(jù)進行盜號，并引發(fā)出多次漏洞、蠕蟲惡意傳播事件。第三代：前述兩代是通過漏洞攻防安全技術(shù)作惡，技術(shù)門檻高，（每3“庫”進行暴力“撞庫”成了盜號的最省力方式，且性價比很高。（2）設(shè)備用戶設(shè)備是承載賬號的硬件載體，模擬/更換設(shè)備是黑灰產(chǎn)的基本方法，分為以下幾代：PC15-20個第三代：真手機設(shè)備篡改或多開。該類方法基于原生移動環(huán)境，通過改機工具來實現(xiàn)模擬換設(shè)備操作。當(dāng)今風(fēng)控廠商的設(shè)備風(fēng)險識別也基本可以識別到，門檻稍高。IPIPIP也是黑灰產(chǎn)必修課，手法分為以下幾代：第一代：ADSL撥號。通過一根網(wǎng)線反復(fù)撥號，可以撥到多個相IPADSL撥號雖然容易上手，但防御較容易。私密性較好，IP+行為邏輯可以進行防御。理IP良莠不齊，攻擊維護成本較高。VPSVPS性好，稍有規(guī)模的VPS撥號廠商，可支持幾十個省份上百個城市地域幾十萬IP的混撥更換，是目前黑灰產(chǎn)使用的主流換IP模式。黑產(chǎn)業(yè)務(wù)工具l 打碼平臺l 腳本按鍵精靈+腳本，看似簡單，但實際上是流程控制的核心，根據(jù)l 工具l 模擬器l 改機軟件IMEIGPSMACl 貓池貓池是將相當(dāng)數(shù)量的Modem使用特殊的撥號請求接入設(shè)備連接變現(xiàn)及套利欺詐在移動業(yè)務(wù)中的趨勢和特點20184G用戶的11移動終端的功能不斷增強，減少了用戶操作的復(fù)雜度，使得用戶隨時“用戶畫像”?？梢?，移動互聯(lián)網(wǎng)服務(wù)的發(fā)展一方面為用戶帶來了便捷，另一方發(fā)展帶來更大的負面影響。安全漏洞是在應(yīng)用中軟件協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存（App）上。對于傳統(tǒng)的信息化系統(tǒng)的信息安全問題，近年來已經(jīng)得Web安全和滲透測試廠商Cenzic公司最新發(fā)表的報告統(tǒng)計，有將近96％的移動應(yīng)用上存在著安全漏洞問題。/信用風(fēng)險主要由于在我國的移動互聯(lián)網(wǎng)服務(wù)中，為了吸引客戶，造成寶貴的社會風(fēng)投資本被大量浪費；另一方面，當(dāng)企業(yè)長期無法“自P2P我國移動互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展和口碑帶來不影響。誤操作風(fēng)險主要是用于很多用戶對于新的服務(wù)不了解而出現(xiàn)的PC互聯(lián)網(wǎng)時代，早期的互聯(lián)網(wǎng)場景更多的是線上的展示（廣告類。所以黑灰產(chǎn)的欺詐行為是通過控制的個人電腦做為肉雞來進行Ddos、刷廣告、安裝流氓軟件等變現(xiàn)。在這個時代一臺臺實際的物理BugX產(chǎn)商的工具軟件發(fā)布一段時間之后，通過業(yè)務(wù)側(cè)的數(shù)據(jù)和模型，X產(chǎn)商的業(yè)務(wù)安全團隊感知到了由于工具軟件產(chǎn)生的異常，并通三、移動數(shù)字金融和電子商務(wù)領(lǐng)域的反欺詐方案現(xiàn)有反欺詐方案面臨的挑戰(zhàn)（1）防御能力單薄通過單個技術(shù)方式進行欺詐識別，比如單純依賴黑名單或簡單的人工規(guī)則、單點布控等，缺少全流程的反欺詐方法（從設(shè)備啟動到用戶行為各個環(huán)節(jié)的縱深防御。（2）防御時效性差T+1防御進化慢缺乏策略迭代閉環(huán)，沒有形成攻防研究–策略設(shè)計–策略研發(fā)–驗證–運營–案例分析–策略更新的進化閉環(huán)。無自學(xué)習(xí)機制，難以發(fā)現(xiàn)潛在的和新型的欺詐模式。ID過分依賴“顯性IDIMEI、MAC、IMSI、SN等，以此為識別設(shè)備唯一性的標(biāo)準。這些ID都可以通過改碼軟件或虛擬機等手段輕易的進行變換/黑名單庫準確性低整個行業(yè)對于黑名單沒有一個明確的規(guī)范標(biāo)準。A的黑名單庫，未必適合B公司。全棧式實時反欺詐方案圖13全棧實時反欺詐方案全場景識別體系全路徑實時布控體系圖14全路徑實時布控體系（1）啟動SDK（2）注冊IP（3）登錄IPIP（4）業(yè)務(wù)行為全方位策略體系作；同時結(jié)合時域網(wǎng)絡(luò)，采用無監(jiān)督機器學(xué)習(xí)模型，遞歸調(diào)度PageRank等風(fēng)險傳播算法進行黑產(chǎn)社群發(fā)現(xiàn)，多方位有效精準識別欺詐團伙和高危群體。全流程運營體系”“攻防研究”、“策略設(shè)計”、“策略研發(fā)”、“策略驗證”、“策略上線”到“策略運營”圖15全流程閉環(huán)策略體系移動設(shè)備唯一性甄別實時反欺詐方案移動設(shè)備唯一性甄別實時反欺詐方案，是指利用移動設(shè)備標(biāo)識如“可信ID”，為移動開發(fā)者實時提供設(shè)備真實性&唯一性的甄別服務(wù)。通過有效的反作弊措施，鑒別虛假數(shù)據(jù)，提升運營數(shù)據(jù)質(zhì)量，從而有效杜絕灰色產(chǎn)業(yè)鏈的侵蝕。SDK被破解以及傳輸數(shù)據(jù)被偽造。統(tǒng);消息樞紐層使用Zookeeper+Kafaka;數(shù)據(jù)計算層包括離線的大數(shù)據(jù)計算和實時的業(yè)務(wù)數(shù)據(jù)計算；數(shù)據(jù)存儲層包括原始日志、中間及結(jié)果型數(shù)據(jù)。賬號識別及保護反欺詐方案（1）虛假賬號識別/識別欺詐小號：依靠可信ID與客戶自定義ID（2）賬號保護：防范撞庫攻擊、暴力破解、賬號盜號等惡意行為帶來的商業(yè)損失。營銷活動反欺詐方案（1）防羊毛黨：實時判斷設(shè)備真?zhèn)?，過濾機器注冊及重復(fù)領(lǐng)取行為，封堵推廣資金被“薅羊毛”，避免推廣資金被盜取。（2）裂變紅包防薅：識別裂變紅包營銷中的作弊行為，通過設(shè)ID鎖定背后的用戶，毫秒級鑒別機刷紅包及重復(fù)領(lǐng)取行為，只給有效用戶發(fā)放紅包福利。（3）虛假流量識別：提供準確的渠道效果監(jiān)測服務(wù)，毫秒級實App營銷推廣中的虛假流量。（4）渠道推廣反作弊：提供有效的渠道推廣反作弊服務(wù)，毫秒App營銷推廣中的虛假流量。（5）反作弊驗證：實時驗證移動運營推廣中的數(shù)據(jù)質(zhì)量，基于網(wǎng)絡(luò)安全/提供風(fēng)控方案（1）數(shù)據(jù)防爬蟲：高效識別并及時遏止搜索場景中被爬蟲盜取內(nèi)容或數(shù)據(jù)的行為，保護商業(yè)敏感數(shù)據(jù)，減少企業(yè)運營風(fēng)險。root（3）校驗識別偽基站：保護短信通道安全，防范短信接口被惡意調(diào)用、濫用帶來的利益損失?；ヂ?lián)網(wǎng)金融反欺詐方案（1）欺詐黑名單：基于用戶歷史互金行為和風(fēng)險規(guī)則分析來識別和定義黑名單。歷史互金行為數(shù)據(jù)由互聯(lián)網(wǎng)金融企業(yè)采集，并由第（2）地理位置驗真：移動大數(shù)據(jù)服務(wù)機構(gòu)可以根據(jù)用戶上報的GPS、WiFi、基站信息，篩選最近三個月內(nèi)工作時間和休息時間最常POI信息也可以判斷出用戶差旅行風(fēng)險識別和金融授信。（3l 設(shè)備網(wǎng)絡(luò)關(guān)系指數(shù)n 手機應(yīng)用穩(wěn)定使用特征n 換機換號行為特征l 金融借貸行為因子n 小額貸款，個人小額貸款類應(yīng)用的使用時長、使用時間、頻度等，綜合計算得出的強度指數(shù)。n n 信用卡套現(xiàn)、信用卡貸款類應(yīng)用的使用時長、使用時間、頻度等，綜合計算得出的強度指數(shù)。l 生活服務(wù)行為因子nnn l 金融支付行為因子nn四、反欺詐的技術(shù)與效果評估反欺詐技術(shù)體系架構(gòu)整體流程如下圖：圖16反欺詐技術(shù)流程體系客戶端需要嵌入設(shè)備風(fēng)險SDK，在客戶啟動階段調(diào)用反欺詐私有云，在注冊、登錄等業(yè)務(wù)行為事件再調(diào)用反欺詐云，詳細流程如下：（1）設(shè)備啟動階段l 客戶端上報設(shè)備數(shù)據(jù)到反欺詐云l ID，并計算設(shè)備畫像特征（2）業(yè)務(wù)事件階段l 發(fā)送業(yè)務(wù)請求參數(shù)（ID）到業(yè)務(wù)服務(wù)端l 業(yè)務(wù)服務(wù)端發(fā)送請求參數(shù)（ID）到反欺詐云l 反欺詐云返回判斷結(jié)果給業(yè)務(wù)服務(wù)端l 業(yè)務(wù)服務(wù)端根據(jù)結(jié)果給出處置建議，并返回客戶端圖17反欺詐云架構(gòu)每個層的功能如下：接入層HTTPJSON格式。業(yè)務(wù)邏輯層決策層決策層包括決策引擎（AE，加載策略集合，根據(jù)輸入和基礎(chǔ)引擎的結(jié)果進行判決，給出最后的判定結(jié)果?；A(chǔ)引擎層（1）行為模型服務(wù)監(jiān)督學(xué)習(xí)模型包括：LR、SVM、GBDT、RandomForest深度學(xué)習(xí)模型，RNN，GAN非監(jiān)督學(xué)習(xí)模型主要是一些異常檢測模型：GMM通過在時間和地域上通過各個實體之間關(guān)系進行團伙挖掘（2）名單服務(wù)名單服務(wù)提供配置黑白名單的功能，包括設(shè)備、IP、賬號等黑白名單。（3）實時統(tǒng)計服務(wù)（4）實時畫像服務(wù)根據(jù)配置相關(guān)畫像變量，進行實時計算。模型數(shù)據(jù)層提供相關(guān)模型和數(shù)據(jù)，模型包括惡意注冊模型、撞庫登錄模型、基礎(chǔ)平臺層數(shù)據(jù)平臺層主要包括大數(shù)據(jù)分析和建模平臺，具體包括Hadoop、Spark、Elasticsearch、Tensorflow。用于模型訓(xùn)練和數(shù)據(jù)分析。管理層包括具體規(guī)則數(shù)據(jù)管理、系統(tǒng)監(jiān)控等。反欺詐技術(shù)詳解反欺詐情報體系黑灰產(chǎn)情報數(shù)據(jù)收集：通過對黑灰產(chǎn)的溝通渠道、交易平臺、報數(shù)據(jù)；b.設(shè)備指紋技術(shù)設(shè)備指紋主要有五個方面的作用：圖18設(shè)備指紋的作用（1）設(shè)備的有效性（模擬器原AndroidApp用的，開發(fā)人員可以通過不AndroidAndroid戲可能暫時只在Android平臺上線了而用戶又沒有Android的設(shè)備， 圖19虛擬機示例App對新用戶發(fā)放優(yōu)惠券，但一個設(shè)備只允許領(lǐng)取一次，如果黑產(chǎn)想要獲取大量的優(yōu)惠券，就需要搞定大量的設(shè)備，而虛擬機能以較低的成本為黑產(chǎn)提供無限量的設(shè)備。（2）設(shè)備屬性檢測檢測設(shè)備屬性是否異常，原始屬性是否被篡改。AndroidIMEIIMSIAndroidIDMACGPScpu息等。從原理上講，AndroidAPI的信息都可以被篡改。與AndroidiOSIDFAIDFVUUIDMAC地址等信息。篡改一般情況下需要root手機，此外有可能還需要安裝特定的框架，如Xposed。iOS的篡改需要越獄。圖20安卓和蘋果設(shè)備信息篡改示例Android008Czero器等，iOSNZT（3）作弊環(huán)境檢測APP等。l 多開軟件多開原意是幫助用戶實現(xiàn)一機多號，例如有多個微信號的用戶，可以利用多開App同時登錄多個微信號。目前市面上的多開軟件多達數(shù)十上百款，部分手機rom中還自帶多開的功能。圖21多開軟件示例來發(fā)送引流文字、圖片，減少了切換賬號的麻煩。Android市面上的多開有兩種形式。第一種的代表是“多開分身”Apppp“平行空間”或“雙開助手”App多開不需要AppAppApp即可。但不管形式是怎樣，其原理類似。l VPNVPNVPNVPNIPIP下作惡，很容易VPNIPIPVPN。（4）環(huán)境變化檢測（5）擴展服務(wù)實時決策引擎（規(guī)則引擎）技術(shù)（1）功能設(shè)計指管理員平臺應(yīng)該能夠配置的功能(或者至少能夠通過命令行工具配置，無需升級實時決策引擎)，它需要表達目前已有規(guī)則使用情況。（2）策略動態(tài)配置13類需求，組織2有評論文本過濾、注冊保護2類需求。它們可能會形（表格15(組織1，評論)就構(gòu)成了一個策略場景，其它場景類似。表5策略動態(tài)配置示例組織1組織2評論過濾策略Ａ策略Ｂ私信過濾策略Ｃ注冊保護策略Ｅ策略Ｆ（3）RETE算法RETE并行推理算法。10毫秒級別完成執(zhí)行。圖22RETE算法RETE算法可以對匹配階段進行高效實現(xiàn)，主要包括鑒別網(wǎng)絡(luò)和模式匹配過程兩個方面。具體介紹可參考附錄B。知識圖譜引入具有應(yīng)用價值的互聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)，在數(shù)據(jù)的基礎(chǔ)上，進行機器學(xué)習(xí)建模，形成賬號、設(shè)備、IP和歷史行為的黑產(chǎn)知識圖譜。當(dāng)用戶訪問電渠系統(tǒng)時，基于黑產(chǎn)知識圖譜，對用戶身份進行風(fēng)險防控。黑產(chǎn)知識圖譜如下所示：圖23知識圖譜示例其中包含手機號、IP、物理位置等多維度數(shù)據(jù)。n手機號碼維度電渠的用戶行為信息主要來源于訂單、訪問、支付等業(yè)務(wù)數(shù)據(jù)。nIP維度用戶訪問電子渠道系統(tǒng)，所有的網(wǎng)絡(luò)請求都會帶有IP信息，因此天然的成為訪問者的身份標(biāo)識。雖然IP地址極容易通過技術(shù)手段進行篡改，ip數(shù)據(jù)的真實性難以界定，但是由于移動用戶的特殊性，識別用戶IP成為用戶身份反欺詐的主要依據(jù)。n地理信息維度GPS定位或者基站定位的定位技術(shù)來獲取手機或終端用戶的位置信息（經(jīng)緯度坐標(biāo)，在電子地圖上標(biāo)出被IP黑產(chǎn)知識圖譜的測試流程如下：圖24黑產(chǎn)知識圖譜建模有監(jiān)督機器學(xué)習(xí)技術(shù)使用基礎(chǔ)事實完成的,需要大量的有標(biāo)簽數(shù)據(jù)來訓(xùn)練模型，或者換句習(xí)一個函數(shù)，該函數(shù)在給定樣本數(shù)據(jù)和期望輸出的情況下，最接近于10000個帖子已經(jīng)由人工確認過黑產(chǎn)廣告文章輸詞的識別等各種分析方法，找到了其中的內(nèi)在關(guān)系，但卻難以說明。舉例：70%的可能性是黑產(chǎn)廣告；80%的可能性是黑產(chǎn)廣告；內(nèi)容里有“請加微信：xxxxxx60%的可能性是黑產(chǎn)廣告；20085%的可能性是黑產(chǎn)廣告；10%70%的可能性是黑產(chǎn)廣告；這里，百分比被稱為權(quán)重。80%的可能性是垃圾郵件。有監(jiān)督學(xué)習(xí)的好處也十分明顯，它可以幫我們分析隱層關(guān)系。無需知道有監(jiān)督學(xué)習(xí)的隱藏關(guān)系，每一個子項被賦予了多少權(quán)重，直接有監(jiān)督也有一個明顯的弊端，每一個模型都需要大量的訓(xùn)練數(shù)據(jù)，訓(xùn)練一個模型也需要較長的時間。常常出現(xiàn)你的模型還沒有訓(xùn)練好，欺詐分子們就可能已經(jīng)完成欺詐活動尋找下一個目標(biāo)了。無監(jiān)督機器學(xué)習(xí)技術(shù)k圖25無監(jiān)督學(xué)習(xí)在反欺詐領(lǐng)域，無監(jiān)督無需任何訓(xùn)練數(shù)據(jù)和標(biāo)簽，通過發(fā)現(xiàn)用戶的共性行為，以及用戶和用戶的關(guān)系來檢測欺詐。3點-4root，操作系統(tǒng)版本一致，注冊了某產(chǎn)品，其IP的前19位相同，GPS定位小于1公里，且注冊實時畫像引擎技術(shù)圖26實時畫像數(shù)據(jù)流轉(zhuǎn)示意圖rootroot2個用戶不正常的概率又變高了；緊接著，這個用戶在我們appv$xy12-NLP實時畫像最主要的作用就是實時的沉淀與計算畫像。其具體實現(xiàn)的架構(gòu)如下圖所示。圖27實時畫像架構(gòu)圖實時統(tǒng)計引擎技術(shù)10100條相同疑似廣告內(nèi)容，這個統(tǒng)計指標(biāo)說明這個用戶很有可能是黑產(chǎn)廣告欺詐用戶。實時統(tǒng)計引擎具體架構(gòu)如下：圖28實時統(tǒng)計引擎示意圖實時統(tǒng)計主要包括五個模塊：l l 務(wù)請求是否存在相關(guān)統(tǒng)計指標(biāo)；l l 指標(biāo)更新模塊：將計算的結(jié)果更新統(tǒng)計數(shù)據(jù)庫中；hashIDID是基于物理層和協(xié)議層信息，結(jié)合設(shè)備顯性標(biāo)識，生成IDID不會隨設(shè)IMEIMACSNICCID全ID是不變的，相當(dāng)于把每臺移動設(shè)備實名制了?？尚臝D有如下關(guān)鍵技術(shù)點：（1）移動應(yīng)用虛擬執(zhí)行環(huán)境識別：ID的這一虛擬執(zhí)行環(huán)境識別的專利技術(shù)，正是要給予應(yīng)用程序辨識其所處其（2）虛擬機/仿真器通用識別：ID移動設(shè)備唯一性甄別技術(shù)針對移動設(shè)備的硬件制定并實現(xiàn)了特別的探測與鑒定，能夠快速、準確地識別出虛擬機、仿真器。（3）移動設(shè)備硬件真?zhèn)巫R別：ID移動設(shè)備唯一性甄別技術(shù)可以對組成一臺真實移動設(shè)備的關(guān)鍵硬件信息進行采樣，并生成唯一編碼，即便有部分信息遭到惡意的修改，也能夠準確識別出其真實身份。（4）通過大數(shù)據(jù)分析移動應(yīng)用安裝意圖：ID移動設(shè)備唯一性甄別技術(shù)同時也對網(wǎng)絡(luò)、安裝行為等數(shù)據(jù)進行了相應(yīng)的分析監(jiān)控，用于監(jiān)測具有明顯刷量意圖的渠道或者行為。運營商業(yè)務(wù)風(fēng)控系統(tǒng)運營商風(fēng)控面向互聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)風(fēng)控系統(tǒng)，由黑產(chǎn)知識圖譜、風(fēng)控決策、風(fēng)險控制等模塊組成，可實現(xiàn)風(fēng)險事前預(yù)警、風(fēng)險的實時識別、攔截和事后溯源，形成風(fēng)險的全鏈路管控。l黑產(chǎn)知識圖譜

圖29運營商業(yè)務(wù)風(fēng)控系統(tǒng)包含設(shè)備指紋庫、黑產(chǎn)庫、惡意行為庫、歷史案件庫等。黑產(chǎn)知識圖譜的特性如下：設(shè)備指紋庫包含海量手機用戶設(shè)備指紋數(shù)據(jù)；?IP庫、大量已沉淀的惡意號碼；?歷史案例庫包含全國近幾年運營商風(fēng)險案例；l風(fēng)控決策風(fēng)控決策的特性如下：業(yè)務(wù)處理能力低延時，在較短時間內(nèi)處理實時請求，用戶無感知。Android、iOs、H5、WEB主流客戶端l風(fēng)險控制風(fēng)險控制的特性如下：?風(fēng)險處理可以支持滑動驗證碼、短信挑戰(zhàn)碼、語音驗證碼等方式進行二次確認，可以根據(jù)不同業(yè)務(wù)場景進行風(fēng)險處理配置。通信數(shù)據(jù)在風(fēng)控中的應(yīng)用（1）刻畫用戶通信畫像據(jù)工信部數(shù)據(jù)顯示，截止2019年2月份，我國手機用戶總數(shù)超15.6億，除去老人和嬰兒，手機的覆蓋率超100%。據(jù)此通信行為數(shù)據(jù)已成為個人日常行為的有效載體，分析通信數(shù)據(jù)、刻畫用戶通信畫（2）識別逾期風(fēng)險

圖30通信大數(shù)據(jù)優(yōu)勢象類型（如催收通話、風(fēng)險號碼等，隨著時間遷移通話行為的變化情期率用戶。（3）社群風(fēng)險動態(tài)防范（4）協(xié)助風(fēng)險定價及分析償還能力通信數(shù)據(jù)在垂直行業(yè)的探索通信大數(shù)據(jù)在行業(yè)的的反欺詐也有重要的應(yīng)用價值和前景。目前，行業(yè)、醫(yī)療（社區(qū)醫(yī)療機構(gòu)、康養(yǎng)機（888個細項內(nèi)容，實現(xiàn)用戶通訊行為在金融領(lǐng)域的映射和信息對稱，更加直觀地為客戶畫像，有效地甄別目標(biāo)客戶。反欺詐效果驗證與評估事前評估創(chuàng)建反欺詐事前評估流程，在涉及到欺詐行為的業(yè)務(wù)場景或者營銷活動前，先經(jīng)過反欺詐事前評估通過。具體操作如下：1、創(chuàng)建某業(yè)務(wù)反欺詐事前評估工單2、由風(fēng)控人員進行反欺詐事前評估3、反欺詐評估未通過，反欺詐工單處理人進行措施建議，業(yè)務(wù)側(cè)進行修改。4、反欺詐評估通過后進行業(yè)務(wù)活動。在業(yè)務(wù)開展前，根據(jù)用戶風(fēng)險情報庫進行反欺詐評估，使反欺詐評估更快捷。對業(yè)務(wù)的開展不造成時間上的滯后。同時，可建立初始用戶風(fēng)險情報庫，在營銷活動的過程中不斷發(fā)每次營銷活動后，總結(jié)風(fēng)險，深入分析風(fēng)險，更新用戶風(fēng)險情報庫。事中分析欺詐風(fēng)險等級：極高風(fēng)險；高級風(fēng)險；中級風(fēng)險；低級風(fēng)險；無風(fēng)險；在業(yè)務(wù)過程中，進行事中管控策略，建議以二次校驗為主，只對高風(fēng)險行為進行阻斷。管控措施如下所示：表6風(fēng)險控制與管控策略對應(yīng)表風(fēng)險等級建議管控策略風(fēng)險場景4極高風(fēng)險2.攔截阻斷如：在黑名單中、匹配多項高權(quán)重策略、機器學(xué)習(xí)模型評分較高等場景，直接阻斷。3高風(fēng)險2.攔截阻斷匹配高風(fēng)險策略，或者匹配多個中風(fēng)險策略。2中風(fēng)險1.二次校驗匹配多個低風(fēng)險策略，或匹配中風(fēng)險策略，且完全確定用戶行為是惡意行為，采用的管控措施為二次校驗。1低風(fēng)險0.放行如：用戶通過代理訪問系統(tǒng)，只匹配單一低風(fēng)險策略，采用的管控措施為直接放行。0無風(fēng)險0.放行事后評估對反欺詐行為進行人工驗證，采取的驗證方式如下:圖31反欺詐效果評估體系為保證用戶免收攔截誤傷，定期對攔截的反欺詐行為進行效果驗證1、取被攔截的用戶進行定期驗證。2、人工進行欺詐行為數(shù)據(jù)分析驗證。3、判斷欺詐攔截行為的準確度。4、對不準確的欺詐行為攔截，進行反欺詐風(fēng)險分析模型調(diào)整。5、對于精度不夠的反欺詐模型進行精度優(yōu)化。l事中分析的準確度占比l事中分析的誤傷數(shù)據(jù)占比l事中分析的遺漏反欺詐行為用戶占比移動數(shù)字金融與電子商務(wù)反欺詐白皮書移動數(shù)字金融與電子商務(wù)反欺詐白皮書PAGEPAGE83五、移動業(yè)務(wù)反欺詐的挑戰(zhàn)及展望反欺詐的困難和挑戰(zhàn)業(yè)務(wù)風(fēng)險不確定性分散API風(fēng)控效果不可判斷性高10005000認知盲區(qū)不認知性強黑灰產(chǎn)的快速迭代、精細分工、嚴密協(xié)作，使得其可利用新技術(shù)和資源進行攻擊。且攻擊手段完全在企業(yè)安全團隊的認知范圍之外。追求數(shù)據(jù)美觀不務(wù)實性多反欺詐未來展望加強技術(shù)升級優(yōu)化（1）優(yōu)化設(shè)備風(fēng)險識別技術(shù)（2）優(yōu)化反欺詐模型AI（3）優(yōu)化全棧式實時反欺詐以保證黑產(chǎn)所有作惡路徑上的點都有布防，做到天網(wǎng)恢恢，疏而不漏。另一方面，反欺詐也不能成為事后諸葛亮，黑產(chǎn)已經(jīng)獲利了結(jié)