一、互联网化带来的业务风控难题

互联网社区内出现大量广告水文,电商营销活动中面临薅羊毛、刷单等问题,航旅出行平台遭遇大量恶意爬虫,企业O2O推广经费石沉大海……以上是各个行业的互联网场景都会遭遇的业务难题。

在移动支付兴起之后,越来越多企业增加了在互联网业务上的投入,红包返现、优惠券、免单券等“羊毛”越来越多,以考拉海购(原网易考拉)为例,全年大促就有10多次,比如:春节大促、元宵大促、618大促、818大促、双11大促、双12大促、黑五大促、圣诞大促、元旦大促、年底年货节等。再加上大大小小的营销活动、拉新活动等,全年的营销费用多达10亿元。
图片描述
在营销活动频率如此频繁、优惠力度如此之大的背景下,企业业务必然会遭遇到各类非正常用户的威胁:羊毛党和黑灰产。

羊毛党:普通意义的羊毛党主要是指关注与热衷于“薅羊毛”的群体,是指那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。

黑灰产:羊毛党的主要角色是“真人”,而黑灰产则主要侧重于利用平台漏洞、或者使用各种黑灰产资源,开发出各种自动化工具,比如手机黑卡、代理IP、群控平台、改机工具等,从而实现投入资源少、套利变现快的目的。此类人群比羊毛党的危害要大得多,国内至少有百万级别的人从事黑灰产活动。

庞大的羊毛党和黑灰产,再加上装备精良的黑灰产武器,一般的企业都很难招架住。所以,对于企业而言,很容易出现以下的问题:

    • 各种小号、垃圾账号泛滥
    • 撞库攻击、盗号、毁号、拖库等
    • 拉新10w留存率不到5%
    • 百万营销费用,却增加不了用户粘性
    • 投票票数差距非常悬殊

      • 各种榜单被垃圾账号占领
      • 实物奖励被机器人领走
    • 红包被秒抢

    -- 下单不付款占库存

    • 虚拟占座

      • 刷单炒信
      • ……

    二、传统的防护手段

    对手如此凶猛,而对于一般的企业而言,有哪些防护手段呢?比较常见的有:

    1) IP封禁

    一般的羊毛党,或者是初入行的黑产小白来刷活动时,一般是使用相同的IP。其表现是:

    • 同一个IP,在短时间内,非常频繁的参与营销活动;
    • 同一个IP,在短时间内,非常频繁的切换账号。

    因此,对于这种刷子,封禁高频操作的IP,是一种效果非常明显的手段。

    2) 用户封禁

    如果一个用户违反业务规则,或者非常频繁的参与营销活动(比如:1s一次,累计操作50次)、或者只下单不成交(下单不成交占资源、变现率非常低)等,即可封禁该用户。

    3) 增加验证码
    图片描述

    在注册、登录,或者评价、投票、下单等场景,非常多的企业都增加了验证码的校验。验证码主要用于区分人和机器,对于普通的刷子而言,验证码的效果非常好。

    三、传统防护手段的局限性

    通用的几种防刷的手段,对普通的刷子效果比较明显,而对于专业的黑灰产而言,不但效果不明显,并且可能带来其他问题:

    • 误杀真实用户,同一个公司的人几乎使用同一个出口IP,若将公司出口IP封禁,则整个公司的人都将无法正常使用;
    • 用户体验不佳:验证码增加了用户操作成本,并且非常多的验证码为了应对破解,可辨识度非常差,用户体验非常不好。

    因此,一个比较好的风控解决方案,不仅要考虑用户体验,同时又要兼顾效果,需要考虑很多方面,比如:

    • 最好对用户是无感知的;

      • 最好能识别作弊的设备和经过改机软件篡改过的设备;
    • 最好能识别机器作弊的一些行为,从行为轨迹上进行识别和拦截;
    • 最好能识别作弊的IP;
    • 最好能识别作弊的手机号、账号。

    四、网易易盾是怎么做业务风控的?

    基于以上的出发点,易盾开发了全链路风控解决方案,包括三大部分:事前预防、事中检测处置、事后分析回馈。
    图片描述

    • 事前预防:通过数据采集收集用户侧信息、通过业务规则来限定参与活动的门槛、通过身份核验来确认用户身份等手段,防止风险事件的发生。
    • 事中检测处置:通过实时在线的手段来检测风险,并做相应的风险处置,防止风险事件的发生。
    • 事后分析回馈:基于长周期的离线数据分析,计算用户侧、设备侧、IP侧、业务侧的各种风险特征,并作用于事前风控和事中风控。

    1.1 事前预防

    事前预防主要有三个层面的事项:数据采集、业务规则、身份核验。

    a) 数据采集

    在业务活动的各个阶段,都需要埋点采集数据,主要有设备指纹、操作行为、网络数据、业务数据、第三方数据等。采集的数据主要用于事中的风险监测和事后的离线分析。

    b) 业务规则

    在制定营销活动时,必须制定完备的业务规则,必须要有相应的活动门槛和限制,例如:

    • 用户群体限制:定义哪些类型的用户能参与活动,指定清晰的分界线。比如:电商大促经常出现的神券,可以限制账户等级>3、年度内购物次数>2才能领取等等。

      • APP版本限制:定义哪些APP版本能参与,比如:拉新活动要求必须使用最新版APP注册才给奖励。
      • 参与次数限制:明确定义账户级、设备级、实名信息级能参与活动的上限和参与活动的频率等。

    c) 身份核验

    身份核验主要是为了确保是用户自己来参与活动,主要手段包括:

    • 手机短信校验;
    • 验证码校验;
    • 密码校验;
    • 密保问题校验;
    • 本机校验:校验手机号对应的SIM卡是否在当前设备中使用;
    • 实名认证,有三种:1)身份证OCR校验;2)身份证OCR、人脸校验;3)身份证OCR、活体检测;
    • 个人信息。

    1.2 事中检测处置

    事中检测主要依赖人机识别、风控引擎、风险处置三个手段。

    a) 人机识别

    人机识别主要区分是人,还是机器自动化的行为。客户端与后端的数据交互过程中,增加如下的数据保护手段,一旦发现数据有问题,则都是机器行为。

    • 数据合法性校验
    • 数据加解密
    • 数据篡改检测

    b) 风控引擎

    事中检测的核心工具就是风控引擎,风控引擎主要的工作是识别风险,一般的风控引擎都需要如下几个功能:

    • 名单服务:建立黑、白、灰名单;
    • 画像服务:建立基于IP、手机号、账户等层级的画像服务;
    • 指标计算:一般包括高频类统计、求和、计数、求平均值、求最大值、求最小值等等;
    • 风控模型:基于采集到的数据,建立风控模型,比如:设备模型、行为模型、业务模型等;
    • 规则引擎:最终的风控数据进入规则引擎,由规则引擎判断是否存在风险。风控运营需基于业务建立各种风控规则,以识别风险。

    c) 风险处置

    识别到风险之后,需要对风控进行处置,处置手段一般有:

    • 二次校验:比如,正常用户无需二次校验,有风险的用户需再次校验手机短信等;
    • 拦截:拒绝当前业务操作;
    • 降低奖励:比如,正常用户的奖励金是1元,风险用户奖励金是0.01元;
    • 拉黑:直接进黑名单;
    • 名单监控:进灰名单监控;
    • 风险审核:进入人工审核,比如:电商场景的订单业务,一般嫌疑类风险订单,都会安排人工审核。

    1.3 事后分析回馈

    事后主要是做离线分析,分析结果可作用于事中实时检测和事前预防。对于T+N的业务(比如:拉新奖励金提现),离线分析之后,若识别出风险,也可以做拦截(拒绝此次提现)。

    离线分析主要有几个方面:

    • 离线指标:基于长周期、大数据的离线指标计算;
    • 关联分析:基于前后关联业务、关联数据做关联分析,识别风险用户、风险操作;
    • 复杂网络:基于用户数据、设备数据、网络数据、业务数据,建立复杂关系网络,基于数据与数据之间的关系,来识别风险;
    • 模型训练:基于机器学习、深度学习技术来构建业务模型、设备模型、行为模型,或文本类模型(异常地址检测、异常昵称检测)等;
    • 名单库:通过离线分析,积累、沉淀各种名单库;
    • 数据画像:基于离线分析,对账户、IP、设备、手机号等构建数据画像。

    1.4 全链路布控

    全链路风控解决方案另一个非常重要的过程是:全链路布控。若只是构建了全链路风控模型(工具),未做全链路部署,那也是大材小用。

    图片描述

    全链路布控主要要做到:

    • 多业务布防:在业务的各个环节都需布控防刷手段,一般的营销活动都需先注册、登录,再参与营销活动。所以,可以在注册、登录、营销活动各个环境都布控风控检测。
    • 联防联控:前置业务为后置业务产出事前特征,避免后置业务风控检测冷启动;后置业务为前置业务提供事后特征,比如:准实时、中长周期的风险特征。

    五、结束语

    羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入,给企业带来非常大的经济损失。

    但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。

    所以,风控防刷的主要目的是提高刷子的成本,当然,其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,最终让刷子“望而却步”。


    网易易盾
    56 声望4 粉丝

    网易易盾-网易旗下一站式云安全服务。依靠网易20多年专业安全防护实践和技术积累,提供专业的内容安全、业务安全、移动安全和网络安全服务,保障客户业务合规、稳健和安全运营,使客户可以免受黑灰产组织非法侵害...