[[388940]]

其實(shí)不同行業(yè)，不同領(lǐng)域的風(fēng)控還是有很大區(qū)別的，這里只針對(duì)典型刷量，刷榜，不當(dāng)獲利等類型的網(wǎng)絡(luò)行為，進(jìn)行風(fēng)控體系的一些基本架構(gòu)。

當(dāng)然，與時(shí)俱進(jìn)，有些新的思路可能已經(jīng)超出我的認(rèn)知，也歡迎批判指正。

數(shù)據(jù)預(yù)警

當(dāng)業(yè)務(wù)數(shù)據(jù)有比較明顯波動(dòng)的時(shí)候，無(wú)論是往好的方向，還是壞的方向，都應(yīng)該立即提示預(yù)警，這個(gè)波動(dòng)范圍是多少呢？ 對(duì)于巨大的互聯(lián)網(wǎng)平臺(tái)而言，超過(guò)5%的同比變化很可能就是一個(gè)預(yù)警閾值，但對(duì)于很多創(chuàng)業(yè)小團(tuán)隊(duì)來(lái)說(shuō)，可能大幅度變動(dòng)比較頻繁，閾值可以設(shè)置的高一些。

我做個(gè)假設(shè)，如果你是微信產(chǎn)品經(jīng)理，你發(fā)現(xiàn)今天在沒(méi)有產(chǎn)品升級(jí)，沒(méi)有熱點(diǎn)新聞的情況下，朋友圈的瀏覽和轉(zhuǎn)發(fā)增加了5%，你會(huì)認(rèn)為這是自然增長(zhǎng)么？多半你會(huì)暗罵一句，媽蛋，又是什么裂變套路失控了。

來(lái)，思考題，為什么微信不遺余力地絞殺各種裂變運(yùn)營(yíng)？裂變難道不是數(shù)據(jù)向好么？這是一個(gè)典型的風(fēng)控認(rèn)知問(wèn)題。曾經(jīng)，人人網(wǎng)會(huì)認(rèn)為這是好數(shù)據(jù)，所以它死掉了。

數(shù)據(jù)預(yù)警不代表一定存在問(wèn)題，但快速甄別和判斷是需要的，正確理解數(shù)據(jù)變動(dòng)的原因，并快速確認(rèn)，這是一個(gè)風(fēng)控需要處理的問(wèn)題。

數(shù)據(jù)預(yù)警不只是總量信息的預(yù)警，比如來(lái)自于某個(gè)特征的數(shù)據(jù)突然激增，也是需要關(guān)注并確認(rèn)的，比如某個(gè)地區(qū)的訪問(wèn)量突然激增，或者某種設(shè)備的訪問(wèn)量突然激增，就很可能來(lái)自于某些刷機(jī)的機(jī)池。

至于怎么分析數(shù)據(jù)異常，以前提過(guò)， 對(duì)比、細(xì)分、溯源 ，我這三板斧可以解決絕大部分的數(shù)據(jù)異常定位問(wèn)題。

風(fēng)控的處置引擎

處置引擎用于對(duì)數(shù)據(jù)進(jìn)行清洗，過(guò)濾和阻斷。

處置引擎的處理策略包括實(shí)時(shí)處理和回溯處理。

實(shí)時(shí)處理就是針對(duì)當(dāng)前的操作，當(dāng)前的行為進(jìn)行判定，并實(shí)時(shí)進(jìn)行標(biāo)簽，過(guò)濾或阻斷。

回溯處理就是對(duì)歷史數(shù)據(jù)做分析，并做出合理的判斷和處理，比如清洗數(shù)據(jù)，或者常見的砍單。

標(biāo)簽的意思是，系統(tǒng)懷疑這個(gè)數(shù)據(jù)有問(wèn)題，先標(biāo)記下來(lái)，后續(xù)人工校驗(yàn)。

過(guò)濾的意思是，這個(gè)數(shù)據(jù)系統(tǒng)認(rèn)為無(wú)效，不予記錄，但用戶仍然可以有效的進(jìn)行操作和交互。

阻斷的意思就是，這個(gè)行為被認(rèn)定無(wú)效，用戶交互被阻斷。

規(guī)則配置

處置引擎通常是基于規(guī)則進(jìn)行處理的，那么規(guī)則的配置就是一個(gè)典型的系統(tǒng)。

典型如黑名單，比如符合什么條件的被阻斷，符合什么條件的記錄要被清洗，符合什么條件的記錄打標(biāo)簽。

這里有兩種常見規(guī)則，一種是針對(duì)單條信息基于明確的規(guī)則阻斷，比如來(lái)自于黑名單的ip不予訪問(wèn)。另一種是基于某些統(tǒng)計(jì)規(guī)律進(jìn)行清洗，比如來(lái)自同一個(gè)ip區(qū)段的重復(fù)點(diǎn)擊超過(guò)閾值后不再記錄。

機(jī)器學(xué)習(xí)

在古早互聯(lián)網(wǎng)，規(guī)則的產(chǎn)生是來(lái)自于針對(duì)歷史經(jīng)驗(yàn)教訓(xùn)的總結(jié)，一個(gè)資深的風(fēng)控基于日志分析和過(guò)往被侵襲的記錄，逐條設(shè)置規(guī)則，防范欺詐點(diǎn)擊或其他不當(dāng)?shù)美?/p>

但現(xiàn)在不一樣了，機(jī)器學(xué)習(xí)開始逐漸替代人工，自動(dòng)基于一些壞記錄，整理規(guī)則，甚至超出人類的常識(shí)。

而這些規(guī)則，很多時(shí)候，是可做，不可說(shuō)的，比如說(shuō)，某個(gè)現(xiàn)金貸平臺(tái)，基于歷史的壞賬記錄，機(jī)器學(xué)習(xí)總結(jié)出一條規(guī)律來(lái)，身份證號(hào)碼前幾位是什么什么數(shù)字的，壞賬率明顯偏高，那么這個(gè)規(guī)律就被寫入了風(fēng)控規(guī)則庫(kù)。

那你說(shuō)是不是有誤殺，機(jī)器關(guān)心的是整體效率，比如整體壞賬率2%，而符合這個(gè)規(guī)則的壞賬率是10%，10%已經(jīng)會(huì)導(dǎo)致平臺(tái)嚴(yán)重虧損，所以加入這條規(guī)則，雖然會(huì)誤殺掉符合條件的90%的好人，平臺(tái)也是愿意的。

為什么可做不可說(shuō)，你講出來(lái)，這叫什么，地域歧視，你憑什么說(shuō)人家這個(gè)地區(qū)的就是壞人。你畢竟誤殺了90%的好人對(duì)不對(duì)，但這是機(jī)器學(xué)習(xí)做出來(lái)的，所以，可做，不可說(shuō)。

情報(bào)體系

風(fēng)控的負(fù)責(zé)人員，核心人員，應(yīng)該加入一些安全行業(yè)的內(nèi)部社群，參與一些安全行業(yè)的交流活動(dòng)，甚至還需要滲透到各種羊毛黨群，各種黑灰產(chǎn)社群，潛伏了解一些流傳的攻擊手段和攻擊資源。我以前說(shuō)過(guò)一句話，一個(gè)公司的信息安全，三分靠技術(shù)，七分靠人脈，今天還是要重復(fù)這個(gè)觀點(diǎn)，真的。

有人覺(jué)得我能力強(qiáng)，水平高，我不混圈子。信息安全，風(fēng)控這個(gè)行業(yè)水很深，可能你的平臺(tái)被某些對(duì)手搞了很久，圈內(nèi)都知道了，就你不知道。這種事其實(shí)挺常見的，早些年那個(gè)空空狐創(chuàng)業(yè)者，自稱被投資人欺負(fù)的那個(gè)，數(shù)據(jù)是因?yàn)橛薮赖难a(bǔ)貼策略，被信用卡套現(xiàn)的羊毛黨薅出來(lái)的，各種社群都在交流，就創(chuàng)業(yè)者自己不知道，還覺(jué)得自己業(yè)務(wù)數(shù)據(jù)挺好。

業(yè)務(wù)影響評(píng)估

風(fēng)控也不是越嚴(yán)格越好，因?yàn)檫^(guò)度嚴(yán)格的風(fēng)控會(huì)把業(yè)務(wù)搞死。今天我們說(shuō)商旅行業(yè)羊毛黨仍然有很多玩法和路數(shù)，那些商業(yè)巨頭難道不清楚？為什么航空公司，酒店集團(tuán)，對(duì)積分里程的各種羊毛玩法沒(méi)有斬盡殺絕，水至清則無(wú)魚啊，讓會(huì)員總覺(jué)得有便宜可以賺，也是一種維持用戶增長(zhǎng)的途徑。

所以各種風(fēng)控策略上線后，依然要基于數(shù)據(jù)不斷評(píng)估和反思，是不是某些策略所處理的問(wèn)題已經(jīng)不那么嚴(yán)重，誤殺率是不是有點(diǎn)過(guò)高，對(duì)正常用戶的行為是不是造成了干擾，可能特殊階段會(huì)有比較嚴(yán)格的策略，那么這個(gè)階段過(guò)去后，相關(guān)的策略是否可以減弱甚至取消？

風(fēng)控其實(shí)有兩個(gè)指標(biāo)， 第一是對(duì)不良行為的清洗 、阻斷率 ，是不是真正有效的讓那些干擾和噪音不再影響業(yè)務(wù)和決策者的判斷。 第二是對(duì)正常業(yè)務(wù)的干擾率 ，風(fēng)控不可能是完全精確的，任何一條策略都可能干擾到正常用戶行為和正常業(yè)務(wù)數(shù)據(jù)。那么這個(gè)影響是否可以控制在足夠小的范圍內(nèi)。這是要經(jīng)常反思和分析的，千萬(wàn)不要被業(yè)務(wù)負(fù)責(zé)人過(guò)來(lái)追著罵的時(shí)候，才想起來(lái)這里可能有問(wèn)題。

大體如此，實(shí)際細(xì)節(jié)還是非常多的，而且還不敢展開，一展開就暴露我的無(wú)知了。