一、互联网化带来的业务风控难题
互联网社区内出现大量广告水文,电商营销活动中面临薅羊毛、刷单等问题,航旅出行平台遭遇大量恶意爬虫,企业O2O推广经费石沉大海……以上是各个行业的互联网场景都会遭遇的业务难题。
在移动支付兴起之后,越来越多企业增加了在互联网业务上的投入,红包返现、优惠券、免单券等“羊毛”越来越多,以考拉海购(原网易考拉)为例,全年大促就有10多次,比如:春节大促、元宵大促、618大促、818大促、双11大促、双12大促、黑五大促、圣诞大促、元旦大促、年底年货节等。再加上大大小小的营销活动、拉新活动等,全年的营销费用多达10亿元。
在营销活动频率如此频繁、优惠力度如此之大的背景下,企业业务必然会遭遇到各类非正常用户的威胁:羊毛党和黑灰产。
羊毛党:普通意义的羊毛党主要是指关注与热衷于“薅羊毛”的群体,是指那些专门选择互联网公司的营销活动,以低成本甚至零成本换取高额奖励的人。
黑灰产:羊毛党的主要角色是“真人”,而黑灰产则主要侧重于利用平台漏洞、或者使用各种黑灰产资源,开发出各种自动化工具,比如手机黑卡、代理IP、群控平台、改机工具等,从而实现投入资源少、套利变现快的目的。此类人群比羊毛党的危害要大得多,国内至少有百万级别的人从事黑灰产活动。
庞大的羊毛党和黑灰产,再加上装备精良的黑灰产武器,一般的企业都很难招架住。所以,对于企业而言,很容易出现以下的问题:
- 各种小号、垃圾账号泛滥
- 撞库攻击、盗号、毁号、拖库等
- 拉新10w留存率不到5%
- 百万营销费用,却增加不了用户粘性
- 投票票数差距非常悬殊
- 各种榜单被垃圾账号占领
- 实物奖励被机器人领走
- 红包被秒抢
- 下单不付款占库存
- 虚拟占座
- 刷单炒信
- ……
二、传统的防护手段
对手如此凶猛,而对于一般的企业而言,有哪些防护手段呢?比较常见的有:
1)IP封禁
一般的羊毛党,或者是初入行的黑产小白来刷活动时,一般是使用相同的IP。其表现是:
- 同一个IP,在短时间内,非常频繁的参与营销活动;
- 同一个IP,在短时间内,非常频繁的切换账号。
因此,对于这种刷子,封禁高频操作的IP,是一种效果非常明显的手段。
2)用户封禁
如果一个用户违反业务规则,或者非常频繁的参与营销活动(比如:1s一次,累计操作50次)、或者只下单不成交(下单不成交占资源、变现率非常低)等,即可封禁该用户。
3)增加验证码
在注册、登录,或者评价、投票、下单等场景,非常多的企业都增加了验证码的校验。验证码主要用于区分人和机器,对于普通的刷子而言,验证码的效果非常好。
三、传统防护手段的局限性
通用的几种防刷的手段,对普通的刷子效果比较明显,而对于专业的黑灰产而言,不但效果不明显,并且可能带来其他问题:
- 误杀真实用户,同一个公司的人几乎使用同一个出口IP,若将公司出口IP封禁,则整个公司的人都将无法正常使用;
- 用户体验不佳:验证码增加了用户操作成本,并且非常多的验证码为了应对破解,可辨识度非常差,用户体验非常不好。
因此,一个比较好的风控解决方案,不仅要考虑用户体验,同时又要兼顾效果,需要考虑很多方面,比如:
- 最好对用户是无感知的;
- 最好能识别作弊的设备和经过改机软件篡改过的设备;
- 最好能识别机器作弊的一些行为,从行为轨迹上进行识别和拦截;
- 最好能识别作弊的IP;
- 最好能识别作弊的手机号、账号。
四、网易易盾是怎么做业务风控的?
基于以上的出发点,易盾开发了全链路风控解决方案,包括三大部分:事前预防、事中检测处置、事后分析回馈。
- 事前预防:通过数据采集收集用户侧信息、通过业务规则来限定参与活动的门槛、通过身份核验来确认用户身份等手段,防止风险事件的发生。
- 事中检测处置:通过实时在线的手段来检测风险,并做相应的风险处置,防止风险事件的发生。
- 事后分析回馈:基于长周期的离线数据分析,计算用户侧、设备侧、IP侧、业务侧的各种风险特征,并作用于事前风控和事中风控。
1.1事前预防
事前预防主要有三个层面的事项:数据采集、业务规则、身份核验。
a)数据采集
在业务活动的各个阶段,都需要埋点采集数据,主要有设备指纹、操作行为、网络数据、业务数据、第三方数据等。采集的数据主要用于事中的风险监测和事后的离线分析。
b)业务规则
在制定营销活动时,必须制定完备的业务规则,必须要有相应的活动门槛和限制,例如:
- 用户群体限制:定义哪些类型的用户能参与活动,指定清晰的分界线。比如:电商大促经常出现的神券,可以限制账户等级>3、年度内购物次数>2才能领取等等。
- APP版本限制:定义哪些APP版本能参与,比如:拉新活动要求必须使用最新版APP注册才给奖励。
- 参与次数限制:明确定义账户级、设备级、实名信息级能参与活动的上限和参与活动的频率等。
c)身份核验
身份核验主要是为了确保是用户自己来参与活动,主要手段包括:
- 手机短信校验;
- 验证码校验;
- 密码校验;
- 密保问题校验;
- 本机校验:校验手机号对应的SIM卡是否在当前设备中使用;
- 实名认证,有三种:1)身份证OCR校验;2)身份证OCR、人脸校验;3)身份证OCR、活体检测;个人信息。
- 1.2 事中检测处置
事中检测主要依赖人机识别、风控引擎、风险处置三个手段。
a) 人机识别
人机识别主要区分是人,还是机器自动化的行为。客户端与后端的数据交互过程中,增加如下的数据保护手段,一旦发现数据有问题,则都是机器行为。
- 数据合法性校验
- 数据加解密
- 数据篡改检测
b)风控引擎
事中检测的核心工具就是风控引擎,风控引擎主要的工作是识别风险,一般的风控引擎都需要如下几个功能:
- 名单服务:建立黑、白、灰名单;
- 画像服务:建立基于IP、手机号、账户等层级的画像服务;
- 指标计算:一般包括高频类统计、求和、计数、求平均值、求最大值、求最小值等等;
- 风控模型:基于采集到的数据,建立风控模型,比如:设备模型、行为模型、业务模型等;
- 规则引擎:最终的风控数据进入规则引擎,由规则引擎判断是否存在风险。风控运营需基于业务建立各种风控规则,以识别风险。
c)风险处置
识别到风险之后,需要对风控进行处置,处置手段一般有:
- 二次校验:比如,正常用户无需二次校验,有风险的用户需再次校验手机短信等;
- 拦截:拒绝当前业务操作;
- 降低奖励:比如,正常用户的奖励金是1元,风险用户奖励金是0.01元;
- 拉黑:直接进黑名单;
- 名单监控:进灰名单监控;
- 风险审核:进入人工审核,比如:电商场景的订单业务,一般嫌疑类风险订单,都会安排人工审核。
1.3 事后分析回馈
事后主要是做离线分析,分析结果可作用于事中实时检测和事前预防。对于T+N的业务(比如:拉新奖励金提现),离线分析之后,若识别出风险,也可以做拦截(拒绝此次提现)。
离线分析主要有几个方面:
- 离线指标:基于长周期、大数据的离线指标计算;
- 关联分析:基于前后关联业务、关联数据做关联分析,识别风险用户、风险操作;
- 复杂网络:基于用户数据、设备数据、网络数据、业务数据,建立复杂关系网络,基于数据与数据之间的关系,来识别风险;
- 模型训练:基于机器学习、深度学习技术来构建业务模型、设备模型、行为模型,或文本类模型(异常地址检测、异常昵称检测)等;
- 名单库:通过离线分析,积累、沉淀各种名单库;
- 数据画像:基于离线分析,对账户、IP、设备、手机号等构建数据画像。
1.4 全链路布控
全链路风控解决方案另一个非常重要的过程是:全链路布控。若只是构建了全链路风控模型(工具),未做全链路部署,那也是大材小用。
全链路布控主要要做到:
- 多业务布防:在业务的各个环节都需布控防刷手段,一般的营销活动都需先注册、登录,再参与营销活动。所以,可以在注册、登录、营销活动各个环境都布控风控检测。
- 联防联控:前置业务为后置业务产出事前特征,避免后置业务风控检测冷启动;后置业务为前置业务提供事后特征,比如:准实时、中长周期的风险特征。
五、结束语
羊毛党和黑灰产是一群非常活跃的群体,只要有利可图(获利、引流等)他们便如蝗虫一般涌入,给企业带来非常大的经济损失。
但如此强大的黑灰产,也并非无懈可击,他们的动机很纯粹,即:获利。只要投入产出比不高,他们便不会“恋战”,便会转战其他投入产出比更高的平台。
所以,风控防刷的主要目的是提高刷子的成本,当然,其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制,便能逐步提高刷子的成本,最终让刷子“望而却步”。