其实不同行业、不同领域的风控还是有很大区别的。这里只关注刷单、排名、不正当获利等典型类型的网络行为,以及一些风控系统的基本架构。当然,与时俱进,有些新的想法可能超出了我的认知,欢迎批评指正。数据预警当业务数据波动较大时,无论是好的方向还是坏的方向,都应该第一时间提示预警。这个波动的范围是多少?对于一个庞大的互联网平台来说,同比变化5%以上很可能是一个预警门槛,但对于很多小的创业团队来说,大的变化可能会很频繁,门槛可以设得更高一些。让我做一个假设。如果你是微信产品经理,你会发现,在没有产品升级和热点新闻的今天,朋友圈的浏览量和转发量增加了5%。你认为这是自然增长吗?多半会在心里骂娘,这什么裂变套路又失控了。来,想想问题,为什么微信不遗余力地扼杀各种裂变运营?裂变数据不是在进步吗?这是典型的风控认知问题。以前人人认为是好数据,就死了。数据预警并不意味着一定有问题,而是需要快速筛选和判断。正确理解数据变化的原因并快速确认,是风控中需要处理的问题。数据预警不仅仅是全量信息的预警。比如某个特征的数据突然暴增,也需要关注和确认。它可能来自一些闪烁的机器池。至于如何分析数据异常,前面提到了通过对比、细分、溯源可以解决大部分的数据异常定位问题。风控处理引擎处理引擎用于清洗、过滤和阻塞数据。处置引擎的处理策略包括实时处理和回溯处理。实时处理是对当前的操作和行为进行判断,实时进行标签、过滤或屏蔽。回溯处理就是对历史数据进行分析,做出合理的判断和处理,比如清洗数据,或者普通的斩波。标注的意思是,如果系统怀疑数据有问题,会先标注,然后人工验证。过滤是指数据系统认为无效,不予记录,但用户仍可进行有效操作和交互。阻止意味着该行为被认为是无效的并且用户交互被阻止。规则配置处理引擎通常基于规则进行处理,因此规则配置是一个典型的系统。一个典型的例子就是黑名单,比如什么条件被屏蔽,什么条件要清理,什么条件被标记。这里有两种常见的规则,一种是根据明确的规则屏蔽单条信息,比如黑名单中的IP不允许访问。另一种是根据一定的统计规则进行清洗,比如同一ip段的重复点击超过阈值,不再记录。机器学习互联网早期,规则的产生来源于对历史经验教训的总结。根据日志分析和过往攻击记录,由资深风控逐一设置规则,防止盗刷点击等不当得利。但现在不一样了。机器学习开始逐渐取代人类劳动,根据一些不良记录自动整理规则,甚至超出人类常识。而这些规则,很多时候是可以做的,不能说的,比如某现金贷平台,根据历史呆账记录,机器学习总结出一个规则,身份证的前几位是多少数,坏账率明显偏高,所以这条规则已经写入风控规则库。那你说没有误杀,机器关心的是整体效率,比如整体坏账率是2%,符合这个规则的坏账率是10%,10%就已经给造成严重的损失了平台,所以加上这个规则,虽然会平台也愿意误杀90%符合条件的好人。为什么能做却不能说?说出来,那叫什么,地域歧视?为什么说这一带的人是坏人。毕竟你误杀了90%的好人对吧,不过这是机器学习做出来的,所以可以做,但不能说。情报系统的风控负责人,核心人员,应该加入一些安全行业内部的社群,参与一些安全行业的交流活动,甚至渗透进各种羊毛党群,各种黑灰产社区,潜伏了解一些流传的攻击方式和攻击资源。前面说过一句话,一个公司的信息安全,靠的是三点技术,七点连接。这个观点我今天还是要重复一遍,真的。有人认为我能力强,水平高,不混圈子。信息安全和风险控制在行业中非常深入。可能你的平台长期被一些对手钻了空子,圈子里的人都知道,你却不知道。这种事情其实很常见。早年自称被投资人欺负的空控户创业者,因为愚蠢的补贴策略拿到了数据,被套现信用卡的羊毛党扒光了。各种社区正在交流,即使企业家不知道,他仍然认为自己的业务数据非常好。业务影响评估的风控不是越严越好,过严的风控会把业务搞死。今天我们说,商旅行业的羊毛党还有很多玩法。那些商界大佬不知道吗?为什么航空公司和酒店集团不杀掉各种赚取里程的方式?水清则无鱼。让会员觉得有便宜的东西可以赚,也是维持用户增长的一种方式。因此,各种风控策略推出后,仍需基于数据不断评估和反思。某些策略处理的问题是不是没有那么严重,误杀率是不是有点太高了,是不是对正常的用户行为造成了干扰,可能在特殊的阶段会有更严格的策略,所以在这个阶段之后传球,相关策略能否减弱甚至取消?其实风控指标有两个。首先是不良行为的清理和阻断率,是否真的有效让那些干扰和噪音不再影响业务和决策者的判断。二是对正常业务的干扰率。风险控制不可能完全准确。任何策略都可能干扰正常的用户行为和正常的业务数据。那么是否可以将这种影响控制在足够小的范围内。这需要经常反思和分析。千万不要等到业务负责人过来追骂你的时候才知道这里可能有问题。大致是这样,但实际细节还有很多,不敢展开。一旦展开,我的无知就会暴露无遗。
