編輯導讀：隨著互聯(lián)網(wǎng)的發(fā)展，詐騙手段也越來越高超，不少人都深受其害，因此更加凸顯了反欺詐風控的重要性。本文將從數(shù)據(jù)的角度來講反欺詐風險的存在和防控的方法，希望對你有幫助。

有時候也在想，為什么我們要做反欺詐風控，做這類風控的意義在哪里，對于沒有風控經(jīng)驗的人，如果使其理解風險的存在以及控制的可能性。本文將從數(shù)據(jù)的角度來講反欺詐風險的存在和防控的方法。風控最核心的要素是數(shù)據(jù)，要想通過數(shù)據(jù)驅(qū)動風控，且能夠挖到背后的根本原因，需要有全面完整的數(shù)據(jù)分析思維框架。

作為風控人員，一般遇到的工作場景有兩類：

一、發(fā)現(xiàn)風險

黑產(chǎn)為了騙取平臺的利益并將其最大化，通常使用相關(guān)作案工具，比如模擬器、云手機等模擬正常用戶行為，以便繞過風控平臺的監(jiān)測，因此為了更精準快速地識別數(shù)據(jù)里的異常，需要有一套分析流程和框架，筆者根據(jù)自己的工作經(jīng)驗，通常通過自建的風控指標體系，并輔助監(jiān)控體系來實現(xiàn)這一目的。

1. 風控指標體系

與數(shù)據(jù)分析同行類似，風控的指標體系也需要反映出：發(fā)生了什么？為什么發(fā)生？如果持續(xù)這樣下去會發(fā)生什么？以及我們能做什么？但因為具體業(yè)務(wù)場景不同，無法像正常同行給出具體諸如DAU、GMV、ROI這么一個統(tǒng)一的標準，不過可按照主次分為一級、二級和三級三類指標。一級指標：指的是對業(yè)務(wù)指標產(chǎn)生最直接最核心影響里的風控指標，且通過其數(shù)據(jù)的變化可下鉆挖掘根本原因或預(yù)測未來發(fā)展趨勢。一級指標通常是最精煉的，一般在1～3個以內(nèi)，且最好也能直接對業(yè)務(wù)產(chǎn)生關(guān)聯(lián)，筆者目前使用的是關(guān)乎風控質(zhì)和量的兩個指標：準確率、關(guān)聯(lián)核心業(yè)務(wù)的量級占比指標，前者是質(zhì)，后者是量，因為涉及具體業(yè)務(wù)，此處量級不便明說。

二級指標：指的是最直接導致一級指標變化的度量，且其自身也包含很豐富、可下鉆挖掘的信息，通過對其分析可確定研究或者調(diào)查方向。二級指標通常維持在3-5個左右，筆者目前使用的維度是各類決策結(jié)果命中率、場景、渠道以及規(guī)則id。這四類指標都直接對一級指標產(chǎn)生核心影響，通過對其數(shù)據(jù)變化的監(jiān)控可以快速定位風險問題。

三級指標：指的是在發(fā)生風險問題是，可以直接定位到問題所在點的度量。三級指標一般不可繼續(xù)下鉆，不過可以直接反映出用戶行為特征，給業(yè)務(wù)帶來什么樣的結(jié)果。三級指標的種類比較豐富，包含基礎(chǔ)數(shù)據(jù)、行為數(shù)據(jù)、設(shè)備指紋數(shù)據(jù)等等，通過分析它們直接的變化可直接定位風險發(fā)生在的具體特征，比如具體的業(yè)務(wù)子線、用戶類別、操作環(huán)境等等。

2. 監(jiān)控體系

因為風控在明，黑產(chǎn)在暗，無法做到實時投入人力做相關(guān)的分析和排查，因此需要完善有效的監(jiān)控體系輔以完成：也就是不僅需要納入上述指標，并且還需要及時預(yù)警。筆者目前通過兩種方式完成：自動化預(yù)警通道：通過對歷史存量數(shù)據(jù)建模，達到對未來流量數(shù)值的波動預(yù)測，并通過郵件、短信、電話等載體方式預(yù)警給運營人員。筆者目前主要針對總流量、一級指標、部分二級指標做相關(guān)的自動化預(yù)警。

人工預(yù)警通道：由于自動化預(yù)警需要基于歷史存量數(shù)據(jù)進行預(yù)測，對于剛剛上線或者尚無規(guī)律可循的業(yè)務(wù)流量，則需要通過人工預(yù)警通道加以實現(xiàn)。筆者目前主要通過風控相關(guān)產(chǎn)品的接口來實現(xiàn)上報，上班的時效也是準實時的。

此外，風控大盤也是監(jiān)控體系里的一個核心工具，大盤可將上述指標可視化，通過實時數(shù)據(jù)的線上監(jiān)控，達到快速響應(yīng)的效果，筆者目前的大盤內(nèi)容大致可分為三個領(lǐng)域：

3. 數(shù)據(jù)質(zhì)量

由于業(yè)務(wù)線多而雜，容易導致數(shù)據(jù)質(zhì)量參差不齊，從而引發(fā)風控指標的變化幅度很大，因此，大盤需展示對各個基礎(chǔ)維度的數(shù)據(jù)質(zhì)量監(jiān)控，比如用戶基礎(chǔ)數(shù)據(jù)、行為數(shù)據(jù)、設(shè)備指紋數(shù)據(jù)是否存在空值。

4. 指標

通過與上下游數(shù)據(jù)做對比、與同時間范圍內(nèi)的其他維度數(shù)據(jù)進行細分比較、或者按照時間維度做趨勢展示，讓運營人員對各類指標的變化一目了然。

5. 系統(tǒng)性能

通過對各個業(yè)務(wù)線的調(diào)用時長、規(guī)則策略的報錯數(shù)量的展示，及時發(fā)現(xiàn)影響基礎(chǔ)性能的指標變動。

二、解決風險

通常到了這一步就是如何去防控風險的操作了，與日常的數(shù)據(jù)分析一樣，主要也是利用分析思維解決是什么風險以及如何處置的問題。網(wǎng)上有多種數(shù)據(jù)分析的方法，此篇不做贅述，主就思維來簡要總結(jié)一下。前面在發(fā)現(xiàn)問題上主要是發(fā)現(xiàn)異常值或者拐點，也就是通過數(shù)據(jù)挖掘發(fā)現(xiàn)風控問題，在找到問題點以后，思路就到了如何配置規(guī)則策略來防控，筆者目前的經(jīng)驗如下：

1. 熟悉每一個指標，包括其指標的各項基礎(chǔ)統(tǒng)計屬性數(shù)值

每個指標都是可量化的，通過了解其基礎(chǔ)統(tǒng)計指標值，比如均值、眾數(shù)、中位數(shù)、最大值、最小值等，可掌握數(shù)據(jù)基本特征，這些基本特征就是挖掘風控異常特征的基石。因為風控需要挖掘出異常用戶，因此通過分析當前指標數(shù)據(jù)特征，并輔以對比性分析、分組分析、聚類分析等多種方法，可挖掘出異常用戶。

2. 熟悉每個特征背后的風控和業(yè)務(wù)意義

每次欺詐類風險產(chǎn)生的背后都包含了具體的某個業(yè)務(wù)以及黑產(chǎn)對應(yīng)的攻擊方式，了解業(yè)務(wù)才知道防控/對抗的策略側(cè)重點在哪里，通過指標的層級分析，定位了到了具體風險特征，策略才有方向所指。舉個具體的實例：如果發(fā)現(xiàn)注冊環(huán)節(jié)有大量同IP多賬號的特征，如果此刻業(yè)務(wù)又有拉新送禮包的活動，那說明此刻存在批量注冊的風險，如果還發(fā)現(xiàn)這批用戶有虛擬號碼的特征，則說明大概率是被羊毛黨做了批量腳本注冊了。因此在策略方面就需要多考慮幾個與羊毛黨相關(guān)的規(guī)則策略來識別。以上只是一個大概思路，因為對抗的頻率和風險特征反復無序，因此在發(fā)現(xiàn)問題和解決問題這兩個大的節(jié)點上，其實還需要熟練的數(shù)據(jù)分析操作和快速應(yīng)變的方法，其捷徑就是多參與對抗、多積累經(jīng)驗、多掌握數(shù)據(jù)分析的各類技巧和方法。

作者：小瑪，某金融公司風控分析師一枚;專注風控多年，持續(xù)更新風控系列文章;“數(shù)據(jù)人創(chuàng)作者聯(lián)盟”成員

本文由@一個數(shù)據(jù)人的自留地 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自pexels，基于CC0協(xié)議