這篇文章之前在i春秋髮過，在知乎上還是選擇隱去品牌以免帶來一些跟風控領域無關的討論。

這篇文章將會從產品和運營視角來針對風控的方法和手段進行闡述，目的就是將多年與黑產對抗的經驗總結和分享出來，一方面讓大眾瞭解一般互聯網行業在業務安全上付出的努力和我們這羣站在產品背後的安全人，另一方面也想與各行業的安全從業者共享我們不斷在對抗過程中積累出的行之有效的風控方法，希望對大家產生幫助。最後也希望藉助這篇文章去搭建起安全行業內大家溝通的橋樑，一起為互聯網安全貢獻一份力，為「天下無賊」的願景而前進。

一、黑產行業與特點介紹

黑產行業規模與產值：

據統計，截止至2017年，中國黑灰產業從業人員已超150萬，年產值達千億級別。從業者分佈前三為廣東、江蘇和浙江。

黑產特點：

有利益存在的地方就有黑產存在：

黑產遍佈在互聯網的各個領域，無論一個平臺提供的是什麼樣的產品，只要這個產品可以帶來收益轉化的可能性，這個平臺就會成為黑產的攻擊目標。如果平臺做流量分發，那麼黑產就會攫取流量進行多次轉化，可能是進行線下欺詐，也可能是流量二次分發轉化成直接利益。如果平臺做的是交易，那麼黑產就會變成羊毛黨將原本給予用戶的優惠轉化成自己的利益。如果平臺上存在著有價值的數據，黑產就會通過各種手段獲取數據進行倒賣。總之對於黑產來說，產品是什麼不重要，利益纔是唯一的思考方式。

黑產組織的分工：

為了攫取更多的利益，黑產會不斷的優化他們的攻擊模式和團隊分工。每個團隊專攻一個垂直方向是效率最優解，效率的提升就代表著成本的降低間接影響著最終收益。所以黑產會分化成很多個小團夥，每個小團夥會專門攻擊一個方向，最大可能的榨取這部分的所有價值。

以通常的業務場景舉例，黑產主要分化以下幾種：

通過販賣數據獲利：這部分黑產會通過抓取手段不斷的去獲取web端的信息，通過數據販賣來獲利。這裡面存在競爭對手也存在著專業黑產團隊

通過販賣賬號獲利：這部分黑產團隊會著重攻擊全站的註冊和登錄環節，不間斷的通過各種手段註冊賬號，盜取賬號。再將賬號轉賣給下游黑產進行獲利。

通過認證進行獲利：這部分黑產通過一些不法手段獲取公民隱私數據，通過攻擊個人認證和企業認證的環節完成白號到認證賬號的轉變。因為大部分業務都有前置認證的條件，所以完成認證的賬號價值可能是白號的100到500倍以上。

通過發布信息獲利：這部分會利用QQ羣或者一些黑產論壇社區承接需求，通過信息發布服務收取服務費用。一般發布的內容都是違規或欺詐內容。這部分也是黑產對抗最激烈的部分。

通過線下欺詐獲利：這部分黑產羣體就是黑產鏈條中最底層的組成部分，同時也是數量最龐大的羣體。他們通過虛假信息進行站內到微信或者QQ或者線下的轉化，由此完成欺詐行為獲取直接金錢收益。

上面是跟業務安全對抗的黑產羣體的一個簡要畫像，其實真實的情況要比描述的複雜很多，很多分工是有交叉或重合的部分，或者存在著更細的分工。同時也存在著一羣不直接攻擊網站,但是為這些黑產從業者提供所需資源的羣體，比如一些卡商，隱私數據的二道販子等。

有獲利的可能對抗就不會停止：

只要平臺存在著價值，就一定有產生利益的可能性，有可能性對抗就會永遠進行下去。與黑產的對抗是一場戰爭，只有當黑產的收益沒法覆蓋成本的時候，對抗才會逐漸減少。這個時候黑產會向另外的平臺或產品進行轉移。

二、業務風控的治理經驗

風控的核心點：

上文提到，只有當黑產的收益無法覆蓋成本的時候，對抗才會減弱和轉移。那分析黑產的成本組成就是一個比較重要的事情。

黑產的成本按照比較粗的粒度可以分為兩類：

第一類是人力成本，一切黑產技術的研發，欺詐的實施等等環節都離不開人的參與。

第二類是資源成本，黑產想要完成攻擊要準備很多的資源，比如IP、手機號、設備、身份證信息、銀行卡、企業信息等等。每一步的黑產攻擊都絕對離不開資源的支持。

所以我們看到，如果想要讓黑產的成本不斷攀升，我們只需要去提升黑產的人力成本或者資源成本就好。兩者對比起來，對人力成本的控制效果難以預估，難度頗大，受影響因素大。而對資源成本的控制對於企業來講簡單可行並且行之有效。

所以通過上面的分析，我們可以得出一個結論：風控的核心在於對黑產資源的打擊。

另外補充一點，資源之所以稱之為資源，需要具有穩定的唯一性和不可再生的特徵，一旦一個資源被打擊，這個資源在業務中就再也不會為黑產帶來利益。

風控治理的切入點

當遇到需要解決的風控問題時，基於我們一直以來的經驗，我們會推薦從以下兩個方向去分別思考和解決。

第一個是基於業務流程去思考風控方法，第二個是基於治理流程去思考風控方法。

基於業務流程的風控治理方法：

在介紹這種方法之前，需要普及兩個前提：

1. 如果一個用戶是黑用戶，那麼他在所有的業務流程中產生某種行為的目的極大概率上是為了提升最終獲利轉化，那麼他在每一個業務節點上產生的行為都大概率是異常的。

2. 我們無法指望在一個業務節點上解決所有的安全問題

所以基於業務流程去思考風控治理的時候，我們首先要繪製出來完整的用戶行為路徑。繪製用戶行為路徑的目的是摸清每一個可能產生異常行為的業務位置，並且通過每一個位置的分析去逐步打擊最終實現治理效果。以信息的發布為例，我們可以繪製出這樣路徑：

根據這個路徑我們一般會產生這樣的解決方案：

1. 當用戶只產生流量沒有實際userid產生時，分析流量分佈和瀏覽行為，提取異常數據流入註冊環節作為輔助數據。

2. 當用戶註冊時，分析這次註冊是否為正常註冊，如果產生批量註冊、養號等異常行為，針對賬戶或相關資源進行高危標記。如果判斷不了，數據留存轉入登錄環節進行判斷。

3. 當用戶登錄時，判斷登錄行為是否異常，是否是撞庫、爆破、異常環境等。如果是，核驗賬號身份，並且做出標記流轉至發布環節判斷。

4. 當用戶發布時，判斷發布行為和內容兩部分是否異常。如果異常則阻止發布或者進行挑戰。並且將數據同步至全部環節作為輔助

5. 當產生申訴投訴時，回歸策略準召率進行相應優化並且妥善處理相關異議。將確認的數據同步至全部環節作為輔助。

可以看到按照這種方法去思考，我們沒有在一個業務環節中去解決所有的安全問題，而是將用戶的行為進行拆分，在每一個業務節點都努力將問題率控制在最低，這樣就達到了各個擊破的效果。這種方法在黑產每一個動作上都產生了影響，因為黑產追求高效，有不同的團隊分工，所以黑產在行為上不是連貫的而是分離的，所以黑產想完全消除掉這種影響成本非常巨大。這樣也就能產生比較好的風控效果。

下面是基於這個方法的一個總結和核心注意事項：

1. 每一個關鍵的業務節點，都應儘可能有效的完成風險控制，不能將所有的風控問題寄託在一個業務節點的風控治理中

2. 每個業務節點的數據串聯是重中之重，當前業務節點產生的所有有效結論，都應該流入下一個業務節點作為輔助特徵。下游節點產生的確切結論，也應反哺上游判斷。

3. 關於異常行為的處理方法：

(1) 離獲利轉化越遠的業務節點，越不應該做直接阻斷和強對抗。比如在註冊環節直接攔截註冊行為，我們就相當於為黑產提供了試錯機制，只要一個賬戶註冊能突破現有策略，那麼這個業務節點的風控就相當於完全淪陷。針對這樣的業務風控，我們需要做的是做出有效的標記並完成流轉。讓阻斷、封禁、刪帖這種類似的處理方法在最後的轉化關鍵節點中完成，這樣會給將黑產作弊或攻擊的成本提升N倍。

(2) 各種挑戰方式，比如驗證碼等，如不能明確得出風險結論，則用來採集數據作為後續的風控輔助數據。

(3) 因為黑產分工在行為路徑上分離的特點，不定時的確認用戶在各個業務環節中的身份一致性是一個好方法

(4) 處理方法應該有輕有重去適用各種策略準召率的情況，處理要盡量做到可以限制每一個關鍵業務環節的許可權

4. 盡量做到有限資源被明確定性之後，一切業務環節都參照相關定性去完善識別能力。

如果說，上面提到的基於業務流程的風控治理是在確保風控的效果，那麼下面介紹的基於治理流程的風控方法就是進入到每一個風控節點去確保效率。

基於治理流程的風控思考方法：

當我們基於治理流程去思考的時候，我們需要介紹下在任何一個需要風控的業務場景中，面對風險我們的一般的治理流程：

如果當我們只考慮某一個具體的風控業務場景時，我們最好的方法就是通過去不斷提升每一個治理環節的效率去提升整體風控的效率，風控的效率提升了，我們就可以在有限的時間內做出更多有效的決策用於黑產對抗，頻率越快給黑產帶來的成本增加越高。

所以基於這種思考方法，我們要做的就是針對每一個風控環節制定產品解決方案，將效率做到極致。下面就是在通常的業務中關於這個流程的一些整理

風險發現環節：發現什麼、怎麼發現、怎麼快速發現是核心痛點

1. 發現什麼：什麼是我們要解決的安全或風控問題，就發現什麼

1) 安全漏洞

2) 垃圾信息

3) 重大輿情

4) 黑產資源

2. 怎麼發現：通過什麼樣的手段來發現風險

1) SRC、漏洞掃描器（漏洞）

2) 聚類分析、信息巡檢抽檢（垃圾信息）

3) 輿情抓取分析（重大輿情）

4) IP畫像、手機號畫像（黑產資源）

5) 一些第三方提供的威脅感知能力

3. 怎麼快速發現：整個監測預警機制的搭建

風險分析環節：如何快速分析產生決策是核心痛點。

對應著一些核心能力：智能分析平臺、風控引擎、演算法孵化平臺

風險處置環節：如何處置、處置哪些。

如何處置：

我們將用戶所有的權益進行總結，以電商網站為例，用戶可以擁有：發布的權益、瀏覽的權益、賬戶使用的權益、推廣的權益等，在每一個關鍵的權益上都需要有著靈活的處理方法。

處置哪些：

所有資源類的唯一性數據都是處置的範圍，處置的時間範圍應該覆蓋過去和未來，當一個資源被定性成黑產，那麼相關的所有資源都會被處理，最大程度的提升黑產對抗成本。

一些核心能力：聚類處理、社區挖掘、策略回溯

效果回歸：通過對已產生效果的策略生命週期進行監控，隨時關注在業務中的準召率，並及時作出優化

以上就是在風控業務中常用的兩個切入點，不同的思考方法適合不同的風控階段。比如對於風控初期的業務，到處救火是常態，可能基於業務流程的思考方法更加適合，這樣就可以從整體上去思考快速建立起一套比較有效的風控體系。如果對於風控穩定期的業務，可能更加追求穩定和可控，基於治理流程的思考方法可以幫助業務進一步的提升風控能力，讓每一步產品動作都會產生價值沉澱，每一步的沉澱都會讓風控這件事情變得更加得心應手。

寫在最後

以上是我在風控這個領域中積累出的一些比較行之有效的方法論，但是因為時間原因很多風控執行的細節、一些核心技術的架構和實現方法都沒有做具體的介紹，後續如果有時間，可能會分別針對某一個細節方向相關的風控經驗和產品架構做一些分享。這次還是希望能通過這樣一個相對還算完整的風控思想體系來為各位安全行業的同學們提供一些思路，對自己的業務產生一些幫助，這樣的話，這篇文章的目的就算是達到了。

最後如果各位有興趣在風控領域進行一些比較深入的交流，歡迎發私信一起討論，我們一起為互聯網安全的發展貢獻出一份力。

推薦閱讀：

相關文章