安在讲堂 ｜ 直播实录：京麒沙龙之智能风控

　　投稿 |流苏

　　编辑 |图图

　　漫，风控和黑产之间的博弈不会停止。在持续不断的村庄中，双方都在进化——黑产发展全面发展为囊括生产、代售代刷等上成熟完整、分工数据的明确产业链，而控制则在大与人工智能的加持下，身身为“智能风控”，对黑产形成了严密、精确的防御与更强大，成为现有企业反制黑产的利器。

　　为了帮助更多安全从业者和企业，了解前沿智能风控技术和大厂最佳实践案例，9月23日，京东安全与安在联合举办了“京沙麒麟专第三期之智能风控”场直播活动。

　　本期由安在CEO张耀苏疆直播主讲，京东安全博士林次元晟直播、网易严控业务负责人跃和贝壳反黑实验室负责人杜中分享了对于“智能风控”的前沿技术和企业的最佳实践。在庞大的两个多小时的直播中，自带知识技能干，也有京东、网易贝壳在风控和反灰产上沉淀的青春岁月。

　　以下是专业专家的分享内容，干货满满，欣赏。

　　一、京东安全博士林元晟：京东智能风险监控实战

　　为什么要进行智能风险监测？

　　这是因为风险监测实际上是与风险识别进行左右互通，寻找风险全量；而智能的存在则让“规则+有监督模型”慢慢转向半监督无监督，输出的结果和可解释性。

　　随着网络黑产对营销资源的意识，已经逐步影响到用户的有效和GMV提升，因此为了实现网络营销必须可以判断风险，要进行风险监测。

　　那么就做好智能监测？

　　一是作战气象：评估一切，发现异常，赢得最多。英文是风险监测要从始至终，从实践中寻找行之有效的，方法牢牢掌握剧情的信息，并最终让它能够可控。

　　二是风险监控的最终目标是实现风险预测，而不是靠猜测，应“先整体后聚焦”，而不是补漏，最终实现收益最大化。

　　具体来说，风险监测有三个维度。

　　一个是基于用户行为的黑产用户风险监控，使用的方法是少数样本半监督的算法。黑产业务的痛点是，流行控制群软件，出现个别人群，进行示范领骗、吹刷单和薅等恶意行为。

　　难其点在于时效性和覆盖性。例如新人包套利冒险，实时性需求非常高，而因为是新注册的，游戏抓取的关联信息非常少，对于风控来说是一个非常大的挑战。

　　研究证据，正常用户移动模式行为和恶意用户移动模式行为存在差异很大，因此他们有不同的位置个数的最常见位置的描述也不相同。

　　实际上，地址类特征的特征重要程度可识别风险标签特征重要程度，可通过身份特征进行身份识别。

　　同时网络集群群体行为的风险结合网络可以发现，通过数据发现关联信息，进行团伙划分和群体信息处理，最终建立预测模型。

　　二是基于，实时流数据的价格风险监测痛点是价格异常发现不及时和预警通知，适用于实时、多尺寸且大重点的数据和无监督实时学习更新算法。

　　基于同时深度学习的优惠券风险监测，痛点是优惠券类型多，领券用券情况复杂，计算指标可能；领券用券可能是局域的。特点是无监督深度学习算法，拟定规则模型更有效的变化训练方法；将降维过程和估计过程有机结合，进行综合的联合，避免因两步独立导致模型陷入困境最优解；与正常样本变异，异常医学重建。

　　三是短文本舆情探索，其目标在于深度挖掘情报中的关键信息，快速实时研判，反应及时，痛点是舆情数据结构复杂化，实时研判；短文本，特征性问题。

　　新西兰

　　1。对于的收货地址可以进行恶意订单行为的判断吗？

　　林元晟：可以，京东有非常成熟的地址反作弊模型，能识别收货地址的特殊标记，然后对每一个地点进行评分，对于订单的风险管控实际上效果非常好。

　　2。小型机构没有钱，如何实现这种功能？

　　林元晟：如果是小型机构，以往的主要活动应该是风险识别，但不要落下风险监测，这是对风险管控方案能力的功能要求，所以规划中或者在设计整体的风险管控时可以考虑风险监测。

　　二、网易严选风控业务负责人苏跃：风控策略体系&图的风控场景业务应用

　　网易严选大业务极限挑战

　　从风险的角度来看，自营电商跟电商相比，可能不存在平台管理或户类的风险，因此更多的是在自营电商的营销资金风险，而且会自营营销业务中的前进、逆向和横向的流程中。而网严选的五大业务风险分别为营销风险、流量风险、恶意风险、内容风险和逆向物流风险。

　　严选业务风险管理体系

　　如上图所示，这是网易严选风控体系偏技术层的架构，从下到上可以为四层。

　　最有可能是风险层，包括风险数据和设备识别数据层，往上是识别层，包括风险指标、特征标签和算法模型，在往上是业务层，包括业务场景、场景策略和风险规则，最上层是产品层，主要是风控赋能产品。

　　网易严选的风险解决方案一直在不断演进。最早是“专家判断和规则管理”的专家模型解决方案，优势是见效快，不足之处在于整体认知能力快速快速。

　　而后是大而全风险覆盖的机器人模型，优势是勘探、维护的成本，但无法满足的精细化游戏操作。

　　再然后是场景化风控，优势在于，针对单独业务场景场景或特殊化场景，可以快速进行风险配置，但无法识别能力之外的未知风险，因此可以自动发现解决方案。

　　鹅严选风控的核心技术主要包括ES数据统一存储、风控实时模型、超级规则引擎、频控计数核心和用户关系网络。

　　关系网络的风控应用实践

　　图非常适用于控制的场景，而且是极其流行的一种风控手段。如果把黑产电商领域的狼人或者吸血鬼，那就是风控业务的犯罪图。

　　图实际上是、边组合的一种在应用的时代被结构点知识图谱、复杂网络、关联网络等。在实际应用中，有效的图应用必须依赖于有效的图构建。

　　构建好图以后，应用主要包括两个方面，一是图，可视化和图可以有效提升查询效率；二是计算，社区发现算法和表示可以提高资源图计算。

　　点图，严选风控图的技术架构从下到上谱为五成。数据采集包括实施的组单请求数据表和相关开发风控日志；存储层包括Kafka、DataHub、Redis、HBase、Neo4j Hive；加工处理层是一些工具和语言，负责对数据进行加工和处理；模型分析层包括图、社区发现、图学习等；输出服务层显示可视化图谱、图查询、风控标签查询等。

　　严选当前已经实现了上一节点和节点关系的实时更新，并且在日常图需要上万的实施查询情况下，图谱的返回时有效控制在妇女级，直到双11等情况下，也有可能发生查询、访问崩溃等事故，系统稳定性高达99.999%。

　　严选怎么用的呢？严选采用的方式有两个要点，一是更新和搜索同步进行，二是离线图计算去帮助实时图。

　　新西兰

　　1。规则是机器识别，还是机器混和人工？

　　苏跃：在严选，规则全靠人工来进行配置，机器只是重要的潜在特征以及潜在的输出。就像我前面讲的，风控的操作更多的是做策略性的事情，机器层更多的是给人工操作输出的故事情节或者特征。

　　2。风控是在业务后置好还是后置好？业务方希望风控后置，让风控挡在最前面，风控喜欢后置这样的信息更多。

　　苏跃：风控分为风控识别和风控处置，风控识别是同类的，比如在领取优惠券、等的节点就部署风控识别，但自身风险包解决方案产生的资损节点愿意进行用户委托，站在业务的某个角度身份识别。对于零售业务来说，只要有风险识别或者风险身份验证是否能够达到业务的预期，这些都不是问题。

　　三、贝壳反黑实验室负责人杜中伟：情报在反黑场景中的应用

　　关于情报

　　情报窃取情报，2014年Gartner发布了《安全服务市场指南》提出了威胁情报的概念。

　　通俗地说，威胁情报是关于威胁的信息，利用公开的资源，用于发现威胁并指导企业行动以改善安全状况。

　　三类，情报情报三类，包括情报、技术情报和事件情报，至于其他情报则是根据行业和业务属性的不同而添加，不是所有的行业都存在此类情报。

　　关于反黑

　　如下图所示，几乎每家公司都根据黑灰产的场景，不同的行业、不同的业务特点，总结成五个维度。

　　从下往上看，比较基础是流量层的对抗，比如游戏行业的DDoS攻击；设备通用性的提高，主要是虚拟的环境对抗，安卓的应用多开等；场地层和业务层更多的会涉及具体的业务，如垃圾注册、返现套利、黄牛抢单刷单等；数据层也是行业特点重点相关，如业务数据交易等场景。

　　贝壳作为房产服务平台这么一个特殊的行业，会构成特殊的业务，包括骗获、私单、飞单泄露客源、泄露客源、同业盘、同业盘、私包等。

　　情报体系建设思路

　　下图所示是贝壳情报体系建设思路。在情报采集层，贝壳主要有城市情报，包括对房源泄漏、客源泄漏和内部情报；利用则情报一些通用的智慧的监控，包括贴吧、闲鱼、淘宝等；内部自建主要情报是SRC漏洞提交、反爬日志和内部监控。

　　在情报的深度分析和处理中，我们控制SDK内部的相关数据、基层的全量日志以及业务基础数据的汇总、研判、分类和验证场景，确定全量数据运行，最终输出信息。

　　而在这个过程中也有相应的荒凉，包括黑灰产作弊的场景、作斗争的喧闹、黑灰产手机号库的巨大、黑产代理池和配套工具库的巨大。

　　情报输出主要有以下几种：分别是情报平台展示分析结果，和风控部门进行API级的对接，情报实时输出，输出大模型，增加线上管控的完整度等。

　　杜中中还分享了两个真实的案例，一是某某假注册销售团队伙伴；二是外部资源网络伙伴，所有观众真实真实的参考意义。

　　新西兰

　　1。黑灰产聊天群的情报获取途径和分析措施是怎样的？

　　杜中伟：没有标签的办法，因为微信、QQ是智慧化协议，通过破解协议进行监控行不通。现在用的方法是机器人，它有语音识别和回复的能力，能够很好地自动伪装在群内，灯光搭对群进行监控。监控后的聊天记录，一路和分析都可以通用，主要是做语音识别和视频等。当然也可以人工潜伏，自己也不会那么高，看大家如何选择。

　　2。比如说这方面的建设能算刚需吗？老板认为可有可无怎么办？

　　杜中伟：其实所有安全方面的建设可能都是黑的问题，安全采取了有价值的价值，我认为在反灰产可能更好一些，比如发现了多少黑灰产的行为，发展了多少一个黑灰产账户，在业务上的直接损失是多少可能更多。主要还是需要业务需要，如果公司业务有需要，那么一般会需要紧急救援。

　　关于「京麒社区」

　　“京标准麒”是由京东安全联合游戏和互联网公司发起的目标安全社区，聚焦企业安全建设的主题、互联网突破、运营管理、规范建设等，推动企业的安全建设交流与研究合作、共建互联网安全生态。未来京麒”社区，一副“更精彩的圈内合作伙伴”，发起“京城线上安全峰会”以及多种形式的线上下活动与合作，围绕前沿、热点安全技术及进行深入探讨、持续为安全圈贡献力量。

　　阅读推荐

　　电视剧变时代，为什么安全才是数字化提速的秘诀？

　　齐心抗疫与你同在

　　点【在看】的人最好看