一、互联网化带来的业务风控难题

互联网社区内出现大量广告水文，电商营销活动中面临薅羊毛、刷单等问题，航旅出行平台遭遇大量恶意爬虫，企业O2O推广经费石沉大海……以上是各个行业的互联网场景都会遭遇的业务难题。

在移动支付兴起之后，越来越多企业增加了在互联网业务上的投入，红包返现、优惠券、免单券等“羊毛”越来越多，以考拉海购（原网易考拉）为例，全年大促就有10多次，比如：春节大促、元宵大促、618大促、818大促、双11大促、双12大促、黑五大促、圣诞大促、元旦大促、年底年货节等。再加上大大小小的营销活动、拉新活动等，全年的营销费用多达10亿元。

在营销活动频率如此频繁、优惠力度如此之大的背景下，企业业务必然会遭遇到各类非正常用户的威胁：羊毛党和黑灰产。

羊毛党：普通意义的羊毛党主要是指关注与热衷于“薅羊毛”的群体，是指那些专门选择互联网公司的营销活动，以低成本甚至零成本换取高额奖励的人。

黑灰产：羊毛党的主要角 {MOD}是“真人”，而黑灰产则主要侧重于利用平台漏洞、或者使用各种黑灰产资源，开发出各种自动化工具，比如手机黑卡、代理IP、群控平台、改机工具等，从而实现投入资源少、套利变现快的目的。此类人群比羊毛党的危害要大得多，国内至少有百万级别的人从事黑灰产活动。

庞大的羊毛党和黑灰产，再加上装备精良的黑灰产武器，一般的企业都很难招架住。所以，对于企业而言，很容易出现以下的问题：

• 各种小号、垃圾账号泛滥
• 撞库攻击、盗号、毁号、拖库等
• 拉新10w留存率不到5%
• 百万营销费用，却增加不了用户粘性
• 投票票数差距非常悬殊
• 各种榜单被垃圾账号占领
• 实物奖励被机器人领走
• 红包被秒抢
• 下单不付款占库存
• 虚拟占座
• 刷单炒信
• ……

二、传统的防护手段

对手如此凶猛，而对于一般的企业而言，有哪些防护手段呢？比较常见的有：

1)IP封禁

一般的羊毛党，或者是初入行的黑产小白来刷活动时，一般是使用相同的IP。其表现是：

• 同一个IP，在短时间内，非常频繁的参与营销活动；
• 同一个IP，在短时间内，非常频繁的切换账号。

因此，对于这种刷子，封禁高频操作的IP，是一种效果非常明显的手段。

2)用户封禁

如果一个用户违反业务规则，或者非常频繁的参与营销活动（比如：1s一次，累计操作50次）、或者只下单不成交（下单不成交占资源、变现率非常低）等，即可封禁该用户。

3)增加验证码

在注册、登录，或者评价、投票、下单等场景，非常多的企业都增加了验证码的校验。验证码主要用于区分人和机器，对于普通的刷子而言，验证码的效果非常好。

三、传统防护手段的局限性

通用的几种防刷的手段，对普通的刷子效果比较明显，而对于专业的黑灰产而言，不但效果不明显，并且可能带来其他问题：

• 误杀真实用户，同一个公司的人几乎使用同一个出口IP，若将公司出口IP封禁，则整个公司的人都将无法正常使用；
• 用户体验不佳：验证码增加了用户操作成本，并且非常多的验证码为了应对破解，可辨识度非常差，用户体验非常不好。

因此，一个比较好的风控解决方案，不仅要考虑用户体验，同时又要兼顾效果，需要考虑很多方面，比如：

• 最好对用户是无感知的；
• 最好能识别作弊的设备和经过改机软件篡改过的设备；
• 最好能识别机器作弊的一些行为，从行为轨迹上进行识别和拦截；
• 最好能识别作弊的IP；
• 最好能识别作弊的手机号、账号。

四、网易易盾是怎么做业务风控的？

基于以上的出发点，易盾开发了全链路风控解决方案，包括三大部分：事前预防、事中检测处置、事后分析回馈。

• 事前预防：通过数据采集收集用户侧信息、通过业务规则来限定参与活动的门槛、通过身份核验来确认用户身份等手段，防止风险事件的发生。
• 事中检测处置：通过实时在线的手段来检测风险，并做相应的风险处置，防止风险事件的发生。
• 事后分析回馈：基于长周期的离线数据分析，计算用户侧、设备侧、IP侧、业务侧的各种风险特征，并作用于事前风控和事中风控。

1.1事前预防

事前预防主要有三个层面的事项：数据采集、业务规则、身份核验。

a)数据采集

在业务活动的各个阶段，都需要埋点采集数据，主要有设备指纹、操作行为、网络数据、业务数据、第三方数据等。采集的数据主要用于事中的风险监测和事后的离线分析。

b)业务规则

在制定营销活动时，必须制定完备的业务规则，必须要有相应的活动门槛和限制，例如：

• 用户群体限制：定义哪些类型的用户能参与活动，指定清晰的分界线。比如：电商大促经常出现的神券，可以限制账户等级>3、年度内购物次数>2才能领取等等。
• APP版本限制：定义哪些APP版本能参与，比如：拉新活动要求必须使用最新版APP注册才给奖励。
• 参与次数限制：明确定义账户级、设备级、实名信息级能参与活动的上限和参与活动的频率等。

c)身份核验

身份核验主要是为了确保是用户自己来参与活动，主要手段包括：

• 手机短信校验；
• 验证码校验；
• 密码校验；
• 密保问题校验；
• 本机校验：校验手机号对应的SIM卡是否在当前设备中使用；
• 实名认证，有三种：1）身份证OCR校验；2）身份证OCR、人脸校验；3）身份证OCR、活体检测；
• 个人信息。

1.2 事中检测处置

事中检测主要依赖人机识别、风控引擎、风险处置三个手段。

a) 人机识别

人机识别主要区分是人，还是机器自动化的行为。客户端与后端的数据交互过程中，增加如下的数据保护手段，一旦发现数据有问题，则都是机器行为。

• 数据合法性校验
• 数据加解密
• 数据篡改检测

b)风控引擎

事中检测的核心工具就是风控引擎，风控引擎主要的工作是识别风险，一般的风控引擎都需要如下几个功能：

• 名单服务：建立黑、白、灰名单；
• 画像服务：建立基于IP、手机号、账户等层级的画像服务；
• 指标计算：一般包括高频类统计、求和、计数、求平均值、求最大值、求最小值等等；
• 风控模型：基于采集到的数据，建立风控模型，比如：设备模型、行为模型、业务模型等；
• 规则引擎：最终的风控数据进入规则引擎，由规则引擎判断是否存在风险。风控运营需基于业务建立各种风控规则，以识别风险。

c)风险处置

识别到风险之后，需要对风控进行处置，处置手段一般有：

• 二次校验：比如，正常用户无需二次校验，有风险的用户需再次校验手机短信等；
• 拦截：拒绝当前业务操作；
• 降低奖励：比如，正常用户的奖励金是1元，风险用户奖励金是0.01元；
• 拉黑：直接进黑名单；
• 名单监控：进灰名单监控；
• 风险审核：进入人工审核，比如：电商场景的订单业务，一般嫌疑类风险订单，都会安排人工审核。

1.3 事后分析回馈

事后主要是做离线分析，分析结果可作用于事中实时检测和事前预防。对于T+N的业务（比如：拉新奖励金提现），离线分析之后，若识别出风险，也可以做拦截（拒绝此次提现）。

离线分析主要有几个方面：

• 离线指标：基于长周期、大数据的离线指标计算；
• 关联分析：基于前后关联业务、关联数据做关联分析，识别风险用户、风险操作；
• 复杂网络：基于用户数据、设备数据、网络数据、业务数据，建立复杂关系网络，基于数据与数据之间的关系，来识别风险；
• 模型训练：基于机器学习、深度学习技术来构建业务模型、设备模型、行为模型，或文本类模型（异常地址检测、异常昵称检测）等；
• 名单库：通过离线分析，积累、沉淀各种名单库；
• 数据画像：基于离线分析，对账户、IP、设备、手机号等构建数据画像。

1.4 全链路布控

全链路风控解决方案另一个非常重要的过程是：全链路布控。若只是构建了全链路风控模型（工具），未做全链路部署，那也是大材小用。

全链路布控主要要做到：

• 多业务布防：在业务的各个环节都需布控防刷手段，一般的营销活动都需先注册、登录，再参与营销活动。所以，可以在注册、登录、营销活动各个环境都布控风控检测。
• 联防联控：前置业务为后置业务产出事前特征，避免后置业务风控检测冷启动；后置业务为前置业务提供事后特征，比如：准实时、中长周期的风险特征。

五、结束语

羊毛党和黑灰产是一群非常活跃的群体，只要有利可图（获利、引流等）他们便如蝗虫一般涌入，给企业带来非常大的经济损失。

但如此强大的黑灰产，也并非无懈可击，他们的动机很纯粹，即：获利。只要投入产出比不高，他们便不会“恋战”，便会转战其他投入产出比更高的平台。

所以，风控防刷的主要目的是提高刷子的成本，当然，其中不乏各种策略对抗。通过构建全链路风控方案和多业务联防联控的解决机制，便能逐步提高刷子的成本，最终让刷子“望而却步”。