美团风险控制系统综述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风控系统——系统接入 与业务方对接是风控系统要做的第一步,风控事件服务(代号:Tatooine, 《星 球大战》中天行者家族的故乡行星)就是风控与外部服务对接的实时服务接口。 风控事件服务 我们将用户通过业务系统发出的动作,称之为“事件”,例如登录、注册、下单、 支付等。对接就是为了收集这些“事件”的信息,并把决策反馈到业务系统。可以 进一步把事件抽象如下:
•
以“事件”形式对接业务系统后,业务系统仅需要关注发送“事件”和获得风控 决策, 无需再关注这次调用中所使用的具体风控服务内容——这些对应关系聚合 在 Tatooine 内部,可以灵活调整。从风控角度看,一次事件调用中有可能包含 一种或多种风控处理,例如在用户支付时,Tatooine 会同时判断用户是否在“作 弊”或者“盗用消费”。
•
•
这里所说的风险控制, 特指针对美团在线业务,采用各种措施和手段减少风 险事件发生的可能性、降低可能造成的损失的过程。
风控的特点 在开展风控工作前,首先要认识到这项工作的几个特点:
•
服务于业务:业务先于风控建立,风控因业务的存在而存在。因此风控要帮助 业务看清问题并提供方案,适应业务的场景需求、发展需求。在系统的建设中, 要保证低侵入性,尊重用户体验。
•
对抗和平衡:风控是永恒存在的,因为利益一直存在。风控的好坏不在于某一 点 的防御质量,而在于防御体系的最薄弱环节。因此,风控的目的不在于消灭 风险,而在于敏捷、持续地控制风险,处理成本和收益的动态平衡。
•
数据是核心:风控的一切依赖于数据,要尽可能收集、积累、分析所有与风 险相关的数据。数据为一切风控处理、决策提供依据。 风控的任务 具体而言,风险发生在业务动作中,积累在业务结果中。因此风控即要从业 务动作和业务结果中, 进行预警、 识别、 分析、 干预。 完备的风控体系是立体的, 在不同的环节有不同的任务。 事前:提升防御能力,减少短板
•
新业务、事件对接 业务方与风控沟通产品形态,确定策略、交互方式和传递参数
•
双方系统基于所约定的交互和参数开发联调 观察并调整策略、交互、参数 业务活动生命周期 业务方通过邮件发送新活动相关信息 风控 PM 审核,与业务方沟通制定策略 风控配置活动规则,分配活动场景 ID 给业务方使用 业务方使用场景 ID 调用风控 观察并调整策略、交互、参数 活动调整或下线前通知风控,风控对策略、监控做调整 可以看到风控团队要理解所有的业务及其活动场景,参与制定策略、确认交互和 参数, 这样的过程会因为达到团队人力瓶颈而变得低效。 而且业务形态快速更迭, 缺少业务方的参与,难以保证应用了最合适的风控策略。 风控事件和活动对接平台从两个方向来解决这个问题:
•
优先与统一服务平台(如用户中心、短信平台)而不是与各个业务系统分别对 接。这样做的好处有: 减少风控对接的系统数量, 当新业务对接了统一服务平台后,风控无需再对 接这些新业务的相应事件。
归一化输入和输出, 风控所需的输入由统一服务平台透传给风控,风控的输 出决策融合到统一服务平台的响应报文中。因此对业务方而言,仅感知到对接了 统一服务平台,不需要针对风控结果做特殊处理。 风控事件服务在系统中的位置如下:
Leabharlann Baidu
在设计和实现 Tatooine 时,有如下一些注意点。
•
风控服务路由: 通过识别当前事件和传入参数, 映射到按需定制的若干个风 控服务“场景”——每一个场景对应着特定的一组规则集合。值得注意的是,不同 风控服务映射到“场景”的方法各不一样, 例如反作弊主要取决于促销活动 (新客、 老客活动使用不同的规则集),资金帐户安全主要取决于事件(换绑手机、更改 密码对应不同的规则集),而反刷单主要取决于业务和品类(不同品类规则集不 同)。
•
用户作弊: 用户发起的以欺骗或违反业务规则的手段获得平台优惠补贴、 用 户权益等利益。在美团,这种作弊以伪装成新用户尤为明显,例如“黄牛”会利用 “刷机”、“众包”等方式得到优惠权益,再通过网络平台或直接在电影院、餐厅、 酒店门口现场兜售获得利润。
•
商家刷单:商家或其委托方以获取销量、积分、评价权益、套取优惠补贴、 帮助套现等不正当利益为目的, 违反商户平台协议发起或参与的非正常交易行为。 在利益的驱使下,甚至有虚假的商户专门从事刷单行为。 目前完整且专业的作弊产业链已经形成,这些团伙包含了生产作弊工具、刷 单和销赃的完整链条,行动迅速且参与者广泛。
•
•
信息窃取:针对支付帐号、身份证号、姓名、住址等直接与消费相关,或可用 来做“社会工程学”攻击的信息,常见的方法有直接从本人骗取,或从第三方机票 代理、在线购买网站泄露获得。
•
木马植入:植入木马程序到用户手机,截取用户短信、电话,为“验证手机验 证码”做准备。 在线消费:设法绕过平台的防控规则,购买高回报、易销赃的商品或服务,例 如高价游乐园门票、手机充值卡、加油卡等。 销赃:将非法所得在线上或线下快速兜售。 风控的特点和任务
美团风险控制系统综述
本文选自《开发者头条》3 月 16 日用户分享,作者 唐义哲 风险控制的背景 在商业交易和复杂管理过程中,风险是无处不在的。我们常说的风险控制, 就是指风险管理者采取各种措施和方法, 消灭或减少风险发生可能性和风险所造 成损失的过程。这在传统的企业管理、金融借贷、资金审计等领域中尤为重要, 并已在实际操作中发展出了一套相对完整的理论和方法。 随着互联网本地在线服务(O2O)的快速发展,越来越多的交易正在从传 统的线下传统渠道迁移到在线、实时的平台上,互联网平台为了培育市场,也在 运营和推广中投入了大量资金。但事情的另一面,这也给互联网“黑色产业”提供 了滋生的土壤。有别于传统风控,互联网在线业务风控面临的风险形式多样、变 化快, 可以利用的信息冗杂。 因此在线业务风险控制成为了风险控制中一个独特 的分支,需要一套与之适应的方法论和控制系统。 目前美团拥有数亿存量用户,实体商家超过百万,在国内本地服务领域中处 于领先地位, 成为了重要的在线交易平台和商家引流渠道,业务运行中面对的风 险尤为明显。其中以用户作弊和商家刷单、账号安全、资金安全最为突出,本文 所阐述的风控系统也主要针对这些风险而设计。下面将分别阐述这几类风险。 用户作弊和商家刷单 作弊指以欺骗或违反业务规则的手段获得利益。作弊的形式有很多种,其中不变 的是必然有利益作为作弊动机。可能的获利方包括用户账户、商家、中间人等, 并可能发生这些获利方的串通行为。作弊可以分为:
•
风险教育:在快速发展的业务中,风险控制的核心在于人,要将风险意识和基 本概念传递到业务的各个阶段,明确告知风控可以提供的服务。 参与业务:参与到业务的产品流程中,了解高风险业务、活动的规则,预判风 险并给予合适力度的干预。 数据准备:打通数据收集流程,制定预警规则、模型策略等。 主动防护:关注业界风险动态,发生行业安全事件后,或重大活动、产品改动 上线前,制定有针对性的规则,甚至采取锁定高危账户、发送预警消息等措施 事中:提升攻击成本,降低损失
•
• •
对于在线实时业务而言, 风控对线上运行的系统的防御主要体现在不同的实时决 策中:
• • •
疑似风险行为:实时预警,告知风控、业务方负责人。 低风险行为: 限制操作行为或增加验证步骤, 平衡用户体验和可能造成的损失。 高风险行为:直接拒绝,或增加额外惩罚,例如冻结帐号。 事后:快速响应,灵活管控 风控所处的环境和对手都在不断变化中, 因此风控系统本身也要接受反馈不断进 化:
美团有多条业务线,各业务都可能有独特的 Web 前端、Android 客户端、iOS 客户端、业务后台、促销配置后台等,并且可能使用一些内部统一服务,如支付 平台、用户中心、短信平台等。因此 Tatooine 不可避免与多个系统对接,所带 来的沟通成本很高。因此 Tatooine 需要:
•
重点关注与风险行为有关的事件,例如注册、登录、下单、支付、验券等,而非 全盘接收用户发出的所有动作。 信息传递抽象化,减少对业务系统侵入 不论是哪种事件,都用上述抽象的形式传递、理解和存储。 风控接口被设计成同步事件(即需要获得风险决策)、异步事件(不需要决 策,仅告知事件)两种类型。其中同步事件的返回,是一系列相互独立、而又有 强弱之分的“决策”,可以被业务系统理解执行。
•
规则决策:在得到若干个场景 ID 后,Tatooine 会连同上下文参数一起交由 规则平台并行处理。规则决策间相互独立而又有强弱之分,可分为允许操作、验 证信息、限制操作、禁止几类。 风控事件和活动对接平台 随着业务快速发展, 对接新事件和维护已对接的事件活动对风控团队已经成了不 小的负担,需要用系统平台来提高工作效率。之前对接和维护流程是这样的:
• • •
处理风控客诉、案件核查、赔付等。 对批量数据做聚合监控,捕捉实时处理时无法监控的案件。 监控风控效果,优化规则和策略。 风控系统 风险控制的方法论固然丰富, 而实施的难点更在于如何将抽象的理论变为实际可 用的系统。这个系统要解决的问题有:
• • •
如何适配和兼容多业务线,把风控的处理决策反馈到业务系统? 如何对系统的体系做逻辑拆分,让各模块“各司其职”而又满足各不同场景需求? 如何准确监控风险现状,快速配置和调整策略,让风控可运营化? 风控的系统结构如下图,下面即从系统接入、平台组件、数据运营三方面介绍其 中的一些设计要点。
账户安全 大部分用户会使用一样的信息注册多个互联网服务, 而这些服务的安全防御参差 不齐, 使得专业的盗号团伙有越来越多渠道窃取到诸如邮箱、 手机号、 登录密码、 支付密码、住址、身份证号等关键信息。盗号者通过邮箱、手机号等维度把它们 关联起来, 就可以得到十分详尽的用户资料。美团用户群与其他互联网服务有广 泛交集,用户账户中可能包含现金余额、绑定支付方式和已购买的团购券等,盗 号者使用窃取的资料用来登录、找回密码、换绑手机、换绑邮箱、支付购买,会 带来严重的安全威胁。与帐号安全相关的典型攻击形式有:
•
降低使用门槛, 转交部分决策权给业务方: 将风控策略打包成可以被业务方理解 的通用规则集合, 例如: 识别自然人规则集、 新客活动规则集、 老客活动规则集。 让业务方参与到风控过程中, 负责把合适的风控策略应用到自身场景,风控团队 则可以专注于策略集的设定和优化。
•
自助化平台:把旧流程中需要人工参与的部分尽可能用自助平台完成。 事件和参数管理: 把事件和参数信息配置在数据库中,在对接新业务时无需 新上线代码,这样可以灵活修改参数、配置检查规则、自动生成接口文档等。 活动生命周期管理:活动申请、活动审核、场景 ID 分配、活动策略配置、 信息更新、下线等环节都在平台上操作,或者由程序自动完成,让风控与业务系 统联动。过程如下图所示。
• • •
暴力撞库:对特定帐号使用遍历验证信息的方式试出密码。 洗号: 第三方网站的用户资料泄露后, 在本平台尝试登录以筛选出可用账号。 木马: 植入木马程序到用户电脑或手机客户端,用来截获用户的短信验证码 或密码信息。 社会工程学: 简称社工, 通过伪造和诈骗的方法从用户本人或者第三方获得 用户的隐私信息。 例如诈骗者谎称是某服务客服人员,联系用户称可以帮助其做 服务升级,但需要用户提供短信验证码、身份证号等关键信息,而实际上诈骗者 利用这些信息在其他平台完成帐号的手机换绑、重置等操作,进而盗取账户造成 用户实际损失。 资金安全 在线支付已经十分普及, 但因为用户体验需要,大多数在线支付的验证设置 并不严格, 譬如最常使用的“验证绑定手机短信验证码”方式并不十分安全, “拥有 短信验证码”和“是支付帐号持有者”并不等同,这就给“黑产团伙”带来了可乘之机。 与针对“账户”的攻击手段相似,盗用者可以通过各种渠道窃取到支付所需的验证 信息,进而在线消费,对用户而言带来的损失更加严重。美团为了保证消费者利 益,防范非用户本人的消费就显得尤为重要。与作弊和盗用账号相比,盗用支付 所带来的回报更高,作案更便捷,因此盗用者通常具备更高的专业性,并体现出 明显的团伙分工作案趋势: