試問：誰不想成為一個(gè)做出億級(jí)體量的產(chǎn)品 or 研發(fā)呢？有目標(biāo)才有前進(jìn)的方向，有方向才有一步一個(gè)腳印的實(shí)現(xiàn)。億級(jí)體量四個(gè)字，不僅意味著成就感與光環(huán)，更意味著壓力與責(zé)任。

今天分享的內(nèi)容，來自美團(tuán)外賣的風(fēng)控負(fù)責(zé)人蔡敏老師。蔡老師有互聯(lián)網(wǎng)行業(yè)10 余年從業(yè)經(jīng)驗(yàn)，先后任職于 58 到家、58 同城、百度等互聯(lián)網(wǎng)頂級(jí)大廠，在大數(shù)據(jù)、風(fēng)控、支付等領(lǐng)域有多年架構(gòu)和技術(shù)管理經(jīng)驗(yàn)。蔡老師將從自身項(xiàng)目經(jīng)驗(yàn)出發(fā)，為大家解讀億級(jí)訂單體量下的美團(tuán)外賣風(fēng)控架構(gòu)是如何設(shè)計(jì)的。

關(guān)于美團(tuán)風(fēng)控設(shè)計(jì)，可以分為 3 個(gè)版塊：

1. 業(yè)務(wù)的流程；
2. 技術(shù)的架構(gòu)；

常用的策略。

一、概述

風(fēng)控即風(fēng)險(xiǎn)控制。

一般來講，風(fēng)控分為兩大方向：

1. 信用風(fēng)控

信用風(fēng)控廣泛適用于日常生活中，例如銀行貸款或者 P2P 貸款，機(jī)構(gòu)會(huì)對(duì)借款人進(jìn)行償還能力評(píng)估，是否有逾期或者惡意欠款等情況。

2. 反舞弊風(fēng)控

目前有許多黑產(chǎn)活躍在互聯(lián)網(wǎng)上，我們的目標(biāo)是魔高一尺道高一丈，與騙子之間不斷攻防的過程，就是反舞弊風(fēng)控。

財(cái)務(wù)的風(fēng)險(xiǎn)行為定義如圖所示：

1. 賬戶安全；這部分很好理解，就是日常生活中常見的盜卡、盜余額，一般公司應(yīng)該都有這個(gè)模塊。
2. 商家刷單；由于美團(tuán)是平臺(tái)型，商家排名有嚴(yán)格的標(biāo)準(zhǔn)。有些商家為了排名前進(jìn)，會(huì)有刷單的行為。商家刷單分為刷排名、刷銷量、刷好評(píng)。
3. 用戶作弊；這個(gè)就是「羊毛黨」啦，很多公司對(duì)羊毛黨的態(tài)度是聞之色變，其實(shí)沒有必要。我們?cè)陲L(fēng)控設(shè)計(jì)時(shí)對(duì)擼羊毛這一行為要進(jìn)行適當(dāng)?shù)目刂?，主要控制?guī)模不可以太大；不要太混亂影響普通用戶的體驗(yàn)。

二、風(fēng)控的特性

風(fēng)控的特性，或者說是特征，總結(jié)了三條：

1. 高對(duì)抗性

即與上文中提到的黑產(chǎn)進(jìn)行對(duì)抗。任何平臺(tái)只要有利可圖，黑產(chǎn)會(huì)不間斷 24 小時(shí)兜圈子。打游戲的同學(xué)更容易理解一些，各種游戲都會(huì)出現(xiàn)有組織有規(guī)模的工作室去找游戲的 Bug ，刷金、刷裝備、盜號(hào)來謀取錢財(cái)。這就需要我們不斷去對(duì)抗，一直與黑產(chǎn)處于攻防階段。

美團(tuán)和 58 這種平臺(tái)，黑產(chǎn)去發(fā)帖子刷排名，單價(jià)很可觀的，所以黑產(chǎn)動(dòng)力很足，需要我們有這個(gè)意識(shí)，對(duì)方是不會(huì)休息的。

2. 準(zhǔn)確性

風(fēng)控領(lǐng)域有兩個(gè)要點(diǎn)，一個(gè)是準(zhǔn)確性，另一個(gè)是召回率。準(zhǔn)確率之所以在風(fēng)控領(lǐng)域格外重要，是因?yàn)樗械牟呗浴⒛Ｐ投紵o法保證百分百的成功與正確。策略和模型的準(zhǔn)確率低一點(diǎn)，用戶及商戶的投訴就會(huì)隨之上升。因此準(zhǔn)確率要比召回率更中啊喲，一個(gè)策略的準(zhǔn)確率應(yīng)達(dá)到 99 % 才允許上線。

3. 靈活性

由于黑產(chǎn)打得都是持久戰(zhàn)，我們通過人工進(jìn)行全天對(duì)抗是不太可能的，所以策略應(yīng)當(dāng)保證能夠隨時(shí)監(jiān)控、隨時(shí)修改、及時(shí)更新，即靈活性強(qiáng)。

三、風(fēng)控的整體架構(gòu)

風(fēng)控的整體架構(gòu)可以分為三個(gè)大的系統(tǒng)：

1. 實(shí)時(shí)風(fēng)控；
2. 準(zhǔn)實(shí)時(shí)風(fēng)控；
3. 離線風(fēng)控。

區(qū)分的標(biāo)準(zhǔn)是根據(jù)策略的速度：

• 實(shí)時(shí)風(fēng)控：舉個(gè)例子美團(tuán)的實(shí)時(shí)風(fēng)控要求必須為毫秒級(jí)同步返回，用戶下單時(shí)必須要實(shí)時(shí)監(jiān)控同步調(diào)用，每天億級(jí)的調(diào)用量就要求每次調(diào)用不可以是秒級(jí)別。
• 準(zhǔn)實(shí)時(shí)風(fēng)控：一般來講幾秒甚至幾分鐘以內(nèi)返回都可以，因?yàn)椴捎玫氖钱惒秸{(diào)用事后處理，這種方式計(jì)算的數(shù)據(jù)量和可利用的數(shù)據(jù)量資源比實(shí)時(shí)風(fēng)控會(huì)多很多。
• 離線風(fēng)控：一般通過 ETL 來做。

如圖所示第二層是策略系統(tǒng)。策略系統(tǒng)時(shí)風(fēng)控的核心系統(tǒng)，包含著規(guī)則、管理以及監(jiān)控的功能。

策略系統(tǒng)在設(shè)計(jì)的過程中，最關(guān)鍵的是：

1. 配置是否方便快捷，策略能不能夠快速上線是決定性的要素。因?yàn)槲覀円话阍谏暇€之前，首先需要灰度測試→人工處理→機(jī)器處理，因此要去策略系統(tǒng)配置一定要方便快捷。
2. 規(guī)則引擎性能要高。

最下面一層是特征庫，具備黑白名單、統(tǒng)計(jì)數(shù)據(jù)以及特征數(shù)據(jù)等功能。特種庫對(duì)于系統(tǒng)的性能應(yīng)該是最重要的，因?yàn)閮|級(jí)體量的數(shù)據(jù)量是十分龐大的，因此在設(shè)計(jì)時(shí)要用到一些大數(shù)據(jù)框架。

圖中左側(cè)的處理系統(tǒng)即統(tǒng)一的處罰系統(tǒng)，無論是對(duì)商家還是用戶的處罰都會(huì)歸到這個(gè)處罰系統(tǒng)中；右側(cè)主要是一些公共組建，包含過載保護(hù)、報(bào)表、監(jiān)控報(bào)警等等功能。這就是一個(gè)完整的風(fēng)控架構(gòu)。

四、風(fēng)控關(guān)鍵流程

風(fēng)控的流程可以分為六個(gè)關(guān)鍵性流程：

業(yè)務(wù)啟動(dòng)的初期，風(fēng)控其實(shí)就隨之開始了，但是沒有必要做到上文中我們提到的那些具體動(dòng)作。

1. 從監(jiān)控開始，針對(duì)業(yè)務(wù)的監(jiān)控需要看看我們新上線的業(yè)務(wù)是否有黑產(chǎn)出現(xiàn)；
2. 情報(bào)，情報(bào)指的是收集與我們業(yè)務(wù)相關(guān)的數(shù)據(jù)，需要到外部去收集，比如論壇、社群，了解黑產(chǎn)的手段、特征，了解商家的刷單行為模式等等，這些數(shù)據(jù)可以幫助評(píng)估風(fēng)控工作的效果以及后續(xù)改進(jìn)方向；
3. 評(píng)估，評(píng)估工作是風(fēng)控中比較重要的一環(huán)，需要產(chǎn)品和技術(shù)共同對(duì)收集的數(shù)據(jù)進(jìn)行評(píng)估，完成之后對(duì)應(yīng)的策略及模型也就自然而然地產(chǎn)生了；
4. 策略和模型，策略和模型在實(shí)際工作過程中各有利弊，策略短平快，隨著數(shù)據(jù)的收集對(duì)應(yīng)的策略即可直接堵住最嚴(yán)重的漏洞，但策略的幻化能力（能夠輕易被繞過的能力）相對(duì)于弱一些，畢竟策略只是簡單、已知的規(guī)則，因此就需要模型進(jìn)行填充，但模型的弊端在于開發(fā)需要周期；
5. 處罰，這個(gè)就是字面意思；
6. 建立知識(shí)庫，處罰完成之后將信息積累到知識(shí)庫，即可產(chǎn)生黑白名單、用戶/商家的畫像等等。

五、實(shí)時(shí)監(jiān)控架構(gòu)

隨著業(yè)務(wù)量的增多，監(jiān)控不能依靠簡單的離線報(bào)表進(jìn)行，離線一般來講是 T+1 ，等發(fā)現(xiàn)的時(shí)候已經(jīng)太晚了，因此要進(jìn)行實(shí)時(shí)監(jiān)控。

如圖所示，實(shí)時(shí)監(jiān)控分為：

1. 實(shí)時(shí)數(shù)據(jù)源，例如 Binlog、Kafka 等等；
2. 流計(jì)算，目前美團(tuán)采用實(shí)時(shí)指標(biāo)系統(tǒng) Calcite + FlinkSQL，比較方便簡單；
3. 計(jì)算結(jié)果輸出；
4. 數(shù)據(jù)應(yīng)用，用于預(yù)警和監(jiān)控等等功能。

六、風(fēng)控策略的難點(diǎn)

如圖所示：風(fēng)控的難點(diǎn)與風(fēng)控的特性一一對(duì)應(yīng)。

• 靈活性：與黑產(chǎn)的對(duì)抗無處不在、無時(shí)不刻，因此需要保證策略的靈活性；
• 可解釋性：策略及模型無法保證百分之百的準(zhǔn)確性，因此出現(xiàn)投訴時(shí)需要對(duì)用戶進(jìn)行解釋；客服如何清晰地抓取到用戶、用戶被處罰的理由等等，需要強(qiáng)有力的解釋；
• 更新速度：策略更新速度要快，也是為了及時(shí)止損。

七、風(fēng)控模型策略

上圖列出的其實(shí)是風(fēng)控策略和模型中比較基礎(chǔ)的：

1. 異常檢測；
2. 知識(shí)圖譜；
3. 用戶畫像即風(fēng)險(xiǎn)評(píng)分。

這部分分為兩大塊，一種是有監(jiān)督評(píng)分，一種是無監(jiān)督評(píng)分。很多公司在前期沒有足夠的正負(fù)樣本，可以采用無監(jiān)督評(píng)分，只要有數(shù)據(jù)就可以采用這種方式，可解釋性也足夠強(qiáng)。

1. 異常檢測

可以簡單分為三種：

1. 基于數(shù)據(jù)統(tǒng)計(jì)，例如同一個(gè) IP 登陸成功率非常高，這是有風(fēng)險(xiǎn)的信號(hào)，背后可能意味著是同一伙人，100 個(gè)人不可能說一次性都能輸對(duì)密碼，違反常理；同樣的，登錄成功率非常低的，可能就是暴力破解、撞庫?；跀?shù)據(jù)統(tǒng)計(jì)，可以找到異常特征。
2. 聚類，聚類完成之后會(huì)有離群點(diǎn)，離群點(diǎn)即可判斷為異常。
3. 孤立森林，這個(gè)方法在異常檢測領(lǐng)域效果最好，它的理論是將一個(gè)人的所有行為想象成一棵樹，在某些分支上與其他分支出現(xiàn)了強(qiáng)不同，則該分支出現(xiàn)了問題。例如你同一臺(tái)設(shè)備同一個(gè) IP，導(dǎo)致你的行為都是類似的；但有的人同一個(gè) IP 多臺(tái)設(shè)備，很容易被這種方法捕捉到異常。

2. 知識(shí)圖譜

如圖所示，知識(shí)圖譜即多對(duì)多的關(guān)系，舉登錄的例子，設(shè)備 ID 與 登錄 ID 未必是一對(duì)一的關(guān)系，同一臺(tái)設(shè)備可以有多個(gè)人登錄，同一個(gè)登錄 ID 又可以在多個(gè)設(shè)備上登錄，但重要的是一個(gè)人無法同時(shí)登錄 N 個(gè)設(shè)備，同樣 N 個(gè)設(shè)備也不可能被 N 個(gè)人登錄，因此很容易捉到異常。

3. 用戶畫像

用戶畫像就是通過采集到的基礎(chǔ)特征，推測一些其他的特征然后給用戶貼標(biāo)簽，例如風(fēng)險(xiǎn)評(píng)分、信用頻評(píng)分。具體的方法每個(gè)公司略有不同，大家看圖了解一下即可。

本文由 @支付學(xué)院 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)允許，禁止轉(zhuǎn)載。

題圖來自 Unsplash，基于CC0協(xié)議。