在風(fēng)控實戰(zhàn)中，黑產(chǎn)為了獲得收益會采取多種多樣的手段進行攻擊，筆者總結(jié)了風(fēng)控對抗中的特征選擇，并分析了相應(yīng)的處罰手段。

做了很久的心理斗爭，終于決定靜下心來把這些年在風(fēng)控的實戰(zhàn)對抗中關(guān)于特征和處罰選擇的經(jīng)驗進行一次分享。

之所以一直不愿意將這部分寫下來，是因為不光是風(fēng)控的從業(yè)者，很多黑產(chǎn)從業(yè)者也在暗處關(guān)注著整個風(fēng)控行業(yè)的動態(tài)，所以很多企業(yè)都把識別方法做為核心機密看待。

但是從另一方面來考慮，除了小部分獨角獸企業(yè)，絕大部分企業(yè)的風(fēng)控做得還相對初級，也沒有一些核心的思考方法論，所以基于以上兩點來權(quán)衡，還是決定把一些在風(fēng)控對抗中基本的思考方法分享給大家，幫助剛?cè)腴T的風(fēng)控同學(xué)能快速地形成有效戰(zhàn)力。

這篇分享的內(nèi)容主要聚焦在對抗中的特征選擇與處罰選擇上。

一、風(fēng)控中的特征選擇

我們知道，在真正的實戰(zhàn)風(fēng)控中，黑產(chǎn)為了追求收益，一定會最大程度的將成本最小化。為了保證成本的可控，黑產(chǎn)在攻擊時采取的策略是能簡單決不復(fù)雜，能機器絕不人工，總之就一個目標：完成利益的收割。

所以在做風(fēng)控的時候，我們的基礎(chǔ)思想就是找不同，找聚集性行為。我們可以從哪些方面來尋找所謂的不同或聚集性行為呢？

1. 通過基礎(chǔ)信息的合法性尋找特征

基礎(chǔ)信息指的是當(dāng)一個用戶在進行操作時，系統(tǒng)自動采集到的信息。以信息發(fā)布為例，我們在查看一條發(fā)帖數(shù)據(jù)的時候，肯定能獲取到發(fā)帖的ip、發(fā)帖電話、地址、郵箱、企業(yè)、實名等等信息。這些信息就是基礎(chǔ)信息。當(dāng)我們?nèi)ビ^測數(shù)據(jù)的時候就會發(fā)現(xiàn)，有些用戶的基礎(chǔ)信息不符合一個正常人的使用習(xí)慣，我們就能確認這個信息是非法的，進而確認一個用戶是異常的黑產(chǎn)用戶。

我們舉兩個個例子：

比如我們獲取到了用戶的手機號，但是我們在撥打的過程中發(fā)現(xiàn)是空號，正常的用戶不會用一個空號手機來發(fā)帖，所以我們認為這個手機號本身是非法的，所以使用非法基礎(chǔ)信息的用戶基本也可以定義為非法。

再比如我們獲取到了用戶填寫的地址，但是我們發(fā)現(xiàn)世界上不存在這樣一個地方，那么我們也同樣可以認為這條信息是有問題的。

2. 通過內(nèi)容表現(xiàn)尋找特征

一般在UGC的風(fēng)控場景中，黑產(chǎn)為了實現(xiàn)轉(zhuǎn)化以及躲避常規(guī)的風(fēng)控策略，黑產(chǎn)通常在內(nèi)容（圖片、文本、視頻、音頻）中留下聯(lián)系方式用于跟用戶產(chǎn)生有效鏈接實施欺詐，或者將一些不良內(nèi)容發(fā)布出來以吸引流量。所以針對內(nèi)容的特征挖掘是初入風(fēng)控領(lǐng)域的同學(xué)最容易上手的方式。

其實一般來說，關(guān)于內(nèi)容類的特征總結(jié)起來就是——有沒有在某一個數(shù)據(jù)字段中包含某一內(nèi)容。常用的特征有可以參考如下分類：

A. 關(guān)鍵詞

關(guān)鍵詞是最常用的內(nèi)容特征，特點是生效極快，失效極快。一般用于快速止血避免不良影響擴散。但是應(yīng)用關(guān)鍵詞的同時需要考慮豁免條件，比如我們認為“山寨機”是非法詞，但有些用戶會在內(nèi)容中出現(xiàn)“拒絕山寨機”。這個時候如果不考慮關(guān)鍵詞的豁免就會產(chǎn)生誤判。

B. 名單類

當(dāng)需要在用戶產(chǎn)生行為之前就對用戶進行攔截或者免除處罰時，我們就會使用名單。常見的有用戶黑名單、設(shè)備黑名單、灰名單、白名單等。

黑名單常用于直接攔截，避免產(chǎn)生二次作惡的可能性；灰名單一般用于挑戰(zhàn)用戶，比如讓用戶回填驗證碼，做一些身份認證等等。白名單一般用于豁免用戶，比如用戶被某種策略誤判，可以將這個用戶加入白名單來豁免檢測。

名單的產(chǎn)生不應(yīng)該是一次性的，名單應(yīng)該進行長期維護并且注意名單的進入和退出。因為一旦停止維護，名單的準確率就會發(fā)生大幅衰減導(dǎo)致誤判急劇上升。

以黑名單為例，在用戶進入黑名單時應(yīng)著重關(guān)注進入黑名單邏輯的準確率，盡可能地將準確率控制在接近100%。而在用戶被誤判發(fā)起申訴并且通過后，應(yīng)該將用戶移出黑名單來避免對用戶反復(fù)誤傷。

C. 算法類

一般需要對內(nèi)容進行主觀性判斷的時候，因為全部通過人工去審核成本太過龐大，這個時候就需要算法能力的輔助。常見應(yīng)用在內(nèi)容反欺詐領(lǐng)域內(nèi)的算法有：涉黃、暴恐、涉政檢測，廣告識別，二維碼識別，水印識別，OCR圖文識別，垃圾內(nèi)容檢測，虛假人臉檢測等等。通過這些算法能力可以有效地對用戶產(chǎn)生的垃圾內(nèi)容進行初步的攔截。

當(dāng)我們使用算法類的特征時，我們應(yīng)該時刻關(guān)注誤判情況，去提供badcase供算法更新迭代。

D. 其他

剩下的關(guān)于內(nèi)容的特征無法全部歸為某一種類型，所以姑且將稱之為其他。一般來說，所有我們通過某一個字段的全部內(nèi)容或者部分內(nèi)容來發(fā)現(xiàn)異常的方法都在這個范圍內(nèi)。舉幾個常見的例子：

比如我們發(fā)現(xiàn)手機號開頭為189的用戶出現(xiàn)問題的幾率非常大，那么“手機號以189開頭”就是一個可參考的特征。

再比如我們發(fā)現(xiàn)用戶的某一個字段為空，但是這個字段是前端必填。這種情況通常是后端沒有校驗字段的有效性造成的，這個時候正常用戶是不可能出現(xiàn)字段為空的，只有黑產(chǎn)通過漏洞繞過前端才可能出現(xiàn)這種情況。所以這個時候“某一字段為空”就是一個強特征，直接可以定義這個行為是異常行為。

小結(jié)

通常來說，我們通過內(nèi)容中直接可以發(fā)現(xiàn)的特征具有見效快、失效也快的特點。這是因為黑產(chǎn)針對內(nèi)容的改動成本非常小幾乎可以忽略不計，一般在內(nèi)容中加入一些隨機字符、漢字變體、格式變體就可以很輕易地繞過內(nèi)容類的策略，所以內(nèi)容類的策略絕大多數(shù)的情況下是在為這個業(yè)務(wù)的安全底線服務(wù)，真正進行激烈對抗的主戰(zhàn)場一般都是在行為特征領(lǐng)域。

3. 通過用戶行為尋找特征

一般我們把用戶產(chǎn)生的一切動作本身（比如登錄，注冊，發(fā)布等等）稱為行為。異常行為的發(fā)掘是風(fēng)控的核心，也是上手相對較高的部分，通過行為特征進行對抗時就比較考驗策略分析和運營人員的功底，對數(shù)據(jù)的敏感度尤為重要。

行為特征的發(fā)現(xiàn)也可以從以下幾個方面進行考慮：

A. 頻率類特征

對于正常用戶來說，用戶產(chǎn)生動作只為了完成某一目的，通常目的達到動作就會跟著終止，所以正常用戶的動作通常是離散和稀疏的。而對于黑產(chǎn)用戶而言，為了實現(xiàn)收益的最大化，高頻率的動作是降低成本的核心，所以往往黑產(chǎn)用戶的動作是連續(xù)而緊密的?；谶@種理念，頻率類的策略在風(fēng)控中就有著非常重要的作用。考慮頻率特征時，通常考慮幾個因素，分別是：時間窗口、資源、運算與閾值。

舉個例子： 在7天內(nèi)同一用戶使用IP的數(shù)量大于15。這里面7天內(nèi)就代表著時間窗口，用戶與IP就代表著黑產(chǎn)使用的資源，數(shù)量就是運算，大于15就是閾值。

4個核心因素都是通過對黑產(chǎn)行為的分析而不斷調(diào)整的：

• 時間窗口可以是：秒、分、時、天、月、季度、年。
• 資源可以是：userid、infoid、ip、ua、cookie、設(shè)備、手機號、郵箱等等任何具有唯一性特點的實體。
• 運算可以是：求和、平均值、最大值、最小值等各種運算方法。
• 閾值的確定就是針對準召率表現(xiàn)來選擇出最優(yōu)解。

B. 通過異常的操作行為尋找特征

除了頻率類的行為特征，我們在對抗過程中也會發(fā)現(xiàn)用戶產(chǎn)生的很多動作本身不符合常理，這種異常的表現(xiàn)會幫助我們找到有效對抗手段。給大家列舉一些常見的異常表現(xiàn)：

地理位置的異常偏移

比如ip的歸屬地和設(shè)備的定位差距過大，地理位置變化的速度過快。關(guān)于地理位置的特征選取基于的基本理念就是用戶不會在短時間內(nèi)位置發(fā)生大幅變化，如果變化的幅度過大或者過快都會存在一定風(fēng)險，說明可能通過作弊手段修改定位，使用代理ip等等。

前端數(shù)據(jù)的采集異常

比如正常用戶在填寫某一個表單時，勢必會在PC端留下鼠標移動的行為，app端產(chǎn)生滑動的行為等。但是如果我們發(fā)現(xiàn)一個PC端的表單提交，用戶的鼠標從來就沒有做過任何移動，或者移動的軌跡非常相似，這個時候就會與我們的常規(guī)認知產(chǎn)生沖突。這種沖突通常就會發(fā)現(xiàn)很多黑產(chǎn)的蛛絲馬跡。

異常的操作行為會有很多很多，在這里沒法給大家一一列舉，只能舉一些簡單的例子幫助大家拓展下思維。其實只要我們善于分析，就會發(fā)現(xiàn)各種不符合我們常規(guī)認知的動作和行為，這個時候特征就會隨著產(chǎn)生。

4. 設(shè)備特征

其實設(shè)備相關(guān)的特征是可以并入上面提到的3種特征類型中的，只不過在目前的對抗環(huán)境中，黑產(chǎn)對設(shè)備越來越依賴，所以設(shè)備的特征在風(fēng)控對抗中的變得非常重要，這也是我把設(shè)備特征單列為一項詳細介紹的原因。下面是一些比較核心的設(shè)備特征：

虛擬機

為了保證成本的最小化，黑產(chǎn)最開始在攻擊app端或者m端的時候，通常不會采買真正的手機設(shè)備，而是通過PC上的安卓模擬器或iOS模擬器來進行攻擊。所以只要發(fā)現(xiàn)用戶使用的是模擬設(shè)備，這個用戶大概率是黑產(chǎn)用戶

改機軟件

虛擬機如果被風(fēng)控策略攔截后，通常黑產(chǎn)會采買真正的手機設(shè)備。但是為了通過一個手機偽造出多個設(shè)備的效果，就需要通過改機軟件來修改或擦除一些手機真正的硬件信息，通過這些信息的不斷變化，讓人誤以為是多個設(shè)備，這樣就可以有效地規(guī)避一些限頻，硬件限制等策略。

多開軟件

目前很多APP都會限制綁定和登錄的用戶的數(shù)量，這個時候就可以通過多開軟件將同一個APP打開很多個，這樣就可以在同一個設(shè)備上實現(xiàn)N個用戶登錄狀態(tài)的保持。

群控

在上面的手段都不斷失效后，黑產(chǎn)從業(yè)者開始大量采買相對便宜的手機，結(jié)合上面的各種手段，用真正的手機設(shè)備進行黑產(chǎn)攻擊。

因為這些手機設(shè)備有著聚集性的特點，所以業(yè)內(nèi)把這種手段叫做群控。所以群控的識別至關(guān)重要，但是具體識別的方法因為需要保密的緣故沒法透漏，大家可以去思考一下群控的設(shè)備到底有什么樣的特點，順著思路其實不難解決。

云控

如果說群控是黑產(chǎn)自己完成的設(shè)備采買，那么云控就是由一個供應(yīng)商統(tǒng)一采買設(shè)備，然后再將設(shè)備按照分時租用給想使用的黑產(chǎn)團伙.云控團隊負責(zé)提供黑產(chǎn)所需的各種攻擊能力，這樣一來設(shè)備的使用率就會大幅提升，黑產(chǎn)的成本會急劇降低。有了云控的存在，可以讓一些非常小型的黑產(chǎn)團伙也能擁有比較強的攻擊性。

上面列舉的是設(shè)備特征里比較重要的部分，其實還有很多維度可供我們參考，比如是否是常用設(shè)備、是否是常用環(huán)境、是否root等都是比較常用的特征。

設(shè)備相關(guān)的特征相對來說需要整體的風(fēng)控能力有一定的沉淀，無論是群控的識別還是虛擬機的識別，都需要較長的時間來落地實現(xiàn)。所以如果是初創(chuàng)的風(fēng)控團隊，建議大家直接采買第三方的安全服務(wù)來解決設(shè)備相關(guān)的作弊行為。

5. 聚類特征

在風(fēng)控行業(yè)內(nèi)有這樣一句話——“好人是各種各樣的好，壞人都是一樣的壞?！?/p>

這句話說的是如果正常用戶產(chǎn)生行為，個體與個體之前存在巨大差異，行為表現(xiàn)非常分散。而黑產(chǎn)用戶產(chǎn)生行為，為了成本最小化，用戶之間的行為會表現(xiàn)為高度一致。這就是聚類應(yīng)用的理論基礎(chǔ)。通常聚類特征有著幾種分類：

A. 內(nèi)容聚類

內(nèi)容聚類顧名思義，就是將所有用戶的產(chǎn)生的內(nèi)容通過算法針對高度相似或相同的內(nèi)容進行聚類，通過分析簇規(guī)模和簇中內(nèi)容來發(fā)現(xiàn)黑產(chǎn)的蛛絲馬跡。常見的相關(guān)算法有文本相似度算法和圖片相似度算法等等。一般黑產(chǎn)會通過在內(nèi)容中加入隨機字符，干擾像素等方法去阻止聚類的生成，所以算法的迭代是比較必要的。

B. 行為聚類

行為聚類其實與內(nèi)容聚類相對應(yīng)，通過內(nèi)容不太好發(fā)現(xiàn)的就可以通過行為聚類來召回。通常我們是將用戶的行為繪制成一個完整的行為序列，序列里記錄著動作本身又記錄著產(chǎn)生動作的過程，比如鼠標的移動軌跡，按鈕的點擊頻率，密碼的填寫速率等等。將所有用戶的行為序列繪制出來后，通過算法找到高度相似的行為序列進而確定黑產(chǎn)用戶的范圍。

C. 關(guān)系聚類

通過關(guān)系聚類不關(guān)注動作也不關(guān)注行為，而是關(guān)注用戶相關(guān)的屬性或關(guān)系，比如用戶用了哪些ip，哪些手機號，這個手機號又對應(yīng)了哪些其他用戶。

各種實體通過屬性或關(guān)系關(guān)聯(lián)到另一種實體，這些三元組將實體與實體之間的關(guān)系繪制成一個關(guān)系網(wǎng)絡(luò)，通過分析網(wǎng)絡(luò)之間關(guān)系的疏密程度來找到一批關(guān)系高度聚集的用戶，這些關(guān)系高度聚集的用戶如果形成比較大的量級，通常代表著這些用戶存在非常大的風(fēng)險。

聚類特征不僅在做實時對抗的過程中擁有這巨大價值，同樣在風(fēng)險預(yù)警與快速批量處理上也有著重要作用。大規(guī)模的聚類行為產(chǎn)生時，我們可以通過觀測聚類簇數(shù)量與簇中數(shù)量來判斷是否在某一個位置正在遭受攻擊，同樣我們在發(fā)現(xiàn)后也可以快速的將產(chǎn)生的簇有效的消耗掉從而實現(xiàn)快速反應(yīng)與處理。

6. 第三方能力

在風(fēng)控這個領(lǐng)域，所有能力都靠自己建設(shè)是不現(xiàn)實的，上面提到的很多特征在實際建設(shè)過程中都需要投入大量成本，所以業(yè)內(nèi)的合作也尤為重要。

一般安全服務(wù)的第三方供應(yīng)商會通過標簽或者畫像的方式向外部提供數(shù)據(jù)產(chǎn)品。常見的有ip標簽（代理ip，黑DNS等）、手機號標簽（貓池、小號等）、個人征信、企業(yè)征信等。

跟第三方合作一方面可以彌補己方業(yè)務(wù)數(shù)據(jù)的缺失，將其他業(yè)務(wù)中已經(jīng)被明確標記為黑的資源有效攔截在業(yè)務(wù)之外。另一方面也可以不斷接觸業(yè)內(nèi)最新的安全動態(tài)，實時掌握新的安全能力去完善自己業(yè)務(wù)的風(fēng)控體系。

以上就是在風(fēng)控對抗的過程中常見的特征選擇方法，這些方法只能說在各位思考的時候給大家提供一些想法。風(fēng)控是一場利益的戰(zhàn)爭，永遠沒有結(jié)束的一天，對抗的形式也會隨著雙方技術(shù)能力的提升而不斷變化。但是只要掌握了有效的方法論，無論對抗多么激烈，都可以游刃有余地去完成風(fēng)控工作。

說完了特征如何選擇，下面我們來說一下在明確了風(fēng)險之后我們應(yīng)該怎樣選擇處罰的方式。

二、處罰的選擇

阿里對待安全有一個九字方針叫“輕管控，重檢測，快相應(yīng)”。其中的輕管控說的是，要盡可能地避免安全對用戶體驗的傷害，讓正常用戶受到的影響最小化，其實這個就是所有處罰選擇過程中的一個基調(diào)。

1. 處罰體系的設(shè)計

關(guān)于處罰體系的設(shè)計，我們需要先給處罰做一個定義，處罰就是針對用戶的應(yīng)有權(quán)利進行限制的過程。

所以要想知道應(yīng)該怎么處罰，就應(yīng)該明確用戶擁有著什么樣的權(quán)利，通過定義權(quán)利的集合就可以相對的定義處罰。

以58同城的業(yè)務(wù)為例，一個用戶擁有著以下的權(quán)利：注冊的權(quán)利、登錄的權(quán)利、搜索的權(quán)利、瀏覽的權(quán)利、發(fā)帖的權(quán)利、被瀏覽的權(quán)利，推廣的權(quán)利、成為會員的權(quán)利、IM聊天的權(quán)利等等。

假設(shè)上面所列出來的就是58用戶擁有著的權(quán)利全集，那么在設(shè)計處罰體系的時候就可以做如下設(shè)計：禁止注冊、禁止登錄、限制瀏覽與搜索、限制發(fā)帖、刪帖、降權(quán)、限制推廣、會員禁簽，IM禁言等等。

結(jié)合用戶所犯錯誤的輕重程度，通過上面的單一的處罰或者組合處罰，就可以實現(xiàn)有效的風(fēng)險控制。

2. 處罰的應(yīng)用方法

根據(jù)處罰的性質(zhì)，我們大致可以將所有的處罰大致可以分為三類：第一種叫做標記、第二種叫做挑戰(zhàn)、第三種叫懲罰。

A. 標記

標記一般是指給用戶或資源打上一個標簽，但是不做任何實際上的處理。通常是應(yīng)用在風(fēng)控路徑比較短的業(yè)務(wù)中，如果這個場景在整個業(yè)務(wù)鏈路中處于靠前的位置，那么代表著可以獲取到的數(shù)據(jù)會比較有限，而且路徑越短，直接處理就會降低黑產(chǎn)的試錯成本，從而加大風(fēng)控難度。

比如常見的注冊業(yè)務(wù)，如果我們一旦發(fā)現(xiàn)注冊的用戶存在問題，就直接禁止用戶完成注冊。我們就相當(dāng)于直接告訴黑產(chǎn)目前的方法不能通過，那么黑產(chǎn)在頻繁嘗試的過程中只要突破一次，就可以完全突破我們的風(fēng)控防線。

所以在這種場景里，我們通常不實際對用戶產(chǎn)生影響，而是根據(jù)用戶的行為打上標記，這個標記會作為一種特征存在貫穿整個業(yè)務(wù)鏈路。我們實時地觀測有標記用戶后續(xù)的表現(xiàn)，一旦在后續(xù)的業(yè)務(wù)中存在更多的異常行為，就可以直接處罰。這個時候黑產(chǎn)很難搞懂我們是在什么環(huán)節(jié)識別出的異常，這樣就能提高黑產(chǎn)的成本。

B. 挑戰(zhàn)

挑戰(zhàn)類的處罰一般應(yīng)用在策略準確率不足，但是直接放過又存在比較大的風(fēng)險的時候。顧名思義，就是通過一些手段去挑戰(zhàn)用戶讓用戶證明自己不是機器人，自己就是這個賬號的歸屬人等等。挑戰(zhàn)類處罰因為沒有實際影響用戶的權(quán)利，一旦通過挑戰(zhàn)用戶就可以完成正常使用功能。所以挑戰(zhàn)是一種體驗優(yōu)良的處罰方式，但每一種挑戰(zhàn)自身的能力會直接決定對黑產(chǎn)用戶的攔截效果。

常見的挑戰(zhàn)形式有下面幾種：

1）基于驗證碼的挑戰(zhàn)

圖形驗證碼多用于區(qū)分人和機器人，用來防止大批量的機器刷帖等情況。短信或語音驗證碼主要用于證明當(dāng)前號碼是本人操作。

主要的驗證碼形式有：字符驗證碼、滑動驗證碼、點選驗證碼、無感知驗證碼、短信驗證碼、語音驗證碼等。

下面針對各種驗證碼的適用邏輯和有效性做一個介紹：

字符驗證碼：最初級的驗證碼，讓用戶回填圖片中字符或者計算出算式結(jié)果。這種驗證碼破解難度極低，在黑產(chǎn)業(yè)內(nèi)已經(jīng)能達到98%以上的通過率，這個通過率已經(jīng)超過了人類本身。所以在任何場景都不推薦這種驗證碼。

滑動驗證碼：該驗證方式最初來源于“極驗驗證”。

這種驗證碼是通過拖動X軸上的滑塊進行驗證，后端同時會對前端瀏覽器環(huán)境和滑動軌跡進行分析判斷，用以攔截異常機器行為，體驗上要大幅優(yōu)于常規(guī)的字符驗證碼。但是這種形式的驗證碼依然可以被很多打碼平臺破解，或者通過滑動軌跡的模擬進行破解。

點選驗證碼：最有名的點選型驗證碼就是12306的驗證碼了，這種驗證碼其實是利用了人類的認知能力與機器認知能力的偏差，比如在看到一個動物的時候，人類可以輕易地區(qū)分出這個動物是小貓還是小狗，而這個能力對于機器來說極其困難。這種驗證碼機器直接破解相對困難，但是通過打碼平臺依然可以低成本地繞過。

無感知驗證碼：無感知驗證碼其實就是將一整套風(fēng)控策略放到一個按鈕上，極驗驗證的表現(xiàn)形式是這樣的：

當(dāng)點擊按鈕進行驗證時，通過前端采集各種數(shù)據(jù)傳到后端的風(fēng)控引擎中，只要檢測的速度足夠快，用戶就可以非常迅速地完成驗證。這種驗證看起來體驗極其優(yōu)秀，但是實際上只是把后端的檢測能力具象化了，所以說有這個按鈕或者沒有這個按鈕并沒有實質(zhì)區(qū)別。這種驗證碼的破解難度直接跟后端的風(fēng)控能力相關(guān)，無法直接給出容易破解或者難以破解的結(jié)論。

短信驗證碼：這種驗證碼可以說是我們最常見的驗證碼形式了，它的好處是安全，體驗也不差，通過驗證碼的回填可以大概率確定操作是本人進行。但是通常在注冊等環(huán)節(jié)第一次需要做短信驗證的時候，可以通過貓池手機號來完成驗證。這種手機卡不同于普通手機卡，是無法接通電話但是可以接收短信的，所以就會黑產(chǎn)大規(guī)模地采用這種手機卡完成注冊。

語音驗證碼：為了解決部分貓池手機接受驗證碼的問題，語音驗證碼應(yīng)運而生，這種驗證碼通過電話下發(fā)，用戶記住數(shù)字后完成回填。語音驗證碼的體驗相對較差，一般非必要不推薦這種驗證形式。

2）基于身份合規(guī)性的挑戰(zhàn)

在很多時候，我們發(fā)現(xiàn)作弊的用戶沒有做過任何實名或者可以證明身份的動作。一般這個時候，我們會讓某些風(fēng)險較大但是又無法判斷為黑的用戶進行實名認證和企業(yè)認證，這種需求也可能來源于業(yè)務(wù)的硬性規(guī)則。

一般做個人實名的方式有：實名二要素認證，手持身份證認證，銀行卡認證，手機號三要素認證，人臉認證等。

企業(yè)認證的方式通常是營業(yè)執(zhí)照認證和對公賬號打款認證。

我們建議業(yè)務(wù)方在開展新業(yè)務(wù)的時候，一定要關(guān)注認證的相關(guān)要求，認證一方面作為一個門檻可以大幅提升黑產(chǎn)成本，另一方面認證也可以作為唯一性的特征供我們進行風(fēng)控識別。

3）基于私密信息的挑戰(zhàn)

這種挑戰(zhàn)多用于賬號安全或密碼找回。當(dāng)我們判斷當(dāng)前使用賬號的人可能不是用戶本人時，就可以通過這種方式進行挑戰(zhàn)。

常見的問題有“我的父親名字叫什么？”“我最常用的銀行卡號是哪張？”這種挑戰(zhàn)方式通過只有用戶自己知道的信息來挑戰(zhàn)當(dāng)前的操作人，如果當(dāng)前操作人無法通過，那么就代表當(dāng)前操作人非用戶本人。

這種挑戰(zhàn)方式體驗相當(dāng)優(yōu)秀，并且通過信息的不對稱性有效地防止了風(fēng)險發(fā)生，所以當(dāng)用戶在業(yè)務(wù)中已經(jīng)存在一些關(guān)鍵信息時，可以考慮用這種方式進行挑戰(zhàn)。

以上就是常見的挑戰(zhàn)形式，不同的挑戰(zhàn)形式適用的場景和條件都有所不同，所以對能力的了解也是做好風(fēng)控的前提。

C. 懲罰

當(dāng)我們可以對用戶的行為明確定義為惡意行為的時候，這個時候采取的動作通常就都屬于懲罰了。

我們在看待用戶的惡意行為時應(yīng)該從兩個維度去考慮，第一種是用戶確實是正常用戶，只是為了獲取一些短期利益觸犯了平臺規(guī)則。另一種是用戶為批量惡意的黑產(chǎn)用戶，就是為了攫取流量詐騙變現(xiàn)。

在對待第一種用戶時，我們的處罰態(tài)度應(yīng)該是引導(dǎo)大于處罰，這個時候我們可以將處罰柔性化，比如淘寶商家違規(guī)分值體系就是一個比較成功的例子。

當(dāng)用戶初犯的時候可能是下架出問題的商品并且扣分，多次觸犯規(guī)則后，當(dāng)分值達到一定程度時可能會對搜索降權(quán)，再犯可能是暫時關(guān)店，最后可能才是永久清退。我們通過相對柔性的處罰，既處罰了不良行為本身，但同時也給用戶一個改進的空間和機會，通過積極的運營引導(dǎo)是可以把這部分用戶轉(zhuǎn)化為優(yōu)質(zhì)用戶的。

而對待明確的黑產(chǎn)用戶時，我們的處罰態(tài)度就應(yīng)該是明確和清晰的。一旦確保了判定的準確性，我們不光要把賬號的權(quán)利做限制，賬號所相關(guān)的一切有效資源比如手機號、郵箱、身份證號都要被有效地消耗掉，確保同樣的資源不會在業(yè)務(wù)中二次作惡。我們處罰生效得越快，資源消耗得越徹底，風(fēng)險出現(xiàn)的可能性就越小。

所以整體來說，處罰既要讓正常用戶盡量不受任何影響，又要高效地消耗黑產(chǎn)資源，并且對處于灰色地帶的用戶給予積極引導(dǎo)，讓這種用戶自覺發(fā)生改變從而促進生態(tài)發(fā)展。

三、結(jié)語

以上就是關(guān)于風(fēng)控對抗中的特征選擇和處罰選擇的一些心得。因為風(fēng)控行業(yè)的特性，本文無法將所有可能性同步給大家，但是關(guān)于風(fēng)控實戰(zhàn)中的主要思考方法大部分都體現(xiàn)了出來，希望能對一些新入風(fēng)控行業(yè)的同學(xué)有所幫助，同時也希望其他安全業(yè)內(nèi)的資深同學(xué)能夠?qū)Σ蛔阒幗o予指導(dǎo)和補充。

本文由 @gology 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自 Unsplash，基于 CC0 協(xié)議