高危名单我们给我们的业务加上一条限制：每天登录失败超过100次，阻止登录。这个限制已经运行了好几天了，让我们看看过去三天每天拦下了谁 第一天 用户名 密码错误次数 Jim 100 Tom 90 Lily 10 第二天 用户名 密码错误次数 Jim 100 Kate 90 Lily 10 第三天 用户名 密码错误次数 Jim 100 ...

目录{: #toc } TOC{:toc } 蜜罐在风控中经常要面临这个问题：哪部分流量来自黑产？可信度高吗？ 这关系到现有策略效果评估、问题定位、新策略效果评估、模型训练等多个环节。解决这类问题时，蜜罐就起到了一定作用。 什么是蜜罐？通过一些手段，引诱黑灰产通过或攻击普通用户无法触达的资源，从而清晰的将黑灰产和普通用户流量区分的过程。这其中的资源就是蜜罐。 引诱手段引诱手段有很多...

目录{: #toc } TOC{:toc} 蜜罐在风控中经常要面临这个问题：哪部分流量来自黑产？可信度高吗？ 这关系到现有策略效果评估、问题定位、新策略效果评估、模型训练等多个环节。解决这类问题时，蜜罐就起到了一定作用。 什么是蜜罐？通过一些手段，引诱黑灰产通过或攻击普通用户无法触达的资源，从而清晰的将黑灰产和普通用户流量区分的过程。这其中的资源就是蜜罐。 引诱手段引诱手段有很多，...

现在的大型网站都会记录用户的行为，例如用户的浏览记录、停留时长、输入密码的速度、按钮点击等。我们可以用这些数据佐证我们对用户的验证。 一个用户的历史行为我们可以收集一个用户的历史的业务数据和行为数据，给这个用户打一些标签。例如 用户 历史数据 标签 Jim 用户购买了10次，平均每次花100元 每次消费能力较低 Lily 用户购买了15次，平均每次花1000元 每次消费能力较...

前文介绍了我们可以基于用户的业务行为习惯指定一些风控策略，用户除了在业务行为上有固有习惯，在使用手机时也是有固有习惯的。例如： 单手或双手打字习惯  滑动手机的习惯  所以当用户账户被其他人使用时，有可能因为习惯不同而被识别出来不是...

精细化运营精细化运营是个老词了，特别是在电商、社交这类大的、成熟的互联网领域。其实在业务安全领域，精细化运营的思想也是适用的。 我个人总结的精细化运营的核心问题就是要解决2个问题： 看得见 看得清 解决“看得见”这个问题，也就是解决数据的获取问题，分为3个子问题： 数据是否被存储了？ 数据能否可以被快速、灵活的访问？ 数据能否可以被关联分析？ 解决“看得清”这个问题，也就是解决数据的...

规则和模型规则前几章介绍了多种风控的手段，在讲述过程中我们经常会设计一些检测逻辑，例如一个用户每天只能登录10次。实际上在风控领域，这个检测逻辑被称为“规则”。 规则引擎通常我们需要从数据中发现问题，找到黑产的规律，跟进规律找到对抗方案，形成一条或者多条规则。通常我们还会使用“规则引擎”定义、发布、执行规则。 我们可以用数学上的表达式来表示一条规则 规则 等价表达式 每天登录超过...

让风控贯穿产品如果你认识到风控有多重要，如果你恰巧在负责一个产品，那么下一个问题是“我们什么时候开始考虑风控？” 答案其实很简单，思考风控最好的时间点就是产品设计阶段，或者是一个功能的设计阶段。在产品设计之初，就要考虑产品上线后会面临什么样的风险。这种风险可能来自于黑产，也可能来自产品的设计不合理。 用户账户是否足够安全？ 用户是否可以信用卡套现？ 用户是否可以绕过优惠的限制策略？ … ...

设备指纹为什么要确定一台设备先来看一个场景。 在游戏业务中，为了降低用户体验门槛，在打开游戏时可以不要求用户注册，也就是说拿不到账户角度的用户ID。这时确定用户设备就很重要，否则在后端无法分辨哪些是同一个用户的数据。 这是业务中必须要确定一台设备的场景，那风控中也是为了对未登录用户进行跟踪吗？是不是只要用户登录了，设备的识别就不重要了？ 对匿名用户的跟踪首先有一点和业务是一样的，要在未登录状...

限制频率在上一章中我们分维度统计数据的时候，是将不同维度的数据求和，然后看这个和的大小。但是我们仍不能忘了一个重要的前提，就是时间。 还是以用户登录为例，Jim想要登录自己的社交网站，我们可以因为他连续10次输错密码阻止他登录，但是不能因为他10个月里每个月都输错了一次密码。 换句话说，我们限制的是频率（次数/时间），而不是简单的总数。而限制频率也是最常使用的手段。 先列举一些常见...