DataVisor:反欺诈交响曲,指尖上的攻防与对抗
共 14989字,需浏览 30分钟
·
2020-11-28 16:15
[本文结构]
part1:得道多助,失道寡助 | 互联网黑产洞察及反欺诈体系建设;
part2:静若处子,动如脱兔 | DataVisor为风控爱好者讲述经典攻防案例;
part3:青青子衿,悠悠我心 | DataVisor维择研发&业务团队招新!
part1:得道多助,失道寡助
1.1 黑产洞察
社交和电商平台的疯狂增长改变了数亿人的生活方式,但同时黑灰产业的目光也聚焦在这方沃土,通过批量创建大量虚假账户、虚假点赞、虚假评论、盗号等手段牟取不法利益,危害在线用户权益和平台的健康生态。对于企业、个人,黑产集团的频繁活动无疑会对其造成极大损失。
2018年末,某知名咖啡连锁品牌启动了一次圣诞节前夕的营销活动——凡是通过APP注册账户的新会员均可获赠一份邀请券并可在线下兑换咖啡。该活动在一天半之后被官方叫停(预计活动时长为一周)。原来,此次营销活动被黑产拿到大量账号进行批量注册。在这之后,络绎不绝的消费券落入到黑产手中并被用于线下兑换或者转卖。据统计,有40多万的账号通过批量注册的方式拿到优惠券,活动进行了一天半已经达到一千多万的损失。这种行为对于线下门店是一个灾难性的干扰,因为这样不仅仅影响了消费者的用户体验,更会让企业的运营推广遭受很大损失。
据粗略统计显示,近两年有150万的黑产从业人员,这其中包括一线的人员和一些上游的开发者以及黑客,黑产的年产值规模达到千亿级别,其对应的损失非常巨大。
1.1.1 黑产组织
1.1.1.1产业化
目前黑产团伙的欺诈行为已经从个体行为发展到群体性、有组织的攻击。他们会控制大量用户账号、身份资料等信息,在业务各个环节实行大规模的攻击。例如盗取身份、欺诈开户、套现交易、非法集资。黑产的特点,主要表现在:
规模化:相比前些年,黑产规模膨胀,且越来越呈现出团伙性的活动行为。他们合理分工协同工作,还有一个相对规模化的运作流程。
产业化:主流互联网产品和服务衍生的黑灰色产业链,聚集了规模庞大的黑产群体。相互分工、紧密合作的产业生态。
跨行业:在电商、广告、支付、金融等多个平台流窜作案。例如电商行业,“薅羊毛”就是典型案例。电商平台的商品在促销过程中,都会看到黑产的影子。羊毛党会创建大量的假账号,伪装成正常用户“薅掉”优惠券,这些本来是给用户的福利。近年来,金融行业也存在骗贷的情况,申贷时的伪冒身份、交易欺诈的黑卡、账号盗取等情况时有发生。此外,快递包裹被截胡,购物网站的恶意退货等行为,都是欺诈的种种表现。黑产,在流窜!
1.1.1.2专业化
黑产有自有的一套或多套攻击模式、攻击渠道、攻击周期和目标用户。他们拥有大量作案资源,具有非常高的技术水平,熟悉主流且多样的分工技术手段,精通自动化脚本、逆向破解等。
黑产也在“智能化”,甚至大数据分析、深度学习和人工智能技术也被广泛应用,对抗强,迭代快,还会根据业务不断试探、挑战、绕过防护体系。
1.1.2 欺诈类型
1.1.2.1 薅羊毛获利
“价格史低!”、“预售付定立减”、“满300减40”,各种优惠券、红包、积分等促销活动令人眼花缭乱。然而,普通消费者仅凭两只手,根本抢不过黑产作弊软件。还没等伸手,优惠券就秒没;结算页面卡顿,还没付款商品就被别人抢走……这时,多数消费者都会抱怨平台和商家放出的优惠券太少,虚假宣传。实际上,平台和商家都是替“黑产”背了锅!
近几年,“薅羊毛”正逐渐产业化,形成了“羊毛党”。这些羊毛党具备专业化技术和能力,他们会根据电商平台的优惠规则,开发出一套专门的作弊软件与扫货工具,能够实现诸如自动化接码打码、注册账号、批量登陆、批量抢购、助力拼团、自动预约、爬取商品价格、快速自动抢券及批量提交订单、自动支付等机器功能。常见的薅羊毛场景如下:
新用户注册红包:很多企业推广新用户注册时的红包奖励机制。黑产只要通过无线手机号去注册这些账号,就会得到相应红包奖励,以此直接获利;
邀请奖励:包括一些自媒体平台在内,邀请奖励的活动机制已经见怪不怪。黑产往往会采用群组任务的模式批量邀请,以此牟利;
大额优惠:黑产通过前期的档案账号监控各大平台上商品的价格走势,一旦发现漏洞就优先获取大额优惠的权限,再通过优惠规定进行商品兑换或者转卖(变现);
有的羊毛党还会提前数月进行大量身份信息购买和账号注册,在平台上不定期活跃一下,伪造出真实用户的行为,然后在购物津贴最多的时候发力,数万甚至数十万账号齐上线领取,将平台的优惠券一抢而空,随后这些优惠券将迅速流入黑市以不同方式进行再变现。
1.1.2.2 虚假流量
拿到批量账号之后,黑产通过在社交平台刷流量、刷评论、刷点赞或刷阅读量获利,这样的恶意行为会直接影响平台的公正性。以某宝刷单为例,如果交易都是通过刷单进行会直接影响到平台本身的系统推荐算法,那么低劣商品的店铺将具备与高质量店铺一样的权限和推荐位置。如果是一个正常用户输入关键词搜索该商品,劣质商铺曝光率激增会直接造成消费者投诉,给平台声誉带来影响。
1.1.2.3 恶意言论
恶意言论更多地涉及社交平台或者媒体平台,他们拿到大量账号,操纵发布涉黄、涉赌、涉
政的消息,从而影响到公共安全。为积极响应监管需求,通常会采取相应措施去规避这些行为。
1.1.2.4 垃圾营销
生活中常见的刷微博、刷新闻的行为,是通过一些垃圾账号进行批量发布,骚扰平台用户,影响用户体验。
1.1.2.5电信诈骗
电信诈骗分子,有团伙、有渠道、有预谋、有设计、隐匿、定向诈骗。更严重的是,黑产分子获得一个手机号后,还会将其用于平台注册、薅羊毛、网络诈骗、网络赌博引流、黄色产业的引流等等,将该账号的利用价值发挥到最大 。
1.1.2.6 其他
当然,黑产还会通过非技术手段非法劫获用户在网上的搜索记录、出行记录、开房记录、交易记录等信息,进而进行后续晒密撞库、分销数据、冒充诈骗、洗钱等不法行为。
1.1.3 攻击手段
黑产常见三大攻击手段,包括设备刷机、IP造假和养号。
1.1.3.1 刷机
刷机是通过各种技术手段,为设备创建新的标识符,从而充当多台设备来使用。弊端显而易见。举个例子,一个App开发商,想通过一些市场推广促进用户下载,如果遇上刷机这种情况,那营销费用就浪费了,因为这并不是真实的用户。
1.1.3.2 IP造假
IP造假与设备刷机有些类似。最常见的就是一台设备通过不断变更IP地址来躲避相应的检测系统,来谋取非法暴利,比如虚假点击。而云计算服务商的出现,又给了欺诈者可趁之机进行IP造假,数据显示,18%来自云服务商的账户是欺诈性的。更棘手的是,IP造假和设备刷机经常结合使用。
1.1.3.3 养号
从单个的用户行为来看,与我们自己使用的账号并没有什么差异,但看似正常的这些账号可能会潜伏几天、几个月甚至几年,一旦被唤醒时,它们就是一个个攻击者。
1.1.4 操作工具
常见关键概念如下:
虚假号码:注册空号、养号、开发、测试作弊工具;流量卡。
猫池:获取短信和来电信息。打码、接码、听码。
代理IP:正向代理、反向代理,网络代理突破业务平台对IP黑名单、操作频率的限制等风控策略,使用代理IP进行攻击活动,IP池。
设备伪造:改机工具、多开工具、模拟器、hook框架等,获取或生成大量设备指纹。
位置伪造:修改GPS定位。
自动化脚本:配合群控和改机工具配套使用。
群控:通过脚本控制设备的各种动作,用于薅羊毛、刷单、刷点击等作弊行为。
自动化作弊工具:针对特定平台、特定活动,时效性很短,被发现作弊后会针对性地修改协议和防控策略。
1.1.4.1 操作平台
那么,黑产具体是如何执行操作的呢?可以从操作平台、操作软件和操作工具三个方面进行了解。
接码平台
黑卡(手机卡):由于国家对实名制的要求,一切平台注册来源都是手机号。通常来说,黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种,他们会从运营商或者是卡商手中拿到大量的手机卡。
上述三种手机卡中,流量卡可以直接通过注册企业的方式拿到,而实名卡则需要黑产通过技术手段获取到实名信息,或者是很直白的向实际的网赚个体户来购买,从实名用户手中买来一个手机卡需要几十元。海外卡可以在国内正常使用,不需要实名,且价格便宜(一到两块)。
猫池:拿到黑卡之后,下一步骤就是养卡。通过猫池,黑产不仅可以在不同卡之间模拟定期拨打电话,还可以进行收发短信,甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电话卡。
接码平台相当于是一个中介平台,它集合了所有的卡商用户,卡商会把它的电话卡寄存在这个平台。养卡的过程中,黑产从业者会通过API批量注册或者个人注册的方式拿到黑卡的验证码信息。接码平台可以对短信、语音验证码进行识别,从而用手机卡在各个平台进行注册。一条验证码的价格一般在一毛钱到四块钱左右。
打码平台
对于手机卡初测,大多数平台为了验证手机号主人的身份会先进行公共测试,这主要是为了验证操作者是人还是机器,打码平台的对接可以突破验证流程。
突破的具体方法,简单来说分为三种。第一个是通过AI识别,这种很简单的识别方式只适用于最简单的验证流程,在未来使用的会越来越少;第二个是通过脚本操作的方式,定点获取一个滑块元素进行验证;对于复杂的验证流程,可以通过人工打码方式完成,这是最原始的方式,其成功率也最高。
料商:手机号突破验证码限制,不仅仅只需要验证码一个要素,有的可能会需要机主的个人身份信息实名。料商平台上会有四件套(手机、身份证、银行卡和网盾)供卡商购买,一个四件套价格在1000到1200元不等。因此,目前很多人通过黑客手段从很多的网站平台获取资料,或者干脆粗暴的“收养”人肉。
1.1.4.2 操作软件
具备了基本条件后,有几种操作工具是黑客必不可少的“锦囊妙计”。
改机:手机通过安装安改机软件,后台平台会检测用户注册手机的一系列参数,比如说IMEI号或者是DSID这些号码。然后可以对该设备进行一键清机的操作刷掉历史注册的一系列参数,并模拟出一套新的参数。
当然,手机的原参数可以备份,因此支持后期登录恢复到之前状态。尽管目前有很多攻防手段可以拦截这种一键清机的操作,但改机本身种类各异,黑产开发者往往根据其用户需求开发出形形色色的软件功能,以达到清机目的。
改IP:网络环境下的操作,以修改GPS、IP为主。黑产会通过VPN的方式代理到一个网络平台上,可以在指定的IP领域进行切换;GPS也可以通过手段定位到任意位置。
1.1.4.3 操作工具
注册机:注册机集成了所有需要注册的要素,其主要实现了接码平台的全部功能。不同之处在于,有时验证过程需要模拟类似人手点击、截屏、模拟重力加速度等操作,在注册机上会有各种自动化工具的启动模块,更加方便黑产操作。
1.1.4.3 操作流程
总结下来,黑产的操作流程为:首先通过解码平台拿到大量手机号和验证码,再通过打码平台通过行为验证码验证,然后从料商手中拿到个人信息进行辅助验证/注册,使用突破安全拦截的工具接管软件进行刷量等的操作。
“账号是一切黑产作恶的来源,因为现在没有什么是不需要账号的,这也体现出了账号的价值所在。因此,保护好手中的账号,就是预防黑产最有效的一步。”
1.2 反欺诈体系建设
近几年来,大多数传统行业,尤其是传统金融业,都有明显的互联网化趋势。随着业务的数字化、线上化进程不断加快,基于传统业务拓展模式所发展起来的传统风控方式和管控手段已不能适应业务创新的需要。金融机构业务在线上化的过程中可能会面临虚假申请、伪冒交易、内容违规等风险。
毫无疑问,欺诈者变得越来越狡猾,反欺诈正面临更多挑战。挑战主要集中在三点,一是欺诈者越来越像正常用户,这导致传统基于规则、黑名单、IP等的反欺诈解决方案失效;二是欺诈变化太快,没人会告诉你明天的欺诈是什么样子,这使得反欺诈相对滞后;三是需要检测的数据量太大,原有系统难以招架。
所以,从网络安全、系统安全、应用安全等方面,综合全面构建互联网业务安全防御体系,迫在眉睫。
1.2.1 反欺诈生态
欺诈无处不在,却又隐匿晦深。游戏、电商、支付、视频直播、物联网共享设备;内容安全、隐私合规等,黑产与反黑产俨然组合形成一个生态。
1.2.1.1 科技发展
“魔高一尺,道高一丈”,面对黑产分子,TOP公司都高度关注反欺诈、反黑产领域,AI等技术的应用也大大提升了黑产分子的欺诈难度。注册和登录场景的风控,营销活动风控保护,APP渠道推广保护,交易和知乎场景风控,接口安全保护,内容安全。互联网企业从数据、工具、算法等多维度与黑产展开对抗。
1.2.1.2 法律监管
打击黑产分子,不光是一场技术上的对抗,应当也包括法律法规等全方位的对抗。随着国家监管力度加大,电商平台风控能力提升,网络黑灰产正逐渐转入地下,变得更为隐蔽私密。
1.2.1.3 民众意识
广大网民也应该提升自我反欺诈意识,保护个人信息,提升防范意识。
1.2.2 反欺诈方法
1.2.2.1 动态防控
反欺诈手段不断演进,与欺诈者做斗争,是一种“敌我攻防”的过程。早期,主要依赖欺诈者黑名单来预防欺诈事件发生。但黑名单本身有很大的局限性,只有在某些具体的、特定的场景中才会起作用。近年来,随着技术手段的不断演进,黑产的逐利点与作弊手段瞬息万变,各种工具层出不穷,往往是电商平台今天上线促销活动,黑产明天便有自研的薅羊毛软件投入使用。同时,随着互联网的发展,黑产团体作案的规律性越来越弱。由于很多账号的伪装做的很好,刻意寻找平台漏洞,并有目的的进行攻击,较为传统的检测工具并不能发现所有问题账号。黑产试探性的探索平台的规则,比如有些平台会设立新注册账号在几天之内不能做某些事情,黑产用一个诱饵账号可以试探出来,之后绕过即可。类似上述攻击模式不光出现在互联网平台,金融平台也会出现同类现象,这种情况下通过规则的制定来拦截很难有效。
所以,反欺诈生态,要有动态攻防的意识,要从多个角度动态挖掘可以有效实时识别新型欺诈的方法。
IP:IP在风控领域是一个比较重要的字段,几乎每家安全厂商都会有自己的IP黑名单库。在之前,黑产会用很多的代理IP来进行批量注册账号,或者是做虚假的下载安装这样的操作。但目前的统计表明,攻击者正慢慢的从云服务IP转向一些正常的IP,以更好的隐藏自己的来源。同时,黑产的IP代理工作更倾向于小的代理厂商,而绕开了策略相对完善的大厂。此外,黑产选择IP的趋势正朝着正常的移动网络的IP转变。正常IP段行为更多,这使得拦截攻击的难度增加。
域名、电子邮件:研究发现,恶意域名的变化频次很高。以一个黑产群组为例,一次性域名更多,这使得传统的规则很难及时追踪到高频的域名变化。也有攻击者会在兼顾成本的情况下购买合规的域名,以此直接绕过审核程序。
用户名:通过用户名做风控规则,早期的攻击者会有用户名库做随机组合,其一定会出现高频重复的情况,可以通过一些规则进行风控。但是,现阶段有很多攻击者会在网络上去爬取真实的用户名,传统的风控系统将不再适用。
APP安装:现阶段APP安装造假并非只是到安装一步截止,甚至还会模拟用户的使用行为。这种情况下,传统风控系统很难发挥作用。
批量注册转向盗号:新注册的批量账号没有正常行为,这样很容易被风控系统策略抓住。因此,现阶段更多攻击者使用盗取账号,这让账号的历史、行为十分正常,因此就可以反复使用。
1.2.2.2 运营驱动
分析用户行为必须把握用户的全流程生命周期,摆脱处理单一欺诈风险的局限,高效区分欺诈者和正常用户。建立贯穿事前、事中、事后的动态反欺诈体系。从终端设备的设备指纹、信息采集、终端计算、云端风险分析,到用户操作过程的实时计算交易风险等级,再到欺诈发生后,并在案例库对相关证据做溯源和存证。构建运营驱动的体系和框架。
1.2.2.3 红蓝对抗
动态闭环、持续优化。在对抗中设计好业务规则、运营好安全策略。针对黑产手段变化多端的情况,不断分析复盘模拟黑产行为,挖掘黑灰产作弊特征与团伙关系,定位出黑产团伙后,要及时进行立案追责和关联打击,形成完整的风险对抗闭环。
1.2.3 反欺诈工具
1.2.3.1设备指纹
设备指纹是信息的一种来源,对于用户的线上行为,能提供方向与信息,为决策提供更多的维度。设备ID具备稳定性和唯一性,设备ID类规则是防刷单、防薅羊毛、虚假设备识别、反爬虫、账号安全等场景的核心规则。
1.2.3.2生物探针
账户、密码、手机号、身份证信息;
动态密码卡、IC卡、磁卡;
指纹、声纹、虹膜、人脸;
点击、按压、滑动、滚动、姿态等操作。
1.2.3.3验证码
字符、图片、声音、3D渲染、组合、滑块、拼图等。
1.2.3.4 其他
还有诸多其他工具,如代码保护、IP地址分析、知识图谱关联分析,对黑产手机号、设备进行聚合,进行团伙识别。
1.2.4 反欺诈体系
1.2.4.1 终端风控层
设备指纹:唯一ID,风险标签;
生物探针:全业务场景,操作行为、传感器信息,区分人工还是机器;
智能验证码:特定业务场景,拖动、点击等交互操作,对抗机器批量行为。
1.2.4.2 分析决策层
决策引擎:风控系统的核心枢纽,不仅包含灰度测试、数据统计分析等功能,还对接终端风控、实时指标计算平台、风控数据画像、机器学习平台、模型平台、数据管理平台等各类风控子系统,集中进行风险计算和决策。
实时计算:数据、规则、模型的计算中心。实时或联系计算诸如设备在最近5分钟登录次数、设备在最近1小时登录过的账户个数、设备在最近1天登录过的账户个数、设备在最近1天使用过的IP 个数、设备在最近1天的GPS 位置移动距离等数据指标。
风险感知:监控和预警,动态感知。
机器学习:机器学习、深度学习、自然语言处理、计算机视觉、知识图谱、语音识别等AI技术在风控领域都有广泛应用,基于此做一些有监督打标、无监督聚类、轨迹模型、人机对抗网络等。人工智能风控是一项系统的工程。需要构建完整的端到端的风控解决方案,实现数据与算法的相互促进,规则与模型有机融合,有监督与无监督高效互补。利用规则和有监督机器学习算法识别已知风险,用无监督模型应对未知威胁。
1.2.4.3 数据画像层
画像:手机号名单、IP画像、设备画像,联防联控。
案件库:建立案件库,并进行分类和归档。
part2:静若处子,动如脱兔
2.1 DV介绍
掌握核心技术壁垒,构建立体产品矩阵,打造多元力量团队。Datavisor正在尝试用一种温柔但有力量的方式在反欺诈的琴弦上敲出一首气势恢宏的交响乐章。
2.1.1 公司介绍
DataVisor维择科技是一家全球知名的AI风控公司,由AI科学家谢映莲博士和俞舫博士于2013年创建,在北京、上海、深圳、硅谷、纽约、伦敦等地设有分支机构。目前已经完成C+轮融资,投资机构包括恩颐投资(NEA)、金沙江创投(GSR)、元生资本、红杉资本、泛海投资等。
运用云计算、大数据、机器学习等前沿技术,面向金融科技与监管科技,DataVisor维择科技依托尖端的无监督专利算法、领先的互联网化实时架构和丰富的全球反欺诈行业经验,打造了几大核心产品:dVector(托管式AI风控建模服务)、dCube(AI风控建模平台)、dEdge(终端风控解决方案)和dOps(端到端风控运营平台),为当下复杂的风控问题提供了端到端、一站式解决方案,无论是常规的已知欺诈,还是变化多端的未知欺诈,都可以帮助客户提前发现、预警和拦截。同时,既可以提供SaaS化的风控服务,也可以通过交付强大的产品化平台为客户赋能,助力客户降低欺诈损失,提升管理效率,改善运营环境,保障用户感知,用AI技术持续为客户创造价值。
截至目前,DataVisor维择科技在全球范围内累计处理超过1万亿次用户事件,检测出超过2亿的坏用户,保护了来自全球大型互联网公司和金融机构的超过45亿用户,服务客户包括中国平安、浦发银行、财付通、字节跳动、京东、美团点评、快手、陌陌等。
DataVisor维择科技汇集全球顶尖的数据科学家和AI工程师,核心技术团队65%以上拥有卡耐基梅隆、加州伯克利、哈佛、斯坦福、麻省理工、北大、清华等全球知名院校博士学位。2018年被华尔街日报评为“最值得关注的25家科技公司”,2019年入选毕马威“中国领先金融科技50强”,2020年被Gartner评为“最酷供应商”。
2.1.2 服务领域
DataVisor维择科技成立至今已有7年,为国内外包括金融机构、互联网机构、社交电商、游戏提供风控和反欺诈服务。面对各行业巨大的数字化转型需求,维择科技将继续发挥人才和技术优势,为有风控需求的企业提供支持,助力传统行业互联网化,推进安全市场持续发展。
金融:阻止应用程序欺诈、金融交易欺诈、账户盗取和洗钱等。
电商:在信誉损失发生之前即可制止欺诈行为,建立实时风控体系、维护平台信任。
社交:通过自动化 AI 检测系统清除垃圾邮件和有害内容,确保平台安全,优化用户体验。
游戏:通过无监督的机器学习识别多种复杂技术手段伪装的虚假安装、虚假点击,帮助客户提升获客 ROI。
旅游:通过无监督机器学习技术实时发现和阻止欺诈性预订,有效打击大规模账户盗取、机器人刷单等行为。
2.2 产品体系
把最先进的风控技术产品化服务化,赋能给风控能力较为薄弱的互联网公司,并带给所有的企业和终端消费者,是维择科技长期发展的理念;基于多年从事风控反欺诈行业积累的经验,丰富产品矩阵,是维择科技未来持续拓展的方向。
在模型算法方面,维择科技经历了多次改进。无监督机器学习是技术亮点之一,除此之外公司的解决方案也非常全面,从变量计算平台到智能规则引擎,再到有监督机器学习、无监督机器学习,包括知识图谱等技术,为客户打造全面的风控平台提供多方位的产品组合。除此之外,DataVisor无监督机器学习平台基于Spark、Hadoop、HBase、ES等多种大数据处理框架,拥有超高的处理计算效率,可同时处理数十亿事件的数据分析工作。
2.2.1 dCube
dCube是一套全面的风控管理解决方案,可以将欺诈特征快速有效地建模,并投入生产环节和决策环节,帮助大型企业预防已知和未知欺诈。dCube有效汇集了数据集成和验证、特征工程、模型开发、模型验证和部署、决策引擎、案例管理、深度分析等风控全流程中的各个环节为一体,帮助数据科学家和风控业务人员在同一平台高效协作,解决了在传统行业风控管理流程中常见的技术与业务脱节的痛点。
dCube无需历史标签或长时间培训学习和调优周期,就能助力企业加速采用机器学习。凭借DataVisor维择科技独有的核心专利无监督机器学习算法,dCube强大的检测引擎超越于简单的异常检测(以及其相关的高误报率),通过结合聚类技术和图论分析算法,发现关联欺诈或可疑模式。这是目前为止较领先的检测系统,即使在大规模数据量处理的情况下,也可以实现实时检测、阻止欺诈。
2.2.2 dVector
dVector是维择科技推出的一款托管式实时风控管理解决方案,主要基于无监督机器学习算法,结合有监督机器学习等技术,通过整体全局分析,有效处理大规模结构化和非结构化的数据,输出准确的欺诈信号,并在大规模攻击发生前及时采取行动,主动检测已知未知的欺诈。
dVector平台可为客户提供主动反欺诈保护。传统规则或者基于有监督机器学习解决方案需要攻击原理等“先验知识”,而DataVisor维择科技系统的设计理念则是不需要任何历史标签、大型数据库或者训练就能检测到欺诈攻击。DataVisor维择科技利用专有的无监督机器学习引擎,同时分析所有帐户,发现帐户之间的关联性和相似性,识别从事恶意活动的可疑群组,加快检测速度——甚至能在帐户注册的瞬间就将其捕获。
为了加大检测力度,增强决策信心,DataVisor维择科技积累了全球智能信誉库(Global Intelligence Network,GIN),DataVisor维择科技保护着全球超过45亿帐户,处理过超1万亿事件,积累的全球丰富的风控经验集成了全球智能信誉库,它能输出有价值的风控数字信号,向客户提供具有高实践价值的行业洞见报告。同时为行业提供实时观点和引领风向的反欺诈分析,为客户的风控决策提供了智囊。机器学习算法汲取全球智能信誉库中的信息,进一步提升了整体检测效率。
2.2.3 dEdge
dEdge 能够通过聚类分析广泛设备信息,识别设备操作并提供准确的设备ID、风险信号与评分,为移动和网络应用提供实时保护。
DataVisor维择科dEdge专门用于保护被劫持的设备免受攻击,且无论欺诈分子采用何种技术操纵该设备,都能提供准确的信号、设备ID和评分。与其他DataVisor维择科技机器学习解决方案相结合后,dEdge使客户能及早发现已知和未知的攻击,以高信心值并采取行动。
2.2.4 dOps
dOps 是一款企业级风控管理解决方案,将传统的风控规则与先进的机器学习相结合,可用于实时生产环境,能够实现端到端风控运营全流程整合。借助dOps,风险团队可创建和管理复杂特征、制定即时可用的规则并进行可视化的案件管理,从而识别业务风险并快速控制。dOps实时风控运营解决方案有效打通了数据层、特征层、模型层、规则层和应用层,提供了用户权限管理、高级特征创建及管理、规则设置、在线回测、实时决策、规则性能分析、案件调查与关联图谱展示等功能。
2.2.5 Knowledge Graph
DataVisor维择科技智能知识图谱通过整合金融企业内外部业务数据,基于DataVisor自研大数据计算平台、新型规则引擎及无监督群组检测算法,并结合时间、空间、行为特征等多维度的数据与信息,探索并完成节点对象间复杂的关联关系。可实现高效的个人与群组的智能识别与研判,有效应用于申请反欺诈、交易反欺诈、反洗钱、用户画像等多领域业务场景,大幅提升案件调查环节的准确率和审核效率。
依据各类业务场景,对应的图谱目标节点不同,基于目标节点可分为三类图谱:群组图谱、个体图谱、信息图谱。
群组图谱:群组图谱通过UML模型等渠道识别的群组案例呈现群内关联的聚集形态。群组图谱具有收敛的特点,user 节点数固定,节点间关联关系可进行深度挖掘与拓展,可视化群内成员基于多维度关键特征的关联关系。可从群组图谱切换至群内成员对应的个体图谱,可从群成员的个体图谱切换回至对应的群组图谱。
个体图谱:个体图谱通过规则引擎等渠道识别的个体案例呈现递进的拓展形态。个体图谱具有发散的特点,根据user 节点或关键特征在数据支持的前提下,依据业务需求可实现无限逐层展开,多维度特征确保关联关系的丰富程度,同时可从目标节点的个体图谱切换至关联节点对应的个体图谱,也可从个体图谱切换至对应的群组图谱。
信息图谱:信息图谱是以基于user维度的信息节点为目标节点进行拓展关联形成的图谱。通过全局图谱搜索功能,可从群组图谱或个体图谱直接切换至对应的信息图谱,深度展示节点间的关联关系,基于信息偏好从多维度层面挖掘目标节点及关联节点间关系。
维择智能知识图谱产品体系示意
维择智能知识图谱核心优势:在维择智能知识图谱产品开发的过程中,已完成基于大量的样本数据测试,充分验证其性能:相对于传统的基于图数据库实现的图谱产品,维择图谱产品基于实时特征计算平台实现,在服务框架、节点无限拓展、检索极速响应及实时更新等方面具有显著的优势特点,极大提高了图谱在业务场景中的应用效果与使用体验。
维择智能知识图谱应用场景:维择智能知识图谱拥有强大的自定义功能,通过图谱模版的灵活配置,能够广泛运用于申请场景、交易场景、用户画像、精准获客以及信息修复等多场景、多领域,深度赋能风控业务案调审核人员,为其提供强大的图分析、关系探索能力,通过清晰的可视化界面,大幅提升案件调查准确率和效率。
目前,已定制开发的业务场景有信贷申请反欺诈、交易反欺诈、信用卡套现和反洗钱。
场景示例一:信贷申请反欺诈
在信贷申请审批流程中,知识图谱产品可接收来自规则引擎或模型检测发现的可疑案件,展示不同客户之间的关联关系,挖掘其中存在的⻛险点,帮助审核人员快速读取相关信息及判定案件。
场景示例二:反洗钱
使用人工智能算法技术,检测海量交易数据中的可疑群组,并结合业务逻辑设置筛选条件,通过图谱⻚面定制化功能(如搜索、筛选、图规则等),抽取出符合洗钱特征的群组,并运用算 法将图谱合理布局,以便于审核人员开展调查工作。
数据显示,维择智能知识图谱的应用能够提升2倍案件调查效率,案件调查准确率提升50%以上,做到毫秒级识别复杂二度关联。
借助维择智能知识图谱产品,银行等金融机构的抗风险能力能够得到有效提升,对借贷对象的违约风险审核能力将显著增强,大大提高贷款审核效率。在未来几年时间内,知识图谱毫无疑问将是人工智能的前沿研究问题。
2.2.6 Feature Platform
DataVisor的新产品实时风控中台(Feature Platform),从根本上解决了特征工程的痛点。特征工程是机器学习引擎运作成功与否的关键,DataVisor维择科技的实时风控中台能够将特征工程的流程从几周缩短到几分钟,因为它可以自动从原始数据中提取数千个特征,并通过AI和机器学习引擎不断丰富特征。
实时风控中台生成欺诈特征来构建复杂的模型和规则的同时,还能够有效集结数据科学和风险业务团队,快速将特征等要素部署到生产中。实时风控中台运用全球超过42亿帐户数据的全球情报,并利用先进的深度学习技术来扩大覆盖范围并减少误报。DataVisor维择科技的实时风控中台是全面的反欺诈管理解决方案中的关键组成部分,可以增强大规模检测和预防的能力。
实时风控中台(Feature Platform)目前已在某国内知名金融机构成功上线。大量用户行为活动数据、设备指纹数据、交易数据、用户生成文本数据等等中包含成千上万特征,该中台可以自动提取出帮助机器学习引擎优先运转的有效特征,从而自动分组检查交易地址和实际地址是否匹配,而作出判断决策。
敏捷有效的特征工程对于AI智能反欺诈来说至关重要。尽管市场上还有一些选项可以改进数据准备和模型开发的过程,但DataVisor维择科技的实时风控中台可以做到非常高速地适配并投入生产,这是实时风控中台独特且颇具价值的能力。借助DataVisor维择科技的实时风控中台,客户可以快速创建高级的欺诈特征,快速敏捷地构建复杂的模型和规则。
2.3 案例分享
2.3.1 案例1-垃圾注册风险识别
DataVisor一招制胜基于对欺诈现状的理解和认识,其独有的无监督反欺诈算法,最大的特点是无需人工干预,就能自动识别恶意账户、事件之间的细微关联,并自动建立相应的规则和应对机制。
一个欺诈团伙利用从各种渠道获取的信息申请新的信用卡,这个过程中填写的各种信息。如果只分析图一的信息,都是合法用户,基于规则的一些反欺诈系统根本无从判定。即便加上第二张图的信息,常见的以IP黑名单、邮箱黑名单为检测机制的反欺诈系统也几乎没什么作用。
姓名、年龄、住址、邮箱等
姓名、IP、设备类型、浏览器等
事实上,这些账户都是欺诈账户。申请相同的卡片类型、所有IP都来自数据中心、一样的手机且都是旧版本的、一样的操作系统、一样的浏览器,这些在传统单个查看的反欺诈系统里都会被定义为正常用户,而在DataVisor无监督机器学习算法中均能成功检测,并自动形成相应的规则和应对机制。
可疑用户
2.3.2 案例2-解决线上申请难题
某头部城商行在全国范围内有数百家营业机构,在2019全国商业银行资产规模排名中,位列前20位。作为城市商业银行的领先者,该行持续积累差异化的比较优势,大力发展零售业务。
客户挑战
缺少针对风控场景的有效数据:客户现有的数据主要是通用运营场景的数据,主要用来描述客户画像和经营状况。这部分数据在风控场景的分析、建模过程中价值较低。尤其在客户需要放开线上自有渠道的进件申请的情况下,需要采集一些用户信息、设备信息和行为信息。
现有的风控能力有限,线上申请通过率较低:客户现有的进件来源于其他渠道,风控的方式主要依赖于第三方数据和基于第三方数据的基础规则,所以整体的风控能力有限。为了保证逾期率维持在较低水平,客户采取了降低通过率的方式。因此,造成了现有较低的风控能力和提高线上申请通过率的矛盾。
现有的风控手段,难以捕捉欺诈团伙:客户当前的风控手段为第三方数据和基于第三方数据的基础规则,这样的风控方式只能捕捉个体欺诈用户,而且具有滞后性,只能在某个欺诈用户或某种欺诈手段作案并被捕捉之后,才能在下一次出现时防范。这样的风控技术难以面对狡猾、多变的欺诈团伙。
风控运营流程不完善,缺少对于可疑案件的人工审核:客户的风控运营流程完全依赖自动化的检测,而风控引擎存在一定概率的误判情况,这导致一些优质客户的流失。此外,对于风险评分较低的可疑用户,现有的各种技术手段难以给出明确的结论,需要人工案件调查做最后的审核。
赋能客户
专业数据采集:维择科技利用在全球范围内反欺诈的业务经验,总结出在反欺诈的不同细分场景需要的数据,采集超过100个字段,包括设备信息、用户信息、行为信息。这些风控场景的专业数据作为重要资产,为反欺诈规则引擎和AI模型提供更丰富的分析维度。与此同时,维择严格遵守各个应用市场的用户隐私条例,满足国家对于保护用户数据隐私安全的要求。
统一的特征工程:维择科技将用户埋点数据、第三方数据、征信数据等不同来源的数据统一整合,根据进件申请场景的特定需求,衍生出超过200个特征/变量,包括图特征变量,并为每个变量定义明确的含义和计算逻辑。
反欺诈规则引擎:客户需要开启线上自有渠道的申请进件,针对这部分的申请进件的用户、行为等数据衍生的特征,维择科技为客户配置了专业的反欺诈规则策略,有效支持客户提升自有渠道申请的进件率,同时有效控制线上进件的风险。
无监督机器学习模型:针对客户在团伙欺诈领域相对空白的防范措施,维择科技利用独有的无监督机器学习模型,在客户现有的风控手段所排除的风险客户之外,为客户识别出8.5%的增量风险客户。无监督机器学习模型还为这部分风险客户提供了明确检测原因,保证检测的准确率超过95%。
案件调查操作指引:案件调查环节作为反欺诈流程中最后一道关卡,也是人工操作的环境,不仅可以有效避免因为规则或模型的漏洞而导致的误判,还解决了对于规则、模型难以判定的低风险客户识别的难题。维择科技为客户提供了完整的案件调查操作指引,将这个环节标准化、专业化。
典型案例:一个拥有18个欺诈帐户的欺诈群组,目的是通过伪造身份获得贷款资金。依靠维择科技的风控解决方案,该客户能够从群组的视角抓到一个18人的欺诈团伙。
伪装手法:群组中申请人的个人信息(名称、证件号、手机号、家庭地址等)均不相同,大多数申请人的单位名称不同。申请时间相对分散在一周内的不同时间。
检测到的模式:在公司名称不同的情况下,18个账户的公司电话号码都一样。其中12个账户的家庭地址和征信信息中的家庭地址不一致,且其中11个账户的城市不一致。
结果:
采集100+专业字段
设计100+反欺诈策略
团伙欺诈用户识别率:1.6%
团伙欺诈用户增益率:8.5%
团伙欺诈识别准确率:95%+
2.3.3 案例3-捕捉欺诈账户
dVector目前已经在多行业和领域成功落地部署,显示出优秀的检测能力和流畅的交互体验,能够从全球化视角发现最新欺诈动向,给予客户全面的风控指导建议。
助力顶级快递服务公司打击运输欺诈,提前30天捕捉欺诈账户
案例:欺诈分子发起身份盗取攻击,并利用被盗信息大量注册欺诈性新帐户;利用虚假帐户来改变包裹路线,并用恶意电子邮件欺骗正常用户,从而违法追踪运输的货物。
dVector做到了主动检测欺诈性路线更改并终止其请求,避免因包裹被盗而造成的经济损失。在早期注册时就能够识别拦截大规模注册的虚假帐户,避免造成欺诈损失。通过自动阻止和隔离功能提高了运营效率,并加速人工审核和批量决策。
效果:检测效率提升60%,审核效率提升40%,阻止欺诈损失达400万美元
助力亚洲领先的航空公司解决机器人脚本化票务欺诈问题以及用户奖励欺诈问题
案例:欺诈分子使用脚本机器人批量购买机票,随即进行转售或取消。欺诈性占取席位并对价格进行操纵,给客户造成经济损失,给平台用户带来负面体验。dVector能够对所有订单进行全面的实时分析,主动捕获不断演变的机器人攻击。分析网页会话日志、帐户间联系、数字指纹信息、帐户详情和行为,识别出极其隐秘的欺诈模式。
效果:欺诈检测增益率53%,检测准确度达到97%,每年节省小时数11.3万
part3:青青子衿,悠悠我心
唯才智举,维德信择。你若盛开,清风自来。
薪资高、福利好、团队强、发展前景棒,这样的工作你不想体验一下吗?直接将简历投递到HR邮箱,HR小伙伴会速速联系优秀的你!更多职位信息请扫描二维码
学习交流可以加下面的群