全文共计2500字，阅读时间大概30分钟。

 

【前言】

        小米SU7，最近频频霸榜微博热搜榜前三的热词。纵观任意一家火爆产品的生产商，都必须时刻将业务反欺诈放在首位，简单的说就是把黄牛干死或者被黄牛干死。

        雷老板3月31日发博说小米已经成功拦截了大量黄牛订单，然后回收了这些订单数据，释放出来的库存将开启第二波发售。

        看到这里很多同学会问，面对海量的订单数据，小米是如何发现其中异常的订单数据并且甄别出来的呢？ 本篇博客将以互联网企业的视角从用户终端、数据画像分析、风控场景和综合数据决策几个方面进行介绍企业反欺诈风控技术。

1、终端安全

1.1、生物特征识别

        黄牛党/黑灰产组织采取的批量提交、合法用户伪造等方式来进行“薅羊毛”，从批量执行的行为上分析已经不是真实用户的行为范围，所以通过生物特征识别可以从用户行为上过滤大量异常订单。

        实现生物特征识别，行业典型方案还是基于一些移动端的传感器、数据采集模型进行自动化分析，移动设备上的陀螺仪，重力传感器、手指接触面、手指按压力度、设备的仰角、地理定位信息等都是数据采集模型中的参数，通过这一系列的数据分析汇总，可以判断出是否是真实用户在使用手机。当然现在手机模拟器盛行，只采取这一种方法是不可能做到业务放欺诈的，企业内部更多的是采取多种模式，组合分析，层层检测的方式来规避此类风险的。

1.2、验证码二次校验

        在实际的业务场景中，能够和用户交互最频繁的莫过于验证码了，验证码的引入无疑大大增加了业务的安全性，梳理目前行业中常见的验证码机制一共有6种：

验证类型	防御能力（最高5※）	用户体验感（最高5※）
滑块拼图验证	※※	※※※※※
图文点选验证	※※※	※※※※
文字点选验证	※※※	※※※
语序点选验证	※※※※	※※※
空间旋转验证	※※※※	※※
空间推理验证	※※※※※	※

        在业务安全实践中，验证码已经成为风控安全中非常重要的一个组件，当然随着技术的发展，验证码绕过技术也随着出现，验证码的复杂度也逐渐扭曲，12306网站就是一个典型的例子，正如前面讲到的验证码机制是与用户使用“离得最近”的安全防护能力，所以自然而然也会更加明显的影响用户使用体验，一个过度强化的验证码机制会把用户劝退，那样用户会大量流失。所以验证码机制轻量化部署是最优选项。

1.3、设备指纹唯一性

        设备的IMEI号、MAC地址、序列号等硬件特征码在业务的面板上应该是独一无二的，就像身份认证信息一样，唯一性是关键指标。为了获取到稳定且唯一的设备ID，手机APP程序需要读取到一个加密并且不可删除的ID文件，拿Android ID举例，为了防对抗，被恶意用户篡改设备硬件信息，Android引入了一个存储在系统底层不被删除的文本，这个文本记录设备的唯一标识。

1.4、风险环境检测

        常见的业务欺诈风险场景有以下几类：

        （1）Root环境检测。

        APP运行时可以对当前设备环境做Root检测，一旦检测到设备被Root，APP将会启动失败。

        （2）VPN环境检测

        检测常见的HTTP流量代理、VPN代理，一旦触发，APP自动退出或者断开服务端通信。

        （3）模拟器检测

        通过分析处理器指令集、TCP/IP一些头部字段等方式来判断是否在模拟器中运行了业务APP。

        （4）双开检测

        系统中的APP应用是否被双开可以通过设备唯一标识，用户行为分析、登录IP等信息进行综合判断。

2、数据画像分析

        数据画像（Data Profiling 或 User Portrait）是一种基于大数据技术的重要工具，它通过对用户产生的大量多维度数据进行深度挖掘和分析，形成对用户的立体化、个性化认知模型。

        （1）基础信息画像，收集和整合用户的静态信息，如身份认证信息（姓名、身份证号、手机号、邮箱等）、职业背景、教育经历、居住地等。

        （2）交易行为画像，记录用户的交易历史、交易频次、交易金额、交易时间分布、支付方式偏好、商品或服务类型偏好等，从中发现用户的消费习惯和潜在风险行为。

        （3）网络行为画像，分析用户的网络足迹，包括访问记录、点击流数据、社交媒体互动、网页浏览偏好、设备指纹（如设备ID、浏览器指纹等）等，这些可以反映用户的线上行为模式和活跃时段。

        （4）关联关系画像，挖掘用户之间的联系，如社交关系网络、共同交易伙伴、同一设备或IP下的账户活动等，帮助发现群体欺诈行为和潜在的团伙欺诈。

        （5）信用评价画像，结合征信报告、逾期记录、黑名单信息等构建用户的信用评估模型，预测其潜在的违约风险。

        （6）实时动态画像，利用实时数据分析技术，对用户行为的最新变化进行实时监控和即时评估，快速响应可能存在的欺诈行为。

        通过以上画像的构建，反欺诈系统能够实时监测和分析用户的异常行为，如突然改变的消费习惯、频繁异地登录、短时间内大量异常交易等，进而及时预警并采取相应的风控措施，有效防止欺诈事件的发生。

3、风控场景安全

3.1、垃圾注册风险场景

        通过手机号画像、设备IP画像、设备指纹信息、设备风险环境信息来判断短时间异常大量注册行为，此类账号会在系统中被标记为垃圾注册账号，只允许登陆，不允许后续其他操作。

3.2、薅羊毛风险场景

        通过设备参数识别，比如设备指纹、设备黑名单。此外可以利用频率维度进行防控，典型场景比如同一个设备高频换账号登录，同一IP或IP聚类登陆账号频次，使用同一WIFI登陆账号频次。

        用户行为检测，比如缺乏交易以外平台活跃动作，账户群体有黑产团伙特征，历史注册账号有黑产组织特征。

        收货地址检测，存在虚拟的高度相似的收货地址，收货地址中存在异常暗号，地址中包含实际下单收货号码。

3.3、裂变拉新风险场景

        邀请人在短时间内大量邀请注册新账号，存在恶意拉新的明显特征。

        邀请人名下注册手机号，设备指纹、IP异常比例高。

        邀请人名下新注册设备特征高度相似。

        邀请人名下有明显的团队特征。

3.4、恶意退单风险场景

        除设备指纹分析以外，可以从账号历史行为分析，如果是高频退单，退单率70%以上的，标记为高风险账号，进行二次认证。

        同时可以从收货地址上，利用收货相似地址聚类，虚假地址检测的维度进行分析，对一些收货地址进行风险标记，提前进行系统预警。

附录  反欺诈业务安全常见指标

全文完，感谢阅读。

---