移動數(shù)字金融與電子商務反欺詐白皮書

．．移動數(shù)字金融與電子商務反欺詐．．，白皮書 ．，．．．． ．．．．．．．．．移動數(shù)字金融與電子商務反欺詐白皮書移動數(shù)字金融與電子商務反欺詐白皮書PAGE\*ROMANPAGE\*ROMANV目錄圖目錄 VI表目錄 VIII一、移動數(shù)字金融與電子商務中的欺詐現(xiàn)狀 1移動數(shù)字金融與電子商務欺詐概述 1營銷活動欺詐 2渠道流量欺詐 3虛假用戶裂變欺詐 5盜取信息欺詐 6惡意交易欺詐 6金融支付欺詐 7網(wǎng)絡刷單欺詐 7電信欺詐 8網(wǎng)貸欺詐 9優(yōu)質內容爬取欺詐 9移動數(shù)字金融和電子商務領域的反欺詐場景 10移動用戶的身份判斷 10移動欺詐的狀況評估 11移動欺詐的行為判斷 12數(shù)字欺詐對我國經(jīng)濟的影響與分析 12當前網(wǎng)絡欺詐的現(xiàn)狀 12移動互聯(lián)網(wǎng)欺詐的模型和結果分析 13二、黑產欺詐態(tài)勢分析 19黑產欺詐問題當前態(tài)勢 19欺詐在移動業(yè)務中的趨勢和特點 29行為模式：“被動”變?yōu)椤爸鲃印?30安全漏洞：“碎片”變?yōu)椤跋到y(tǒng)” 31商業(yè)邏輯：“孤島”變?yōu)椤叭诤稀?31變現(xiàn)邏輯：“量變”變?yōu)椤百|變” 33迭代速度：“緩慢”變?yōu)椤把杆佟?34三、移動數(shù)字金融和電子商務領域的反欺詐方案 35現(xiàn)有反欺詐方案面臨的挑戰(zhàn) 35全棧式實時反欺詐方案 36全場景識別體系 37全路徑實時布控體系 37全方位策略體系 39全流程運營體系 39移動設備唯一性甄別實時反欺詐方案 40賬號識別及保護反欺詐方案 41營銷活動反欺詐方案 41網(wǎng)絡安全/提供風控方案 42互聯(lián)網(wǎng)金融反欺詐方案 42四、反欺詐的技術與效果評估 45反欺詐技術體系架構 45接入層 46業(yè)務邏輯層 47決策層 47基礎引擎層 47模型數(shù)據(jù)層 48基礎平臺層 48管理層 49反欺詐技術詳解 49反欺詐情報體系 49設備指紋技術 49實時決策引擎（規(guī)則引擎）技術 55知識圖譜 56有監(jiān)督機器學習技術 58無監(jiān)督機器學習技術 60實時畫像引擎技術 61實時統(tǒng)計引擎技術 64可信ID技術 65運營商風控技術實踐 66運營商業(yè)務風控系統(tǒng) 66通信數(shù)據(jù)在風控中的應用 68反欺詐效果驗證與評估 70事前評估 70事中分析 71事后評估 72五、移動業(yè)務反欺詐的挑戰(zhàn)及展望 75反欺詐的困難和挑戰(zhàn) 75業(yè)務風險不確定性分散 75風控效果不可判斷性高 75認知盲區(qū)不認知性強 75追求數(shù)據(jù)美觀不務實性多 76反欺詐未來展望 76加強技術升級優(yōu)化 76基礎共性技術開源 78構建產業(yè)協(xié)作組織 78推動完善法制建設 79附錄A：移動互聯(lián)網(wǎng)欺詐模型推演 80附錄B：RETE算法詳解 81PAGE\*ROMANPAGE\*ROMANVIII圖目錄圖1營銷活動反欺詐示例 3圖2渠道流量反欺詐示例 4圖3虛假用戶裂變反欺詐示例 5圖4網(wǎng)絡刷單欺詐示例 8圖5反欺詐擴散模型示例 14圖6支付詐騙趨勢（中國信息通信研究院） 20圖7惡意機器流量趨勢（CNNIC） 20圖8黑產廣告造成的人均損失《2018年網(wǎng)絡詐騙趨勢研究報告》21圖9詐騙場景示例 22圖10黑產手法及設備 22圖11黑產態(tài)勢 23圖12黑產鏈條示例 23圖13全棧實時反欺詐方案 37圖14全路徑實時布控體系 38圖15全流程閉環(huán)策略體系 40圖16反欺詐技術流程體系 45圖17反欺詐云架構 46圖18設備指紋的作用 50圖19虛擬機示例 51圖20安卓和蘋果設備信息篡改示例 52圖21多開軟件示例 53圖22RETE算法 56圖23知識圖譜示例 57圖24黑產知識圖譜建模 58圖25無監(jiān)督學習 60圖26實時畫像數(shù)據(jù)流轉示意圖 62圖27實時畫像架構圖 63圖28實時統(tǒng)計引擎示意圖 64圖29運營商業(yè)務風控系統(tǒng) 67圖30通信大數(shù)據(jù)優(yōu)勢 69圖31反欺詐效果評估體系 72表目錄表1電子商務及欺詐市場明細 16表2擬合參數(shù)結果 16表3預測損失結果 16表4欺詐損失GDP占比預測 17表5策略動態(tài)配置示例 55表6風險控制與管控策略對應表 72移動數(shù)字金融與電子商務反欺詐白皮書移動數(shù)字金融與電子商務反欺詐白皮書PAGEPAGE17一、移動數(shù)字金融與電子商務中的欺詐現(xiàn)狀移動數(shù)字金融與電子商務欺詐概述金融和商品交易是現(xiàn)代經(jīng)濟體系的核心。隨著信息技術的發(fā)展，以網(wǎng)貸平臺為例，截止2018年末，累計出現(xiàn)問題的平臺數(shù)量超過4000家，占網(wǎng)貸平臺總量的70%以上。而在電子商務領域，根據(jù)P在2017年10月發(fā)布的一份全球電子商務欺詐報告，電商欺詐將導致全球電商市場在2017年損失580億美元。在此背后的500PC互聯(lián)網(wǎng)承載的業(yè)務，都在逐步向移動端拓展。而其在整個移具體而言當前的移動欺詐主要包括以下幾種形式：營銷活動欺詐在營銷活動欺詐中，存在羊毛黨和黃牛黨兩種關鍵角色。圖1營銷活動反欺詐示例l羊毛黨：操縱大量賬號仿冒新用戶，參與營銷活動，獲取優(yōu)惠券獎勵。或者通過收取費用代人下單，從而獲取利益。l黃牛黨：操縱大量賬號參與營銷活動，活動購買資格，購買渠道流量欺詐渠道流量欺詐指，黑灰產利用技術手段仿冒移動應用新增用戶，獨自或與第三方推廣平臺合作，共同騙取移動互聯(lián)網(wǎng)應用（App）市場運營成本的場景。據(jù)數(shù)美科技統(tǒng)計，2017AppApp7.8%AppApp11%～12%201711～13目前，隨著移動互聯(lián)網(wǎng)的高速發(fā)展，渠道流量作弊也呈現(xiàn)出快速增長的趨勢。圖2渠道流量反欺詐示例l 機刷：通過批量地虛擬機、篡改設備等手段，刷安裝激活；l 人刷：通過做獎勵任務形式，人肉刷安裝激活；l 木馬刷：通過感染移動設備，在正常手機后臺偷偷刷下載激活；l Appl IPl App率看起來正常；虛假用戶裂變欺詐虛假用戶裂變欺詐是指App采用“用戶裂變”的方式來進行推廣獲客時，黑產通過控制大量假賬號，騙取平臺拉新補貼的場景。AppApp圖3虛假用戶裂變反欺詐示例73-8盜取信息欺詐惡意交易欺詐金融支付欺詐POS機虛構交易套現(xiàn)；將非法所得的資金轉移到第三方支付平臺賬戶，在線購買游戲點卡、比特幣、手機充值卡等物品，再對外銷售進行洗錢等活動。這些行為嚴重擾亂了金融和社會秩序。網(wǎng)絡刷單欺詐接利用軟件工具來實現(xiàn)對平臺玩家的粉絲數(shù)/評論數(shù)等多項指標進行刷榜造假；與有需求用戶交易，從而謀取利益。圖4網(wǎng)絡刷單欺詐示例電信欺詐網(wǎng)貸欺詐產業(yè)鏈利用技術手段劫持互聯(lián)網(wǎng)貸款平臺信息惡意進行團伙欺詐行為。隨著互聯(lián)網(wǎng)+模式的深入各個行業(yè)，互聯(lián)網(wǎng)貸款市場也在不斷擴大，隨之而來的是大規(guī)模的線上逾期風險和線上黑色產業(yè)野蠻生長。優(yōu)質內容爬取欺詐優(yōu)質內容爬取欺詐，是指通過網(wǎng)絡爬蟲（又稱網(wǎng)絡蜘蛛，按照某種規(guī)則在網(wǎng)絡上爬取所需內容的腳本程序。對于被爬取內容的各種資訊類App來說，損失非常巨大。這些\運營出的高質量內容，卻很快被爬蟲竊取，形同侵權。AppApp上的機票價格大都采IP需要在數(shù)據(jù)清洗時剔除……為模式上就越接近真人，也就更加增加數(shù)據(jù)分析時的難度。久而久之，移動數(shù)字金融和電子商務領域的反欺詐場景移動用戶的身份判斷APP和網(wǎng)站在注冊時都是需要利用手機號、IP等（618160萬次。虛假賬號的識別是反欺詐場景的基礎，也是企業(yè)對抗黑灰產的基礎。移動欺詐的狀況評估1001元的成本，在企業(yè)上線了很多策略后，黑灰產仍然能投入1元賺取100元的話，那說明這些策略的可以從以下幾個維度去判斷：虛假賬號量注冊風險登錄風險流量欺詐風險內容風險活動風險數(shù)據(jù)風險設備風險移動欺詐的行為判斷商平臺需要通過多維度特征加行為分析才能夠有效識別出刷單的欺詐行為。具，如“可信ID的風險。1.3 數(shù)字欺詐對我國經(jīng)濟的影響與分析1.3.1 當前網(wǎng)絡欺詐的現(xiàn)狀CNNIC8億，普及率超過609070％，100％，20%以上。CNNIC201830％以上的網(wǎng)民遭遇了個人信息泄漏，超過25％的用戶遭遇網(wǎng)上詐騙，23.819.2％的用戶賬號或密碼被盜。全年境內感染病的移動毒終端累計超過3000萬臺，國內被篡改網(wǎng)站累計超過7萬個，安全漏洞累計18901個，其中高危系統(tǒng)漏洞累計7654個，較2017年增長了31％。1.3.2 移動互聯(lián)網(wǎng)欺詐的模型和結果分析完成業(yè)務或服務，就構成了欺詐行為。2所示：圖5反欺詐擴散模型示例（商家和用戶都可能成為欺詐者的行為模式（欺詐行為（移動互聯(lián)網(wǎng)的不同業(yè)務相互作用——一方面是在欺詐者數(shù)量S，欺詐所獲得的收益I的條件G(SI)。作為一個典型的反應擴散模型，可以看到欺詐者數(shù)量S獲得的收益I濟行為一樣，無論是欺詐者數(shù)量S還是欺詐所獲得的收益I，都會隨（。具體推導過程可參照附錄A。書參與單位聯(lián)合提供的數(shù)據(jù)，首先我們統(tǒng)計出可疑賬號的數(shù)量，從2014年到2018年依次為330萬、412萬、534萬、723萬、1060萬。為了估算出從2014-2018年欺詐造成的總體（直接）損失，我們6533.13萬、3.98萬、4.51萬、4.24萬、3.31萬。表1電子商務及欺詐市場明細時間電子商務市場規(guī)模（萬億）數(shù)字金融市場規(guī)模（萬億）欺詐造成的損失（億）疑似欺詐者賬號數(shù)量（萬）單賬戶欺詐造成年均的損失（萬元）201412.68.110323303.13201516.911.216424123.98201619.315.724115344.51201722.416.130727234.24201825.217.2351310603.31不難看到，隨著疑似欺詐賬戶的增加，使得欺詐的同行“競爭”同時，根據(jù)上述數(shù)據(jù)對本本模型進行參數(shù)擬合，可以得到表2擬合參數(shù)結果參數(shù)pq數(shù)值0.0020.0130.150.31表3預測損失結果年份疑似欺詐者賬號數(shù)量（萬）單賬戶欺詐造成年均的損失（萬元）欺詐造成的總損失（億）201912503.093870202013103.935150202117403.415940202223003.087100從統(tǒng)計結果來看，2018年我國移動互聯(lián)網(wǎng)欺詐造成的損失大約GDP0.3%GDP6.5%的速度發(fā)20192022GDP的比例依次為4GDP占比預測年份2019202020212022欺詐造成的損失占GDP的比例0.4%0.5%0.55%0.61%注意實際情況中，還存在大量未被發(fā)現(xiàn)的欺詐賬號和欺詐行為，同時隨著我國數(shù)字經(jīng)濟的發(fā)展，新的業(yè)務和新的欺詐形式也可能同時出現(xiàn)。因此，在實際中欺詐造成的損失很可能比本文推算的更大。移動數(shù)字金融與電子商務反欺詐白皮書移動數(shù)字金融與電子商務反欺詐白皮書PAGEPAGE72二、黑產欺詐態(tài)勢分析黑產欺詐問題當前態(tài)勢黑產從業(yè)人數(shù)高達1502015GDP比例多達4000圖6支付詐騙趨勢（中國信息通信研究院）圖7惡意機器流量趨勢（CNNIC）圖8黑產廣告造成的人均損失《2018年網(wǎng)絡詐騙趨勢研究報告》黑產無孔不入，損失巨大/4000圖9詐騙場景示例黑產作惡多端，手段多樣圖10黑產手法及設備黑產靈活多變，進化神速7*24圖11黑產態(tài)勢黑產鏈條完備，分工明確黑產上下游分工明確，形成了產業(yè)鏈。圖12黑產鏈條示例黑產情報QQ/微信群、電報群等。信息獲取后，就會有專門的業(yè)務滲透人員和腳本人員，了解分析清楚產品邏輯、必需資源和必要工具/腳本，厘清活動性質，如是新賬號首單還是老賬號拉活，是否涉及地域性，是否涉及綁卡等。進而基于前期分析后做出相關操作決策，如充錢，屯號等，以確保在活動開始前，做好準備。核心資源獲取與基礎工具巧婦難為無米之炊，單個賬號能薅的羊毛通常會有產品限制，IP（1）賬號欺詐賬號的來源有兩個，一個是注冊，一個是盜號。批量惡意注冊需要批量手機號短信驗證碼，此類黑產分為幾代：第一代：虛擬運營商手機號，即170、171開頭的手機號。虛商從2013年發(fā)展至今，已有阿里、京東、蘇寧等幾十家機構拿到了虛擬運營商牌照。虛擬卡主要應用在臨時場景，辦卡門檻較低，因此受到了黑灰產網(wǎng)絡欺詐的青睞。盡管其成為較常見的黑產手機號來源，但因為識別簡單，防御起來門檻較低。（只能收短信0第三代：注冊時使用的手機資源還需要提升接碼效率，貓池+卡API冊欺詐提供了強有力的支持。第二個號碼來源是盜號，此類黑產同樣也在不斷變遷：/“洗庫”廠商轉型移動端。web端存在時，XSSCSRFcookie中登錄票據(jù)等私密信息的泄漏。在此類登錄票據(jù)的有效期內，黑灰產可以利用此號碼+票據(jù)進行盜號，并引發(fā)出多次漏洞、蠕蟲惡意傳播事件。第三代：前述兩代是通過漏洞攻防安全技術作惡，技術門檻高，（每3“庫”進行暴力“撞庫”成了盜號的最省力方式，且性價比很高。（2）設備用戶設備是承載賬號的硬件載體，模擬/更換設備是黑灰產的基本方法，分為以下幾代：PC15-20個第三代：真手機設備篡改或多開。該類方法基于原生移動環(huán)境，通過改機工具來實現(xiàn)模擬換設備操作。當今風控廠商的設備風險識別也基本可以識別到，門檻稍高。IPIPIP也是黑灰產必修課，手法分為以下幾代：第一代：ADSL撥號。通過一根網(wǎng)線反復撥號，可以撥到多個相IPADSL撥號雖然容易上手，但防御較容易。私密性較好，IP+行為邏輯可以進行防御。理IP良莠不齊，攻擊維護成本較高。VPSVPS性好，稍有規(guī)模的VPS撥號廠商，可支持幾十個省份上百個城市地域幾十萬IP的混撥更換，是目前黑灰產使用的主流換IP模式。黑產業(yè)務工具l 打碼平臺l 腳本按鍵精靈+腳本，看似簡單，但實際上是流程控制的核心，根據(jù)l 工具l 模擬器l 改機軟件IMEIGPSMACl 貓池貓池是將相當數(shù)量的Modem使用特殊的撥號請求接入設備連接變現(xiàn)及套利欺詐在移動業(yè)務中的趨勢和特點20184G用戶的11移動終端的功能不斷增強，減少了用戶操作的復雜度，使得用戶隨時“用戶畫像”?？梢?，移動互聯(lián)網(wǎng)服務的發(fā)展一方面為用戶帶來了便捷，另一方發(fā)展帶來更大的負面影響。安全漏洞是在應用中軟件協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存（App）上。對于傳統(tǒng)的信息化系統(tǒng)的信息安全問題，近年來已經(jīng)得Web安全和滲透測試廠商Cenzic公司最新發(fā)表的報告統(tǒng)計，有將近96％的移動應用上存在著安全漏洞問題。/信用風險主要由于在我國的移動互聯(lián)網(wǎng)服務中，為了吸引客戶，造成寶貴的社會風投資本被大量浪費；另一方面，當企業(yè)長期無法“自P2P我國移動互聯(lián)網(wǎng)業(yè)務的發(fā)展和口碑帶來不影響。誤操作風險主要是用于很多用戶對于新的服務不了解而出現(xiàn)的PC互聯(lián)網(wǎng)時代，早期的互聯(lián)網(wǎng)場景更多的是線上的展示（廣告類。所以黑灰產的欺詐行為是通過控制的個人電腦做為肉雞來進行Ddos、刷廣告、安裝流氓軟件等變現(xiàn)。在這個時代一臺臺實際的物理BugX產商的工具軟件發(fā)布一段時間之后，通過業(yè)務側的數(shù)據(jù)和模型，X產商的業(yè)務安全團隊感知到了由于工具軟件產生的異常，并通三、移動數(shù)字金融和電子商務領域的反欺詐方案現(xiàn)有反欺詐方案面臨的挑戰(zhàn)（1）防御能力單薄通過單個技術方式進行欺詐識別，比如單純依賴黑名單或簡單的人工規(guī)則、單點布控等，缺少全流程的反欺詐方法（從設備啟動到用戶行為各個環(huán)節(jié)的縱深防御。（2）防御時效性差T+1防御進化慢缺乏策略迭代閉環(huán)，沒有形成攻防研究–策略設計–策略研發(fā)–驗證–運營–案例分析–策略更新的進化閉環(huán)。無自學習機制，難以發(fā)現(xiàn)潛在的和新型的欺詐模式。ID過分依賴“顯性IDIMEI、MAC、IMSI、SN等，以此為識別設備唯一性的標準。這些ID都可以通過改碼軟件或虛擬機等手段輕易的進行變換/黑名單庫準確性低整個行業(yè)對于黑名單沒有一個明確的規(guī)范標準。A的黑名單庫，未必適合B公司。全棧式實時反欺詐方案圖13全棧實時反欺詐方案全場景識別體系全路徑實時布控體系圖14全路徑實時布控體系（1）啟動SDK（2）注冊IP（3）登錄IPIP（4）業(yè)務行為全方位策略體系作；同時結合時域網(wǎng)絡，采用無監(jiān)督機器學習模型，遞歸調度PageRank等風險傳播算法進行黑產社群發(fā)現(xiàn)，多方位有效精準識別欺詐團伙和高危群體。全流程運營體系”“攻防研究”、“策略設計”、“策略研發(fā)”、“策略驗證”、“策略上線”到“策略運營”圖15全流程閉環(huán)策略體系移動設備唯一性甄別實時反欺詐方案移動設備唯一性甄別實時反欺詐方案，是指利用移動設備標識如“可信ID”，為移動開發(fā)者實時提供設備真實性&唯一性的甄別服務。通過有效的反作弊措施，鑒別虛假數(shù)據(jù)，提升運營數(shù)據(jù)質量，從而有效杜絕灰色產業(yè)鏈的侵蝕。SDK被破解以及傳輸數(shù)據(jù)被偽造。統(tǒng);消息樞紐層使用Zookeeper+Kafaka;數(shù)據(jù)計算層包括離線的大數(shù)據(jù)計算和實時的業(yè)務數(shù)據(jù)計算；數(shù)據(jù)存儲層包括原始日志、中間及結果型數(shù)據(jù)。賬號識別及保護反欺詐方案（1）虛假賬號識別/識別欺詐小號：依靠可信ID與客戶自定義ID（2）賬號保護：防范撞庫攻擊、暴力破解、賬號盜號等惡意行為帶來的商業(yè)損失。營銷活動反欺詐方案（1）防羊毛黨：實時判斷設備真?zhèn)?，過濾機器注冊及重復領取行為，封堵推廣資金被“薅羊毛”，避免推廣資金被盜取。（2）裂變紅包防薅：識別裂變紅包營銷中的作弊行為，通過設ID鎖定背后的用戶，毫秒級鑒別機刷紅包及重復領取行為，只給有效用戶發(fā)放紅包福利。（3）虛假流量識別：提供準確的渠道效果監(jiān)測服務，毫秒級實App營銷推廣中的虛假流量。（4）渠道推廣反作弊：提供有效的渠道推廣反作弊服務，毫秒App營銷推廣中的虛假流量。（5）反作弊驗證：實時驗證移動運營推廣中的數(shù)據(jù)質量，基于網(wǎng)絡安全/提供風控方案（1）數(shù)據(jù)防爬蟲：高效識別并及時遏止搜索場景中被爬蟲盜取內容或數(shù)據(jù)的行為，保護商業(yè)敏感數(shù)據(jù)，減少企業(yè)運營風險。root（3）校驗識別偽基站：保護短信通道安全，防范短信接口被惡意調用、濫用帶來的利益損失?；ヂ?lián)網(wǎng)金融反欺詐方案（1）欺詐黑名單：基于用戶歷史互金行為和風險規(guī)則分析來識別和定義黑名單。歷史互金行為數(shù)據(jù)由互聯(lián)網(wǎng)金融企業(yè)采集，并由第（2）地理位置驗真：移動大數(shù)據(jù)服務機構可以根據(jù)用戶上報的GPS、WiFi、基站信息，篩選最近三個月內工作時間和休息時間最常POI信息也可以判斷出用戶差旅行風險識別和金融授信。（3l 設備網(wǎng)絡關系指數(shù)n 手機應用穩(wěn)定使用特征n 換機換號行為特征l 金融借貸行為因子n 小額貸款，個人小額貸款類應用的使用時長、使用時間、頻度等，綜合計算得出的強度指數(shù)。n n 信用卡套現(xiàn)、信用卡貸款類應用的使用時長、使用時間、頻度等，綜合計算得出的強度指數(shù)。l 生活服務行為因子nnn l 金融支付行為因子nn四、反欺詐的技術與效果評估反欺詐技術體系架構整體流程如下圖：圖16反欺詐技術流程體系客戶端需要嵌入設備風險SDK，在客戶啟動階段調用反欺詐私有云，在注冊、登錄等業(yè)務行為事件再調用反欺詐云，詳細流程如下：（1）設備啟動階段l 客戶端上報設備數(shù)據(jù)到反欺詐云l ID，并計算設備畫像特征（2）業(yè)務事件階段l 發(fā)送業(yè)務請求參數(shù)（ID）到業(yè)務服務端l 業(yè)務服務端發(fā)送請求參數(shù)（ID）到反欺詐云l 反欺詐云返回判斷結果給業(yè)務服務端l 業(yè)務服務端根據(jù)結果給出處置建議，并返回客戶端圖17反欺詐云架構每個層的功能如下：接入層HTTPJSON格式。業(yè)務邏輯層決策層決策層包括決策引擎（AE，加載策略集合，根據(jù)輸入和基礎引擎的結果進行判決，給出最后的判定結果?；A引擎層（1）行為模型服務監(jiān)督學習模型包括：LR、SVM、GBDT、RandomForest深度學習模型，RNN，GAN非監(jiān)督學習模型主要是一些異常檢測模型：GMM通過在時間和地域上通過各個實體之間關系進行團伙挖掘（2）名單服務名單服務提供配置黑白名單的功能，包括設備、IP、賬號等黑白名單。（3）實時統(tǒng)計服務（4）實時畫像服務根據(jù)配置相關畫像變量，進行實時計算。模型數(shù)據(jù)層提供相關模型和數(shù)據(jù)，模型包括惡意注冊模型、撞庫登錄模型、基礎平臺層數(shù)據(jù)平臺層主要包括大數(shù)據(jù)分析和建模平臺，具體包括Hadoop、Spark、Elasticsearch、Tensorflow。用于模型訓練和數(shù)據(jù)分析。管理層包括具體規(guī)則數(shù)據(jù)管理、系統(tǒng)監(jiān)控等。反欺詐技術詳解反欺詐情報體系黑灰產情報數(shù)據(jù)收集：通過對黑灰產的溝通渠道、交易平臺、報數(shù)據(jù)；b.設備指紋技術設備指紋主要有五個方面的作用：圖18設備指紋的作用（1）設備的有效性（模擬器原AndroidApp用的，開發(fā)人員可以通過不AndroidAndroid戲可能暫時只在Android平臺上線了而用戶又沒有Android的設備， 圖19虛擬機示例App對新用戶發(fā)放優(yōu)惠券，但一個設備只允許領取一次，如果黑產想要獲取大量的優(yōu)惠券，就需要搞定大量的設備，而虛擬機能以較低的成本為黑產提供無限量的設備。（2）設備屬性檢測檢測設備屬性是否異常，原始屬性是否被篡改。AndroidIMEIIMSIAndroidIDMACGPScpu息等。從原理上講，AndroidAPI的信息都可以被篡改。與AndroidiOSIDFAIDFVUUIDMAC地址等信息。篡改一般情況下需要root手機，此外有可能還需要安裝特定的框架，如Xposed。iOS的篡改需要越獄。圖20安卓和蘋果設備信息篡改示例Android008Czero器等，iOSNZT（3）作弊環(huán)境檢測APP等。l 多開軟件多開原意是幫助用戶實現(xiàn)一機多號，例如有多個微信號的用戶，可以利用多開App同時登錄多個微信號。目前市面上的多開軟件多達數(shù)十上百款，部分手機rom中還自帶多開的功能。圖21多開軟件示例來發(fā)送引流文字、圖片，減少了切換賬號的麻煩。Android市面上的多開有兩種形式。第一種的代表是“多開分身”Apppp“平行空間”或“雙開助手”App多開不需要AppAppApp即可。但不管形式是怎樣，其原理類似。l VPNVPNVPNVPNIPIP下作惡，很容易VPNIPIPVPN。（4）環(huán)境變化檢測（5）擴展服務實時決策引擎（規(guī)則引擎）技術（1）功能設計指管理員平臺應該能夠配置的功能(或者至少能夠通過命令行工具配置，無需升級實時決策引擎)，它需要表達目前已有規(guī)則使用情況。（2）策略動態(tài)配置13類需求，組織2有評論文本過濾、注冊保護2類需求。它們可能會形（表格15(組織1，評論)就構成了一個策略場景，其它場景類似。表5策略動態(tài)配置示例組織1組織2評論過濾策略Ａ策略Ｂ私信過濾策略Ｃ注冊保護策略Ｅ策略Ｆ（3）RETE算法RETE并行推理算法。10毫秒級別完成執(zhí)行。圖22RETE算法RETE算法可以對匹配階段進行高效實現(xiàn)，主要包括鑒別網(wǎng)絡和模式匹配過程兩個方面。具體介紹可參考附錄B。知識圖譜引入具有應用價值的互聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)，在數(shù)據(jù)的基礎上，進行機器學習建模，形成賬號、設備、IP和歷史行為的黑產知識圖譜。當用戶訪問電渠系統(tǒng)時，基于黑產知識圖譜，對用戶身份進行風險防控。黑產知識圖譜如下所示：圖23知識圖譜示例其中包含手機號、IP、物理位置等多維度數(shù)據(jù)。n手機號碼維度電渠的用戶行為信息主要來源于訂單、訪問、支付等業(yè)務數(shù)據(jù)。nIP維度用戶訪問電子渠道系統(tǒng)，所有的網(wǎng)絡請求都會帶有IP信息，因此天然的成為訪問者的身份標識。雖然IP地址極容易通過技術手段進行篡改，ip數(shù)據(jù)的真實性難以界定，但是由于移動用戶的特殊性，識別用戶IP成為用戶身份反欺詐的主要依據(jù)。n地理信息維度GPS定位或者基站定位的定位技術來獲取手機或終端用戶的位置信息（經(jīng)緯度坐標，在電子地圖上標出被IP黑產知識圖譜的測試流程如下：圖24黑產知識圖譜建模有監(jiān)督機器學習技術使用基礎事實完成的,需要大量的有標簽數(shù)據(jù)來訓練模型，或者換句習一個函數(shù)，該函數(shù)在給定樣本數(shù)據(jù)和期望輸出的情況下，最接近于10000個帖子已經(jīng)由人工確認過黑產廣告文章輸詞的識別等各種分析方法，找到了其中的內在關系，但卻難以說明。舉例：70%的可能性是黑產廣告；80%的可能性是黑產廣告；內容里有“請加微信：xxxxxx60%的可能性是黑產廣告；20085%的可能性是黑產廣告；10%70%的可能性是黑產廣告；這里，百分比被稱為權重。80%的可能性是垃圾郵件。有監(jiān)督學習的好處也十分明顯，它可以幫我們分析隱層關系。無需知道有監(jiān)督學習的隱藏關系，每一個子項被賦予了多少權重，直接有監(jiān)督也有一個明顯的弊端，每一個模型都需要大量的訓練數(shù)據(jù)，訓練一個模型也需要較長的時間。常常出現(xiàn)你的模型還沒有訓練好，欺詐分子們就可能已經(jīng)完成欺詐活動尋找下一個目標了。無監(jiān)督機器學習技術k圖25無監(jiān)督學習在反欺詐領域，無監(jiān)督無需任何訓練數(shù)據(jù)和標簽，通過發(fā)現(xiàn)用戶的共性行為，以及用戶和用戶的關系來檢測欺詐。3點-4root，操作系統(tǒng)版本一致，注冊了某產品，其IP的前19位相同，GPS定位小于1公里，且注冊實時畫像引擎技術圖26實時畫像數(shù)據(jù)流轉示意圖rootroot2個用戶不正常的概率又變高了；緊接著，這個用戶在我們appv$xy12-NLP實時畫像最主要的作用就是實時的沉淀與計算畫像。其具體實現(xiàn)的架構如下圖所示。圖27實時畫像架構圖實時統(tǒng)計引擎技術10100條相同疑似廣告內容，這個統(tǒng)計指標說明這個用戶很有可能是黑產廣告欺詐用戶。實時統(tǒng)計引擎具體架構如下：圖28實時統(tǒng)計引擎示意圖實時統(tǒng)計主要包括五個模塊：l l 務請求是否存在相關統(tǒng)計指標；l l 指標更新模塊：將計算的結果更新統(tǒng)計數(shù)據(jù)庫中；hashIDID是基于物理層和協(xié)議層信息，結合設備顯性標識，生成IDID不會隨設IMEIMACSNICCID全ID是不變的，相當于把每臺移動設備實名制了?？尚臝D有如下關鍵技術點：（1）移動應用虛擬執(zhí)行環(huán)境識別：ID的這一虛擬執(zhí)行環(huán)境識別的專利技術，正是要給予應用程序辨識其所處其（2）虛擬機/仿真器通用識別：ID移動設備唯一性甄別技術針對移動設備的硬件制定并實現(xiàn)了特別的探測與鑒定，能夠快速、準確地識別出虛擬機、仿真器。（3）移動設備硬件真?zhèn)巫R別：ID移動設備唯一性甄別技術可以對組成一臺真實移動設備的關鍵硬件信息進行采樣，并生成唯一編碼，即便有部分信息遭到惡意的修改，也能夠準確識別出其真實身份。（4）通過大數(shù)據(jù)分析移動應用安裝意圖：ID移動設備唯一性甄別技術同時也對網(wǎng)絡、安裝行為等數(shù)據(jù)進行了相應的分析監(jiān)控，用于監(jiān)測具有明顯刷量意圖的渠道或者行為。運營商業(yè)務風控系統(tǒng)運營商風控面向互聯(lián)網(wǎng)應用的業(yè)務風控系統(tǒng)，由黑產知識圖譜、風控決策、風險控制等模塊組成，可實現(xiàn)風險事前預警、風險的實時識別、攔截和事后溯源，形成風險的全鏈路管控。l黑產知識圖譜

圖29運營商業(yè)務風控系統(tǒng)包含設備指紋庫、黑產庫、惡意行為庫、歷史案件庫等。黑產知識圖譜的特性如下：設備指紋庫包含海量手機用戶設備指紋數(shù)據(jù)；?IP庫、大量已沉淀的惡意號碼；?歷史案例庫包含全國近幾年運營商風險案例；l風控決策風控決策的特性如下：業(yè)務處理能力低延時，在較短時間內處理實時請求，用戶無感知。Android、iOs、H5、WEB主流客戶端l風險控制風險控制的特性如下：?風險處理可以支持滑動驗證碼、短信挑戰(zhàn)碼、語音驗證碼等方式進行二次確認，可以根據(jù)不同業(yè)務場景進行風險處理配置。通信數(shù)據(jù)在風控中的應用（1）刻畫用戶通信畫像據(jù)工信部數(shù)據(jù)顯示，截止2019年2月份，我國手機用戶總數(shù)超15.6億，除去老人和嬰兒，手機的覆蓋率超100%。據(jù)此通信行為數(shù)據(jù)已成為個人日常行為的有效載體，分析通信數(shù)據(jù)、刻畫用戶通信畫（2）識別逾期風險

圖30通信大數(shù)據(jù)優(yōu)勢象類型（如催收通話、風險號碼等，隨著時間遷移通話行為的變化情期率用戶。（3）社群風險動態(tài)防范（4）協(xié)助風險定價及分析償還能力通信數(shù)據(jù)在垂直行業(yè)的探索通信大數(shù)據(jù)在行業(yè)的的反欺詐也有重要的應用價值和前景。目前，行業(yè)、醫(yī)療（社區(qū)醫(yī)療機構、康養(yǎng)機（888個細項內容，實現(xiàn)用戶通訊行為在金融領域的映射和信息對稱，更加直觀地為客戶畫像，有效地甄別目標客戶。反欺詐效果驗證與評估事前評估創(chuàng)建反欺詐事前評估流程，在涉及到欺詐行為的業(yè)務場景或者營銷活動前，先經(jīng)過反欺詐事前評估通過。具體操作如下：1、創(chuàng)建某業(yè)務反欺詐事前評估工單2、由風控人員進行反欺詐事前評估3、反欺詐評估未通過，反欺詐工單處理人進行措施建議，業(yè)務側進行修改。4、反欺詐評估通過后進行業(yè)務活動。在業(yè)務開展前，根據(jù)用戶風險情報庫進行反欺詐評估，使反欺詐評估更快捷。對業(yè)務的開展不造成時間上的滯后。同時，可建立初始用戶風險情報庫，在營銷活動的過程中不斷發(fā)每次營銷活動后，總結風險，深入分析風險，更新用戶風險情報庫。事中分析欺詐風險等級：極高風險；高級風險；中級風險；低級風險；無風險；在業(yè)務過程中，進行事中管控策略，建議以二次校驗為主，只對高風險行為進行阻斷。管控措施如下所示：表6風險控制與管控策略對應表風險等級建議管控策略風險場景4極高風險2.攔截阻斷如：在黑名單中、匹配多項高權重策略、機器學習模型評分較高等場景，直接阻斷。3高風險2.攔截阻斷匹配高風險策略，或者匹配多個中風險策略。2中風險1.二次校驗匹配多個低風險策略，或匹配中風險策略，且完全確定用戶行為是惡意行為，采用的管控措施為二次校驗。1低風險0.放行如：用戶通過代理訪問系統(tǒng)，只匹配單一低風險策略，采用的管控措施為直接放行。0無風險0.放行事后評估對反欺詐行為進行人工驗證，采取的驗證方式如下:圖31反欺詐效果評估體系為保證用戶免收攔截誤傷，定期對攔截的反欺詐行為進行效果驗證1、取被攔截的用戶進行定期驗證。2、人工進行欺詐行為數(shù)據(jù)分析驗證。3、判斷欺詐攔截行為的準確度。4、對不準確的欺詐行為攔截，進行反欺詐風險分析模型調整。5、對于精度不夠的反欺詐模型進行精度優(yōu)化。l事中分析的準確度占比l事中分析的誤傷數(shù)據(jù)占比l事中分析的遺漏反欺詐行為用戶占比移動數(shù)字金融與電子商務反欺詐白皮書移動數(shù)字金融與電子商務反欺詐白皮書PAGEPAGE83五、移動業(yè)務反欺詐的挑戰(zhàn)及展望反欺詐的困難和挑戰(zhàn)業(yè)務風險不確定性分散API風控效果不可判斷性高10005000認知盲區(qū)不認知性強黑灰產的快速迭代、精細分工、嚴密協(xié)作，使得其可利用新技術和資源進行攻擊。且攻擊手段完全在企業(yè)安全團隊的認知范圍之外。追求數(shù)據(jù)美觀不務實性多反欺詐未來展望加強技術升級優(yōu)化（1）優(yōu)化設備風險識別技術（2）優(yōu)化反欺詐模型AI（3）優(yōu)化全棧式實時反欺詐以保證黑產所有作惡路徑上的點都有布防，做到天網(wǎng)恢恢，疏而不漏。另一方面，反欺詐也不能成為事后諸葛亮，黑產已經(jīng)獲利了結