决策引擎系统 && 实时指标计算 && 风险态势感知系统 && 风险数据名单体系 && 欺诈情报体系

本文介绍了风控反欺诈体系的构建方法,包括实时指标计算、风险态势感知系统、基于统计分析、无监督学习及欺诈情报的方法。此外,还探讨了预警系统的构建及情报分析技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实时指标计算

首先,大致上都有哪些场景。

  • 设备上登录 过多的账户
  • 1 天内设备上登录的账户过多
  • 设备使用 HTTP 代理登录
  • 设备某段时间的移动距 离、账号某段时间范围内的活跃天数等(累计

在风控反欺诈业务中,专家规则和模型都需要使用到大量的指标,常见类型如表所示。
在这里插入图片描述

指标计算可以抽象总结出以下几个固有特征:

  1. 时间窗口
  2. 事件
  3. 主属性
  4. 副属性
  5. 计算逻辑

在这里插入图片描述

风险态势感知系统

通过风控系统,我们可以综合利用风险数据名单、专家规则和机器学习模型等方法,对已知的风险类型进行防控。但是’该系统仍面临以下几个方面的挑战:

  • 专家的水平差异性
  • 运营人员操作风险
  • 产品和系统 Bug

从上面的综述可以看出反欺诈体系建设中的风险预警的重要性:如何快速发现现有风控系统的防御盲区,预警随着线上己经逐渐失效的防控策略,从实际对抗效果出发促进风控系统不断完善

我们引入 态势感知的概念 来解决这类问题态势感知源于军事,覆盖感知、理解和预测 3个层次。在业务安全领域中,风险态势感知是以安全大数据为基础,从全局视角提升对业务安全威胁的发现识别、理解分析和处置响应的一种方式。

风险态势感知系统的方法主要有基于 统计分析的方法、基于半监督、无监督算法的聚类方法和基于业务情报的方法。这些分析方法基于以下几个前提:

  • 正常业务具有连续性和稳定性’异常事件具有波动性。
  • 常用户总是表现出分布离散性,黑产总是表现出聚集性。

在这里插入图片描述

基于统计分析的方法

基于统计分析的方法,核心的统计数据主要包括以下两大类:

  • 核心风险事件数据:主要指风控系统中产生的数据,包括实时决策系统的入参、 出参、中间计算结果、决策结果等。
  • 核心业务数据:主要指业务自身的核心数据指标’和具体业务场景相关’如电 商、O2O、直播等各不相同。

核心风控指标数据

  • 调用量
  • 人申率
  • PSI:PSI即风险分布情况
  • 字段获取率

核心业务数据

在这里插入图片描述

基于无监督学习的方法

有监督学习需要给样本数据打标,而无监督学习方法可以对大量未标注的数据集按照数据内部存在的数据特征划分为多个不同的类别

因为每一个个体的行为都比较独立,如果把平台上账号的行为进行归类,则会发现普通用户的行为比较分散,而团伙的行为会形成异常的聚集点。通过这个思路,使用无监督学习方法可以有效地发现未知的欺诈的团伙。

无监督学习方法的步骤—般包括 特征抽取、建立连通图、群组聚类等。

基于欺诈情报的方法

当业务系统发生业务漏洞,无法防控黑,被黑产利用时,黑产往往会通过论坛、 社交网站、社交软件等方式进行讨论和分享。业务情报系统捕获这些情报信息之后,提 取业务场景、漏洞类型、攻击手法等信息。这时及时通知对应的策略运营人员,策略运营人员可以快速进行业务确认,并上线新的策略进行防控。

预警系统

在这里插入图片描述

风险数据名单体系(名单库)

欺诈情报体系

对于黑产情报的采集,—般通过卧底黑产网络、监控黑产论坛等方式进行。普通的信息采集工作会通过各种IM聊天机器人等自动化的工具实现,而深入追踪黑产网络则需要通过人工运营实现。

欺诈情报分为三大类 :数据情报、技术情报 和 事件情报,下面分别进行介绍。

数据情报

数据情报指的是能够沉淀手机号、IP、设备及邮箱账号等黑产名单数据的情报信息。这类情报对互联网平台是具有价值的情报’可以进行直接使用,快速打击黑产为平台止损。
在这里插入图片描述

技术情报

技术情报指的是针对某一种欺诈技术的详细信息,包括原理、用途、危害等。互联 网企业和黑产的对抗,在某种程度上就是_个推动技术发展的过程’黑产的攻击往往促使互联网平台研发和运用新的技术,不断更新自身的技术体系。
在这里插入图片描述
在这里插入图片描述

事件情报

情报体系捕获的某欺诈事件即将发生、正在发生或已经发生过的信息均可称为事件情报。事件情报可用于预警即将发生的风险事件、阻断正在发生的风险事件和事后溯源 已经发生过的风险。

在这里插入图片描述

情报分析

在这里插入图片描述

  • 相似度算法去重

在这里插入图片描述

### 威胁态势感知平台的定义和功能 #### 定义 威胁态势感知平台是一种综合性的网络安全解决方案,旨在通过对网络中的各种数据源进行全面采集、分析和处理,从而实现对潜在威胁的实时监测、预警以及响应。这种平台不仅关注单一节点的安全状况,更注重整体网络环境的风险评估与防控[^1]。 #### 主要功能 - **资产感知**:这是态势感知的基础工作之一,涉及识别并记录网络内的所有硬件设备、软件应用程序及相关组件的信息,如版本号、负责人等详情。只有清晰掌握这些基本信息,才能更好地规划后续防护措施[^1]。 - **威胁识别与线索关联**:通过强大的数据分析引擎,该模块可以从海量信息中筛选出异常行为或可疑活动,并进一步追踪其背后隐藏的关系链路,揭示可能存在的恶意企图及其传播路径[^2]。 - **模式识别**:运用统计学原理和技术算法(例如特征工程、聚类分析及分类预测),从过往案例库或者现有流量样本里提炼规律模型,提前预判新型攻击手法的可能性趋势[^4]。 --- ### 平台特点 1. **全局视角**:区别于传统的局部防御体系,现代威胁态势感知平台强调跨域协作,力求覆盖企业内外部各个层面的数据交互过程,形成全方位立体化的监视网。 2. **智能化决策支持**:借助人工智能技术和大数据挖掘工具,不断提升自动化程度,在面对突发情况时能够迅速做出反应,减少人为干预延迟所带来的损失风险。 3. **灵活扩展性强**:随着业务规模扩大和技术进步更新迭代速度加快,优秀的威胁态势感知方案应具备良好的兼容性和适应性,便于新增插件集成或是调整参数配置以满足不同场景需求变化。 --- ### 技术架构概览 典型的威胁态势感知系统通常采用分层结构设计思路,主要包括以下几个关键组成部分: 1. **数据收集层** - 支持多种协议接口对接第三方日志管理系统或其他安全设施输出的结果集导入;同时也负责主动扫描探测未知区域是否存在安全隐患信号捕捉任务执行。 2. **存储管理层** - 提供高效可靠的分布式文件系统用来长期保存累积下来的庞杂资料集合体,同时配合索引加速检索效率提升查询性能表现优异。 3. **计算分析层** - 利用高性能集群运算资源池完成复杂的数学建模训练过程以及即时在线推断推理动作触发条件判断等工作负载分配合理安排。 4. **可视化呈现层** - 将抽象难懂的技术指标转换成直观易读图表图形界面展示给最终用户查看理解现状形势发展动态走向更加明了清楚明白无误。 ```python # 示例代码片段演示简单版威胁评分计算逻辑 (Python 实现) def calculate_threat_score(event_data): base_weight = {'login_failure': 5, 'malware_detected': 10} total_score = sum([base_weight.get(e['type'], 0)*e['count'] for e in event_data]) return round(total_score / max(len(event_data), 1)) sample_events = [ {"type": "login_failure", "count": 3}, {"type": "malware_detected", "count": 1} ] threat_level = calculate_threat_score(sample_events) print(f"Calculated Threat Level: {threat_level}") ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值