风控策略模型的设计深思
2023-11-21 07:32:52 Author: 小道安全(查看原文) 阅读量:2 收藏

什么是风控策略和模型

要认识风控策略和模型,首先了解什么是风险?

风险指的是未来结果的不确定性或损失,换句话说,风险就是不确定性,而不确定性可能造成损失。从具体表现来看,风险分为狭义风险和广义风险:狭义风险表现为损失的不确定性,说明风险只能表现出损失,没有从风险中获利的可能性;广义风险表现为成本或代价的不确定性,最终的风险结果会出现损失、盈利和盈亏平衡三种可能。

来自书:智能风控平台-架构、设计与实现

如何对风险进行发现监控、干预拦截、止损等应对方案,就是风控策略和模型需要做的事。风控策略是直接对风险进行识别和干预的各种逻辑组合,需要通过对业务的理解,从业务流程和数据中去挖掘异常阻断异常,策略要直接简单高效的方案。而风控模型是采用更为复杂的方法对各类数据进行分析,提取出风险因素,用于策略设计,模型方法一般包括统计学习、机器学习、深度学习、图挖掘、最优化方法等,需针对不同数据内容采用对应的模型识别方案。

风险本身大多数情况下都是不确定,且和业务内容深度绑定,就算是同样做信贷产品,由于团队本身的研发水平、数据内容、产品形态、投放响应客群及市场等不同,也会使得风险的程度类型有很大差异。而各个团队对风险的投入都是有限的,不可能穷尽全部都风险点,所以如何平衡成本和收益,用更少的投入收获更大的效益,是风控从业人员也需要去思考的。

在风控策略和模型研发方向,会有一些偏通用基础的方法论可以去应用,可更快速的提升对风控策略模型的理解,使得在风控的投入收益上能更有效,也对个人成长有很大帮助。大部分的风险类型从发现及解决的方向上是一致的,但是各个产品和团队的风险都是一种定制化专有化的事件,不能全部采用一套解决方案,需根据产品形态、客群规模、成本投入等来因地制宜的设计方案。

怎么做好风控策略

风控策略关键点是在对风险的识别,最核心的立足点就是“异常”,包括行为、关系、内容、账号等等角度来思考,但是在做风控策略时,也不能完全排除有正常用户可能出现这类异常行为,所以还需要做一些如免疫策略,来提升保证策略的质量。

安全策略的每一次拦截干预都是有成本在的,拦错了就是对用户和平台的损伤。而一般情况下的风控干预都是偏保护性居多,所以还需要对风险进行分层归类,再结合产品体验设计差异化的干预手段。最终就可形成了体系化的风控策略方案。

所以结合上述策略思路,可以对风控策略的设计思路总结为:异常、多维度、分层、归类、免疫、关联、质量、体系化等8个方面。如果能真正把这几个点都做到,策略的收益比绝对不会低。如果把每个点都做好,那肯定是质量非常高的风控策略。

异常识别思路:首先找突变、不一致:如操作次数突变、交易金额突变、时间段不一致、行为时序上下文不一致、孤立点、非常用习惯、非常用地、明显聚集行为等;其他异常,可称为非常规:新账号、新模式、空数据、错数据、错逻辑、高风险场景等;

而对一些非常明显的已有过的恶意,需要更严格的管理,但是这里需要注意对黑转白转灰的做免疫保护,黑历史名单:黑账号、黑设备、黑词库、黑地址、以及多次拦截干预等。黑名单最好做成实时特征,能更有效防止历史做恶。

多维度的思考:首先要区分出可用及可以建设的特征维度,可从离线更复杂更长后期的挖掘:周期(天/月/年等)统计、交叉挖掘、复杂建模等;实时特征偏切片和短周期挖掘:基础统计、多维标记、前后关联等;而特征通常是无穷的,对于安全则需要思考是否识别维度够全面,通常可以考虑这几个方向:账号、行为、内容、关系、风险标识等。

策略分层思路:对于数据需要做排序,分别对头部、长尾、中位、热门、众数等几个维度都做风险客群和行为的分析;结合多维度异常设计出不同程度的风险等级:高中低、评级、评分、纯黑等;对不同风险等级要做差异化的干预体验:拦截、加验、解脱、提醒、教育、延时结算(防止批量薅羊毛)、梯度化处罚规则等。

异常归类思想:可根据风控场景分为,恶意:欺诈、赌博、涉黄、病毒、攻击、涉政、违规、多头等;灰色:羊毛党、养号、刷量、套现、团伙行为等;正常:优质、真人、活动突变(双11等)、测试(少量客群异常)、常用操作等。

免疫思路:对正常的客群和行为需要做保护,一般可信也需要从多个维度去设置:账号、行为、内容、关系、用户反馈等。

关联思想:关联挖掘在风控领域是非常核心的技术,其应用不仅仅是干预策略,还包括贷后失联修复、态势感知等多个场景。一般的分析方法:扩散、团伙挖掘、聚类分析、图谱分析、GNN、融合模型、关联结果评价等;应用方向有:风险、保护、监控、补充、修复等;可根据场景匹配差异化的方法。实时策略更偏向简单有效的关联分析,而离线关联可更复杂的挖掘。

策略质量思考:质量是对策略有效的关键思考,没有质量的策略那基本就是胡来。要做到高质量策略,就需要考虑解释性,可从有异常、及提供证据链(内容、模式、特征、融合)来考虑;还可观察策略的稳定性:监控、阻断、平稳、有效等防止大规模的误伤和漏过;最关键的是对收益的思考,如成本付出比低收益高的先上策略、高优先级场景先治理、对头部风险先治理等。

体系化思考:体系化是策略最终都需要实现的目标,建立多种策略平台:决策引擎、分析平台、监控平台、运营平台、实验平台等;全链路的方案:事前、事中、事后,做到闭环思考;最终就是效能的提升:时效性应对黑产的快对抗攻击、有效性防风险的大规模爆发、工具化使得整个团队具备更强的能力,而不依赖于个人经验能力。

如何设计风控模型

风控模型的建设和传统的机器学习模型建设方法流程基本一致,但风控模型对精准度、细节度的要求更高。

一般的风控模型建设流程可分为:目标定义、数据分析、特征挖掘、样本挖掘、方案选型、模型建设、模型部署、效果评价迭代、建模流程的平台化体系化。

最关键的是建模目标的确定,首先要清楚知道你应用的场景是信贷、欺诈、业安、内容、行为异常等;还有确定模型的应用时机和要求,就是约束条件有哪些:时效、精度、覆盖、解释等,有的场景提出模型百分百准确,那基本是做不到的,这个直接就可定性仅靠模型是无法实现,想其他综合的方法;再来看建模的目的:提升效果、解决问题、研究探索、替换规则、提升效率等。

需要明确的是模型是无法完全替代掉策略的,模型策略各自有各自的价值和侧重点,曾见过有的领导误入歧途,非要用模型去替换掉策略,还要减少策略人员,这个思路肯定是不对的。但大部分安全策略的管理者,是不重视模型研发,觉得策略一两天能搞定,模型一个月都出不了效果,还会用策略思维去管理模型,这个逻辑也是不对的,模型到底适合做什么,估计没有几个做风控的同学能想清楚。所以要分别在不同的场景,去匹配更合适的技术方案。

能做出一个在风控场景真正有效的模型,且能应对快速的黑产攻击对抗变化,是不容易的。毕竟模型迭代研发比策略耗时太多,所以复杂模型的使用场景,按照个人经验看不建议在实时策略中去做复杂的模型。但可以从账号层面(用户及企业的评级评分)、内容层面(色情、低俗等识别)去尝试更复杂的模型。模型在实时和离线场景,也要有轻有重的区分,实时的模型不建议太复杂,不然整个解释性和稳定性都比较难实现,除非你们有一个非常强的工程团队来支持。

风控研发基础能力

风控研发能力要求,一般可分为基础技术和业务理解两个角度。这两个角度也可应用在大多数的产品研发能力要求,包括推荐、搜索、广告等。没有技术和业务的双重理解,是很难把业务做的更好。

基础技术 技术点有哪些?

数据分析基础能力,SQL / 数据处理;python/scala-大数据分析;理论方法;可视化报告;

后台开发:编程技术,基础计算机知识、C++/java/python等编码能力;后台知识,liunx操作、微服务架构、服务开发;

机器学习建模,分类聚类、时序模型、图模型等,对内容分析挖掘,图像、语音、nlp算法等;

风控知识:领域知识认知,风控本质、提前预防、数据全面、闭环思维等;信贷类,风控场景的理解,贷前贷中贷后风控,风险类型理解:欺诈、套现、多头、违约、合规等;业务安全类,全场景全链路体系化解决风险,策略配合差异化体验、产品能力真正解决问题;金融投资,收益回撤预估、风险防范、长期or短期、价值理论等。

业务理解 知识点有哪些?

业务理解:业务逻辑,对本产品认知、同行产品认知;

业务风险:产品基础业务风险有哪些?局部异常、全局风险?对外风险,政策合规、合作风险、关联影响等;对内风险,团队内,该不该做,做了有什么后果?安全是不出事,就没什么风险,一出事就先背锅再解决。

合作链路:业务开发,其只负责功能,数据策略要自己验证;业务产品,只在有风险爆发才想起你,无风险不会想起你,客服,人力有限,能少干就少干;数仓数平人员,平台服务不稳定,要储备更多能力解决问题等;安全组委会,敏感性、隐私如何保护?缺失数据怎么办?

业务分层:重点业务,要比产品还了解业务;一般业务,提供基础能力;稳定非重点或下线,重点审计、建设告警。

风控闭环思维

风控策略和模型是无法真正解决全部的安全问题,或者说互联网的任何事任何问题,都不是仅仅靠技术能解决的。

在安全风控研发领域,建议考虑做到3个闭环,基本上能解决到绝大多数的安全问题。

首先产品安全本身的闭环:业务产品要负责整个产品的逻辑安全;安全策略重点做前中后的风险防范;最终还需要多方对安全进行审计、质量评价反馈,及时调整策略逻辑。

策略闭环:对查杀验做到闭环,且不能耦合要各自独立;查:多层异常检测,多种风控模型,全面覆盖识别更多恶意;杀:根据产品/场景定制输出风险等级,打击结果;精准识别打击恶意;验:通过对比/业务运营等,综合评估监控查杀模型准召率,及时反馈业务效果价值。

技术闭环:从效率、深度、时效上做到技术的平衡,在数据研发领域的真理:平台决定下限,数据决定上限,策略算法逼近上限。

风控策略设计实践

如何有效设计出一个可靠的风控策略逻辑,这里以信贷准入、登陆风险监测来举例说明。

风控目标:信贷准入是为了控制违约、提升收益;安全是保障基础账号安全;

异常维度:信贷包括欺诈、多头、聚集、违约等风险;登陆异常包括,非常用环境、异地、共用等

风控模型:信贷侧重准入评分卡、欺诈模型;登陆异常侧重,实时异常分类、聚集异常;

风控策略,信贷可做黑白名单、风险分级等;而登陆异常是行为检测,更多的是区分单次操作的被盗高风险、异常中低风险;

免疫方案:信贷可做账号级、行为级免疫;而登陆被盗是所有账号都可能发生,更多从行为关系为度,如常用环境、常用习惯等来设计;

差异体验:信贷有更多差异手段拦截、差异定价定额;登陆可设计拦截、二次加验不同的体验;

体系化方案:信贷准入及事中事后联动、模型及决策平台;登陆及业务场景联动、产品和安全策略配合;

技术方案:信贷准入更重模型、重分析、轻策略;基础技术知识点有,SQL、Python、大数据、建模;登陆场景风控,重策略、重实时、轻模型;基础技术知识点为,C++/Java、Python、SQL;

不同业务场景的风控方案,在各个细节上都可能有所差异,需要从业人员非常细致的去完成在其领域内的方案设计和系统实现。

风控如何成长

风控领域知识是需要持续不断学习,随着技术进步和环境、产品形态、产品规模阶段的改变,风险都会随时发生变化。没有永远的专家,只有过时的对抗策略和技术。

风控是一门非常广、且时刻在变化的行业;今年黑产或者欺诈用各种自动化软件来攻击、明年可能去偏远地区收集身份证人肉攻击;今天产品的A接口漏洞、明天产品的B接口出现漏洞。随着技术和业务的发展,对抗攻击的方法都需要不断改良进步。所以从事这个行业除了不断积累对抗经验,还需要不断学习。

风控领域4+3学习成长法:分为4项基础能力(偏向技术研发方向),和3项专业能力(偏向对领域业务深入理解);供从业同学参考。

原文链接

https://www.zhihu.com/question/61383688/answer/3278094225 

结束

 【推荐阅读】

恶意样本和威胁情报资源的分享

浅谈系统安全的攻击者

浅谈网络钓鱼技术


文章来源: http://mp.weixin.qq.com/s?__biz=MzUxODkyODE0Mg==&mid=2247490635&idx=1&sn=08395bcd7d1bbafa56cfc55ca8325da3&chksm=f9803e2acef7b73cf527cfbf757c1857fd1936ac3080a3c361a89efd6bde5c3db3e4f6a5b996&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh