对风控的理解/价值
如果把平台比做一棵树,那么需要足够多的养分才能使树茁壮成长;而业务风险则是充当寄生在树上窃取养分的角色;只有抵御这种风险,保持足够多的养分,才能使平台成长为参天大树------这就是风控存在的价值。
接入风控,意味着概率性阻挡用户操作,与其用户体验背道而驰;不接入风控,意味着存在下列风险,且不可控,一旦发生,对用户或平台都是不可逆的风险:
- 薅羊毛:利用平台活动,赚取平台奖励;
- 漏洞攻击:利用平台漏洞,窃取平台信息/财产;
- DDos(分布式拒绝服务)攻击:这种网络攻击形式尝试用恶意流量淹没网站或网络资源,从而导致网站或网络资源无法正常运行;
- 拖库:网站遭到入侵后,黑客窃取其数据库数据
- 挂马:黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day,等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库"备份/恢复"或者上传漏洞获得一个webshell;
- 黄牛党:票贩子;
- 黑产资金:非法所得的资金;
那什么时候可以不使用风控?在非金融、非限定资源,亦或是对平台和用户不造成危害的场景下可以不使用风控,例如:美团外卖网站页面,最近上架电影浏览,股市股票价格列表。
账号安全、交易支付、营销推广、数据推广
风控处置原则
基本原则:轻管控、重检测、快响应。
- 轻管控:出现风险时,需要阻断用户风险操作,阻断动作宜轻不宜重,能验证码校验就不禁访;
- 重检测:动态分析用户产生的所有行为数据;
- 快响应:检测出风险时,如何快速的阻挡操作;
风控的迭代版本
目前一共有三个版本:
- 基于黑白名单的风控:策略人员根据过往记录找到敏感用户进行加白、拉黑;
- 基于策略规则的风控:根据过往经验(恶意用户的共性)进行拦截------对过去进行分析;
- 基于人工智能的风控:根据用户模型,对未来做预测拦截;
目前了解到的基于人工智能的风控:蚂蚁金服的风控