01-认识风控

对风控的理解/价值

如果把平台比做一棵树,那么需要足够多的养分才能使树茁壮成长;而业务风险则是充当寄生在树上窃取养分的角色;只有抵御这种风险,保持足够多的养分,才能使平台成长为参天大树——这就是风控存在的价值。

接入风控,意味着概率性阻挡用户操作,与其用户体验背道而驰;不接入风控,意味着存在下列风险,且不可控,一旦发生,对用户或平台都是不可逆的风险:

  • 薅羊毛:利用平台活动,赚取平台奖励;
  • 漏洞攻击:利用平台漏洞,窃取平台信息/财产;
  • DDos(分布式拒绝服务)攻击:这种网络攻击形式尝试用恶意流量淹没网站或网络资源,从而导致网站或网络资源无法正常运行;
  • 拖库:网站遭到入侵后,黑客窃取其数据库数据
  • 挂马:黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day,等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库“备份/恢复”或者上传漏洞获得一个webshell;
  • 黄牛党:票贩子;
  • 黑产资金:非法所得的资金;

那什么时候可以不使用风控?在非金融、非限定资源,亦或是对平台和用户不造成危害的场景下可以不使用风控,例如:美团外卖网站页面,最近上架电影浏览,股市股票价格列表。

账号安全、交易支付、营销推广、数据推广

风控处置原则

基本原则:轻管控、重检测、快响应。

  • 轻管控:出现风险时,需要阻断用户风险操作,阻断动作宜轻不宜重,能验证码校验就不禁访;
  • 重检测:动态分析用户产生的所有行为数据;
  • 快响应:检测出风险时,如何快速的阻挡操作;

风控的迭代版本

目前一共有三个版本:

  • 基于黑白名单的风控:策略人员根据过往记录找到敏感用户进行加白、拉黑;
  • 基于策略规则的风控:根据过往经验(恶意用户的共性)进行拦截——对过去进行分析;
  • 基于人工智能的风控:根据用户模型,对未来做预测拦截;

目前了解到的基于人工智能的风控:蚂蚁金服的风控

行业商业化风控:

  • 顶象
  • Forter
  • Cybersource

参考文献

  • 博客

你可能感兴趣的:(安全,前端,后端)