编辑导读：随着互联网的发展，诈骗手段也越来越高超，不少人都深受其害，因此更加凸显了反欺诈风控的重要性。本文将从数据的角度来讲反欺诈风险的存在和防控的方法，希望对你有帮助。

有时候也在想，为什么我们要做反欺诈风控，做这类风控的意义在哪里，对于没有风控经验的人，如果使其理解风险的存在以及控制的可能性。本文将从数据的角度来讲反欺诈风险的存在和防控的方法。风控最核心的要素是数据，要想通过数据驱动风控，且能够挖到背后的根本原因，需要有全面完整的数据分析思维框架。

作为风控人员，一般遇到的工作场景有两类：

一、发现风险

黑产为了骗取平台的利益并将其最大化，通常使用相关作案工具，比如模拟器、云手机等模拟正常用户行为，以便绕过风控平台的监测，因此为了更精准快速地识别数据里的异常，需要有一套分析流程和框架，笔者根据自己的工作经验，通常通过自建的风控指标体系，并辅助监控体系来实现这一目的。

1. 风控指标体系

与数据分析同行类似，风控的指标体系也需要反映出：发生了什么？为什么发生？如果持续这样下去会发生什么？以及我们能做什么？但因为具体业务场景不同，无法像正常同行给出具体诸如DAU、GMV、ROI这么一个统一的标准，不过可按照主次分为一级、二级和三级三类指标。一级指标：指的是对业务指标产生最直接最核心影响里的风控指标，且通过其数据的变化可下钻挖掘根本原因或预测未来发展趋势。一级指标通常是最精炼的，一般在1～3个以内，且最好也能直接对业务产生关联，笔者目前使用的是关乎风控质和量的两个指标：准确率、关联核心业务的量级占比指标，前者是质，后者是量，因为涉及具体业务，此处量级不便明说。

二级指标：指的是最直接导致一级指标变化的度量，且其自身也包含很丰富、可下钻挖掘的信息，通过对其分析可确定研究或者调查方向。二级指标通常维持在3-5个左右，笔者目前使用的维度是各类决策结果命中率、场景、渠道以及规则id。这四类指标都直接对一级指标产生核心影响，通过对其数据变化的监控可以快速定位风险问题。

三级指标：指的是在发生风险问题是，可以直接定位到问题所在点的度量。三级指标一般不可继续下钻，不过可以直接反映出用户行为特征，给业务带来什么样的结果。三级指标的种类比较丰富，包含基础数据、行为数据、设备指纹数据等等，通过分析它们直接的变化可直接定位风险发生在的具体特征，比如具体的业务子线、用户类别、操作环境等等。

2. 监控体系

因为风控在明，黑产在暗，无法做到实时投入人力做相关的分析和排查，因此需要完善有效的监控体系辅以完成：也就是不仅需要纳入上述指标，并且还需要及时预警。笔者目前通过两种方式完成：自动化预警通道：通过对历史存量数据建模，达到对未来流量数值的波动预测，并通过邮件、短信、电话等载体方式预警给运营人员。笔者目前主要针对总流量、一级指标、部分二级指标做相关的自动化预警。

人工预警通道：由于自动化预警需要基于历史存量数据进行预测，对于刚刚上线或者尚无规律可循的业务流量，则需要通过人工预警通道加以实现。笔者目前主要通过风控相关产品的接口来实现上报，上班的时效也是准实时的。

此外，风控大盘也是监控体系里的一个核心工具，大盘可将上述指标可视化，通过实时数据的线上监控，达到快速响应的效果，笔者目前的大盘内容大致可分为三个领域：

3. 数据质量

由于业务线多而杂，容易导致数据质量参差不齐，从而引发风控指标的变化幅度很大，因此，大盘需展示对各个基础维度的数据质量监控，比如用户基础数据、行为数据、设备指纹数据是否存在空值。

4. 指标

通过与上下游数据做对比、与同时间范围内的其他维度数据进行细分比较、或者按照时间维度做趋势展示，让运营人员对各类指标的变化一目了然。

5. 系统性能

通过对各个业务线的调用时长、规则策略的报错数量的展示，及时发现影响基础性能的指标变动。

二、解决风险

通常到了这一步就是如何去防控风险的操作了，与日常的数据分析一样，主要也是利用分析思维解决是什么风险以及如何处置的问题。网上有多种数据分析的方法，此篇不做赘述，主就思维来简要总结一下。前面在发现问题上主要是发现异常值或者拐点，也就是通过数据挖掘发现风控问题，在找到问题点以后，思路就到了如何配置规则策略来防控，笔者目前的经验如下：

1. 熟悉每一个指标，包括其指标的各项基础统计属性数值

每个指标都是可量化的，通过了解其基础统计指标值，比如均值、众数、中位数、最大值、最小值等，可掌握数据基本特征，这些基本特征就是挖掘风控异常特征的基石。因为风控需要挖掘出异常用户，因此通过分析当前指标数据特征，并辅以对比性分析、分组分析、聚类分析等多种方法，可挖掘出异常用户。

2. 熟悉每个特征背后的风控和业务意义

每次欺诈类风险产生的背后都包含了具体的某个业务以及黑产对应的攻击方式，了解业务才知道防控/对抗的策略侧重点在哪里，通过指标的层级分析，定位了到了具体风险特征，策略才有方向所指。举个具体的实例：如果发现注册环节有大量同IP多账号的特征，如果此刻业务又有拉新送礼包的活动，那说明此刻存在批量注册的风险，如果还发现这批用户有虚拟号码的特征，则说明大概率是被羊毛党做了批量脚本注册了。因此在策略方面就需要多考虑几个与羊毛党相关的规则策略来识别。以上只是一个大概思路，因为对抗的频率和风险特征反复无序，因此在发现问题和解决问题这两个大的节点上，其实还需要熟练的数据分析操作和快速应变的方法，其捷径就是多参与对抗、多积累经验、多掌握数据分析的各类技巧和方法。

作者：小玛，某金融公司风控分析师一枚;专注风控多年，持续更新风控系列文章;“数据人创作者联盟”成员

本文由@一个数据人的自留地 原创发布于人人都是产品经理。未经许可，禁止转载

题图来自pexels，基于CC0协议