搭建风控系统道路上踩过的坑02-风险分析 | 一个CPO的心得分享

上一章《搭建风控系统道路上踩过的坑01--信息采集》咱们介绍了第一点，如何去获取足够多的数据，而接下来的事情就是要建立一个机制去灵活的处理这些信息，为自动分析捕捉风险事件提供基础原料，进而借助规则引擎从中分析出风险事件。

在开始前，咱们仍是回顾下业务风控主要作四件事：

一、拿到足够多的数据
二、作足够灵活的分析平台去分析数据
三、产出风险事件进行阻拦风险
四、量化风险拦截的价值和不断分析案例进行策略优化

接下来，一样的有三件事情须要考虑：

1、让分析人员能够快速的查询原始日志

日志并非简单的存下来，从风控分析的需求来看，经过IP、用户名、设备等维度在一个较长的跨度中搜索信息是很是高频的行为，同时还存在在特定类型日志，好比在订单日志或者支付日志中按特定条件搜索的需求。

而这些主要是为了可以让分析人员能够快速的还原风险CASE，例如从客服那边获得了一个被盗的案例，那么如今须要从日志中查询被盗时间段内这个用户作了什么，这个过程若是有一个界面能够去作查询，显然比让分析人员用grep在一大堆文件中查询要快的多，而且学习门槛也要低得多。

若是在日志作过标准化的前提下，也能够进行后续的业务语言转译，将晦涩难懂的日志字段转化为普通员工都能看得懂的业务语言，也能极大的提高分析师在还原CASE时阅读日志的速度。

2、实时或定时的计算加工消息成变量&档案

例如在分析某个账号被盗CASE的时候，每每须要把被盗期间登陆的IP地址和用户历史经常使用的IP地址进行比对，即便咱们如今能够快速的对原始日志进行查询，筛选一个用户的全部历史登陆IP并察看被盗IP在历史中出现的比例也是一个很是耗时的工做。

再好比咱们的风控引擎在自动判断用户当前登陆IP是否为经常使用IP时，若是每次都去原始日志里面查询聚合作计算也是一个很是“贵”的行为。

那么，若是能预约义这些变量并提早计算好，就能为规则引擎和人工节省大量的时间了，而根据这些变量性质的不一样，采起的计算方式也是不一样的。不过还好咱们有一个标准能够去辨别：频繁、对时效敏感的利用实时计算（好比访问频率、时间间隔）；而相对不频繁、对时效不敏感的利用定时计算（好比用户的经常使用IP、设备，即便少算短时间内的登陆记录，也不会受到太大影响）。

3、选择规则引擎将人工策略自动运行

一个设计优雅的规则引擎是把分析师的经验决策和数据最终转化为风险输出的核心模块，首先说为何须要规则引擎而不是选择硬编码逻辑——

笔者无数次遇到过这种场景，一个上午刚刚上线的策略，没过1个小时，攻击者或者欺诈者就已经试出绕过策略的方法了，若是你的风险控制逻辑是硬编码，那么恭喜你，再走一遍开发测试发布流程。

快速响应是安全的生命线，没法想象还有比被攻击者胖揍48小时而后才反应过来去挡脸更让人沮丧的事情了。

因此策略引擎必须能把策略逻辑从业务逻辑中解藕出来，让防护者能够灵活配置规则在静默模式下验证和实时上线生效，并能够去随时调整。

相似的开源框架有不少，各有优劣，但若是须要下降学习曲线，必须进行一层包装（这里又是一个比较大的话题，就先略过了）。

坑位标注：

一、Sharding会影响到你的策略

为了支持并发和性能，一般在利用集群计算变量的时候咱们会用到sharding。

sharding方式会按IP把数据分配到不一样的运算单元中去处理，在读取结果的时候按IP去集群中的某台机器中去拿数据，以大幅提高并发处理读取计算结果的能力。

那么，如今若是我想去按某个USER去拿数据的时候，就会发现一个用户在不一样IP下的信息被保存在不一样的服务器上了，因此单一的Sharding分配确定是不合理的，这点必需要注意。

二、策略中用到的变量，能不用现场算的就不用

有些简易的策略引擎设计中用到的变量都是到数据库里现场算的，虽然能够极大的提高灵活性（新的变量不须要考虑历史数据回补），但会极大的影响稳定性和响应时长，尤为在业务请求爆发的时候几乎都会出现宕机无响应的问题。

要知道业务研发对安全的结果并非那么敏感，但若是出现了问题致使应用不稳定给人添麻烦，被抛弃可能就是迟早的事情，因此变量必定要尽可能作到提早计算，而且设立缓存机制。

三、对风险分析要用到的计算资源有充分的认识

绝不夸张的说，合格的风险分析要作的实时、准实时计算量要大过应用内全部计算的总和甚至超过几倍。

其实这也很好理解，好比一个典型登陆场景，业务要作的逻辑最主要的就是检查密码和账号的身份是否吻合，而风控要把这登陆用户的历史档案所有拉出来看个遍，而后根据风控策略来决定是否放行。因此在规划风险分析要用到的资源时请不要吝啬，按业务5X甚至10X的标准来评估风险分析的资源需求。

若是说信息采集主要看的是安全产品经理的沟通协调能力，设计风险分析功能更多的就是考验安全产品经理的逻辑思惟能力。

到了这样一个阶段，外部冗杂的沟通协调已经结束，但如何最大化利用前期打下的基础，须要对风险问题的分析、决策过程有一个很是清晰的认识，这里也有一个比较好的标准来去检验：

分析平台设计的差，那么就只有设计者本身会用；

设计的好，你会发现处理投诉的客服、分析师都会很乐意来用你的分析平台为他们解决问题。

反爬虫
文章来源：http://bigsec.com/

做者介绍

刘明  岂安科技联合创始人，首席产品技术官
超过6年的风控和产品相关经验，曾就任网易，负责《魔兽世界》中国区帐户体系安全。现带领岂安互联网业务风控团队为客户提供包括了明星产品Warden和RED.Q的风控服务。