做风控前你应该知道的十件事

 随着互联网黑色产业的发展，越来越多的公司开始重视自己的风控问题。跟大家一起讨论下我对风控的一些理解。

1

风控是永恒存在的

不要企图消灭风险，因为那是不可能的。只要有利益存在，所有的攻击和尝试都不会停止，无论它有多么的因难，哪怕它是违法的。我们称之为风控问题的未知性和不可控性。虽然你很努力的在防御着，但你的确无法知道下一个问题在何处，也无法保证有意义上的安 全。

2

服务于业务

有人说，风控部门像个警 察，这理解就错了。没有业务的存在，风控便毫无价值。所以，其实风控部门更像一个保镖，而你的业务部门，就是你的雇主。保护好他们并让他们满意，才是你的职责所在。不要企图去阻拦业务，而是尽可能的帮助他看清问题并提供解决方案。

3

动态平衡

正如第 一 条所述，我们无法消灭风险。那么，风险和损失就是一个动态平衡的过程。平衡好风险和资损，才是我们追求的目标。举个例子，如果风控拦 截保护的资金小于这些订单带来的价值、处理成本或者是用户流失，那么我们就应该考虑是否还需要这么做。当然，平衡要考虑的东西越不止这些，你同样要考虑如果风险发生了对公司的声誉影响，用户感受以及你的合作方对你的压力。总之，平衡是风控的第 一 要素。

4

积累数据

在今天，几乎所有的人都知道大数据，而风控的基本做法，就是通过数据来展现异常。所以在你没有数据的时候，你将寸步难行。请为它留出足够的存储和计算空间，它的庞大超过你的想像。我在这里要强调的是，你要积累的是所有的，尽可能多的细节数据，因为大部分时候你无法知道这些数据你将用在什么地方。例如，早些时候，大部分的网站更关心登录成功的数据，而没有对失败的详细原因做记录。那么，你就无法对机器人攻击（图片验证码失败）、扫号撞库（账户密 码失败及账号验证）以及自然失败做区分。同时，积累数据的另一层含义是“创造”数据。你需要尽可能早的对你需要的数据做埋点、采集以及加工处理。比如你想知道的一个人的常用地，它就涉及数据的采集（IP或者坐标），数据的处理（计算可信位置），加工（对应IP解析地并处理IP解析的正确性）等等。

5

木桶原理

你的风控水平取决于你防御体系薄弱的环节。如果你发现了一个明显会被利用的漏洞或者缺 陷并且是你无法控制或者承受的，都应该尽快的修补它，否则你将承受比你评估时还要多的损失。相信我，漏洞被发现的速度远高于你的想像。基于这个事实，你应该在你监控薄弱的环节多加监控，了解你现在的处境和状况以便于你做出正确的判断。

6

引流原则

由于风控问题本身的未知性，所以尽量将问题暴露在自己已知的范围下。简单的说，攻击者引到自己知道的场景下并给予适当的损失做为风控的基础成本。比如，在某一风控策略下，并不是完全将符合条件的攻击拦 截，而是随机做1%的放行，或者，将价值超过50元的才做拦 截。这样做的好处是显而易见的，在双方都处于黑盒的情况下，可以尽可能保护到自己未知的问题，以避免出现攻击者全力研究新漏洞造成的不可控制的突然一击。减少问题，同时注意不要去创造新的问题。当然，这本身取决于风控损失的承受能力，如果这个漏洞你无法做到50元以上的都拦 截（没有对这个问题有“控制力”）那么就应该尽可能的完全修复这个问题。

7

用户体验

风控不可回避的一个问题是用户体验，也就是在风险识别后处理决策时要面对的问题。无论是短 信校验，或者是要求验证各种各样的密 码、身份识别问题，都是用户体验的伤害。更可怕的是，每中断一个环节，就会流失大量的用户。比如，每校验一次短 信，就会流失30%的用户。所以，站在大部分正常用户的角度思考问题，减少用户本身的思考，提高风控的识别能力，尽量的对有把握的再做处理，会让你的业务和风险控制都获利。

8

安 全 感

用户体验是很奇怪的东西。验证短 信打扰他了他会烦恼，但如果他尝试支付1万元时你没有给他发个验证短 信，他也一样会很苦恼。安 全感本身特别的重要，在自助处理问题的场景下，安全感才是用户最关心的问题。比如手机客户端上，如果短 信验证码就能找回密 码，用户就会质问手机丢失的场景下的安 全性。这就是一个典型的安全感的场景。尽量的营造适当场景下的安 全感，有助于你的用户配合支撑你的各种安 全策略。

9

忽略用户的智商

在风控问题上，请相信绝大部分用户都没有安 全意识。他们既不知道个人信息的重要性，也不知道密 码设成什么好，更不知道为什么他的账户就受到了攻击，或者想参加一个活动受到了举办方的各种限 制。请一定多走几步，帮用户设想好更种可能出现的状况，并对风控做评估，制定合适的策略。比如现在被广泛应用于账户安 全中的二步验 证（短 信验证），至少要考虑到如下问题：短 信收不到怎么办、短 信时效性如何设置、验证码长度多少合适、什么情况下才能变更验证手机、短 信验证码是否存在泄漏/劫持/被钓鱼的风险、手机当前状态下是否持有在本人手中等等。用户往往很单纯，请保护好他们单纯的心。

10

对抗性

风控很有的意思的地方，在于它是一个对抗性的工作。一旦你做了防御，敌人便会放弃进攻（没有人会在明知会触犯风控拦 截的情况下无谓的尝试同样的方法浪费手中资源）。所以，整体的风控策略、规则、模型都需要不断的调整，来应对这样的对抗情况。比如我们根据历史的CASE发现穿红色衣服敲门的都是坏人，所以我们对穿红色衣服的人都加强了检查。那么坏人也会在一段时间后发现我们的策略而穿上黑衣服。这个时候，我们找到的穿红衣服的人，好人的比例就会不断的上升而几乎抓不到坏人了。这就是对抗性带来的规则准确率下降。因此，不断的监控我们的数据并及时回顾，是一项基本的风控工作。同时，对抗性还要求我们对风控的策略有健壮性。还是上面的例子，单一性状或者简单条件的规则，对于临时的防控会很有效，但维持的时间通常都很短，需要不断的调整。所以我们需要尽可能多的组合条件，减少策略被发现的可能。如果规则变成如果来敲门的人是男性且穿着红色衣服且敲门的声音大于70分贝，那么他是坏人，那么，衣服颜色为红色这一判断要素被发现的概率就会大大下降，同时，即使被发现了，也无法确认这个条件所占的比例和作用情况。更进一步，如果模型的计算变成0.3*性别+0.5*衣服颜色+0.2*分贝，那么这个策略就更为健壮了。所以，无论在什么时候，都要考虑到风控研究的对象，都是一群想着办法在模仿正常人的人，他们善于伪装，拥抱变化，牢记对抗性，与人斗其乐无穷嘛。

大胆设想，小心求证，一起做个安静的FRMer。