張魯男，常寶崗，梅 利

（中國(guó)移動(dòng)通信集團(tuán)山東有限公司，山東 濟(jì)南 250001）

0 引 言

隨著互聯(lián)網(wǎng)金融的快速發(fā)展，線上支付及其應(yīng)用逐漸普及，給人們的生活帶來(lái)了便利。同時(shí)，從中牟利的網(wǎng)絡(luò)黑產(chǎn)的規(guī)模也逐漸擴(kuò)大，帶來(lái)了交易高風(fēng)險(xiǎn)、信息泄露、欺詐事件增加等現(xiàn)象。企業(yè)構(gòu)建起風(fēng)控系統(tǒng)，設(shè)置風(fēng)險(xiǎn)閾值，進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)級(jí)、風(fēng)險(xiǎn)規(guī)避，以保證正常用戶的業(yè)務(wù)平穩(wěn)開展。但隨著業(yè)務(wù)場(chǎng)景的日益增加和復(fù)雜化，基于業(yè)務(wù)安全領(lǐng)域的防護(hù)和黑產(chǎn)的對(duì)決愈演愈烈。借助于黑色產(chǎn)業(yè)鏈的日趨完善和發(fā)達(dá)，黑產(chǎn)不斷通過(guò)偽基站等方式頻繁訪問(wèn)，探測(cè)其中的業(yè)務(wù)漏洞，加以利用、變現(xiàn)。此類漏洞攻擊通常是偽裝成正常用戶進(jìn)行批量操作，惡意侵占企業(yè)資源，但相比于注入漏洞更難被檢測(cè)到。

1 基于規(guī)則引擎的實(shí)時(shí)業(yè)務(wù)風(fēng)控系統(tǒng)

該系統(tǒng)的整體框架示意圖如圖1所示。整體框架由四個(gè)部分組成：存儲(chǔ)系統(tǒng)、計(jì)算集群、規(guī)則引擎和管理平臺(tái)。

圖1 基于規(guī)則引擎的實(shí)時(shí)業(yè)務(wù)風(fēng)控系統(tǒng)

上述整體架構(gòu)的工作流程闡述如下。

（1）數(shù)據(jù)存儲(chǔ)系統(tǒng)為數(shù)據(jù)層，包含關(guān)系型數(shù)據(jù)庫(kù)和非關(guān)系型數(shù)據(jù)庫(kù)。格式化數(shù)據(jù)存儲(chǔ)于關(guān)系型數(shù)據(jù)庫(kù)，例如：用于離線分析的會(huì)員屬性數(shù)據(jù)、歷史訂單數(shù)據(jù)等；非關(guān)系型數(shù)據(jù)庫(kù)用于存儲(chǔ)需要頻繁更新的數(shù)據(jù)；實(shí)時(shí)風(fēng)控請(qǐng)求數(shù)據(jù)、設(shè)備指紋數(shù)據(jù)。在構(gòu)建一個(gè)風(fēng)控系統(tǒng)之前，需要根據(jù)企業(yè)的業(yè)務(wù)場(chǎng)景確定數(shù)據(jù)來(lái)源，通常需要解決跨業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接入問(wèn)題。在關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)，需要設(shè)置業(yè)務(wù)埋點(diǎn)、SDK數(shù)據(jù)采集等配合，實(shí)現(xiàn)對(duì)風(fēng)控事件的實(shí)時(shí)追蹤，并將實(shí)時(shí)數(shù)據(jù)接入到數(shù)據(jù)存儲(chǔ)模塊中。

（2）計(jì)算集群包括實(shí)時(shí)計(jì)算集群和離線計(jì)算集群。實(shí)時(shí)計(jì)算集群用于實(shí)時(shí)風(fēng)控所需的預(yù)計(jì)算，為后續(xù)的規(guī)則判斷而準(zhǔn)備。通常需要借助統(tǒng)計(jì)方法，得到所需維度的統(tǒng)計(jì)值。離線計(jì)算集群用于周期性執(zhí)行的任務(wù)，通常周期時(shí)間至少為一天。主要用于滿足非實(shí)時(shí)的大數(shù)據(jù)分析和模型訓(xùn)練的需求，將原始的風(fēng)控?cái)?shù)據(jù)在計(jì)算層進(jìn)行計(jì)算處理，形成各個(gè)維度的特征數(shù)據(jù)，例如：頻次統(tǒng)計(jì)、最大統(tǒng)計(jì)、最近統(tǒng)計(jì)等[1]。

（3）規(guī)則引擎包括事實(shí)集、規(guī)則庫(kù)和推理引擎。規(guī)則庫(kù)由規(guī)則構(gòu)成，模擬判斷準(zhǔn)則。單條規(guī)則可以表示為：

IF：條件部分LHS (left-hand side), THEN: 結(jié)論RHS (right-hand side).

其中，LHS包括一個(gè)或多個(gè)組合條件，單個(gè)條件原子之間通過(guò)AND（與）和OR（或）的邏輯關(guān)系進(jìn)行組合。RHS為滿足LHS中的條件后需要執(zhí)行的動(dòng)作，又稱風(fēng)控措施。當(dāng)一個(gè)事實(shí)滿足規(guī)則后對(duì)其執(zhí)行風(fēng)控措施，記為觸發(fā)一次風(fēng)控規(guī)則。

（4）管理平臺(tái)為風(fēng)控系統(tǒng)的應(yīng)用層，通常封裝為前端web界面，以方便業(yè)務(wù)人員進(jìn)行規(guī)則配置。此外，返回規(guī)則評(píng)價(jià)體系輸出的結(jié)果，風(fēng)控人員可基于評(píng)價(jià)結(jié)果改進(jìn)目前的風(fēng)控規(guī)則。評(píng)價(jià)體系包括：規(guī)則的觸發(fā)情況、用戶對(duì)風(fēng)控措施（RHS）的反饋結(jié)果等，有助于現(xiàn)有風(fēng)控規(guī)則的改進(jìn)。

2 規(guī)則引擎設(shè)計(jì)

規(guī)則引擎由推理引擎、事實(shí)集、規(guī)則庫(kù)組成。數(shù)據(jù)層的相關(guān)數(shù)據(jù)作為事實(shí)集，加載到工作內(nèi)存中。

2.1 特征庫(kù)設(shè)計(jì)

規(guī)則庫(kù)中所需要的變量通過(guò)預(yù)處理，可存儲(chǔ)為特征因子，提高變量復(fù)用率和規(guī)則的簡(jiǎn)潔度。特征庫(kù)設(shè)計(jì)示意圖如圖2所示。

圖2 特征庫(kù)設(shè)計(jì)

根據(jù)全域風(fēng)控需求，特征庫(kù)中的特征因子分為用戶特征因子和全局特征因子。用戶特征因子以賬戶為主鍵，聚合用戶維度的特征數(shù)據(jù)。得到的數(shù)據(jù)是反應(yīng)用戶維度的交易、登錄、設(shè)備等特征。全局特征因子是從全局?jǐn)?shù)據(jù)中抽象所需要的其他維度進(jìn)行組合、計(jì)算[2]。

此外，由于商業(yè)規(guī)則和業(yè)務(wù)場(chǎng)景不斷變化，規(guī)則經(jīng)常需要根據(jù)實(shí)際變化做出頻繁調(diào)整。業(yè)務(wù)人員在前端的特征管理界面，對(duì)特征庫(kù)中的特征因子進(jìn)行增刪改查的操作，不直接對(duì)規(guī)則庫(kù)進(jìn)行頻繁變更，避免了特征因子的重復(fù)開發(fā)。因此，特征因子的存儲(chǔ)具有穩(wěn)定性、聚合性和可復(fù)用性。

2.2 規(guī)則匹配優(yōu)化

在規(guī)則的模式匹配中，使用Rate算法提升匹配效率，減少了重復(fù)計(jì)算造成的時(shí)間冗余性。在規(guī)則數(shù)量和事實(shí)樣本較多時(shí)，每條事實(shí)數(shù)據(jù)都需要與Rete網(wǎng)絡(luò)中的Aplha節(jié)點(diǎn)相匹配[3]。大多數(shù)規(guī)則所含的條件原子相同，即存在被多個(gè)規(guī)則同時(shí)包含的條件原子，依次與每個(gè)Alpha節(jié)點(diǎn)匹配就存在了一定時(shí)間浪費(fèi)。因此，一個(gè)預(yù)匹配模塊，將多條規(guī)則聚合成少量的規(guī)則組。通過(guò)規(guī)則組篩選，在預(yù)匹配階段過(guò)濾掉部分正常數(shù)據(jù)，減少事實(shí)和節(jié)點(diǎn)的匹配次數(shù)。實(shí)現(xiàn)邏輯是將含有多個(gè)相同條件原子的規(guī)則劃分到同一規(guī)則組中，規(guī)則組中出現(xiàn)次數(shù)最多的條件原子作為該規(guī)則組的特征條件。全量數(shù)據(jù)通過(guò)預(yù)匹配模塊中規(guī)則組的篩選，即可過(guò)濾掉部分?jǐn)?shù)據(jù)，對(duì)剩余樣本執(zhí)行所在規(guī)則組內(nèi)的規(guī)則判斷。對(duì)于多條規(guī)則的規(guī)則組劃分，需要首先構(gòu)建一個(gè)鍵值對(duì)，存儲(chǔ)所有條件原子和該條件在所有規(guī)則中出現(xiàn)的次數(shù)。也可以從業(yè)務(wù)角度設(shè)計(jì)規(guī)則組，按照不同的業(yè)務(wù)線劃分規(guī)則所屬的規(guī)則組。但系統(tǒng)的響應(yīng)速度容易受到業(yè)務(wù)場(chǎng)景的影響。

2.3 規(guī)則評(píng)價(jià)機(jī)制

有效的風(fēng)控規(guī)則體系包括識(shí)別風(fēng)險(xiǎn)用戶，以及實(shí)時(shí)的風(fēng)險(xiǎn)攔截措施，防患于未然。同時(shí)，風(fēng)險(xiǎn)措施將直接作用于產(chǎn)品終端，影響到用戶體驗(yàn)。因此，基于業(yè)務(wù)的風(fēng)控系統(tǒng)需要將風(fēng)險(xiǎn)的誤報(bào)率和漏報(bào)率降低到可接受的范圍內(nèi)，提升產(chǎn)品終端的用戶體驗(yàn)。本系統(tǒng)基于規(guī)則觸發(fā)次數(shù)和風(fēng)控反饋結(jié)果，構(gòu)建了規(guī)則評(píng)價(jià)體系，以驗(yàn)證規(guī)則有效性，并有助于業(yè)務(wù)人員對(duì)風(fēng)控規(guī)則進(jìn)行監(jiān)控和優(yōu)化調(diào)整。規(guī)則評(píng)價(jià)機(jī)制的作用邏輯如圖3所示。

規(guī)則評(píng)價(jià)機(jī)制根據(jù)兩種數(shù)據(jù)來(lái)源進(jìn)行，一是根據(jù)風(fēng)控分值得到的觸發(fā)次數(shù)分布；二是觸發(fā)規(guī)則后對(duì)風(fēng)控措施進(jìn)行響應(yīng)，所得到的最終請(qǐng)求結(jié)果[4]。

圖3 規(guī)則評(píng)價(jià)機(jī)制

（1）規(guī)則命中準(zhǔn)確率評(píng)價(jià)

規(guī)則引擎輸出每條規(guī)則的觸發(fā)次數(shù)，基于此計(jì)算查準(zhǔn)率（p）和召回率（r），如下：

p=TP/(TP+FP)

p=TP/(TP+FN)

其中，TP為觸發(fā)規(guī)則但未通過(guò)驗(yàn)證的請(qǐng)求次數(shù)，以及來(lái)自黑名單中用戶的請(qǐng)求；FP為觸發(fā)規(guī)則中通過(guò)驗(yàn)證的請(qǐng)求次數(shù)；FN為未觸發(fā)規(guī)則中來(lái)自黑名單用戶的請(qǐng)求次數(shù)。查準(zhǔn)率反應(yīng)了該規(guī)則識(shí)別風(fēng)險(xiǎn)用戶的準(zhǔn)確率，召回率反應(yīng)了規(guī)則能否識(shí)別出盡可能多的風(fēng)險(xiǎn)用戶。當(dāng)上述風(fēng)險(xiǎn)評(píng)價(jià)機(jī)制的性能指標(biāo)超過(guò)了正常范圍，系統(tǒng)或自動(dòng)發(fā)送報(bào)警郵件，通知策略負(fù)責(zé)人員核實(shí)策略的準(zhǔn)確性。

（2）風(fēng)控措施合理性評(píng)價(jià)

系統(tǒng)根據(jù)每次請(qǐng)求的返回分值，匹配滑動(dòng)窗口驗(yàn)證、短信驗(yàn)證、禁止訪問(wèn)等實(shí)時(shí)風(fēng)控措施。對(duì)于驗(yàn)證類措施，請(qǐng)求的驗(yàn)證結(jié)果有助于區(qū)分該請(qǐng)求是否來(lái)源于黑產(chǎn)群體的模擬用戶。

3 閾值體系設(shè)計(jì)

如今網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈日漸猖獗，在攻防對(duì)抗中，攻擊者能夠輕易饒過(guò)以固定值作為風(fēng)控閾值制定的風(fēng)控措施。例如，黑產(chǎn)依托于規(guī)?；?、批量化的Modem Pool設(shè)備，利用虛假號(hào)碼實(shí)現(xiàn)程序化的短信驗(yàn)證碼驗(yàn)證和登陸，通過(guò)不斷嘗試，便可以探測(cè)出企業(yè)對(duì)同賬號(hào)、同ip號(hào)規(guī)定的單日登錄次數(shù)的上限。因此，如果將風(fēng)控閾值僅設(shè)定為固定值，即使增加閾值對(duì)應(yīng)變量的維度，也容易被黑產(chǎn)探測(cè)出。

本閾值體系主要解決了傳統(tǒng)風(fēng)控系統(tǒng)中閾值一刀切造成的弊端，以評(píng)分機(jī)制為基礎(chǔ)，總共有三個(gè)模塊。在專家閾值的基礎(chǔ)上，增加了用戶行為評(píng)分機(jī)制和時(shí)間序列評(píng)分機(jī)制，從用戶、設(shè)備、時(shí)間三個(gè)維度增加閾值的動(dòng)態(tài)調(diào)整部分。

3.1 專家閾值

由于每日風(fēng)控請(qǐng)求量都是海量的，首先利用專家閾值進(jìn)行初步過(guò)濾，基于多維度指標(biāo)的靜態(tài)閾值對(duì)明顯存在風(fēng)險(xiǎn)的賬號(hào)和行為執(zhí)行相應(yīng)的風(fēng)控措施。專家閾值是基于專家征詢法（DelphiMethod）對(duì)單個(gè)指標(biāo)的閾值進(jìn)行一一確定，具有客觀性和代表性。

3.2 基于用戶行為的動(dòng)態(tài)閾值

用戶行為模型是基于用戶行為，動(dòng)態(tài)調(diào)整閾值的一種綜合性方法。該模塊的技術(shù)路徑流程圖如圖4所示。具體分為以下三個(gè)步驟：（1）基于用戶行為，以用戶為主鍵，利用設(shè)備指紋、歷史風(fēng)控請(qǐng)求等特征，采用聚類分析、隨機(jī)森林等深度模型進(jìn)行用戶分類和特征挖掘；（2）構(gòu)建用戶的風(fēng)險(xiǎn)評(píng)級(jí)系統(tǒng)，其實(shí)現(xiàn)邏輯是對(duì)模型結(jié)果進(jìn)行計(jì)算，對(duì)各個(gè)群體分配不同的風(fēng)險(xiǎn)等級(jí)；（3）線上沿用訓(xùn)練好的模型參數(shù)對(duì)樣本進(jìn)行計(jì)算，實(shí)現(xiàn)高可用的個(gè)性化智能風(fēng)控。線上采用這樣的淺度模型方式進(jìn)行判斷和匹配，減少了運(yùn)算壓力且提高了效率。

圖4 用戶風(fēng)險(xiǎn)評(píng)級(jí)模型的實(shí)施流程

特征工程來(lái)源于風(fēng)控系統(tǒng)的離線特征庫(kù)。深度模型用于離線環(huán)境下的模型訓(xùn)練，包含用于特征探索的非監(jiān)督模型和用于風(fēng)險(xiǎn)概率預(yù)測(cè)的監(jiān)督模型，輸出結(jié)果為預(yù)測(cè)的風(fēng)險(xiǎn)概率。本系統(tǒng)根據(jù)6條業(yè)務(wù)線進(jìn)行風(fēng)控策略設(shè)計(jì)，因此需要考慮到不同業(yè)務(wù)之間風(fēng)險(xiǎn)識(shí)別的通用性，和使用時(shí)的可快速移植性。例如不同業(yè)務(wù)線，由于業(yè)務(wù)類型的不同，風(fēng)險(xiǎn)請(qǐng)求頻次會(huì)有數(shù)量級(jí)上的差異。因此，分用戶群體進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)滿足了以上跨業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)籌性的風(fēng)險(xiǎn)管理的需求。特征體系劃分為以下幾個(gè)大類：

（1）用戶身份角度定義的風(fēng)險(xiǎn)：是否為會(huì)員，最近兩周是否更改過(guò)生日

（2）在離線特征工程階段，利用定性和定量相結(jié)合的方法，計(jì)算特征向量。分類模型所需要的樣本標(biāo)簽，是基于定性的風(fēng)控規(guī)則對(duì)樣本進(jìn)行標(biāo)簽標(biāo)注，形成訓(xùn)練樣本的分類標(biāo)簽。在分類模型的訓(xùn)練過(guò)程中，為了防止單次抽樣抽取測(cè)試樣本和訓(xùn)練樣本，使得模型結(jié)果存在誤差，采用K折交叉驗(yàn)證（K-CrossValidation），重復(fù)進(jìn)行K次訓(xùn)練，最終取性能指標(biāo)的均值最佳的模型參數(shù)。

3.3 基于時(shí)間序列的動(dòng)態(tài)閾值

時(shí)間序列（或稱動(dòng)態(tài)數(shù)列）是指將同一統(tǒng)計(jì)指標(biāo)的數(shù)值按其發(fā)生的時(shí)間先后順序排列而成的數(shù)列。時(shí)間序列分析的主要目的是根據(jù)已有的歷史數(shù)據(jù)對(duì)未來(lái)進(jìn)行預(yù)測(cè)。

傳統(tǒng)的時(shí)間序列預(yù)測(cè)方法有：簡(jiǎn)單平均法、移動(dòng)平均法、指數(shù)平滑法等。在風(fēng)控系統(tǒng)的閾值計(jì)算中，我們常使用移動(dòng)平均法（moving average），即：通過(guò)對(duì)時(shí)間序列逐期遞移求得平均數(shù)加/減標(biāo)準(zhǔn)差作為預(yù)測(cè)值。

移動(dòng)平均將最近k期數(shù)據(jù)加以平均，加/減標(biāo)準(zhǔn)差作為下一期的預(yù)測(cè)值。設(shè)移動(dòng)平均間隔為k(1＜k＜t),則t期 的 移 動(dòng) 平 均 值 為：結(jié)果，通過(guò)這些平滑值可描述出時(shí)間序列的變化形 態(tài) 或 趨 勢(shì)。t期 的 標(biāo) 準(zhǔn) 差 為：期的均值與標(biāo)準(zhǔn)差求和，可得到一個(gè)預(yù)測(cè)區(qū)間。

t+1期的移動(dòng)平均預(yù)測(cè)上限值為：Ft+1=Y-t+δt2

t+1期的移動(dòng)平均預(yù)測(cè)下限值為：Ft+1=Y-t-δt2

即我們可以將最近k分鐘/小時(shí)/天的數(shù)據(jù)加以平均，加/減標(biāo)準(zhǔn)差作為當(dāng)前這一分鐘/小時(shí)/天的上限/下限閾值。

4 結(jié) 語(yǔ)

本文主要闡述了如何構(gòu)建基于規(guī)則引擎的風(fēng)控系統(tǒng)，詳細(xì)介紹了風(fēng)控系統(tǒng)的架構(gòu)、規(guī)則引擎的設(shè)計(jì)以及規(guī)則的評(píng)價(jià)機(jī)制，同時(shí)提出了基于專家經(jīng)驗(yàn)、人工智能算法、時(shí)間序列算法的動(dòng)態(tài)閾值功能，使得風(fēng)控系統(tǒng)的規(guī)則更加精確，在應(yīng)對(duì)各類電商業(yè)務(wù)風(fēng)險(xiǎn)時(shí)，能更準(zhǔn)確地找到并攔截潛在的威脅。