• 风控资料汇总-04-12-验证手段
  验证手段 验证用户身份是大部分网站很常见的功能，在登录、改密码、绑定手机、敏感信息操作时，我们都要求用户“证明自己是自己”。 验证手段最常见的是用户名密码登录，这里的用户名可以是手机、邮箱或者昵称。除此之外，本章再介绍一些其他的验证手段 动态密码登陆 2013年-2015年流行一个理念：传统数字密码是落后的、不安全的、体验不好的。很多安全甲乙方公司都在提N年内消灭密码，创造一个没有密...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-11-规则和模型
  规则 前几章介绍了多种风控的手段，在讲述过程中我们经常会设计一些检测逻辑，例如一个用户每天只能登录10次。 实际上在风控领域，这个检测逻辑被称为“规则”。 规则引擎 通常我们需要从数据中发现问题，找到黑产的规律，跟进规律找到对抗方案，形成一条或者多条规则。通常我们还会使用“规则引擎”定义、发布、执行规则。 我们可以用数学上的表达式来表示一条规则 规则...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-10-高危名单
  高危名单 我们给我们的业务加上一条限制：每天登录失败超过100次，阻止登录。 这个限制已经运行了好几天了，让我们看看过去三天每天拦下了谁 第一天 用户名 密码错误次数 Jim 100 Tom 90 Lily ...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-09-阈值的选取
  阈值的选取 前文提到的很多类似“连续10次输错密码阻止登录”的规则很好理解，但是有一个问题，这个“10次”是怎么来的？ 我们通常称这个值为阈值，读yù值可不是fá值。 一般这个值的选取是为了将正常行为和恶意行为区分开，那么我们就要找到两种行为的边界。 真实的案例 登陆表单 很多网站在登陆、注册的时候都会填验证码，目的是防止批量注册、撞库等攻击。 实战中传统验证码的效果并不好，因...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-08-用户行为习惯
  现在的大型网站都会记录用户的行为，例如用户的浏览记录、停留时长、输入密码的速度、按钮点击等。 我们可以用这些数据佐证我们对用户的验证。 一个用户的历史行为 我们可以收集一个用户的历史的业务数据和行为数据，给这个用户打一些标签。例如 用户 历史数据 标签 Jim 用户购买了10...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-07-设备风险识别
  设备指纹 为什么要确定一台设备? 先来看一个场景。 在游戏业务中，为了降低用户体验门槛，在打开游戏时可以不要求用户注册，也就是说拿不到账户角度的用户ID。这时确定用户设备就很重要，否则在后端无法分辨哪些是同一个用户的数据。 这是业务中必须要确定一台设备的场景，那风控中也是为了对未登录用户进行跟踪吗？是不是只要用户登录了，设备的识别就不重要了？ 对匿名用户的跟踪 首先有一点和业务是...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-06-手机号风险识别（TBC）
  上一篇已介绍了IP维度，这一篇聊一聊另一个常见的维度————手机号维度。 《中华人民共和国网络安全法》要求： 第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。 目前大部分APP至少...
  2021-02-14 08:52:15 | BIZ
• 风控资料汇总-04-05-IP风险识别
  IP风险识别 IP维度作为一个常见、容易理解、获取难度低的维度，经常是最先被想起来的一个维度。 有时候参与业务需求讨论，产品经理会兴致勃勃给我讲他定的IP风控策略。但很多时候这些策略都不够专业，实际中不会有太大的作用。 我这里举几个常见例子： 你们能不能把阿里云那种IP都封禁掉？ 这种IP我们统称为IDC IP，有不少第三方公司都提供IDC IP库。大部分时候是挺准的，但是实际经验...
  2021-02-14 08:52:15 | BIZ