進化的黑產 vs 進擊的螞蟻:支付寶的每一次點選,都離不開一張“圖”的守護

語言: CN / TW / HK

在近日舉辦的數字中國峰會展會上,螞蟻集團全圖風控技術負責人王興馳發表現場演講,首次公開分享螞蟻全圖風控技術架構。

圖技術正成為風控市場的關注重點。把圖技術應用於風控領域,可以構建風險關係網路,實現對風險全鏈路的、關係視角的刻畫,從而解決傳統風控碎片化的問題。近期IDC釋出《中國金融行業反欺詐市場研究》報告指出,圖技術的應用將成為未來的風控建設重點之一,來自螞蟻集團的業內首個基於圖架構的風控體系,入選為IDC應用圖計算技術的典型案例。

據瞭解,全圖風控是螞蟻自研的智慧風控技術體系“IMAGE”的組成部分,該體系還包括互動式主動風控、端邊雲協同風控、多方風控和智慧對抗。“IMAGE”解決了多個風控領域的世界難題,獲得包括CCF科學技術獎、吳文俊人工智慧科學技術進步獎等多個權威技術獎項。

以下是王興馳的演講內容實錄:

各位下午好,今天的分享會分三個部分,首先,概述整個風控行業面臨怎樣的風險形勢升級;第二,在這種風險形勢變化下,螞蟻如何用圖解決問題;第三,介紹螞蟻的全圖風控整體架構是什麼樣子,應用情況如何。

控行業面臨的風險形式升級

1. 風險趨勢一:利用跑分/水房賬號進行三方欺詐的模式出現, 欺詐交易鏈條複雜化

我們先看一個簡單的欺詐案例:張某是一個小商家,突然有一天張某接到一個冒充公檢法的電話,威脅他如果不轉賬做保障,可能要吊銷他的商家執照。張某心慌,就打算把錢用支付寶轉給對方陸某。這時候螞蟻的智慧風控引擎會立刻判斷陸某的收款賬號是否曾經被投訴過,是否在我們的處罰名單裡面,以及過去一天是否有大額的或者多頻交易,通過這樣多個維度的判斷,幫助張某去識別陸某是不是一個欺詐者。這是我們在過去五六年用得最多的一種場景。

但是,風控是一個攻防的過程,也就是說,黑產一直在進化。我們發現現階段一個很重要的變化就是,黑產引入了“跑分平臺”或“水房賬號”等模式, 來規避之前的防禦。

什麼叫跑分平臺和水房賬號?跑分平臺可以把許多受騙普通使用者的支付寶賬號收集起來的平臺,然後黑產利用這些使用者的個人收款碼,為別人進行代收款,隨後賺取佣金,俗稱“過水”。

跑分平臺的加入,讓整個支付鏈路變得更加複雜,隔絕了被騙的張某和騙子陸某,從而讓風險更難識別。而且複雜的欺詐交易鏈路會有多度,它可能會從中規模的跑分到小規模,小規模再到大規模等等,經過幾度的傳播,這筆錢才真正到達陸某。

錢在不停地流轉,這使得風控系統面對同一個賬戶找出欺詐行為的難度提高。因此,新型風險升級的趨勢變化之一,就是跑分平臺和水房賬號的加入,讓交易鏈路複雜化,從而難以識別。

2. 風險趨勢二:黑產團隊化,聚集性風險上升

如今的風險基本不是使用者的一張銀行卡掉到地上,被其他人撿起來盜刷,這樣簡單的個體風險。通過我們的風控實踐來看,團伙性風險在逐年增高,現在更多都是團伙作案。

大家可以通過下面這個案例瞭解:今天張某去劉某處消費,花了35塊錢,用了6塊錢的券;吳某也去劉某處消費,交易了10塊錢,用了2塊錢的券;之後劉某轉了45塊錢給高某。

如果我們從每一筆孤立的行為來看,每一筆轉帳都是正常的。但如果把視角往上升到全域性來看,其實發生了什麼事情呢?所謂的“買賣”雙方聯合了起來,把本應該用於拉新促活的消費券薅走了。“賣家”收到資金之後, 並沒有出貨, 只是把錢轉回去迴圈利用,通過小小的45塊錢,他們可以迴圈著把大量營銷費用薅走。這是我們發現的第二個風險變化趨勢,即黑產行為團伙化,聚集性風險上升,傳統地從個體角度孤立看風險的做法不適用了。

3. 風險趨勢三:資金時序變化加快,通過單筆交易識別資金流轉鏈路難度上升

第三個風險形式的升級是資金時序的變化,這常見於洗錢。前面我們講過,如今黑產會引入水房賬號,參與主體變多了,導致風險難以識別。而在洗錢的場景中,變化的不僅是主體數量,錢的流轉速度也大為提高。因此我們要關注的不僅是交易的空間關係,也包括時序關係。

在洗錢的場景中,大家要把自己想成一筆錢,這筆錢到底在體系裡面經歷哪些節點?這些節點到底是水房賬號還是賭博莊家?最終這筆錢轉出體系的時候,我們需要根據這筆交易的歷史,溯源出當前這筆交易是否是洗錢最後一步。

應對複雜風險形勢的下一代風控基礎設施——全圖風控

總結起來,現在整個風控業介面臨的風險,是從顯性的個體風險,轉化為了隱性的、有組織有規模的團伙化風險。

面對風險的新態勢,我們需要什麼?需要具備同時刻畫空間和時間維度的能力。空間上,它能夠關聯除了人以外的更多主體,例如常用的WiFi等;時間上,它要能反映出多種主體的時序行為特徵。

經過大量研究,我們認為,圖具有這樣強的承載力和刻畫能力。

其實圖技術目前在很多領域都有應用,但把圖技術和風控結合起來沒有這麼簡單,這跟風控本身強對抗、低延時的特性有關。

舉個例子,在搜尋推薦場景下,下午2點鐘,你用圖找出一群人,他們是高淨值人群,你給高淨值人群推薦匹配的一些產品。一個小時之後,他們大概率還依然是高淨值人群。但是,在風控場景裡面,一個小時可以完成十幾筆甚至幾百筆的轉賬,可能一分鐘就發生了一次洗錢行為,所以風控必須是低延時的,是實時的。

圖技術能解決風控的許多問題,同時風控的特性也對圖提出了非常多的挑戰。綜合這些因素,螞蟻安全團隊建設了全圖風控設施,作為應對複雜風險形勢的下一代風控基礎設施。全圖風控也是螞蟻“IMAGE”智慧風控體系中的一個核心技術(G)。

全圖風控即全域一張圖,強對抗、低延時特性也要求提高圖計算的豐富程度。在全圖風控中,除了用傳統的多度查詢來進行風險鏈路判斷,我們還引入模式識別的方式(菱形/三角型等)、社群發現的演算法等來應對更加複雜的場景。同時我們也必須保證圖計算和圖資料的時效性,能在毫秒級進行一次識別。

總的來說,全圖風控可以提供以下幾個核心服務能力:

第一是基於圖的團伙挖掘的能力,包括團伙整個行動鏈路上的挖掘、定性、分析以及追蹤;

第二,基於圖的資金鍊路識別,在反洗錢場景上,我們會看一筆錢最終是怎麼到達這裡,它進入支付寶和出支付寶路徑是什麼;

第三,基於圖的可信識別,我們能構建一個可信網路,幫助風控快速判斷一筆交易是否可信。

全圖風控是應對複雜風險的下一代風控基礎設施。在應用層,全圖風控應用於整個風控的生命週期,包括風險感知、風險識別、風險管控、風險審理、風險分析。基於圖的異常檢測,能夠提前做到風險感知;在事中識別的時候,通過多樣化圖計算,配置不同SLA的特徵去幫助事中風險識別;在風險分析階段,利用豐富的圖資料去關聯或者探索出更多資訊來輔助案件審理和分析。

螞蟻全圖風控的技術架構和應用情況

接下來講一講螞蟻全圖風控的技術架構。我簡單地分為風險一張圖的構圖層和多模圖計算的計算架構層。

先從風險構圖來說:

1.圖資料來源的資料格式各不相同,有半結構化的資料、非結構化的資料以及相對結構化的資料,同時源資料的多樣性也體現在它的時效性存在差異,有離線版的源資料也有近線版的源資料。針對源資料的多樣性, 建設一套標準化的圖清洗流程,從最源頭的資料來源內容管理來保障接入資料來源質量和標準化, 到執行時保障整套流程能夠適配到多種執行時應對時效性的差異。

2.當原始資料清洗成相應的圖資料時候, 就需要針對圖資料進行建模。在圖建模過程中為了應對跨域共享共知的問題, 首次提出風險一張圖的概念,建設一套全域性邏輯大圖來承載和管理多源化資料的一致性和口徑等問題, 在這個過程中引入圖資料委員會的機制標準化以及整個邏輯大圖的運營工作。3.為了解決各域業務對於場景化圖應用的問題, 設計業務圖元件來解決多樣化點/邊轉化需求, 同時在這個模組中加入儲存物化方案,保障圖資料可以物化到線上/近線/離線的場景的解決物化遇見的大點/熱點等場景問題。

再說全圖計算層:

1.在計算層中首要解決的,就是風險對抗中,如何用一套統一的框架把圖查詢、圖挖掘、圖學習等圖計算手段進行歸納並且抽象, 來保障業務可以在不同場景中選擇最合適手段進行風控模式的識別。經過多年圖應用場景的定製和磨礪, 全圖風控沉澱了一套多模計算框架來解決上訴問題。統一的多模計算框架分觸發源模組、計算模式模組、圖計算DSL模組、靜態編譯和評估模擬模組。觸發源模組和計算模式兩個模組相互配合, 重點解決圖應用場景中不同資料來源用不同計算方式觸發計算的多樣性問題, 例如常見的實時風險識別中來風險事件進行一次識別, 或者定時一個小時進行一次全圖點觸發的圖計算等。2.統一圖計算DSL模組。圖查詢/圖挖掘/圖學習的方式多樣, 如何利用用一個統一圖DSL來歸納和收斂多樣性,保障業務可以靈活的應用?在設計統一圖DSL時,我們把純粹的子圖抽取的DSL先拆分出來,保障可以靈活查詢一個子圖; 然後再根據這個子圖進行兩種計算,一種是子圖轉換成表的統計型計算,一種是針對子圖的模型型計算。3.當圖計算模式確定之後, 接下來就是針對圖計算模式進行物化選擇和優化。由於底層針對不同時效性的圖計算引擎差異, 導致圖計算模式最終根據業務需求和SLA所確定引擎會存在不同, 多模圖計算選擇就是用來根據圖計算模式, 業務SLA和成本來匹配相應的引擎。當圖計算模式匹配成功之後, 接下來就會進行優化階段主要解決就是風控特性帶來的時效性問題, 例如線上圖查詢要求三度以內20ms返回。重點基於底層影響大的大點/快取,以及資料分割槽進行優化。

接下來簡單介紹一下全圖風控目前在整個螞蟻集團應用的情況。從圖資料層面,我們構建了螞蟻風險一張圖,是整個風控的資料底盤,在一些業務結果上,我們的風險識別在原有的基礎上提升了9.4倍,審理分析能力提升了90%。

我們對全圖風控的定位是應對複雜風險的下一代風控的基礎設施。為什麼?在跨域的風險資料上,我們希望能有一張圖能夠做補全對齊,保證我們在應對黑產的時候,可以會跨主體和時間的互動去刻畫風險,而不是一個單一維度上去刻畫。在顯性模式挖掘基礎上挖掘隱式特徵關聯,把一種被動的攻防能夠轉化成主動出擊,這就是我們認為全圖風控是下一代風控基礎設施的原因。

雷峰網版權文章,未經授權禁止轉載。詳情見 轉載須知

「其他文章」