只需六步！快速开启专属的风控系统

Posted 2023-04-27 顶象技术

近日，某家电企业在官网商城举办五一促销，活动期间，用户可以购买特价电饭煲、电饼铛等小家电，吸引了众多消费者的关注，也被羊毛党盯上。活动刚开始不久，羊毛党们就几乎全部扫空了特价小家电，导致企业损失数十万元。该家电企业迅速部署了风控系统，并对活动规则进行细化。活动再次重启后，风控系统发现了大量涉嫌参与羊毛党的账号，并及时对其进行了拦截，保证了活动的顺利进行。

经过这次事件的教训，该家电企业深刻认识到，在线上促销活动中加强风险控制非常必要，有效的预防和应对措施，才能更好地保护企业的利益和消费者权益。

风控是业务安全必备工具

风控是电商平台和网购App必不可少的安全保障工具，能够对平台和用户的各种风险进行有效监控和预防，提高平台和用户的安全防护能力，保障电商行业的健康发展。

识别欺诈交易：通过对用户行为和数据的分析，风控系统能够识别出异常交易，如刷单、虚假订单等欺诈行为，有效防止商家和平台被蒙骗。

防范支付风险：风控系统可以对支付行为进行监控，及时发现和阻止恶意支付和欺诈行为，保障资金安全。

防范账号盗用和篡改：通过对用户登录、注册、密码修改等行为进行监控，风控系统可以尽早发现账号被盗用或者信息被篡改的情况，及时采取措施，保护用户的个人信息安全。

防范攻击和入侵：风控系统可以识别和防御各种网络攻击和入侵，确保网站和App的正常运行，保障用户数据的安全。

为了防范各种业务风险，保护平台和商家的利益，以及提高用户体验，电商网站和App需要建设专属的风控体系。

快速接入顶象SaaS实时决策引擎

传统的风控系统比较复杂，由于技术和人才的限制，风控系统的启用比较复杂，需要专业知识和技能，更需要专业人员进行操作和维护。

随着风控技术的不断完善和普及，现代的智能风控系统都采用了大数据技术、人工智能等前沿技术，能够自动化地对用户的行为和交易进行监测和分析，并且还能根据不同的业务场景进行相应的定制化配置，这使得任何一个企业都可以轻松地启用风控系统，保障其业务的安全稳定运营。

顶象Dinsight实时风控引擎，支持私有化部署和SaaS服务。以SaaS接入为例：

第一步，注册/登陆 顶象防御云，开通实时风险决策服务。

第二步，访问 [实时风险决策] - [应用管理] 菜单，新增应用。用来标识用户入口，比如：App、Web等。

第三步，访问 [实时风险决策] - [事件管理] 菜单，新增事件。用来标识应用下的具体业务事件，比如：注册、登录、营销活动。

第四步，访问 [实时风险决策] - [风控策略] - [策略管理] 菜单，添加一条简单策略。

第五步，业务后台开始集成。

在顶象防御云创建好应用和事件后，业务开发就可以开始集成工作，这里以java语言为例，其他语言集成类似。

集成SDK下载：https://www.dingxiang-inc.com/docs/detail/ctu#doc-h2-7
1）maven项目中引入依赖：

com.dingxiang-inc

ctu-client-sdk

2.2

2）在业务逻辑处理中，调用风险识别服务：

集成代码里的appId、appSecret、event_code参数值，可以登陆顶象防御云后台获取：

更多参数说明：https://www.dingxiang-inc.com/docs/detail/ctu#doc-h3-72

public static final String url = "https://sec.dingxiang-inc.com/ctu/event.do";

/**

• 应用AppId，公钥

**/

public static final String appId = "你的AppId";

/**

• 应用AppSecret，私钥，请做好保管，不要暴露出去

**/

public static final String appSecret = "你的AppSecret";

public static void checkRisk() throws Exception

Map<String, Object> data = new HashMap<>();

data.put("user_id", 456799324);          // 用户ID

data.put("phone_number", "手机号码"); // 手机号

data.put("source", 2);                   // 登录来源

data.put("ip", "x.x.x.x");               // 终端用户的请求ip

/** 创建一个请求实例 **/

CtuRequest request = new CtuRequest();

/** 登陆顶象防御云，查看事件管理的事件code **/

request.setEventCode("activity_event");

request.setData(data);

/** 请求唯一标识，便于排查问题。可自定义，可选 **/

request.setFlag(String.valueOf(System.currentTimeMillis()));



/**创建一个客户端实例**/

CtuClient client = new CtuClient(url, appId, appSecret);

/** CtuClient client = new CtuClient(url, appKey, appSecret, connectTimeout, connectionRequestTimeout,socketTimeout)

 可自定义超时设置

 connectTimeout，connectionRequestTimeout，socketTimeout 单位：毫秒

 默认超时设置均为2000毫秒

**/



/** 向决策引擎发送请求，获取结果 **/

CtuResponse response = client.checkRisk(request);

if (RiskLevel.ACCEPT.equals(response.getResult().getRiskLevel())) 

    System.out.printf(JSON.toJSONString(response));

    //... 业务代码，当前请求没有风险        

 else if (RiskLevel.REVIEW.equals(response.getResult().getRiskLevel())) 

    System.out.printf(JSON.toJSONString(response));

    //... 业务代码，当前请求有一定风险，建议复审        

 else if (RiskLevel.REJECT.equals(response.getResult().getRiskLevel())) 

    System.out.printf(JSON.toJSONString(response));

    //... 业务代码，当前请求有风险，建议拒绝

3. 运行代码

正常输出：

"result":"flag":"1680143678066","riskLevel":"ACCEPT","uuid":"63298b38-2117-4741-809e-41a8bae9d408"
注释掉手机号传参：

// data.put("phone_number", "手机号码");

再次运行，输出如下（riskLevel=REVIEW，说明有疑似风险）：

"result":"extraInfo":"hardId":"","_success_execute":true,"_policy_hit_id":3423,"_cost_time":0,"_degrade":0,"flag":"1680147929180","hitPolicyCode":"d6b61aa0aaf7446995076edf5266720e","hitPolicyName":"手机号不为空",
"hitRules":["id":11482,"leftValue":"phone_number"],"riskLevel":"REVIEW","riskType":"ACCOUNT_STOLEN","status":"SUCCESS","uuid":"cec3ab13-a22a-40e7-830a-7298036a87ae"
第六步，进阶使用。

1）业务场景沟通。

2）根据业务场景，定制设计和开发防控策略。

3）进一步结合设备指纹、验证码，实现综合防控，保障业务健康发展。

集成设备指纹：https://www.dingxiang-inc.com/docs/detail/const-id#doc-h2-1
集成验证码：https://www.dingxiang-inc.com/docs/detail/captcha#doc-h2-1
顶象Dinsight实时风控引擎可以在营销活动、支付下单、信贷申请等场景，对业务前端发送的请求进行风险判断，并于毫秒内返回决策结果，以提升业务系统对风险的防控能力。日常风控策略的平均处理速度在100毫秒以内，聚合数据引擎，集成专家策略，支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，支持多方数据的配置化接入与沉淀，能够进行图形化配置，并快速应用于复杂策略与模型；能够基于成熟指标、策略、模型的经验储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于系统+数据接入+指标库+策略体系+专家实施的实战；支持对现有风控流程的并行监测、替换升级，也可为新业务构建专用风控平台。

随着风控技术的不断普及和完善，企业使用风控系统已经变得越来越简单易用。同时，需要根据自身业务需求和风险特点，确定合适的风控策略和模型，以确保系统的准确性和实用性。这将帮助企业更好地抵御各种安全威胁，提高安全防范能力，从而保障其业务的正常运行和持续发展。

业务安全大讲堂：立即报名

业务安全产品：免费试用

业务安全交流群：加入畅聊

信贷系统学习总结—— 简单的风控示例（含代码）

一、背景

1.为什么要做风控?

目前我们业务有使用到非常多的AI能力,如ocr识别、语音测评等,这些能力往往都比较费钱或者费资源,所以在产品层面也希望我们对用户的能力使用次数做一定的限制,因此风控是必须的!

2.为什么要自己写风控?

那么多开源的风控组件,为什么还要写呢?是不是想重复发明轮子呀。要想回答这个问题,需要先解释下我们业务需要用到的风控(简称业务风控),与开源常见的风控(简称普通风控)有何区别:

风控类型	目的	对象	规则
业务风控	实现产品定义的一些限制,达到限制时,有具体的业务流程,如充值vip等	比较复杂多变的,例如针对用户进行风控,也能针对用户+年级进行风控	自然日、自然小时等
普通风控	保护服务或数据,拦截异常请求等	接口、部分可以加上简单参数	一般用得更多的是滑动窗口

因此,直接使用开源的普通风控,一般情况下是无法满足需求的

3.其它要求

• 支持实时调整限制
  很多限制值在首次设置的时候,基本上都是拍定的一个值,后续需要调整的可能性是比较大的,因此可调整并实时生效是必须的

二、思路

要实现一个简单的业务风控组件,要做什么工作呢?

1.风控规则的实现

a.需要实现的规则:

• 自然日计数

• 自然小时计数

• 自然日+自然小时计数

自然日+自然小时计数 这里并不能单纯地串联两个判断,因为如果自然日的判定通过,而自然小时的判定不通过的时候,需要回退,自然日跟自然小时都不能计入本次调用!

b.计数方式的选择:

目前能想到的会有:

• mysql+db事务
  持久化、记录可溯源、实现起来比较麻烦,稍微“重”了一点

• redis+lua
  实现简单,redis的可执行lua脚本的特性也能满足对“事务”的要求

• mysql/redis+分布式事务
  需要上锁,实现复杂,能做到比较精确的计数,也就是真正等到代码块执行成功之后,再去操作计数

目前没有很精确技术的要求,代价太大,也没有持久化的需求,因此选用 redis+lua 即可

2.调用方式的实现

a.常见的做法

先定义一个通用的入口

//简化版代码@ComponentclassDetectManager 
    funmatchExceptionally(eventId: String, content: String)
        //调用规则匹配val rt = ruleService.match(eventId,content)
        if (!rt) 
            throw BaseException(ErrorCode.OPERATION_TOO_FREQUENT)
        
    

在service中调用该方法

//简化版代码@ServiceclassOcrServiceImpl : OcrService 

    @Autowiredprivatelateinitvar detectManager: DetectManager
    
    /**
     * 提交ocr任务
     * 需要根据用户id来做次数限制
     */overridefunsubmitOcrTask(userId: String, imageUrl: String): String 
       detectManager.matchExceptionally("ocr", userId)
       //do ocr
    
    

有没有更优雅一点的方法呢? 用注解可能会更好一点(也比较有争议其实,这边先支持实现)

由于传入的 content 是跟业务关联的,所以需要通过Spel来将参数构成对应的content

三、具体实现

1.风控计数规则实现

a.自然日/自然小时

自然日/自然小时可以共用一套lua脚本,因为它们只有key不同,脚本如下:

//lua脚本
local currentValue = redis.call('get', KEYS[1]);
if currentValue ~= falsetheniftonumber(currentValue) < tonumber(ARGV[1]) thenreturn redis.call('INCR', KEYS[1]);
    elsereturntonumber(currentValue) + 1;
    end;
else
   redis.call('set', KEYS[1], 1, 'px', ARGV[2]);
   return1;
end;

其中 KEYS[1] 是日/小时关联的key,ARGV[1]是上限值,ARGV[2]是过期时间,返回值则是当前计数值+1后的结果,(如果已经达到上限,则实际上不会计数)

b.自然日+自然小时

如前文提到的,两个的结合实际上并不是单纯的拼凑,需要处理回退逻辑

//lua脚本
local dayValue = 0;
local hourValue = 0;
local dayPass = true;
local hourPass = true;
local dayCurrentValue = redis.call('get', KEYS[1]);
if dayCurrentValue ~= falsetheniftonumber(dayCurrentValue) < tonumber(ARGV[1]) then 
        dayValue = redis.call('INCR', KEYS[1]);
    else
        dayPass = false;
        dayValue = tonumber(dayCurrentValue) + 1;
    end;
else
   redis.call('set', KEYS[1], 1, 'px', ARGV[3]);
   dayValue = 1;
end;

local hourCurrentValue = redis.call('get', KEYS[2]);
if hourCurrentValue ~= falsetheniftonumber(hourCurrentValue) < tonumber(ARGV[2]) then 
        hourValue = redis.call('INCR', KEYS[2]);
    else
        hourPass = false;
        hourValue = tonumber(hourCurrentValue) + 1;
    end;
else
   redis.call('set', KEYS[2], 1, 'px', ARGV[4]);
   hourValue = 1;
end;

if (not dayPass) and hourPass then
    hourValue = redis.call('DECR', KEYS[2]);
end;

if dayPass and (not hourPass) then
    dayValue = redis.call('DECR', KEYS[1]);
end;

local pair = ;
pair[1] = dayValue;
pair[2] = hourValue;
return pair;

其中 KEYS[1] 是天关联生成的key, KEYS[2] 是小时关联生成的key,ARGV[1]是天的上限值,ARGV[2]是小时的上限值,ARGV[3]是天的过期时间,ARGV[4]是小时的过期时间,返回值同上

这里给的是比较粗糙的写法,主要需要表达的就是,进行两个条件判断时,有其中一个不满足,另一个都需要进行回退.

2.注解的实现

a.定义一个@Detect注解

@Retention(AnnotationRetention.RUNTIME)@Target(AnnotationTarget.FUNCTION, AnnotationTarget.CLASS)annotationclassDetect(

    /**
     * 事件id
     */val eventId: String = "",

    /**
     * content的表达式
     */val contentSpel: String = ""

)

其中content是需要经过表达式解析出来的,所以接受的是个String

b.定义@Detect注解的处理类

@Aspect@ComponentclassDetectHandler 

    privateval logger = LoggerFactory.getLogger(javaClass)

    @Autowiredprivatelateinitvar detectManager: DetectManager

    @Resource(name = "detectSpelExpressionParser")privatelateinitvar spelExpressionParser: SpelExpressionParser

    @Bean(name = ["detectSpelExpressionParser"])fundetectSpelExpressionParser(): SpelExpressionParser 
        return SpelExpressionParser()
    

    @Around(value = "@annotation(detect)")funoperatorAnnotation(joinPoint: ProceedingJoinPoint, detect: Detect): Any? 
        if (detect.eventId.isBlank() || detect.contentSpel.isBlank())
            throw illegalArgumentExp("@Detect config is not available!")
        
        //转换表达式val expression = spelExpressionParser.parseExpression(detect.contentSpel)
        val argMap = joinPoint.args.mapIndexed  index, any ->
            "arg$index+1" to any
        .toMap()
        //构建上下文val context = StandardEvaluationContext().apply 
            if (argMap.isNotEmpty()) this.setVariables(argMap)
        
        //拿到结果val content = expression.getValue(context)

        detectManager.matchExceptionally(detect.eventId, content)
        return joinPoint.proceed()
    

需要将参数放入到上下文中,并起名为arg1、arg2....

四、测试一下

1.写法

使用注解之后的写法:

//简化版代码@ServiceclassOcrServiceImpl : OcrService 

    @Autowiredprivatelateinitvar detectManager: DetectManager
    
    /**
     * 提交ocr任务
     * 需要根据用户id来做次数限制
     */@Detect(eventId = "ocr", contentSpel = "#arg1")overridefunsubmitOcrTask(userId: String, imageUrl: String): String 
       //do ocr
    
    

2.Debug看看

• 注解值获取成功

• 表达式解析成功