28电子商务风险控制

28电⼦商务风险控制电⼦商务⽹站在给⼈们带来购物交易的极⼤便利的同时，也将风险带给了对⽹络安全⼀⽆所知的⼈们。由于买卖双⽅的信息不对等，交易本来就存在风险，⽽当交易在⽹上发⽣时，买卖双⽅彼此⼀⽆所知，交易风险也就更加难以控制。如果⼀个电商⽹站骗⼦横⾏，诚信的交易者屡屡被骗，那么⽹站就到了最危险的时候，可以说，交易安全是电⼦商务⽹站的底线。1风险电⼦商务具有多种形式，B2B、B2C、C2C每种交易的场景都不相同，风险也各有特点，⼤致可分为以下⼏种。账户风险：包括账户被⿊客盗⽤，恶意注册账号等⼏种情形。买家风险：买家恶意下单占⽤库存进⾏不正当竞争；黄⽜利⽤促销抢购低价商品；此外还有良品拒收，欺诈退款及常见于B2B交易的虚假询盘等。卖家风险：不良卖家进⾏恶意欺诈的⾏为，例如货不对板，虚假发货，炒作信⽤等,此外还有出售违禁商品、侵权产品等。交易风险：信⽤卡盗刷，⽀付欺诈，洗钱套现等。2风控⼤型电商⽹站都配备有专门的风控团队进⾏风险控制，风控的⼿段也包括⾃动和⼈⼯两种。机器⾃动识别为⾼风险的交易和信息会发送给风控审核⼈员进⾏⼈⼯审核，机器⾃动风控的技术和⽅法也不断通过⼈⼯发现的新风险类型进⾏逐步完善。机器⾃动风控的技术⼿段主要有规则引擎和统计模型。1.规则引擎当交易的某些指标满⾜⼀定条件时，就会被认为具有⾼风险的欺诈可能性。⽐如⽤户来⾃欺诈⾼发地区；交易⾦额超过某个数值；和上次登录的地址距离差距很⼤；⽤户登录地与收货地不符；⽤户第⼀次交易等等。⼤型⽹站在运营过程中，结合业界的最新发现，会总结出数以千计的此类⾼风险交易规则。⼀种⽅案是在业务逻辑中通过编程⽅式使⽤if…else…代码实现这些规则，可想⽽知，这些代码会⾮常庞⼤，⽽且由于运营过程中不断发现新的交易风险类型，需要不断调整规则，代码也需要不断修改……⽹站⼀般使⽤规则引擎技术处理此类问题。规则引擎是⼀种将业务规则和规则处理逻辑相分离的技术，业务规则⽂件由运营⼈员通过管理界⾯编辑，当需要修改规则时，⽆需更改代码发布程序，即可实时使⽤新规则。⽽规则处理逻辑则调⽤规则处理输⼊的数据，如图8.14所⽰。2.统计模型规则引擎虽然技术简单，但是随着规则的逐渐增加，会出现规则冲突，难以维护等情况，⽽且规则越多，性能也越差。⽬前⼤型⽹站更倾向于使⽤统计模型进⾏风控。风控领域使⽤的统计模型使⽤前⾯提到的分类算法或者更复杂的机器学习算法进⾏智能统计。如图8.15所⽰，根据历史交易中的欺诈交易信息训练分类算法，然后将经过采集加⼯后的交易信息输⼊分类算法，即可得到交易风险分值。经过充分训练后的统计模型，准确率不低于规则引擎。分类算法的实时计算性能更好⼀些，由于统计模型使⽤模糊识别，并不精确匹配欺诈类型规则，因此对新出现的交易欺诈还具有⼀定预测性。3⼩结这个世界没有绝对的安全，正如没有绝对的⾃由⼀样。⽹站的相对安全是通过提⾼攻击门槛达到的。让攻击者为了获得有限的利益必须付岀更⼤的代价，致使其得不偿失,望⽽却步。同时，攻击与防护技术作为⼀对⽭盾共同体，彼此不断此消彼长，今天的⾼枕⽆忧,明天可能就成了致命的漏洞。也许⽹站经过⼀番⼤的重构和优化，在某⼀段时间不需要再处理⾼可⽤或⾼性能的问题，但是修补漏洞、改善安全却是每天都需要⾯对的课题,永远不能停