第二章:金融风控基础——传统风控模型的局限与黑产运作模式

大家好,我是老张。在金融风控这行摸爬滚打了十几年,今天咱们聊聊一个很现实的问题:为什么传统风控模型越来越不够用了?以及,我们的对手——黑产和欺诈团伙,到底是怎么运作的?

说实话,我刚入行那会儿,评分卡和规则引擎就是神一样的存在。但后来,我亲眼看着它们被黑产一步步打穿。嗯,这里面的门道,我慢慢给你讲。

2.1 传统风控模型:评分卡与规则引擎

先简单回顾下传统风控的两大支柱。

2.1.1 评分卡

评分卡,说白了就是给用户打分。根据年龄、收入、负债、征信记录这些维度,算出一个分数。分数高,就批贷;分数低,就拒绝。

我个人习惯用逻辑回归做评分卡,因为它可解释性强。但它的缺点也很明显:

  • 线性思维:它假设每个特征对风险的影响是线性的。但现实世界哪有这么简单?
  • 特征工程靠人工:你得手动去挖特征,费时费力。而且很多隐藏的关联关系,你根本想不到。
  • 更新慢:模型上线后,通常半年甚至一年才迭代一次。黑产早就换了好几轮打法了。

举个例子:我遇到过一家消费金融公司,评分卡里“月收入”这个特征的权重很高。结果黑产团伙专门包装了一批“高收入”的虚假资料,评分卡直接失效。为什么?因为它只看收入数字,不看收入来源是否真实。

2.1.2 规则引擎

规则引擎就是一堆“如果...那么...”的逻辑判断。比如:

IF 申请IP地址 = 高风险地区 THEN 拒绝
IF 设备指纹 = 黑名单设备 THEN 拒绝
IF 同一手机号申请次数 > 3 THEN 人工审核

规则引擎的好处是响应快,能拦截一些明显的欺诈。但它的局限性更大:

  • 规则是死的:黑产只要绕过某一条规则,就能钻空子。
  • 规则冲突:规则多了以后,经常出现互相矛盾的情况。比如A规则说通过,B规则说拒绝,到底听谁的?
  • 维护成本高:我见过一家公司的规则引擎里躺着3000多条规则,没人敢动,因为一动就可能出问题。

避坑指南:我曾经接手过一个项目,规则引擎里有一条“同一IP地址24小时内申请超过5次则拒绝”。结果黑产团伙用代理IP池,每次申请都换IP,这条规则形同虚设。所以,规则引擎必须配合动态的、关联性的检测手段。

2.2 传统模型的局限性总结

我把传统模型的局限性归纳为三点,你想想看是不是这个理:

局限性 具体表现 后果
孤立视角 只看单个用户、单次申请,不看用户之间的关联 无法识别团伙欺诈
静态规则 规则和模型更新慢,跟不上黑产变化 被黑产针对性绕过
特征稀疏 依赖有限的结构化数据,忽略关系、行为等非结构化信息 漏掉大量风险信号

说白了,传统模型就像是在用一把尺子量所有人的身高,但黑产早就学会了“缩骨功”。

2.3 黑产与欺诈团伙的运作模式

知己知彼,百战不殆。我们先看看黑产是怎么运作的。

2.3.1 黑产产业链

现在的黑产,早就不是一个人单打独斗了。它是一条完整的产业链:

  • 上游:提供基础资源,比如身份证、手机号、银行卡、设备信息。这些信息从哪里来?数据泄露、暗网购买、甚至自己伪造。
  • 中游:负责技术实现,比如开发自动化工具、搭建虚假资料包装平台、提供代理IP和指纹修改服务。
  • 下游:实施欺诈行为,比如申请贷款、薅羊毛、刷单、洗钱。

我见过一个典型的案例:一个黑产团伙,上游从某电商平台泄露了100万条用户数据,中游用这些数据批量注册了网贷账号,下游用这些账号申请贷款。整个过程全自动化,一天能申请几千笔。

2.3.2 欺诈团伙的典型手法

欺诈团伙的手法五花八门,但万变不离其宗。我总结了几种最常见的:

  1. 身份伪造:用虚假或盗用的身份信息申请贷款。比如“三件套”(身份证、手机号、银行卡)全是假的。
  2. 团伙包装:一个团伙有几十甚至上百个成员,每个人扮演不同的角色。比如有人负责提供资料,有人负责接听审核电话,有人负责收款。
  3. 设备农场:用大量手机、电脑等设备,配合改机工具,模拟出成千上万个不同的“用户”。每个设备都像是一个独立的真人。
  4. 行为模拟:模拟正常用户的行为轨迹,比如先浏览几个商品页面,再申请贷款,甚至故意填错几次信息再提交。目的就是骗过行为模型。

我的经验:有一次,我们通过知识图谱发现,一个团伙的几十个账号都共用同一个收货地址。虽然每个账号的IP、设备、手机号都不同,但地址暴露了他们。这就是关系的力量。

2.4 为什么传统模型防不住黑产?

原因很简单:传统模型看的是“点”,黑产玩的是“网”。

评分卡和规则引擎,都是针对单个用户、单次申请做判断。但黑产团伙是一个整体,他们之间的关联关系才是最大的风险信号。比如:

  • 两个看起来毫无关系的用户,可能共用同一个设备指纹。
  • 几十个用户,可能都来自同一个IP段。
  • 几百个用户,可能都填了同一个紧急联系人。

这些关联关系,传统模型根本看不到。而知识图谱,恰恰就是用来捕捉这些“关系”的。

2.5 本章知识体系图

下面这张图,帮你理清本章的核心逻辑:

传统风控模型局限性 vs 黑产运作模式 传统风控模型 评分卡(逻辑回归) 规则引擎(IF-THEN) 局限性 孤立视角:只看单点 静态规则:更新慢 特征稀疏:忽略关系 防不住 黑产与欺诈团伙 产业链:上游/中游/下游 典型手法:身份伪造/团伙包装 核心特点 团伙协作:多人配合 动态变化:手法迭代快 关系网络:以“网”打“点” 结论:传统模型看“点”,黑产玩“网”,知识图谱是破局关键

这张图很直观:左边是传统模型的三大局限,右边是黑产的三大特点。两者一对比,你就明白为什么传统模型越来越力不从心了。

2.6 小结

这一章我们聊了传统风控模型的局限性,也看了黑产是怎么运作的。说白了,传统模型就像是一个守门员,但黑产已经学会了从四面八方进攻。下一章,我们会正式引入知识图谱,看看它如何帮我们看清黑产的全貌。

记住一句话:当你在看单个用户的时候,黑产在看整个网络。 这就是我们需要知识图谱的原因。


公众号:蓝海资料掘金营,微信deep3321