3. 审计数据基础:交易流水表结构、用户画像数据、设备指纹数据、黑白名单体系

做反欺诈审计,说白了就是跟数据打交道。你想想看,没有数据,你拿什么去判断一笔交易是好人还是坏人?我刚开始接触这个领域时,总觉得算法模型才是核心,后来踩过几次坑才明白——数据基础不牢,地动山摇。

这一章,我就带你看看反欺诈审计最常用的四类数据。它们就像侦探手里的四把钥匙,缺一把都可能漏掉关键线索。

3.1 交易流水表结构——审计的“案发现场”

交易流水,是所有分析的起点。每一笔交易都记录了一个行为,我们要做的就是从中找出异常。

一张标准的交易流水表,通常包含这些字段:

字段名 类型 说明 我的经验
trade_id string 交易唯一标识 注意检查是否有重复ID,我遇到过数据源重复推送的情况
user_id string 用户ID 关联用户画像的关键
trade_time datetime 交易时间 精确到毫秒,做时序分析必备
amount decimal 交易金额 单位统一,我见过有的系统用分,有的用元
trade_type string 交易类型(消费/转账/提现) 不同类型,风险特征完全不同
ip_address string 交易IP 做IP属地分析的基础
device_id string 设备指纹ID 关联设备指纹表
status int 交易状态(成功/失败/风控拦截) 别只看成功交易,失败的往往更有价值
我的小习惯:拿到交易流水后,我第一件事不是跑模型,而是先做数据质量检查。看看trade_time有没有未来时间,amount有没有负数或零。这些脏数据会直接带偏你的分析结果。

3.2 用户画像数据——给用户“画个像”

用户画像,就是给每个用户打标签。比如年龄、性别、注册时间、历史交易次数、平均客单价等等。这些标签能帮你快速判断一个用户“正不正常”。

举个例子:一个刚注册3小时的新用户,突然发起一笔5万元的转账。单看交易流水,金额不大不小,没什么问题。但结合用户画像一看——注册时间太短,历史交易次数为0,这就很可疑了。

用户画像数据通常包括:

  • 基础属性:年龄、性别、职业、地区
  • 行为特征:近30天交易次数、平均金额、常用设备数
  • 信用特征:历史逾期次数、实名认证状态、绑卡数量
  • 风险标签:是否命中黑名单、是否被举报过
避坑指南:我曾经接手过一个项目,用户画像数据里“注册时间”字段全是空值。后来一查,是ETL脚本漏配了。你想想看,没有注册时间,你怎么判断一个用户是不是“新客”?所以,数据血缘和字段完整性检查,一定要做在前头。

3.3 设备指纹数据——识别“幕后黑手”

设备指纹,说白了就是给每个手机或电脑发一个唯一ID。这个ID很难被篡改,哪怕用户换账号、换IP,只要设备不变,我们就能认出来。

设备指纹包含的信息很丰富:

  • 硬件信息:设备型号、CPU、内存、屏幕分辨率
  • 软件信息:操作系统版本、浏览器UA、安装的应用列表
  • 网络信息:MAC地址、WiFi名称、基站信息
  • 行为信息:屏幕点击轨迹、传感器数据

为什么设备指纹这么重要?因为黑产团伙经常批量注册账号,但他们手里的设备是有限的。你想想看,100个账号都从同一台设备登录,这正常吗?

核心逻辑:设备指纹的稳定性远高于账号和IP。一个设备对应多个账号,是典型的团伙欺诈信号。

3.4 黑白名单体系——审计的“红绿灯”

黑白名单,是反欺诈体系里最直接、最暴力的手段。但很多人用错了,以为有了黑名单就万事大吉。其实不然。

我习惯把名单体系分成三层:

  1. 黑名单:明确有欺诈行为的用户、设备、IP。命中直接拦截,没有商量余地。
  2. 白名单:高信用用户、内部测试账号。这些交易直接放行,减少误伤。
  3. 灰名单:可疑但证据不足的实体。需要进一步分析,不能直接拦,也不能直接放。

黑白名单的维护,是个动态过程。我见过有些团队,黑名单半年不更新,结果黑产早就换了一批新设备了。所以,名单一定要有生命周期管理,定期清理过期数据。

我的做法:我会给每个名单条目加上“置信度”字段。比如某个IP被命中3次以上,置信度设为0.9;只命中1次,设为0.5。这样在规则引擎里,可以灵活调整拦截阈值。

3.5 知识体系总览

这四类数据的关系,我用一张图来总结。你看完应该就清楚了:

反欺诈审计数据基础 交易流水表 用户画像数据 设备指纹数据 黑白名单体系 四类数据相互补充,共同构成反欺诈审计的数据基石

这四类数据,就像侦探手里的四样工具:交易流水是现场脚印,用户画像是嫌疑人档案,设备指纹是DNA检测,黑白名单是通缉令。缺了任何一样,你的判断都可能出现偏差。

嗯,数据基础就聊到这儿。下一节我们开始动手,用Python把这些数据串起来,跑一个真实的审计案例。


专注资料整理