3. 审计数据基础:交易流水表结构、用户画像数据、设备指纹数据、黑白名单体系
做反欺诈审计,说白了就是跟数据打交道。你想想看,没有数据,你拿什么去判断一笔交易是好人还是坏人?我刚开始接触这个领域时,总觉得算法模型才是核心,后来踩过几次坑才明白——数据基础不牢,地动山摇。
这一章,我就带你看看反欺诈审计最常用的四类数据。它们就像侦探手里的四把钥匙,缺一把都可能漏掉关键线索。
3.1 交易流水表结构——审计的“案发现场”
交易流水,是所有分析的起点。每一笔交易都记录了一个行为,我们要做的就是从中找出异常。
一张标准的交易流水表,通常包含这些字段:
| 字段名 | 类型 | 说明 | 我的经验 |
|---|---|---|---|
| trade_id | string | 交易唯一标识 | 注意检查是否有重复ID,我遇到过数据源重复推送的情况 |
| user_id | string | 用户ID | 关联用户画像的关键 |
| trade_time | datetime | 交易时间 | 精确到毫秒,做时序分析必备 |
| amount | decimal | 交易金额 | 单位统一,我见过有的系统用分,有的用元 |
| trade_type | string | 交易类型(消费/转账/提现) | 不同类型,风险特征完全不同 |
| ip_address | string | 交易IP | 做IP属地分析的基础 |
| device_id | string | 设备指纹ID | 关联设备指纹表 |
| status | int | 交易状态(成功/失败/风控拦截) | 别只看成功交易,失败的往往更有价值 |
3.2 用户画像数据——给用户“画个像”
用户画像,就是给每个用户打标签。比如年龄、性别、注册时间、历史交易次数、平均客单价等等。这些标签能帮你快速判断一个用户“正不正常”。
举个例子:一个刚注册3小时的新用户,突然发起一笔5万元的转账。单看交易流水,金额不大不小,没什么问题。但结合用户画像一看——注册时间太短,历史交易次数为0,这就很可疑了。
用户画像数据通常包括:
- 基础属性:年龄、性别、职业、地区
- 行为特征:近30天交易次数、平均金额、常用设备数
- 信用特征:历史逾期次数、实名认证状态、绑卡数量
- 风险标签:是否命中黑名单、是否被举报过
3.3 设备指纹数据——识别“幕后黑手”
设备指纹,说白了就是给每个手机或电脑发一个唯一ID。这个ID很难被篡改,哪怕用户换账号、换IP,只要设备不变,我们就能认出来。
设备指纹包含的信息很丰富:
- 硬件信息:设备型号、CPU、内存、屏幕分辨率
- 软件信息:操作系统版本、浏览器UA、安装的应用列表
- 网络信息:MAC地址、WiFi名称、基站信息
- 行为信息:屏幕点击轨迹、传感器数据
为什么设备指纹这么重要?因为黑产团伙经常批量注册账号,但他们手里的设备是有限的。你想想看,100个账号都从同一台设备登录,这正常吗?
3.4 黑白名单体系——审计的“红绿灯”
黑白名单,是反欺诈体系里最直接、最暴力的手段。但很多人用错了,以为有了黑名单就万事大吉。其实不然。
我习惯把名单体系分成三层:
- 黑名单:明确有欺诈行为的用户、设备、IP。命中直接拦截,没有商量余地。
- 白名单:高信用用户、内部测试账号。这些交易直接放行,减少误伤。
- 灰名单:可疑但证据不足的实体。需要进一步分析,不能直接拦,也不能直接放。
黑白名单的维护,是个动态过程。我见过有些团队,黑名单半年不更新,结果黑产早就换了一批新设备了。所以,名单一定要有生命周期管理,定期清理过期数据。
3.5 知识体系总览
这四类数据的关系,我用一张图来总结。你看完应该就清楚了:
这四类数据,就像侦探手里的四样工具:交易流水是现场脚印,用户画像是嫌疑人档案,设备指纹是DNA检测,黑白名单是通缉令。缺了任何一样,你的判断都可能出现偏差。
嗯,数据基础就聊到这儿。下一节我们开始动手,用Python把这些数据串起来,跑一个真实的审计案例。