反欺诈-----

常规反欺诈模式

模式一重授信，轻支用

1 防范恶意注册：防恶意注册，

>1防范dos攻击或ddos攻击分布式攻击，抱库撞库等黑产行为。

2登录环境检查

>1异地ip检查，是否是常用设备，常用wifi检查等，异常登录时间

>1.1== ip 基站，基站公用出口，机房，专用出口，ip属于一个ipc（托管）企业宽带，公共场所，家庭宽带（团伙欺诈）

3授信策略

冠军/挑战者策略模式 ：单挑规则+决策树（模型）

4首次支用策略

黑名单，设备异常，环境异常，交易异常，信息改动，密码找回 银行卡解绑

5贷中拦截策略

构建贷中变量，发现潜在风险，进行N+1次支用拦截，对于消费贷效果好

6实名认证

人脸识别，ocr识别（禁止相册导入），银行三要素/四要素检查 --身份证 银行卡，手机卡，征信

模式二轻授信，重支用（多余网贷和电商平台）

1 主动授信策略：又称为预授信策略，及通过数据积累，发现可授信客户后，发送信息，客户及活额度。

2实名认证

人脸识别，ocr识别（禁止相册导入），银行三要素/四要素检查 --身份证 银行卡，手机卡 征信

3硬规则策略

只会放一些硬性规则，例如黑名单，关联设备异常等

4模型评分

一般有养卡模型，冒用模型和中介和团伙模型

5调查分级策略

对于识别不清的进行调查，对于高风险直接拒绝，对于低风险可通过

6贷中拦截策略

构建贷中变量，发现潜在风险，进行N+1次支用拦截，对于消费贷效果好

模式三单笔单批业务

1 信息收集核验

采用安全可靠的方式收集客户信息，并进行交叉和特殊渠道的核验

2实地策略

销售人员实地走访，其实是对销售的侦察

3电话粥策略

后台风险人员，针对可疑人员的电话拨打，采取各种调查策略再次验证

4激活策略

对于有疑问风险的业务，搁置处理，不通不拒

5举报反馈策略

开通有偿举报电话，邮箱，接受同业和客户的投诉

模式四流量合作模式

1流量监测

合作方众多，流量比例的变化也许是风险。

2入口检测

同一流量不同入口的变化也许是风险

3补充策略

在合作方的基础上，补充风控，前提是要和知道合作方的偏好，对于主要规则也不可轻视

4拒绝客户复核策略

精准性不如自有业务，要开通复审通道

5复盘策略

不同流量间的客户有重复性监控，双重通过我拒绝，即通过

冷启动阶段规则设计

1 设备反欺诈

        一、 申请频次类

        二、一机多关联类

        三、机器硬(软)类

        四、时间空间类

2 信息虚假反欺诈

        一、重复进件的信息的互检

        二、关联人信息的矛盾

        三、常识信息的矛盾

        四、推理信息的疑似欺诈

3 关联图谱反欺诈

        一、网络型异常规则

        二、团风险分过大规则

        三、关联形成的异常规则

  4 地理位置反欺诈

        一、ip关联类

        二、GPS区化类

        三、WIFI关联类

        四、地址信息聚集类

5 名单类反欺诈

        一、公检法黑名单

        二、自有黑名单和合作类黑名单

        三、筛选后的三方黑名单

        四、严重多头类（1分钟申请10家）

6 通讯反欺诈

        一、异常通话行为

        二、通讯录异常

        三、通话联系人异常

        四、手机号消费、账单、状态异常

        五、模型分不符

7 冷启动步骤

步骤一暴力穷举

确定目标大类：确定要穷举的规则大类，比如设备反欺诈的申请频次类

设计关键属性：确定申请频次要关联的属性信息如时间属性，地址属性

列举关键属性值：例如时间属性，可列举近一分钟，1小时、3小时、1天、7天等时间跨度可拉       大，侧重点不同。

异常点设计：比如地址属性信息，江西余干县、广西茂名电白区、海南瞻洲，要作为高风险区域点，从严设计。

合并同类项：穷举后会有一些维度相同，名称不同的规则，要合并去重

分类归档：穷举后的规则要分门别类形成文档，按时间轴可更新。

步骤二 数据和技术选择

筛选数据和技术：为设计好的规则和大类寻找合适的数据源和技术提供商（自研）

同类竞比：进行真实交易下稳定性和准确性测试，主要体现技术水平和数据覆盖度

冲突性测试：以黑名单为例，同质黑名单的重合度需要测试

建立主备机制：关键数据源和技术选取至少2家，小公司只能做备用

分流策略：对于实力相当的，也可以分流调用，对比实际风险表现

特殊响应策略：对于未查的，系统异常等特殊返回情况，建立补救策略。

步骤三 测试

样本选取：选取100+的好样本，尽量跨行业选取，设置测试集和训练集

触发率测试：线下方式对样本进行规则测试，针对触发率较高规则要重新审视

阈值调整或删减：对触发率为0或过高的规则进行阈值调整或主动删除

测试验证：对调整后的规则拿测试集再实验，观察规则表现稳定性和触发率情况。

分类文档：将调整阈值和删减的规则单独成册，测试合格规则单独成册。

步骤四 规则分类

确定分类方法：凭借初期的专家经验，进行严重程度的划分，综合考虑触发率和误识率高低。

规则打分：为了便于决策，需要确定每类规则的分数区间，建议使用打分机制。

聚类计算：对于不同类但是描述同一种风险的规则，在计算时要取MAX计算。

标签设置：因为复盘需要和欺诈分类需要，对重度规则要赋予标签，便于统计分析。

顺序设置：规则体系的跑分顺序可以从重到轻，或者从便宜到贵的方式设计。

步骤五 冠军/挑战/静默策略

策略分组：根据自己实验的目标，设置3-4组策略路由

冠军策略：主策略，建议70%比例，保证业务一定的通过率，初期欺诈率控制在1%，100条左右的规则。

挑战策略：更加严格的策略，可以将前面的砍掉或者放松阈值的规则发放进来，比例30%

静默策略：暴力衍生阶段所有规则设置，不做决策，仅保留数据。

复盘调整：1-2个月后，可以对三组策略进行复盘，然后调整比例或修改规则本身，3个月左右可以建立模型，逐渐替代一部分规则。

欺诈样本有效定义

信用卡：

定义难度：2级

类型1：提额后首次出现逾期。

类型2：套现客户出现逾期

类型3：某消费商户逾期率超过平均水平3倍以上

类型4：某消费逾期率超过平均水平3倍以上

类型5：超低额逾期

类型6：异常刷卡行为，如异常MCC，高额刷卡，刷卡地异常等等，

消金公司：

定义难度：4级

类型1：很多借款人成团，团逾期率过高

类型2：首笔全额提款后首期逾期

类型3：催收时发现借款人失踪，或告知非本人借款

类型4：机器人语音识别

互金平台：

定义难度：3级

类型1：通过电商平台发现消费异常订单

类型2：商户或消费者投诉出现欺诈

类型3：生态内其他行为异常

类型4：复杂网络中交易关联

类型5：设备信息异常

类型6：物流反馈异常

类型7：大型催收团队反馈

P2P：定义难度：4级

类型1：很多借款人成团，团逾期率过高

类型2：首笔全额提款后首期逾期

类型3：催收时发现借款人失踪，或告知非本人借款

类型4：机器人语音识别

欺诈样本有效定义的步骤

1 确定可用资源

2 统一账单日

3 欺诈排除

4 碰库及失联率评估

5 拒绝客户挖掘

反欺诈变量的设计与衍生

1 变量的设计思路

        1简洁化思路：不追求错综复杂的计算逻辑，维度能降就降

        2可解释原则：不搞暴力衍生，追求业务可解释性

        3可获取原则：变量是可简单获取的，成本和获取量都可视

2 衍生构建方法

        1 交叉验证法

        2母子衍生法

        3逐渐替代法

        4相邻元素法

        5拒绝衍生法

        6反向推导法

        7元素拼接法

        8趋势衍生法

、    9前置条件法

3 策略迭代与优化

        part--1  专家经验驱动的

        1.1

        part--2   特殊案件驱动的

        part--3   矛盾关系引起的

        part--4   技术变革引发的