共享经济潮流中的风控实践分享 滴滴出行 业务安全部 马宁 2016/06 关于我 2005~2010，华为 2010~2015，腾讯 2015年初~至今，滴滴出行 参与滴滴安全部组建，负责业务安全团队 过去几年移动互联网飞速发 展，极大地改变了用户习惯。 各种新商业模式也在改变着我 们日常生活中的衣食住行。 各家平台为了将用户留住，纷 纷使出各种运营手段来确保自 家用户数、业务量与竞品拉开 差距。 在滴滴业务规模逐步扩大的过 程中，实践出适合自身业务的 风控方法，取得了较好的效 果。 滴滴是怎么做风控的？ 风控系统 rsp req 后 台 策略配置 审计中心 特征管理 安全BI 同人服务 业务数据 业务日志 业务接口 在 线 人机识别 特征数据 策略配置 kafka 事件接入 特征计算 规则引擎 决策引擎 敏感词 黑白名单 权限配置 离 线 特征抽取 离线规则 机器学习 风险信用 外部数据 人车验证 文件存储 命中记录 处罚记录 风控日常工作 事前预防 外部情报搜集 事中监控与拦截 持续优化 效果评估与策略迭代 事后分析与追回 卡住入口与出口 • 卡住入口 设置一定的注册门槛，对预判出不同风险等级的用户采用不同的注册验证 手段。对司机（服务提供方）可以设置较严格的准入条件，以及进行日 常检查确保帐号是本人在使用。 • 卡住出口 对获利出口设置一定的校验条件，严格监控。 识别用户身份 设备 同人服务 环境信息 并查集、频次统计、团伙挖掘、行为分析、外部数据 行为 账户 识别背后是否是同一自然人/团伙 衡量不当获利的成本与收益 与自己比 推荐奖 优惠券 设备 收入 – 支出 时间 司机补贴 帐号 确保自身 门槛较高 与竞品比 其他 与行业比 获利效率 重视APP安全 准确的数据 + 合适的算法 = 良好的风控效果 数据真实性无法保证，后续都是无用功 静态防护 运行时防护 接口加密加签 本地安全存储 数据可靠 提防内部挖坑 同一业务新老特性组成漏洞 总有那么几 个在悄悄的 挖坑 不同业务的特性组成漏洞 内外勾结泄露信息 运营错误配置活动规则 未经安全评审上线活动 做好内部流程和教育 D部门 C部门 安全风险管控体系、制度流程体系建设 与维护 B部门 A部门 80分 安全能力培养与安全意识提升 案例库积累与安全课程开展 60分 30分 60分 借助外部力量 与政府部门合作. 业内伙伴联防联控. 采购外部数据补充缺失纬度 采购外部现成方案快速补齐短板 持续提升自身能力 做好上述几点就可以了吗？ 通常业务部门KPI与安全部门目标是冲突的 具体安全方案的落地必然伴随着争吵 责任、权力、 利益的合理划分 相辅相成、相互制约、相互作用 责任 合理划分各岗位应当承担的责任 权力 对责任人赋予相应权力 利益 给予与责任相符的回报 责任 利益 权力 当前补贴越来越少你们不就没事做了吗？ 其他场景 捣乱用户对司机进行发假单，影响司机正常工作 竞品恶意消耗平台运力，攻击业务接口 协助业务做服务管控 ……