支付风控系统设计：支付风控场景分析 (一)

风控是一个让人爱恨交加的话题。 对支付来说风控是必不可少的功能。这个系列的文章将试图从这两个领域简单梳理下支付风控面临的问题，以及如何从技术角度来解决这些问题。

风控是一个让人爱恨交加的话题。 对支付来说风控是必不可少的功能。只要老板不想把底裤都赔掉，那就必须上风控。可对互联网公司来说，风控是一个谜一般的话题，无论是对风控专家还是IT工程师而言。随着互联网和大数据技术的引入，风控变成了一个跨学科的领域，可这无疑是互联网公司里面最同床异梦的跨学科。

机器学习、深度学习、规则推理、随机森林……光这些名词就足以让人风控专家望而怯步；而风险事件、尽职调查、巴塞尔协议……这些名词，一提起来IT人员就头大。这个系列的文章将试图从这两个领域简单梳理下支付风控面临的问题，以及如何从技术角度来解决这些问题。

概念定义

按照教科书的说法， 风险是指在特定场景下，特定时间内某个损失发生的可能性，或者说是在某一个特定时间段里，人们所期望达到的目标与实际出现的结果之间的差距。金融领域自从诞生以来，就一直伴随着风险。风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险事件发生时造成的损失。这里又引入了一个词，风险事件， 它和风险因素经常容易混淆。 风险事件指造成风险的直接原因，风险因素则是间接原因。 如下雨天路滑导致发生车祸造成人员伤亡。 则车祸是人员伤亡的直接原因，是风险事件。而下雨天是间接原因，属于风险因素。 先看一条小道消息惊悚下：

风控做不好，一个晚上2个亿就出去了。饶是该公司财大气粗，也扛不住几次折腾。一个漏洞搞垮一个小公司也是常有的事。对支付系统来说，安全是第一考虑的问题，特别是资金安全，这需要风控系统来保驾护航。那一般来说，支付系统会面临哪些风险？ 不同文献有不同的风险分类，本文试图从账户、资金、交易、操作、信用风险角度来详细描述。

账户风险

支付系统最常见的，也是在黑产圈中最为成熟的，那就得算账户的风险，即俗话说的“盗号”。近几年来，各大型互联网网站的账户泄露事故层出不穷，携程，京东，CSDN等都中过招，每一次都能引起轩然大波。而在黑产圈，账号窃取都形成了一套完整成熟的产业链。

这是目前在黑产圈中账户攻击的主要流程，以下分析在这个过程中每个阶段的具体操作，为风险系统设计提供依据。

拖库

拖库是实施账户攻击的第一步。考虑到大型网站一般防守比较严密，黑客一般选择从小型网站入手，入侵到一些防守薄弱或有漏洞的网站，将注册用户的资料窃取出来。常见手法包括：

1. 利用操作系统和系统组件漏洞

比如近年来杀伤力最大的漏洞之一[Heartlbleed](支付风控系统设计：支付风控场景分析 (一)
支付风控系统设计：风控数据仓库建设（二）

作者：凤凰牌老熊，程序员 & 架构师

关键字：设计, 产品经理

版权声明

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处。如若内容有涉嫌抄袭侵权/违法违规/事实不符，请点击 举报 进行投诉反馈！