风险控制核心三原则
无论在传统金融还是互联网金融领域,风险控制都是非常重要的一环,随着近几年金融领域形态的多样化,风险控制也变得越来越重要,但总体来说,无论是银行、保险,还是信托、小额贷款、融资租赁,风险控制面临的核心三原则是一样的,即:1.来申请的是人还是机器?2.如何证明“我”是“我”?,3.“我”到底能借多少钱?
来申请的是人还是机器?
集团化的黑产,在互联网中是非常盛行的。对黑产来说,他们有着非常好的设备,且可以进行大批量的操作,面对这种情况,风险控制应该如何做?
从交互角度分辨
手机短信和各种手动验证是常用反欺诈手段,常用于判断是不是人在操作。在自有产品的设计中,通过在用户的输入/交互过程中埋点,比如手机号输入、证件号码输入、填写短信验证码回执的时候进行埋点,再比如获取短信验证码、鼠标移动滑块动作等,其实也是一个埋点。如果一个人输入证件号码是在一秒之内完成,那这个操作多半是由机器完成的,因为人很难在一秒内完成输入操作。在短信验证的时候也是,从手机号码的输入到验证码回复,整个的过程中需要埋点,从时间序列中抽丝剥茧的理解机器和人的区别。人是有正常思维的,机器模拟人的时候,因为受到网络、批量操作等因素限制,要么速度很快,要么速度很慢。
从属性角度分辨
从属性的角度,常用来判断一次申请是否从一台正常的设备发起的。一台正常的设备会有设备指纹、设备类型参数、WiFi mac地址、重力等厂商数据,有合理的开机时间、设备容量、位置移动、app列表等行为数据。比如一台设备99%的时间处于关机状态,那由这台设备发起的申请欺诈风险就会比较高,再比如一台设备WiFi的mac地址没有对应的厂商,那这台设备真实性就比较可疑。
如何证明“我”是“我”?
对互联网金融业务来说,运营过程中是没有面签环节的,也就是无法亲眼见到客户,那么借款人的意愿以及借贷是否由借款人亲自发起,是非常关键的,但这在技术上如何实现那?
一方面,可以使用OCR人脸识别、声纹识别等活体识别技术,鉴定借贷行为申请人是否为本人。以手机端人脸识别技术为例,实际上是建立在服务器上来识别的,因为人脸识别技术算法很大,需要很强的处理能力,手机端是无法满足操作要求的。市面上常见的手机端人脸识别技术,实际上由两部分组成,一部分为活体监测,利用前端来确定是否为活体,另一部分是通过某一时刻对人脸拍照,上传服务器进行人脸比对,判断是否为同一个人(目前人脸识别是有bug的,比如无法区分双胞胎)。至于声纹识别,同指纹一样,可以唯一的标识一个人,目前公安正在制作第一版声纹库。
另一方面,可以接入第三方数据,通过二要素、三要素、图像等信息,核验申请人是否为本人。不管是公安查询中心还是运营商,目前市面上都有相关厂商能提供以上身份核验功能。不过因为个人隐私、数据泄露等问题,选择第一手数据源的第三方厂商,对业务的稳定性非常关键。
“我”到底能借多少钱?
能借多少钱,本质上是信用建模的过程,也就是信用风险评分模型,在借贷行为发生时,使用数理统计概率原理和算法,依据借款人的相关数据(e.g. 年龄、历史借贷次数、学历、收入等),对每一笔借款生成一个违约概率,作为判断借贷额度的依据。在算法选择上,常用的算法有逻辑回归、决策树和随机森林。大部分信贷评分模型选择逻辑回归,其优点如成熟稳定、评分结果稳定、评分构成透明、实施部署简单、不容易过拟合等等。
以下是信用评分建模的一个流程图:
作者:小莉克
链接: http://zhihu.com/people/LikeRisk
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。