在风控领域丰富的行业实践积累之后，今天我们来分享一下基于设备的风控体系。而今设备端上的风控技术被广泛应用于账号安全、营销增长、支付交易、内容安全等场景。如果说营收变现好比是一个习武之人的外功，那么坚实完备的风控体系则是必修的内功。它与业务相辅相成，缺一不可。

下面我们就从营销增长入手，为大家把基于设备的风控体系进行一步步剖析。

用户增长的基石 —— 增长模型

​

我们熟知的 AARRR 增长模型被广泛应用于电商运营中。

AARRR 是获取(Acquisition)、促活(Activation)、留存(Retention)、变现转化(Revenue)、传播推荐(Referral) 这个五个单词的缩写，分别对应用户生命周期中的 5 个重要环节。AARRR 模型是当下用户增长的基础模型。

有了 AARRR 模型基础，电商用尽各种方式，投入了大量资源对用户生命周期进行管理。还记得在疫情之后，2020年的下半年，各种生鲜电商旗下的社区团购非常火爆，各式各样的买菜 APP 蜂拥入场。企业砸钱、抢流量，争夺每一个可能的用户。毫不夸张地说，这便是当时的日常：在小区周边溜达一圈，就会看到各种颜色着装的地推人员或者临时档口，追赶着给路过的男女老少推广下载外卖 APP ，领取无门槛红包或者下载 App 注册登录首单免费。

比如，为刺激消费者下单，当打开某团优选，你会发现每天有6个时间段、30款商品会参与限时秒杀活动，甚至还有新用户能以“1分购”的超低价购买到所需蔬菜、水果。

隐藏在增长背后的风险

在 AARRR 模型里，企业会消耗高额预算只为吸引流量，但同时也会将黑灰产的恶意流量吸引过来。黑灰产通过篡改、群控等非法的技术手段，自动化、规模化地伪造大量虚假用户攫取企业投入的成本，以为他们牟取不合法的利益。所以，如果只是为了吸引流量，增长用户数量而不考虑质量的话，会白白增加消耗企业投入的成本，造成一种虚假的繁荣。

怎么识别出有效流量与虚假流量，则需要对流量进行治理，建立一个完善的风控体系，并制定有效的策略找出高质量流量，然后把这些流量留下来。

为了提高用户的复购频率，实现反复的变现转化，就出现了使用各种红包、优惠券等活动手段来吸引用户提高打开 App 的频率，进一步地提升用户的购买频率，在这个环节中会有各种薅羊毛的人群出现。因此，同样需要对流量进行治理，建立完善的风控体系与制定有效的策略来最大程度地甄别风险。

当 AARRR 模型愈发成为用户生命周期管理的利器，当红包补贴满天飞，当套利成本非常低，当获利收益大过风险，在这背后便是暗流涌动的黑灰产。

那么，如何有效解决潜藏在增长下的风险，成了我们要思考的事情。

基于设备建立风控

通过推广拉新导流，最终流量都要被转化为商家平台自己的私域流量，而这些流量都通过移动设备作为锚点与平台建立联系。建立好基于设备的风控体系，才能治理好优质流量与恶意流量，故基于设备建立风控体系是企业在进行流量运营时必须考虑的风控方案。

风险识别的深度与广度

建设基于设备的风控核心，即为针对作弊的技术和工具的识别。黑产行为模式会随着行业变化而变化，而技术和工具特征却相对稳定。因此，为了识别快速变化的黑产行为，我们着重于对黑产工具与资源以及黑产技术的识别。

通常企业的风控可以基本覆盖各个方面，但是识别的深度较低，对风险识别效果较差。这就需要分析大量的黑产样本，并且持续跟踪黑产的动态。比如同样是 Hook 篡改，有的企业只照顾了比较简单的运行时 Hook，而其他更底层的方式，并未覆盖。

对场景的适用以及风险响应和处理

在无风险的情况下，也需要对“正常流量”的业务操作进行合理的限制，抬高作弊门槛，逼迫黑灰产转向多账号和多设备上进行活动。通过合理的限制措施，不仅增加其作弊成本，同时也增加了伪装难度，提高风险识别的效果。

在有风险的情况下，根据风险评级，作出合理的处理动作，提升黑灰产的操作成本。风险从低到高，处理手段也会相应地从弱到强。

柔性处理对黑灰产活动的抑制效果是非常明显的，且对真实用户相对友好。我们了解到自动化黑产团队他们在某信效果上基本没影响，但是在某手、某音上就会遇到奖励降低或者刷量效果的降低。

柔性处理实践办法一般分为两类：降低业务权重和提升认证门槛。其中降低业务权重可以通过降低奖励大小、限制业务操作频率等实现，而认证门槛可以增加使用交互友好型的验证码、使用无感网关认证、使用多因子认证等。

按照不同的风险等级，给出不同难度的处理动作，拔高相应的作弊成本。核心思路就是让黑灰产的作弊成本高于我们的风控成本。通俗来讲，原来黑产需要 一块钱达到他们的目的，现在我们花几毛钱的成本，让黑产多花好几块钱的成本才能让一个恶意流量达到他们的目标。

常见的柔性处理方式，比如极验的 行为验™ 第四代适应型验证 或 身份验™ 一键认证 或 身份验™ 本机号码校验。

微信长按识别，体验行为验证

长按识别，体验身份验证

风控无小事

​风控系统的建设需要考虑到方方面面，处理处理识别和标记能力之外，其他方面的建设也必不可少：

合规，合规，还是合规

以往企业在风控中依赖隐私敏感的硬件标识来生成指纹；依赖通过一些隐私数据发现群体异常；依赖手机号作为业务风控的抓手；依赖一些敏感权限或敏感接口，对监管抱有侥幸心理。

我们这里着重说一下指纹的合规。

2022年4月24日，全国信息安全标准化技术委员会归口的10项国家标准正式发布，并将于2022年11月1日正式实施，其中包括一项个人信息保护方面的重点标准：《信息安全技术移动互联网应用程序（App）收集个人信息基本要求（GB/T 41391-2022）》。（文末获取）

点击查看大图

《App 收集个人信息基本要求（2022）》 

点击查看大图

《App 收集个人信息基本要求（2022）》 附录F

2019 年国家首次发布《APP违法违规收集使用个人信息评估指南》，极验便对自己的产品进行首次合规整理，并更新了相关产品。此后，一直跟随合规政策对我们的产品进行合规处理。

技术架构示意

经过长期实践，一套合理的基于设备的风控系统主要由两个部分构成：一个是在终端设备上的风控 SDK，另一个是在服务端配套的风控服务。

为了避免多系统之间联机时因故障等问题对业务带来负影响，“热插拔” 的设计是必不可少的。也即，当风控系统故障或不可用，业务流程也是可以正常运行。

对环境的安全检测通常包括有调试、模拟器、多开、代码篡改、设备信息篡改、危险工具、ROOT/越狱环境、代理/VPN等特征的检测，从而识别使用非法技术手段的流量。结合业务数据，可以通过 GCN 图神经网络技术和知识图谱技术进一步甄别有群控、养号等黑产的群体行为的流量。

结语

只有建设好基于设备的风控体系，才能为治理好流量打下坚实的基础。除了在电商行业，基于设备的风控体系在金融行业、航旅行业、内容直播等行业都有极大的应用价值。基于设备的风控体系与业务有机结合，通过 GCN 和设备关系图谱，能挖掘更大的价值，这一方面我们将在未来的日子与大家一起分享。

关注“极验”公众号，发送“信息合规”获取《信息安全技术移动互联网应用程序（App）收集个人信息基本要求（GB/T 41391-2022）》