我们在做反欺诈的时候，第一件事是，保护信息安全。

如果没有信息泄露，那么就不会有欺诈。

考虑到整个用户服务的过程中，数据的流转并非百分百在内网环节，必然有部分是不在我们掌控范围内的，所以当时我们做了一件事情，就是数据加盐。

所有经过我们的数据，都会被加入某些难以被察觉的内容，这些内容可能连起来就是某个文字，可能顺序一变就是某种警告，MD5和脱敏更是基础内容。

通过这种方法，我们可以在欺诈发生时快速定位到数据泄露方追责，并且可以快速摸清受影响范围，及时通知用户提高警惕。

第二件事是，建立欺诈特征库。

虽然骗子的手法多种多样，但其行为本身是存在具体特征的。

例如专门的欺诈号段，整个手机号段就是虚拟机或者国外号码；

例如专门的IP池，池子里的IP在某些范围内以某些规律变动，某个时间节点的某个IP就是诈骗专用，其他时间节点可能只是一个普通的网吧IP；

特殊的设备号，诈骗分子使用的设备一般都不是常规手机，其设备号IMEI存在大量的篡改行为，需要识别可疑设备号；

可疑关系网络。

知道吗，骗子之间也是有联系的，这些联系可能是相同的通讯录，相同的通话记录，相同的聊天记录，这些数据交叉到某一信息泄露用户的关联；

当某个用户报案的时候，第一时间，他的高密度关联人就会被打标跑规则。

当然这只是冰山一角，可疑特征库的特征数量往往是数十万，讲也讲不完，更何况为了保密也不方便讲。

特征工程是反诈的重要工具。

这些特征收集起来，定义好内容，就可以跑反欺诈模型了。

第三件事，利用机器学习和模型算法来计算每一个人的可疑度。

机器是怎么认识猫的？

很简单，给他一张猫的图片，把猫的长相拆成几百个特征，然后告诉他这是猫。

当给了他几万几十万个猫的图片后，机器只要一识别到特征，就知道这是猫，其实和人认识猫一样，家长告诉小孩子这个毛茸茸，眼睛圆圆，耳朵弯弯，走路扭扭的，是猫。

同样，给机器大量的可疑特征，然后告诉他这个是骗子，这个不是，经过足够的训练，机器就可以找到新的可疑人物，然后再来跑规则。

第四件事，建立处置策略包。

当你找到了大量可疑人物的时候，需要依据这些人的特征进行归类，跑不同的策略。

一部分人是误伤，需要放出来。

一部分人是高危，需要直接干掉。

一部分人是疑似，需要进一步跑新的规则或者转人工。

一般所有可疑人物都会被依据可疑度做预处理，然后用规则匹配，再用关系网络串联。

最后锁定最高优先级的直接干掉。