28 电子商务风险控制
电子商务网站在给人们带来购物交易的极大便利的同时,也将风险带给了对网络安 全一无所知的人们。由于买卖双方的信息不对等,交易本来就存在风险,而当交易在网 上发生时,买卖双方彼此一无所知,交易风险也就更加难以控制。如果一个电商网站骗 子横行,诚信的交易者屡屡被骗,那么网站就到了最危险的时候,可以说,交易安全是电子商务网站的底线。
1 风险
电子商务具有多种形式,B2B、B2C、C2C每种交易的场景都不相同,风险也各有特点,大致可分为以下几种。
- 账户风险:包括账户被黑客盗用,恶意注册账号等几种情形。
- 买家风险:买家恶意下单占用库存进行不正当竞争;黄牛利用促销抢购低价商品; 此外还有良品拒收,欺诈退款及常见于B2B交易的虚假询盘等。
- 卖家风险:不良卖家进行恶意欺诈的行为,例如货不对板,虚假发货,炒作信用等, 此外还有出售违禁商品、侵权产品等。
- 交易风险:信用卡盗刷,支付欺诈,洗钱套现等。
2 风控
大型电商网站都配备有专门的风控团队进行风险控制,风控的手段也包括自动和人 工两种。机器自动识别为高风险的交易和信息会发送给风控审核人员进行人工审核,机 器自动风控的技术和方法也不断通过人工发现的新风险类型进行逐步完善。
机器自动风控的技术手段主要有规则引擎和统计模型。
- 规则引擎
当交易的某些指标满足一定条件时,就会被认为具有高风险的欺诈可能性。比如用 户来自欺诈高发地区;交易金额超过某个数值;和上次登录的地址距离差距很大;用户 登录地与收货地不符;用户第一次交易等等。
大型网站在运营过程中,结合业界的最新发现,会总结出数以千计的此类高风险交 易规则。一种方案是在业务逻辑中通过编程方式使用if…else…代码实现这些规则,可想 而知,这些代码会非常庞大,而且由于运营过程中不断发现新的交易风险类型,需要不 断调整规则,代码也需要不断修改……
网站一般使用规则引擎技术处理此类问题。规则引擎是一种将业务规则和规则处理逻辑相分离的技术,业务规则文件由运营人员通过管理界面编辑,当需要修改规则时, 无需更改代码发布程序,即可实时使用新规则。而规则处理逻辑则调用规则处理输入的 数据,如图8.14所示。
- 统计模型
规则引擎虽然技术简单,但是随着规则的逐渐增加,会出现规则冲突,难以维护等 情况,而且规则越多,性能也越差。目前大型网站更倾向于使用统计模型进行风控。风 控领域使用的统计模型使用前面提到的分类算法或者更复杂的机器学习算法进行智能统 计。如图8.15所示,根据历史交易中的欺诈交易信息训练分类算法,然后将经过采集加 工后的交易信息输入分类算法,即可得到交易风险分值。
经过充分训练后的统计模型,准确率不低于规则引擎。分类算法的实时计算性能更好一些,由于统计模型使用模糊识别,并不精确匹配欺诈类型规则,因此对新出现的交 易欺诈还具有一定预测性。
3 小结
这个世界没有绝对的安全,正如没有绝对的自由一样。网站的相对安全是通过提高 攻击门槛达到的。让攻击者为了获得有限的利益必须付岀更大的代价,致使其得不偿失, 望而却步。
同时,攻击与防护技术作为一对矛盾共同体,彼此不断此消彼长,今天的高枕无忧,明天可能就成了致命的漏洞。也许网站经过一番大的重构和优化,在某一段时间不需要 再处理高可用或高性能的问题,但是修补漏洞、改善安全却是每天都需要面对的课题, 永远不能停歇。
所以,很遗憾,这个世界没有固若金汤的网站安全架构,架构师只能每天都打起百
分百的精神,预防可能的漏洞或者攻击。
28 电子商务风险控制相关推荐
- 架构:安全架构——信息过滤与反垃圾、风险控制。
信息过滤与反垃圾 我国的信息过滤技术是走在世界前列的,尽管如此,在各种社区网站和个人邮箱中,广告和垃圾信息仍然屡见不鲜.泛滥成灾. 常用的信息过滤与反垃圾手段有以下几种. 文本匹配 文本匹配主要解决敏 ...
- 电子商务法律法规【3】
1.一般而言,认证指的是对人或物的()进行甄别.鉴定.确认的行为. A.真实性 B.合理性 C.可行性 D.完整性 2.合同当事人未约定准据法或者约定的准据法无效,合同纠纷解决的法律适用采用()原则确 ...
- 电子商务法律法规【2】
1.在通常情况下,对于消费者合同,应当适用特殊的法律适用制度,以保护消费者的利益.UCTA虽然明文承认了当事人自由选择合同准据法约定的效力,但是一项重要的例外是.如果在一项消费者合同中作出的此种选择, ...
- 大型网站技术架构:核心原理与案例分析pdf
下载地址:网盘下载 编辑推荐 编辑 本书作者是阿里巴巴网站构建的亲历者,拥有核心技术部门的一线工作经验,直接体验了大型网站构建与发展过程中的种种生与死,蜕与变,见证了一个网站架构从幼稚走向成熟稳定的历 ...
- 大型网站技术架构 笔记
大型网站架构演化 特点: 高并发.大流量 高可用 海量数据 用户分布广泛.网络情况复杂 安全环境恶劣 需求快速变更.发布频繁 渐进式开发 演化发展历程 0. 演变原因 在现有架构下,我们来看看 ...
- 系统架构设计——高安全系统架构
高安全系统架构 从互联网诞生起,安全威胁就一直伴随着网站的发展,各种 Web攻击和信息泄露也从未停止.2011年中国互联网领域爆出两桩比较大的安全事故,一桩是新浪微博遭XSS攻击,另一桩是以CSDN为 ...
- 《大型网站技术架构》读书笔记之八:固若金汤之网站的安全性架构
一.网站应用攻击与防御 二.信息加密技术与密钥安全 三.信息过滤与反垃圾 四.电子商务风险控制 五.学习总结 转眼之间,<大型网站技术架构>的读书笔记到此就结束了.最近时间非常紧,因此本篇 ...
- 大型网站技术架构03
永无止境:网站的伸缩性架构 1. 所谓网站的伸缩性是指不需要改变网站的软硬件设计,仅仅通过改变部署的服务器数量就可以扩大或者缩小网站的服务能力. 2. 网站架构的伸缩性设计: 1). 不同功能进行物理 ...
- 《大型网站技术架构:核心原理与案例分析》-- 读书笔记 (2) : 大型网站核心架构要素(5) -- 安全性...
1. 网站的攻击与防御 1.1 XSS攻击 防范:1)消毒 -- 对危险的HTLM进行转义 2)对敏感信息的cookie添加httpOnly属性 1.2 注入攻击 防范: 1)过滤请求参数可能注入的s ...
最新文章
- php5.3中的safe_mod与magic_quotes_gpc
- docker 离线安装 mysql_docker 离线安装
- python 虚拟环境使用
- 16招帮助企业降低IT管理成本
- tomcat runing on daemon with apr and ssl mode
- 类模板 重载运算符 易错
- 前端学习(1989)vue之电商管理系统电商系统之渲染商品列表数据
- java thread 线程销毁_手把手带你了解Java线程的实现方式及生命周期原理
- 计算机二级mysql程序设计题库_计算机二级MySQL数据程序设计模拟试题
- Linux中的/ dev / null
- DevExpress WPF v19.1新版亮点:PDF Viewer等控件新功能
- 《Android App开发入门:使用Android Studio 2.X开发环境》——2-5 开始动手编写程序...
- Linux中在终端启动anaconda
- 【机器学习】Cross-Validation(交叉验证)详解
- 免费学plc的手机app_PLC网校app手机版 v1.2
- SXF 安全服务一面
- dcos - marathon - 有的时候健康检查不是绿条
- 这可能是Python里最强的绘制地图神器
- 聚焦BCS|技术峰会:内生安全框架推动网络安全技术体系升级
- Dictionary < K , V > 字典