账号与合规

风控模型也会被攻击者反向测试

摘要:用对抗训练守住风险边界 很多卖家以为平台风控是固定规则:命中某个词、某个订单、某个异常比例,就会被拦截。 但更真实的情况是,风控模型也在被攻击者持续反向测试。灰色服务会尝试“养号”、模拟真人行为、改变互动路径,让欺诈交易看起来更像正常交易。 今天拆的论文是 WWW 2019 的《Securi…

公众号文章库2026/7/38 分钟阅读

风控模型也会被攻击者反向测试

摘要:用对抗训练守住风险边界

封面

很多卖家以为平台风控是固定规则:命中某个词、某个订单、某个异常比例,就会被拦截。

但更真实的情况是,风控模型也在被攻击者持续反向测试。灰色服务会尝试“养号”、模拟真人行为、改变互动路径,让欺诈交易看起来更像正常交易。

今天拆的论文是 WWW 2019 的《Securing the Deep Fraud Detector in Large-Scale E-Commerce Platform via Adversarial Machine Learning Approach》。它研究的是 Taobao 已部署的深度欺诈检测器,如何被对抗样本攻击,以及如何通过对抗训练增强稳健性。

关键结论: 这篇论文对卖家的提醒很直接:不要相信任何“绕风控”“养号”“模拟真人”的灰色服务。平台不仅会看当前行为,还会持续训练模型去识别被刻意修饰过的行为。

论文信息卡

  • **论文标题:**Securing the Deep Fraud Detector in Large-Scale E-Commerce Platform via Adversarial Machine Learning Approach
  • **作者:**Qingyu Guo, Zhao Li, Bo An, Pengrui Hui, Jiaming Huang, Long Zhang, Mengchen Zhao
  • **来源:**WWW 2019, May 13-17, 2019, San Francisco, CA, USA
  • **研究对象:**Taobao 大规模电商平台中已部署的深度欺诈交易检测器
  • **本文使用文件:**04_政策合规_风险评分/16_Adversarial Behavior Detection in E-commerce.pdf

这不是 Amazon 官方论文,也不是 Amazon 账户健康、买家滥用、评价审核或支付风控公式。本文按真实论文讲模型攻防,再翻译成 Amazon 卖家能理解的合规经营启发。

一句话结论

深度风控模型不是只怕“明显作弊”,更怕攻击者用很小的行为扰动把欺诈样本伪装成正常样本。

论文发现,原本 Average Precision 接近 0.89 的检测器,在某些对抗攻击下可以被打到约 0.20;但把对抗样本加入训练后,模型在多种攻击下仍能保持 0.859 以上 AP。

卖家不用懂公式,也要懂这个逻辑:平台风控不是静态黑名单,而是持续学习“被包装过的异常”。

对抗样本概念图

模型看什么特征

论文里的交易会被编码成特征向量,主要包括两类。

第一类是不可操纵或较难操纵的特征,比如基于用户-商品交易图做 label propagation 得到的恶意分、历史记录、价格等。

第二类是可扰动的 preference features,也就是用户过去 30 天在各商品类目上的互动记录,比如加购、收藏等。这些特征描述用户的全局购物兴趣。

论文重点研究的是第二类:如果攻击者给某个欺诈账号增加少量看似正常的类目互动,能不能让模型把它误判成正常?

深度欺诈检测器特征结构

为什么这种攻击现实

论文特别强调,电商交易特征不是图片像素,而是稀疏、离散的行为记录。所以攻击不能简单套用图像领域的 FGSM、C&W 等方法。

研究团队设计了三类方法:IFCM、AIS 和 R3。我们不展开算法细节,只讲业务含义。

IFCM 是快速方法,可以生成大量对抗样本,用来做对抗训练;AIS 是搜索型强攻击,用较少行为变化寻找更有效的绕过路径;R3 是优化型攻击,把离散问题放松后再四舍五入回可执行扰动。

这些方法都在回答同一个问题:如果攻击者只增加有限数量的“正常购物兴趣行为”,模型会不会降低欺诈分数?

实验数据怎么做

论文使用 Taobao 真实交易数据。前 25 天数据中随机采样 150 万欺诈交易和 150 万正常交易组成平衡训练集;后 5 天抽取 30 万笔交易作为测试集,其中欺诈和正常比例约为 1:30。

论文还分析了 preference features 的 L1 norm。非零偏好特征样本中,欺诈样本平均 L1 norm 为 377,正常样本平均为 208。大量简单机器人脚本的偏好特征为 0,更容易被检测;但更复杂脚本会模拟人类互动,因此更值得研究。

攻防闭环

攻击结果有多严重

原模型在未攻击数据上的 AP 是 0.892。

在 L1 攻击下,AIS1 把 AP 从 0.892 降到 0.434(q=20),进一步到 0.238(q=30)。在 L2 攻击下,AIS2 把 AP 降到 0.344(q=5),进一步到 0.207(q=6)。

成功率也很直观。对偏好特征为 0 的欺诈样本,AIS1 在 q=20 时成功率 84.9%,q=30 时 97.8%;AIS2 在 q=5 时成功率 89.8%,q=6 时 98.7%。

对偏好特征非零的复杂样本,AIS1 在 q=20 时成功率 54.1%,AIS2 在 q=5 时成功率 61.4%。论文指出,q=20 对非零样本约等于 5% 左右的扰动比例。

论文关键结果

防御怎么做

论文用 IFCM 生成对抗样本,把这些样本加入训练过程,也就是 adversarial training。

结果很关键:对抗训练后的模型,在论文测试的所有攻击设置下 AP 都保持在 0.859 以上;同时,在未攻击数据上 AP 仍接近 0.89,没有明显牺牲正常表现。

对平台来说,这意味着风控不能只训练在历史样本上,还要主动模拟攻击者可能怎么改行为。

对卖家来说,这意味着灰色服务所谓“养号”“模拟真人”“绕系统”,不是长期可持续策略。平台会把这类绕过行为变成下一轮训练样本。

这对 Amazon 卖家意味着什么

Amazon 卖家不需要也不应该研究怎么绕过风控。你真正要理解的是:平台模型会越来越关注行为是否自然、是否长期一致、是否能经得起反向测试。

短期看,一些灰色服务可能能制造点击、收藏、加购、订单或评价的表面信号。但这些信号如果和真实转化、真实售后、真实买家行为不一致,就会成为后续风控训练的素材。

卖家最稳的策略,是让增长链路本身干净:真实流量、真实转化、真实评价、透明促销、可追溯服务商。

卖家稳健经营 SOP

一个卖家案例

假设某服务商告诉你:新品前两周要先“养一养账号行为”,让账号看起来像真实买家,再安排点击、收藏、加购和评价。

从短期运营视角看,它像是在补前期冷启动。

但从论文视角看,这就是在试图给欺诈样本增加少量偏好扰动,让模型分数下降。问题是,平台也会把这类行为放进对抗训练和风控迭代。

所以你不该问“这个服务现在会不会被抓”,而应该问“这个增长链路能不能经得起半年后的模型复盘、账号关系复盘、评价来源复盘和订单后果复盘”。

不要误读这篇论文

第一,这不是 Amazon 官方风控论文。论文研究对象是 Taobao 已部署的深度欺诈检测器,不等于 Amazon 对任何具体账号、订单、评价或广告流量的审核规则。

第二,本文不提供规避风控方法。IFCM、AIS、R3 在文章中只做高层解释,用于理解平台为什么要做对抗训练,不用于实际攻击。

第三,模型脆弱不代表可以钻空子。论文的结论恰恰是:一旦把攻击样本加入训练,模型稳健性会显著增强。

第四,卖家不要把“行为像真人”当合规。合规不是伪装真实,而是真的来自真实买家、真实体验、真实推广。

结论

这篇论文把风控从“检测异常”推进到“检测被包装过的异常”。

对卖家来说,别把精力放在研究如何绕过系统。真正可持续的账号安全,是让你的运营动作在今天、下个月、半年后被重新审视时,都能解释得通。

参考资料

论文 DOI:https://doi.org/10.1145/3308558.3313533

PDF:https://dl.acm.org/doi/pdf/10.1145/3308558.3313533