同 IP 不是全部,行为相似也能连成风险图
摘要:读懂软连接风控 很多卖家一聊到账户关联、风控和欺诈检测,第一反应就是“硬关联”:同 IP、同设备、同地址、同信用卡、同收货地址。 这些当然重要。但第 19 篇论文提醒我们:平台不一定只靠硬关联。即使两个交易没有共享设备、地址或 IP,只要行为路径足够相似,也可能被放进同一张风险图里。 这篇论…
同 IP 不是全部,行为相似也能连成风险图
摘要:读懂软连接风控
很多卖家一聊到账户关联、风控和欺诈检测,第一反应就是“硬关联”:同 IP、同设备、同地址、同信用卡、同收货地址。
这些当然重要。但第 19 篇论文提醒我们:平台不一定只靠硬关联。即使两个交易没有共享设备、地址或 IP,只要行为路径足够相似,也可能被放进同一张风险图里。
这篇论文是 eBay China 团队和 ETH Zürich 作者合写的《Behavioral graph fraud detection in E-commerce》,公开版本在 arXiv:2210.06968。它研究的是电商交易欺诈识别,不是 Amazon 官方账户绩效规则。
它的核心想法可以一句话讲清楚:
把用户行为序列变成“行为指纹”,再用行为相似度建立交易之间的软连接,最后用 GNN 把这些关系变成风控模型可以使用的特征。

1. 为什么硬关联不够
过去很多图风控会用硬关联建边。比如两个交易用了同一台设备、同一个 IP、同一个 shipping address、同一张信用卡,就把它们连起来。
论文指出,这种方式有两个典型问题。
第一,强身份实体会让图太稀疏。设备、卡号这类标识很强,但如果欺诈交易没有共享这些实体,图就连不起来,风险信息很难传播。
第二,公共实体会让图变成大中心。公共 IP、转运地址、共享网络、热门物流节点,可能连接大量正常和异常交易,反而让好坏用户更难区分。
这就是卖家常见误区:以为平台只盯“有没有同 IP”。但在真实风控里,同 IP 可能太粗,同设备可能太少,单靠硬关联很难覆盖复杂欺诈。

2. 什么是行为软连接
这篇论文提出的做法,是用 behavioral biometric similarity,也就是用户行为相似度,建立 transaction-to-transaction soft links。
它看的是一笔交易发生前,用户在站内怎样浏览、停留和跳转。
论文举了一个很卖家化的直觉:正常买家在商品详情页通常会花时间看细节再结账;欺诈者可能不会在同样页面浪费那么多时间。
所以,系统不是直接说“停留短就是坏人”。它会把最近一段页面行为序列变成向量,再比较不同交易之间的行为相似度。如果两笔交易的行为向量足够像,就在它们之间建立软连接。
注意,这个“像”不是肉眼看页面路径像不像,而是模型从页面 ID、类目、停留时间等序列里学出来的相似度。
3. 方法流程:从行为序列到 GraphSAGE
论文的 pipeline 分成几步。
第一步,提取用户交易前的行为序列。论文里使用最近 20 个 page view,以及页面类型、类目、停留时间等信息。
第二步,用 time-attention LSTM/CNN 结构生成行为 embedding。你可以把它理解成把一串浏览动作压缩成一个“行为指纹”。
第三步,用行为 embedding 之间的相似度建图。相似度超过阈值,两笔 purchase order 就连一条边。
第四步,为了让图能在大规模交易里跑起来,团队用内部 GPU 版本 HDBSCAN 先聚类,过滤孤立点和过度集中的大中心。
第五步,在软连接图上用无监督 GraphSAGE 学 transaction node embedding。最后,这些 embedding 不直接做最终判罚,而是作为 boosting features 加到下游欺诈预测模型里。

这点很重要。论文没有说“行为相似就等于欺诈”。它说的是:行为相似图可以补充传统统计特征,让下游模型在某些场景里判断得更准。
4. 工程上为什么要先聚类
很多论文只讲模型,这篇论文很实际:大规模交易场景里,如果每两笔交易都算相似度,成本会很高。
所以作者先用聚类处理行为 embedding,去掉孤立节点和高度集中的大簇,再建相似图。这样既能减少计算量,也能降低“公共中心”带来的噪声。
论文表 I 给了一个很直观的工程对比:
- 普通 HDBSCAN 约 2 天。
- PCA 后再 HDBSCAN 约 3 小时。
- OPTICS 约 1 到 2 天。
- Kmeans 每轮约 5 分钟。
- 内部 GPU pHDBSCAN 约 5 分钟。
这说明风控不是只要模型好看。在线业务里,图要能按时建出来,特征要能稳定产出,才有上线价值。

5. 实验结果:最适合补冷启动交易
论文用一家跨国电商平台的真实交易数据做实验。
训练集有 1,777,399 笔交易,其中 positive fraud transaction 为 54,765,正样本率约 0.031。测试集有 562,772 笔交易,其中 positive 为 19,276,正样本率约 0.034。
评估指标包括 ROC-AUC、PR-AUC,以及在固定 recall 下的 precision。
最值得卖家关注的是 Group 2:new/guest buyer transactions,也就是新买家或游客买家交易。这个群体只占测试集 5.89%,但 fraud rate 为 16.32%,比整体高很多。
为什么这个群体重要?因为新客历史少,传统模型缺少购买历史和账户画像,很容易“看不清”。行为软连接可以把它们和行为相似的既有交易联系起来,借邻居信息补冷启动。
论文表 IV 里,Group 2 的 baseline AP/AUC 是 0.439/0.943,soft link graph 是 0.483/0.952。表 V 里,同等 recall=0.27 时,precision 从 0.82 提升到 0.88;论文摘要和正文也强调 precision 从 0.82 提高到约 0.86,含义都是同一件事:在召回同等风险交易时,误伤正常交易更少。

但这里必须讲边界:它不是全场景碾压。
在 Group 1 全量交易里,soft link 的 AP/AUC 没有明显超过 baseline。硬关联在 Group 3,也就是本来就有 linkage features 的交易里表现更强。
这恰恰是论文最有价值的地方:它不是说硬关联没用,而是说软连接可以补硬关联的盲区,尤其是新客、游客、历史少、实体连接稀疏的交易。
6. 对亚马逊卖家的启发
这篇论文研究 eBay 交易欺诈,不是 Amazon Account Health,也不是广告、评价或买家账号的公开规则。但它给卖家的启发很直接。
第一,不要只盯硬关联。IP、设备、地址、服务商当然要管,但平台内部能看到的行为路径远比卖家看到的多。异常相似的点击、浏览、结账、退款、消息节奏,都可能成为图关系的一部分。
第二,新客和冷启动更需要监控。新 ASIN、新站点、新广告活动、新促销、新客订单,历史数据少,更容易依赖相似行为和相似邻居来判断风险。
第三,广告异常也要看行为路径。如果某个 campaign 突然高点击、低停留、低转化、退款或投诉集中,不要只看总 ACOS,要按时段、placement、关键词、ASIN、买家路径拆开。
第四,别把“行为相似”理解成要去模拟真人。论文讨论的是平台内部风控如何更好识别欺诈,不是给卖家规避风控的教程。长期安全来自真实流量、真实订单、真实履约和可解释证据。

7. 卖家明天可以做的检查
你不需要知道平台的行为 embedding 长什么样,但可以用运营数据做一个低配版复盘。
先把订单按新客、老客、游客、促销客、广告客拆开,不要把所有订单混在一起看。
再把广告点击、Session、CVR、退款、差评、A-to-z、客服消息按 campaign、placement、关键词、ASIN、时段拆开。
然后找几类异常:
- 点击很多但行为质量明显差的流量。
- 新客订单突然集中在某个 ASIN 或促销策略上。
- 结账路径过短,售后和退款又异常集中的订单。
- 同一服务商、素材、投放方式带来的异常质量波动。
- 大促、降价、库存变化之后突然出现的行为节奏变化。
最后,把每一次异常都写成时间线:什么动作发生在前,流量怎么变,订单怎么变,售后怎么变,证据在哪里。
这不是为了“对付平台”,而是为了在账户绩效、广告异常、订单缺陷或申诉场景里,能讲清楚业务原因。
8. 边界:不要过度解读
第一,这篇论文是 eBay 交易欺诈研究,不代表 Amazon 对卖家账户、广告点击、评价或买家行为的具体审核逻辑。
第二,论文用的是平台内部 page view、dwell time、purchase order 等数据,卖家后台拿不到同样粒度。
第三,软连接不是替代硬关联。论文结果说明,不同人群适合不同连接方式,硬关联在明确有共享实体的分组仍然很强。
第四,这不是规避风控方法。不要尝试制造“正常行为轨迹”。平台研究这类方法,本质上就是为了识别伪装和团伙。
真正的运营结论是:
卖家不要只问“我有没有共享 IP”。更应该问:我的流量、交易、评价、售后和促销行为,是否形成了异常相似、异常集中、难以解释的路径。
资料来源
- Hang Yin et al. Behavioral graph fraud detection in E-commerce. arXiv:2210.06968. https://arxiv.org/abs/2210.06968
- 本地 PDF:
05_欺诈_机器人_虚假行为检测/19_Behavioral Graph Fraud Detection.pdf