技术分享行业科普
得物风控:风控常用图算法及应用
图算法的小白级科普⬇️
(文章结尾有 NebulaGraph 在风控领域的用户案例合集哦~)
在电商风控战场中,黑产的手段正变得越来越隐蔽——批量注册的“垃圾账号”用不同设备登录、分散地址下单,通过“断链伪装”规避规则拦截;恶意商家联合多个账号刷单,制造虚假热销假象……传统的“单维度规则校验”(如仅判断IP是否异常、账号是否新注册)早已难以应对这种“跨主体关联作弊”。
而图算法的核心优势,正是把分散的“点”(账号、IP、设备、地址等)通过“边”(关联关系)连接成网,从“关系视角”识破黑产的集体作弊行为。
2023 年,得物风控对比了 Neo4j、Dgraph、JanusGraph、NebulaGraph,最终选择将 NebulaGraph 作为风控解决方案。
图源「得物风控」公众号
图源「得物风控」公众号
今天就带大家拆解风控领域最常用的3类图算法,结合电商场景讲清算法思路和落地应用。通俗易懂无门槛~
一、风控里的“图”是什么?
在风控场景中,图的构成非常简单,无需复杂的数学基础就能理解:
节点:就是风控中的“参与主体”,比如账号、IP地址、设备ID、收货地址、手机号、银行卡号等;
边:就是主体之间的“关联关系”,比如账号A登录过IP地址B、账号C绑定了手机号D、账号E用地址F下单、账号G和H共用设备I等;
属性:节点或边的补充信息,比如账号的“注册时间”“是否实名认证”、IP的“归属地”“是否为代理IP”、关联关系的“发生时间”“频次”等。
举个例子:黑产用1个IP注册10个账号,这10个账号都绑定了不同的虚拟手机号,且都往同一个超市地址下单。这里的“1个IP+10个账号+10个手机号+1个地址”是节点,“注册”“绑定”“下单”是边,构成了一张典型的“黑产作弊图”。
图算法的作用,就是从这张网中找到“异常的关联模式”,比如“一个国内IP关联上百个注册账号且都是海外手机号”“多个账号共用一个设备且都有恶意下单行为”。
二、风控常用三大图算法及应用场景
(一)连通分量算法:找到作弊团伙
算法思路
简单说就是“找圈子”——在图中找到所有相互连通的节点集合(即“连通分量”),同一个集合里的节点无论通过多少层边关联,都属于同一个“团伙”。
比如:账号A → IP → 账号B → 设备 → 账号C,这3个账号通过IP和设备间接连通,就会被划分为同一个连通分量,认定为“关联账号团伙”。
算法的核心价值:把分散的作弊主体“聚合成团”,避免单个账号漏判——黑产单个账号可能看起来“正常”(如注册时间长、有少量真实下单),但整个团伙的行为特征(如集中下单、共用资源)会暴露作弊本质。
电商应用场景:识别“批量关联作弊”
场景1:垃圾注册团伙识别
黑产用同一IP(或代理IP池)批量注册账号,这些账号可能绑定不同手机号,但都共用某几个设备。通过连通分量算法,将“IP-账号-设备-手机号”关联的所有节点划分为一个团伙,只要团伙中部分账号被标记为“垃圾注册”,整个团伙的其他账号都会被纳入风控视野,提前拦截恶意行为(如领券、下单)。
场景2:刷单团伙识别
恶意商家组织100个账号刷单,这些账号可能来自不同IP,但都往商家的固定商品下单,且部分账号共用支付设备。连通分量算法会将这些“账号-商品-支付设备-收货地址”关联的节点聚合成团,结合“团伙下单时间集中、收货地址相似”等特征,判定为刷单团伙,以此及时落罚恶意商家和刷单账号。
落地小技巧
对连通分量进行“大小筛选”:比如仅关注节点数≥5的团伙(避免正常用户的少量关联被误判);
给边设置“权重”:比如“账号-设备”的关联权重高于“账号-IP”(设备唯一性更强),权重越高的边对“团伙聚合”的影响越大。
(二)度中心性算法:揪出核心作弊算法思路
算法思路
“度”是指一个节点连接的边的数量——度中心性越高,说明这个节点和其他节点的关联越密集,越可能是“核心枢纽”。
在风控中,我们重点关注“入度”(其他节点主动关联它的次数)和“出度”(它主动关联其他节点的次数):
比如一个IP的“出度”是100(关联100个账号登录),说明这个IP是批量注册/登录的核心;
一个设备的“入度”是50(50个账号共用它),说明这个设备是黑产的“共用工具”。
算法的核心价值:快速定位作弊网络中的“关键节点”,精准打击黑产的“基础设施”——查封一个核心IP/设备,可能连带阻断几十个作弊账号的操作。
电商应用场景:打击“黑产核心资源”
场景1:识别恶意IP/设备
正常用户的IP通常只关联1-2个账号,若某IP的度中心性(关联账号数)达到50+,且关联的账号多为新注册、无实名认证,可判定为“黑产专用IP”,酌情考虑拉黑或升级管控该IP的所有后续注册/登录请求;同理,某设备关联几十个账号且都有恶意下单行为,可判定为“黑产共用设备”,酌情考虑封禁设备对应的所有账号。
场景2:识别“养号中介”账号
部分黑产账号的核心作用是“关联其他作弊账号”(如作为“主账号”邀请新账号注册、共享优惠券),这类账号的度中心性极高(关联上百个下级账号)。通过度中心性算法识别出这类“核心中介账号”,封禁后可切断黑产的账号扩散链路。
落地小技巧
分维度计算度中心性:比如单独计算“IP-账号”“设备-账号”“手机号-账号”的度,避免不同维度的关联相互干扰;
结合时间窗口:比如统计“近7天”的关联度,避免长期积累的正常关联(如家庭共用IP、企业IP等)被误判。
(三)密集子图挖掘算法:精准拆分隐蔽作弊小团体
算法思路
比连通分量算法更精细的“团伙拆分工具”——核心是在一张大范围连通的关联图中,精准定位“内部关联极密集、与外部关联极稀疏”的子图(也就是黑产实际运作的“小团体”)。
简单说:连通分量算法是“只要沾边就归为一类”(比如一个IP关联的100个账号全算一个大团伙),而密集子图挖掘是“关系够近才凑一组”——同样是100个账号关联同一个IP,其中30个账号之间还存在“互相转账、共用收货地址、交叉助力”等多重紧密关联,这30个账号就会被挖掘成一个密集子图;剩下70个账号若仅和IP有关联、彼此无交集,可能拆成多个独立的密集子图,对应不同的作弊小团体。
算法的核心价值:打破“大团伙”的笼统判定,拆分出黑产实际运作的“作战单元”——同一个黑产资源(如代理IP池、共用设备)可能被多个独立团伙共用,密集子图能精准区分不同团伙的作弊链路,避免对正常用户的关联误判,也为针对性打击提供依据。
电商应用场景:精准打击“细分作弊团伙”
场景1:拆分多团伙共用资源的作弊行为
某代理IP池被3个独立黑产团伙共用,A团伙专注刷单、B团伙专注薅平台优惠券、C团伙专注恶意注册。虽然所有团伙账号都关联该IP池(属于同一个连通分量),但A团伙内部账号会频繁交叉下单、B团伙内部账号会领同一类优惠券,彼此无关联。通过密集子图挖掘,可将3个团伙拆分为3个独立的密集子图,针对A团伙封禁下单权限、B团伙限制领券、C团伙直接拦截注册,避免“一刀切”导致的误判或漏判。
场景2:识别“跨平台协同作弊小团体”
黑产为规避单平台风控,会在电商APP、小程序、H5端分别注册账号,但这些账号会共用同一台设备、绑定同一组手机号,且存在跨平台交叉操作(如APP端领券、小程序端下单)。密集子图挖掘能跨平台聚合这些“设备-手机号-账号”关联紧密的节点,形成“跨端作弊密集子图”——即便某端账号未表现出恶意(如APP端账号仅浏览未下单),但因属于作弊密集子图,可提前限制其核心行为(如限额下单、需实名认证),阻断跨平台作弊链路。
落地小技巧
常用算法选择:风控场景无需复杂模型,Louvain算法(效率高、适合大规模图数据,能自动平衡子图规模)或LPA(标签传播算法,无监督、易落地、计算快)完全够用;
结合行为特征打标:挖掘出密集子图后,可根据子图内账号的核心行为(如高频下单、批量领券、恶意注册),给每个子图打上“刷单团”“薅券团”“注册机团”等标签,后续针对标签制定差异化拦截策略;
设定密度阈值:可通过“子图内实际关联数/最大可能关联数”计算密度,仅关注密度≥0.3的子图(避免正常用户的少量交叉关联被误判为作弊小团体)。
三、图算法落地关键
很多同学会问:“算法识别出团伙后,怎么落地到风控策略里?” 分享3个实战中常用的闭环逻辑:
1.分级拦截:根据连通分量大小、度中心性高低、子团伙风险概率,给节点打风险等级(高/中/低)——高风险直接封禁,中风险限制行为(如权益限制、发垃圾券等),低风险持续监控;
2.传导处罚:若一个节点被判定为恶意(如账号被封禁),其关联的节点(如登录IP、绑定设备)同步提升风险等级,实现“打一个、带一片”;
3.实时+离线结合:离线用图算法(如连通分量、密集子图发现)挖掘团伙,生成“风险团伙名单”;实时风控时,校验当前账号是否在名单中,或是否关联高风险节点,实现快速拦截。
举个落地示例:
离线:每天用连通分量算法聚合“账号-IP-设备-地址”强关联图,识别出节点数≥10的团伙,若团伙中恶意账号占比≥30%,标记为“高风险团伙”;
实时:用户下单时,校验该账号是否属于“高风险团伙”,或是否关联团伙中的IP/设备,若是则权益隐藏或拦截订单,提示“账号存在XX异常风险”。
四、总结经验
黑产作弊的核心本质,从来不是 “单个账号的孤立行为”,而是 “团伙化、批量化的协同操作”—— 他们通过换 IP、换设备、买号养号等手段切断单点关联,让传统规则难以追踪。而图算法的核心价值,正是穿透这些 “断链伪装”,看透账号、IP、设备、地址背后的隐性关联。
相较于传统规则 “头痛医头、脚痛医脚” 的单点防控,图算法实现了三大突破:
1.打破维度壁垒:不再局限于单一维度校验,而是将 “账号 - IP - 设备 - 地址 - 手机号” 等多主体联动分析,让分散的作弊行为 “串成线、聚成团”;
2.前移风控关口:即便单个账号未表现出任何恶意特征,也能通过其所属团伙的集体作弊痕迹(如共用黑产设备、关联恶意账号)提前预判风险,实现 “未发先防”;
3.直击黑产核心:精准锁定团伙的核心资源(如共用设备、批量注册 IP),避免黑产通过 “换号换 IP” 规避拦截,实现 “打一个、断一片” 的高效打击。
对风控从业者而言,图算法绝非高深莫测的数学工具,而是人人可落地的实战基操—— 只要理清 “节点(参与主体)- 边(关联关系)” 的核心逻辑,就能快速应用于反作弊、反欺诈等核心场景,让风控从 “被动响应拦截” 升级为 “主动前置防御”。
NebulaGraph 风控案例
风控利器:BlockSec 用图+标签破解 Crypto 合规难题
NebulaGraph 在 Airwallex 跨境金融风控的应用
NebulaGraph + LLM 处理风控知识图谱的探索和实践
