支付风控：可信模型构建

2.1 核心风险类型及防控逻辑

结合前文“操作人可信+受益人可信”的核心逻辑，支付场景核心风险可归为两大维度，对应可信模型的校验重点，同时明确此类风险的防控由风险识别体系负责，可信模型仅通过区分场景实现降打扰：一是操作人相关风险，主要包括非本人盗用、设备更换误判、国际卡盗刷，此类风险核心与操作人身份、设备环境相关，需通过操作人可信维度（设备一致性、环境稳定性、历史行为匹配度等）校验；二是受益人相关风险，主要包括本人恶意电诈、关系链穿透漏洞，此类风险核心与资金流向、受益人资质相关，需通过受益人可信维度（收款方风险标签、资金链合理性、多度关系图谱分析等）校验。

2.2 黑产核心手法与应对措施

黑产针对支付风控的核心手法包括设备伪造/更换、环境伪装、本人恶意操作、关系链隐匿、低频慢渗透等。对应应对策略如下：监控设备ID/Mac地址稳定性，新设备或频繁更换设备触发强验证；分析IP与地理一致性，识别代理IP，IP跳变则降低可信等级；通过受益人穿透验证，查询收款方历史涉诈记录，阻断资金流向黑产的交易；构建多度关系图谱，监控群体风险聚集度，识别团伙协作；建立长期行为建模，监控沉默账户异常活跃、交易金额离散等情况，触发人工复核。

3.1 第一层：设备可信——基础验证防线

设备可信的核心是判断下单时刻设备信息与账号本人历史行为习惯的匹配度，采用“可信层+识别层+兜底策略”三层架构。核心判定标准包括设备连续使用达到一定时长、设备ID在一段时间内无变更、历史关联可信介质继承可信分数（权重为固定比例）、设备关联账户数控制在合理范围等。

针对新设备冷启动场景，无一定周期历史数据或首次交互设备，需校验IP与收货地址一致性、设备指纹与实名信息匹配度等，根据风险等级触发不同处置动作；新设备绑定历史可信介质可继承可信分数，无关联介质则触发人脸验证，验证成功后标记为可信种子节点。

3.2 第二层：环境可信——多介质综合评估

环境可信打破单一设备UID判断逻辑，综合用户多维度环境信息进行评估，采用“层次分析法+人工经验定权、达标介质权重累加计分”方案，分为强身份识别层、环境硬件层、行为习惯层，各层介质按风险区分度分配不同权重。

计算流程分为离线开发与实时计算两个阶段，离线阶段沉淀用户常用环境特征库、筛选介质与阈值、确定权重；实时阶段比对当前环境与历史特征，累加达标介质权重输出环境可信分（0-1分）。同时设置介质缺失容错机制与新用户/低频用户冷启动方案，动态迭代规则以适配风险变化。

3.3 第三层：受益人可信——场景化风险穿透

受益人可信针对受益人非本人的高频支付场景，采用“核心风险识别→主体可信识别→交易上下文核验→聚集性兜底规则”的分层逻辑。核心规则包括刚性前置拦截命中欺诈黑名单、涉案账户等交易；主体可信需满足一定周期合规沉淀期，参考长期历史交易数据挖掘关系，结合时间衰减函数与场景适配调整权重；交易上下文核验关注时空与消费画像一致性；聚集性兜底规则识别团伙攻击，同时设置豁免机制。

3.4 第四层：行为可信——基线校准与异常识别

行为可信通过“基线校准→异常识别→分层管控”三阶段基线校准法，解决反欺诈中“资质倒挂”问题。阶段1构建场景化纯净行为基准，按风险场景拆分，定义纯净样本并量化基准参数；阶段2采用Z-score标准化计算个体与基线的偏离度，结合多维度异常分整合实现异常分层判定；阶段3剥离异常用户后，构建行为可信分模型，按分数分层实施差异化管控，重点关注高资质用户的受害风险。

4.1 层间协同逻辑

需要明确的是，设备可信与环境可信的核心作用，仅能证明操作人是本人，无法判断交易是否存在电诈风险。现实中，电诈风险常表现为操作人是本人，但因被诈骗导致受益人非本人，这种情况仅靠设备和环境可信无法识别。因此，基于这一前提，各层级可信验证的联动逻辑为：设备可信与环境可信均达标，可确认是本人操作，但需进一步通过受益人可信、行为可信校验，排除电诈风险；若设备或环境可信未达标，需结合受益人可信、行为可信进一步核验；若触发行为异常，需启动人工复核。同时设置误判控制机制，减少对正常用户的风控打扰。

4.2 效果指标与迭代监控

可信模型的核心效果指标，重点聚焦自身专属指标：可信覆盖占比（头部可信用户的流量占比）与可信流量中的风险漏过（FN）占比，两者协同衡量模型在降打扰与控风险之间的平衡。监控机制主要覆盖特征稳定性、用户体验及风险约束相关指标，迭代节奏为T+1离线更新、每月全量重训、季度复盘，确保模型持续适配实际场景需求。