FraudFlow 是一个面向 业务欺诈、平台滥用与黑灰产风险情报 的场景建模与风险图谱项目。
项目以行业生命周期为入口,将业务欺诈风险拆解为 风险场景、欺诈链路、攻击步骤、技术手法、黑话语境、业务对象、风险信号和控制点 等结构化要素,帮助反欺诈、风控、Trust & Safety 和威胁情报研究者更系统地理解、维护和复用行业风险知识。
FraudFlow 第一版不追求做成复杂平台,而是先沉淀一套可持续扩展的风险建模方式:让每个行业的欺诈场景可以被清楚记录、浏览、对比、关联和持续补充。
长期来看,FraudFlow 希望从 风险场景图谱 进一步扩展到 欺诈链路推演、控制点覆盖分析和风控能力评估,为业务风险治理提供更结构化的知识底座。
- 反欺诈与风控团队:整理行业风险场景、攻击步骤、风险信号和处置控制点。
- Trust & Safety 团队:理解平台滥用、账号黑市、虚假互动、诈骗引流和内容风险。
- 威胁情报研究者:沉淀黑灰产术语、行为模式、资源链路和行业上下文。
- 安全产品与数据产品建设者:设计场景库、规则运营、情报库和覆盖分析能力。
- 业务安全学习者:从行业、场景、链路和控制点视角建立系统化认知。
FraudFlow 不只是风险案例列表,也不只是静态知识图谱。项目希望把业务欺诈风险拆成可以被维护、比较和推演的结构化模型。
flowchart LR
industry["行业"] --> lifecycle["生命周期阶段"]
lifecycle --> scenario["风险场景"]
scenario --> flow["欺诈链路"]
flow --> step["攻击步骤"]
step --> technique["技术手法"]
step --> slang["黑话语境"]
step --> object["业务对象"]
step --> signal["风险信号"]
step --> control["控制点"]
每一层回答一个问题:
- 行业:风险发生在哪类业务里,例如电商、游戏、金融、社交。
- 生命周期阶段:风险出现在业务流程的哪个阶段,例如账号入口、交易履约、售后申诉、资金离场。
- 风险场景:具体是哪类业务欺诈或平台滥用问题。
- 欺诈链路:风险行为如何从准备、执行到变现或对抗治理。
- 攻击步骤:链路中的单个可观察动作。
- 技术手法:步骤依赖的通用方法或操作方式。
- 黑话语境:黑灰产语境中的术语、资源名和交易表达。
- 业务对象:被影响或被利用的业务实体。
- 风险信号:平台可观察、可归因、可用于检测的异常证据。
- 控制点:可以介入治理、审核、限速、拦截或追踪的位置。
当前项目已整理 12 个行业、159 个风险场景、187 条欺诈链路、1294 条黑话映射。
已覆盖行业:电商零售、游戏娱乐、金融服务、社交通讯、短视频直播、内容媒体、本地生活与外卖、出行服务、旅游航旅、招聘人力、汽车服务、人工智能。
当前提供:行业覆盖、行业生命周期、风险全景、场景链路、技术矩阵、黑话情报库、关系视图、覆盖分析和本地编辑器。
从行业自己的业务生命周期出发,查看风险场景在各阶段的分布情况。不同产业不强行套用同一套生命周期,而是按行业业务流程独立建模。
每个 风险场景 都可以进一步拆解为一条或多条 欺诈链路,用于描述风险行为如何从资源准备、业务操作、价值转移延伸到治理对抗。
以 电商行业 下的 商品代下 场景为例,FraudFlow 会继续整理该场景下的子场景变体,帮助区分不同代下模式背后的资源依赖、履约方式和风险外溢路径:
- 营销权益代下:依赖优惠券、积分、新人权益或活动奖励降低下单成本。
- 卡料代付代下:使用盗刷卡或异常支付卡为下游需求完成代付履约。
- 退款型低成本代下:通过交付后的退款、赔付或售后申请进一步压低真实成本。
- 无货源 / 仓库中转:通过外部采购、仓库重贴或直接搬运履约代下订单。
FraudFlow 支持把单个欺诈场景按 上游、中游、下游 拆开观察:上游关注资源、身份、渠道和规避准备,中游关注具体业务滥用动作,下游关注价值转移、履约流转和风险外溢。
在每个攻击步骤上,可以继续查看该步骤关联的 技术手法、黑话、业务对象、可观测信号和检测思路。这样既能从链路视角理解黑灰产如何组织一次风险行为,也能从治理视角定位平台可以观测、关联和介入的位置。
FraudFlow 的欺诈技术矩阵参考了 MITRE ATT&CK 对 Tactics / Techniques / Procedures(TTPs) 的矩阵化建模方式,以及 MITRE CTID Fraud Matrix 对欺诈行为阶段和技术类别的表达方式。
在此基础上,FraudFlow 面向业务欺诈与平台滥用场景做了领域化改写,将黑产欺诈行为拆解为 情报、资源、身份、入口、规避、滥用和变现 等阶段,便于追踪攻击路径、复用技术手法并映射防控要点。
以电商零售中的营销活动作弊为例,一个风险场景可以被拆成:
行业:电商零售
生命周期阶段:交易、支付与履约
风险场景:营销活动作弊风险
欺诈链路:
1. 活动规则探测
2. 账号设备资源准备
3. 批量领取权益
4. 权益转卖或消费
攻击步骤:批量领取权益
技术手法:设备指纹绕过、代理访问、自动化操作、账号资源复用
黑话语境:接码、养号、车队、羊毛
业务对象:用户账号、手机号、设备、优惠券、活动资格
风险信号:同设备多账号、短时间批量领取、异常手机号段、领取后快速消费或转卖
控制点:注册风控、设备校验、权益限速、活动资格校验、订单审核
环境要求:Node.js、npm。
安装依赖:
npm install生成并校验数据:
npm run validate:data启动本地开发服务:
npm run dev本地访问:
http://localhost:5173/
项目采用 “一个行业一个目录” 的结构,方便人工维护和多人协作。每个行业位于 src/data/industries/<industryId>/,跨行业复用字典位于 src/data/core/,前端使用 src/data/generated/ 中的生成数据。
删除某个行业目录,并从 src/data/registry.json 移除对应 id 后,该行业的场景、生命周期和黑话映射会从生成后的产品界面中消失。修改行业包后需要重新生成和校验数据。
src/data/
core/ 跨行业通用字典
tactics.json
techniques.json
usagePatterns.json
businessObjects.json
signals.json
controls.json
blackSlang.json
slangTechniqueMappings.json
industries/
ecommerce/
industry.json
scenarios.json
lifecycle.ts
slangUsageMappings.json
README.md
gaming/
industry.json
scenarios.json
lifecycle.ts
slangUsageMappings.json
README.md
registry.json 当前启用的行业 id
generated/ 脚本生成的前端输入数据
FraudFlow 当前阶段重点是把风险场景和行业生命周期表达清楚。后续可以继续扩展:
- 场景模型 Schema:沉淀更稳定的风险场景字段规范。
- 欺诈链路推演:从账号、设备、手机号、支付工具等基础资源反推可能扩散的风险场景。
- 控制点覆盖矩阵:分析控制点覆盖了哪些步骤、场景和生命周期阶段。
- 风控能力自评:根据已有数据、规则、模型和策略能力识别治理缺口。
- 检测逻辑模板:将风险信号进一步沉淀为规则、特征、SQL 伪代码或策略思路。
- 案例复盘映射:把真实事件映射到场景模型,复盘命中的步骤、缺失的信号和失效的控制点。
欢迎提交 Issue 或 Pull Request。比较适合贡献的内容包括:
- 新行业风险场景
- 更准确的行业生命周期描述
- 更清晰的欺诈链路、攻击步骤和证据模型
- 黑话情报映射和上下文补充
- 风险信号、控制点和覆盖分析优化
- 页面交互、可视化和文档改进
如果你熟悉某个具体行业的业务风控、平台治理、黑灰产情报或数据建模,也欢迎一起补充和校准行业包。
When we speak of free software, we are referring to freedom, not price.
本项目遵循 Apache License 2.0 协议,详细内容请参见 LICENSE。
FraudFlow 属于 RiskFlow Labs 的开放研究方向:
面向反欺诈、平台滥用与黑灰产风险研究的开放情报体系。
如果你同样关注业务欺诈、黑灰产风险、平台滥用和威胁情报,欢迎一起参与完善。
