以Web服务器为例，它的主要任务就是检阅到来的事件并反馈同意或拒绝。

针对每一个进入的事件，可以进行三个层次的检测：

• 事件级检测

  只用该事件本身就能完成检测，比如格式判断或基本规则验证（a属性必须大于10小于30，b属性不能为空等等）。

• 全局上下文检测

  在全局信息中的上下文中，比如存在一个全局的黑名单，判断该用户是否在黑名单中。或者某属性大于或小雨全局的平均值等。

• 画像内容检测

  针对该行动者本身的跨多条记录分析，比如该用户前100次交易都发生在杭州，而本次交易发生在北京且距上次交易只有10分钟，那就有理由发出异常信号。

所以这个系统至少要保存三方面的信息，

• 整个检测的过程
• 进行判断的规则
• 所需的全局数据

除此之外，根据需要决定是否把用户画像在本地做缓存。

Kafka主要用来把检测的事件、检测的结果、拒绝或通过的原因等数据发送到下游，供实时计算和离线计算进行处理。

使用Kafka处理后的数据针对当前的策略进行新一轮的防御性检测。

系统应该关注一些宏观指标，比如总量，平均值，某个群体的行为等等。这些指标发生了变化往往表示某些规则已经失效。

举例如下：

• 某条规则之前的拦截率是20%，突然降低到了5%；
• 某天规则上线后，大量的正常用户均被拦截掉了；
• 某个人在电子产品上的花费突然增长了100倍，但同时其他人也有很多类似的行为，这可能具有某种说得通的解释（比如iphone上市）；
• 某人连续几次行为，单次都正常，但不应该有这么多次，比如一天内连续买了100次同一产品；
• 识别某种组合多条正常行为的组合，这种组合是异常的，比如用户买菜刀是正常的，买车票是正常的，买绳子也是正常的，去加油站加油也是正常的，但短时间内同时做这些事情就不是正常的。通过全局分析能够发现这种行为的模式。

业务人员根据实时计算产生的近实时结果能够及时发现规则有没有问题，进而对规则作出调整。

通过脚本、SQL或机器学习算法来进行探索性分析，发现新的模型，比如通过聚类算法把用户进行聚类、对行为打标后进行模型的训练等等。

HBase保存着实时计算&离线计算产生的用户画像，供检测系统使用。之所以选择HBase主要是为了满足实时查询的需求。