交易反欺诈系统实践与应用

交易反欺诈系统实践与应用

前言

随着我行业务的不断创新和发展，服务的渠道越来越丰富，与此同时，电信网络新型违法犯罪日益猖獗，对风险防控都有了更高的要求。我行全渠道交易反欺诈系统，提供了较为安全的风险防控策略，能够全面提高交易风险识别、风险评估、风险预警、跟踪处置、风险评价的能力，降低各渠道业务经营风险。

什么是欺诈

融行业在数字化转型的过程中，业务的各个环节都存在着被黑产攻击的可能性。申请阶段存在恶意逾期、中介代办、团伙欺诈等风险；交易环节有盗卡盗刷、养卡套现，甚至洗钱等行为；营销阶段，金融机构的拉新红包可能被黑产人员利用。黑产活动每年都会给银行业带来近超千亿的经济损失。

虚假开户：欺诈者通过收购大量身份四件套资料，结合打码平台和各种自动/半自动化黑产工具，绕过银行现有开户认证方式，实现批量开户以达到获取营销优惠或洗钱等目的。

身份盗用：在电子银行的登录环节，欺诈者利用钓鱼木马诱导用户输入账户信息或者利用互联网已泄露用户密码信息到银行手机APP尝试登录。

盗转盗刷：在手机银行的转账环节，欺诈者通过拖库撞库、伪基站、木马病毒、改装POS等方式，非法获取用户的账户信息后，利用短信劫持、空中接口拦截等方式获得用户的短信验证码，盗用用户资金。

套现风险：持卡人套取信用卡额度，不良持卡人利用POS进行虚假交易；不法商户使用虚假资料申请获取多张卡后，再申请成为收单机构商户，进行虚假交易。

什么是反欺诈

反欺诈其实就是通过信息技术对欺诈行为进行识别的一项服务，传统的反欺诈手段包括黑白名单、规则引擎、有监督机器学习等。传统的风控手段更多的是被动防范，随着黑产技术手段的不断升级换代，传统反欺诈方案的不足渐渐凸显出来，无监督机器学习提供了一个比较好的反欺诈方向。

我行交易反欺诈系统

我行交易反欺诈系统基于实时交易行为和历史交易行为，结合大数据算法，对客户操作过程中的欺诈风险进行自动化实时甄别、预警和处置，提高异常交易风险事件处理能力和处理效率，保障客户财产安全。

1、风险引擎及防控策略：基于配置对应的规则或者模型，对业务活动或者交易进行实时风险评分，规则引擎同时具备在线实时处理能力和离线分析能力，实现对业务活动的风险判断和风险控制。风险等级划分及建议处理策略如下图：

2、风险防控流程：风险防控采用埋点的方式进行，在业务系统在进行特定场景交易时，实时调用反欺诈接口，风控引擎通过实时查询Redis、ES等数据源的实时数据，进行风险预警请求的规则比对，完成风险分数的计算，返回对应处置策略。风控流程如下图：

以手机银行为例：

第一步：手机银行APP首先调用设备指纹SDK的反欺诈接口，SDK采集风控相关数据。

第二步：手机银行发起业务请求，风控数据随业务请求发送手机银行业务系统。

第三步：手机银行服务端通过GXP调用反欺诈系统接口，发起风控请求。

第四步：反欺诈系统依据预先设定的规则集/模型进行风险评分。

第五步：反欺诈系统将风控结果返回给手机银行业务系统。

第六步：手机银行业务系统依据预先配置好的分值处置策略，拉起对应的认证渠道执行处置流程。

第七步：手机银行服务端将处理结果返回给手机银行客户端。

3、案件处理：针对不同的事件响应策略设定生成的核查单，支持系统自动分配和手动分配。操作人员通过案件库进入分析受理页面，对事件进行初审或复审操作。经过人工审核后的核查单，依据最终处理结果自动归档到案件库、疑似欺诈事件库、清白件库，用于后续调优规则和模型。案件处理流程如下图：

4、离线计算与机器学习：通过机器学习引擎，从资源（IP、商户、行为模式、设备、账号、金额、证件、银行卡等）和事件数据粒度分别构建关联图谱网络，结合用户画像模型、特征工程技术，通过抽象节点业务关系定义网络边权关系，构建资源级别和事件数据级别图谱网络。并沉淀异常样本及数据特征到案件数据库。

实时交易反欺诈系统可以对线上交易（网上银行、手机银行、直销银行、微信银行等）、线下交易（如POS收单、ATM、STM等）进行有效监控，对接主要业务场景90余个，制定规则1710余条，近单月日平均18万条风控记录，日平均预警高风险事件0.45万，中风险事件1.34万，低风险事件18.5万。初步构建了跨部门以及总分支三级联动、协助互补的监督检查及风控机制，有效甄别各种类型的交易欺诈，大幅提高我行业务抗风险能力。

总结

目前系统中的风控规则主要以前期制定的专家规则为主，随着欺诈手段的日益升级，不能及时赶上欺诈手法的翻新速度，需能够支持主动制定风控规则；与此同时，风控规则虽能满足行内要求，但规则的精准度仍需进一步提高。

反欺诈2.0展望

层次化规则配置 ：操作人员通过自主规则的制定及规则的实时生效，配合规则引擎的实时风控，从而应对更多欺诈方式，使风控能够更加准确，解决规则无法按需配置、无法随时更新的痛点。

1、条件配置方式：将指标、计算符、阈值和逻辑关系，按照界面定义好的“配置框架”进行组合完成规则配置。

2、模板配置方式：通过条件配置操作较为复杂的规则提炼为规则模板。基于规则模板，通过点选完成规则配置。

3、算法配置方式：基于预置的计算函数、计算符、指标等进行组合完成规则配置。

机器学习与隐案挖掘

针对反洗钱资金流向呈现的频繁汇入/汇出，集中转入-分散转出，分散转入-集中转出，链式交易结构，环状交易结构的特点，通过机器学习算法模型，对反洗钱系统数据进行分析，通过连通子图与Louvain社区发现算法对交易流水等数据进行深度挖掘，从海量历史交易数据中挖掘隐藏案件，从而减少反洗钱数据报送漏报的风险。