银行交易欺诈风险防控技术研究与实践
作者: 翟兴明
关键词:交易欺诈风险;动态标签;关联图谱;实时监测预警
中图分类号:TP391.7 文献标识码:A
文章编号:1009-3044(2024)21-0080-03
1 银行交易欺诈风险防控形势严峻
在互联网技术快速发展且与人们生活全面融合的时代背景下,电信网络诈骗依然持续高位运转,手法层出不穷,技术不断迭代更新。根据公安部2022年公布的数据,刷单返利类诈骗、虚假投资理财类诈骗、冒充电商客服类诈骗、贷款和代办信用卡类诈骗等已成为当前主流诈骗套路,占比超过80%,传统电信诈骗向互联网领域转移趋势明显。
2021年以来连续三年中国人民银行多次发文要求深化涉赌涉诈“资金链”治理,并要求商业银行严格抓好排查与整治工作,坚决斩断跨境赌博和电信网络诈骗资金链。2022年12月1日《中华人民共和国反电信网络诈骗法》正式施行,要求银行业金融机构在开立银行账户、支付账户及支付结算服务,采取相应风险管理措施,并建立完善符合电信网络诈骗活动特征的异常账户和可疑交易检测机制 。
针对涉赌涉诈风险防控,银行原来主要通过黑名单离线排查,无法应对层出不穷且作案手法不断变化的风险防控现实,另外,随着风险形势呈现多种场景混合出现和变化性越来越强的特点,传统防控手段无法实时捕捉和监测到瞬时发生的欺诈场景,急需全局性宏观视角的手段来及时监控风险变化。
2 银行交易欺诈风险防控技术研究
2.1 数据准备
浦发银行在传统黑名单数据基础上,一方面设计了动态风险标签,主要用于实时监测风险账户,另一方面设计了历史交易行为特征数据,主要用于模型评分和规则引擎的实时规则判断。
2.1.1 动态风险标签
动态风险标签的起点是黑灰名单,黑灰名单一般支持客户、银行卡、手机、商户、商户终端、设备、IP地址等多种业务类型,主要来源为第三方机构(公安、工商、中支协等)同步、行业内共享、风险预警核实等。一方面通过风险监测预警产生不同维度的风险标签信息,另一方面通过批量同步,形成动态标签体系库,为实时资金风险监控提供数据支撑。
动态风险标签包括但不限于卡、客户、商户、IP、设备、手机等维度,可以指定客户信息或交易信息中的字段作为标签对象。大类上可分为开户类、欺诈类、洗钱类、赌博类、外部提供类、基本属性类等。
2.1.2 历史交易行为特征
历史交易行为特征是对实时交易数据进行数据补齐处理,得到包括用户当前交易特点和历史交易特点的合集,如一时间段内的用户手机网银登录转账交易、线下消费取现、商户消费及结算账户、账户清算或其他消费交易等实时交易数据,该时间段可以是一个预设的时间区间,例如半小时内,一小时内等。历史交易行为特征的计算时效性要求很高,需要在数十毫秒内完成,在实时交易侦测中起着关键性作用。
2.2 关键技术
2.2.1 关联图谱[1-2]
关联图谱的最小集合是三元组,即实体→关系→ 实体,实体是关联图谱的基本构成元素,从银行业角度来看,关联图谱的实体主要是客户、账户、商户、设备等,不同实体有着不同的特征属性,不同实体之间存在不同的关联,在关联图谱中使用关系来链接两个实体,以标识实体之间的关系,进而构建复杂的关联图谱。
基于亿级的海量交易信息,勾勒客户,交易对手账号,登录设备指纹等信息关联关系网络,可精准追踪卡卡间的交易路径,从源头的账户、卡号、商户等关联至最后收款方,识别涉赌涉诈资金转移模式和可疑人员,并通过可疑人员的交易轨迹层层关联,分析得到更多可疑人员、账户或卡号等实体。
2.2.2 机器学习
机器学习模型是当前商业银行反欺诈领域比较常用的技术,包括无监督、半监督和有监督三种模型。
1) 无监督学习模型
无监督学习模型分为聚类(K-means算法等) 和降维(PCA主成分分析等)。无监督学习不依赖标签,通过自动发现数据中的结构和模式来进行学习和分析。无监督算法具有鲁棒性高,解释性强,团伙作案挖掘能力强等优势,可主动检测新型攻击,灵活应对不断演变的犯案模式,提高可疑行为检测覆盖率。
2) 有监督学习模型
有监督学习模型分为单模型和集成学习两类,商业银行常用的是单模型中的BP神经网络模型。有监督学习依赖于有标签的训练数据,学习输入特征与标签之间的映射关系,但异常识别存在滞后性。
3) 半监督学习模型
半监督学习模型介于无监督模型和有监督模型之间,区别在于半监督模型的训练样本仅部分有标签,通过分析有标签的数据来对无标签数据进行预测。
2.2.3 BP 神经网络模型[3-4]
BP神经网络模型是应用最广泛、效果最好的方法,有很好的持久性和适时预报性。如图1所示,BP网络模拟的拓扑结构是采用一个多层感知机构,是由输入层、中间层(隐层)和输出层共同构成的网络拓扑结构的前馈网络。BP网络所设定的学习规则是采用最小均方差学习方式。浦发银行利用历史交易特征和历史欺诈评分信息训练和验证模型,在BP神经网络模型训练完成并部署后,模型可以通过接受告警核实反馈结果,以较高的频率重新训练模型,完成模型的自学习和自更新。
BP神经网络模型很适合在银行实时交易欺诈风险识别中应用,在转账、开户等场景都可以选取各类客户交易行为特征建立模型,提升欺诈交易识别的精准率。
2.2.4 Redis内存技术
Redis是一种Nosql技术,它是一个开源的高级kv 存储和数据结构存储系统,不仅能够存储key和value 这种简单的键值对,还能存储集合、hash表、列表、字典等。Redis在整个运行过程中,数据统统都是存储在内存中的,因此,性能是相当高的,由于此特性,Re⁃ dis对于内存的要求比较高,它会周期性地将内存中的数据写入在磁盘中,从而实现数据持久化的访问能力。
以历史交易特征信息计算为例,对历史交易数据进行数据补齐处理,涉及卡客关系(银行卡和客户,以卡为单位)保存,但是银行卡的数量是一个巨大的数值,可以超过5000万甚至更多,如果采用传统的数据库对每笔交易进行数据查询,在TPS高的情况下(超过1500以上),传统的数据库加上网络上出现的可能的延迟,系统耗时将可能超过10毫秒,而交易到返回交易的整体时间控制只有60毫秒,所以必须尽可能减少实时查询的时间消耗,因此采用Redis 内存技术,可将原来在数据库的I/O瓶颈由快速的内存来承担,系统性能大幅度提高。
3 银行实践
3.1 基于动态标签体系的涉案账户实时资金流关联监测
基于涉赌涉诈交易存在大量资金快速转移特点,浦发银行结合动态风险标签体系建立了实时资金流关联监测机制,具体方法如下。
1) 以内部监测或外部共享涉赌涉诈黑名单账户作为原点,准实时监测异常账户资金流向情况。
2) 批量或实时对出入账资金交易自动打标,实现黑名单账户一度二度(支持五度)关联账户自动识别和标记,如图2所示的异常账户资金流向监测为黄色风险标签账户向他行账户流出的关联资金链路,红色节点为动态打标风险账户,蓝色节点为关联到资金流向他行的账户。
3) 结合一度二度关联账户自身出入账交易时间、金额、频率、对手等异常特征进行进一步打标识别。
4)对于中高风险账户会实时联动账户核心及电子渠道进行账户管控或进一步核实反馈。
涉案账户资金流实时监控可以让银行对涉案账户有全貌的视图展示,不仅能按欺诈场景区分洗钱风险账户、账户盗用风险账户、黑名单账户、正常账户等,还可以按账户所属人的学历、性别、职业等统计分析,有利于银行及时了解实时涉案账户的关联网络全貌。
3.2 客户商户全业务场景融合监测[5-7]
随着银行风险防控力度不断加强,涉赌涉迫团伙不断变换作案手法,涉赌涉诈资金链分布在各类业务场景,浦发银行建立了覆盖全业务场景的(如客户、商户)涉赌涉诈监测预警防控体系。相比客户、商户单独监控,融合监测可以从涉赌涉诈资金链全貌进行更完整的描绘,挖掘交易关系网络中隐藏的可疑交易,提升银行识别欺诈风险的排查能力。
浦发银行采用领先的关联图谱技术进行监测,以全量客户商户交易信息和动态标签库作为数据支撑,通过构建客户→消费卡号→商户结算账号→商户的关联图谱,整合客户+商户两端全场景业务数据,通过分析统计商户的交易数据,提取商户不同维度的信息,结合真实交易产生的预警结果和标签信息,对商户进行特征标记,生成点边矢量信息,利用路径检索算法挖掘出交易关联图中的泛化风险节点和正常节点,提取每一节点的实体特征向量构建图谱。
3.3 基于无监督和半监督机器学习模型的应用[8-9]
3.3.1 电信诈骗涉案账户无监督监测模型
2022年新冠疫情期间出现了一批新诈骗类型,如申请零售信贷后转账、开立二三类户后充值提现将某一银行账户作为中间账户、给收款人为红十字会转账的刷单、使用特殊机型登录转账的账户盗用等,行为特征相对明显,为尽早侦测识别新诈骗类型及相应的行为动线,更精准的部署规则、提示客户、拦截交易,保护客户资金安全并最大化减少客户损失,浦发银行构建了无监督模型,首先提取电信诈骗无监督模型风险特征,包括但不局限于交易时间、交易名称、交易金额、交易对手、环境信息、设备信息、账户类型、认证方式等,构建基于无监督算法的交易行为动线聚类。然后通过建立 NLP文本挖掘模型得出诈骗类型分类。最后输出交易行为动线分组,群组原因,与之匹配诈骗类型。如薅羊毛、洗钱、网络赌博、电诈等。
3.3.2 二三类户半监督模型
浦发银行上线电信诈骗无监督群组模型后,对风险群组的识别效果显著。经过较长周期(一年及以上)的分析标记,浦发银行已沉淀累计一定的样本量,利用该数据可以构建二三类户交易半监督模型,首先,基于 NLP 文本挖掘将公司名称、公司地址、其他地址等文本信息是否为异常地址,并作为特征入模。同时,利用已标记的异常地址的标签先验信息给无标签地址打上异常地址标记。其次,将标注的风险卡号及该卡号相应的风险标记加入样本,利用该标签样本提供的监督信息来给无标签样本打上伪标签并实现聚类。最后,每日批量处理,输出风险概率及分类类型。
3.4 基于规则引擎的交易事中控制[10]
针对时效性很高的涉赌涉诈场景,浦发银行整合了历史交易特征、模型评分和动态标签等多种技术,搭建了适合涉赌涉诈所交易侦测的规则处理引擎。
3.4.1 规则引擎
规则引擎的核心模块包括规则管理模块、模型部署模块和预警管理模块,其中,规则管理模块主要负责衍生变量统计,交易评分,规则执行,是整个规则引擎的核心子功能;模型部署模块支持部署一个或多个模型,各模型可应用于不同产品或渠道所在的业务场景;预警管理模块可以通过自适应变化的交易欺诈动态监测规则对交易进行准实时阻断,并可对风险账户进行锁定处理。
3.4.2 实时交易欺诈侦测
实时交易欺诈侦测依赖于规则引擎及模型评分,难点在于实现交易在数十毫秒内完成历史交易行为特征和模型指标的计算,同时还需保障高识别精度的欺诈判断。反欺诈规则引擎运用Redis内存计算技术,大幅提升指标和规则引擎的计算速度,同时又叠加使用规则加模型的双重引擎,大幅提升欺诈识别精度。
首先,各类历史交易数据通过批量的方式接入规则引擎,根据交易关键要素进行交易的客户信息、账户信息和历史交易特征信息等数据补齐和铺底。同时,在规则管理模块中,根据模型评分、欺诈信息、风险标签、用户特征、金融交易要素等信息设置交易欺诈侦测的规则。
其次,金融实时交易发送到规则引擎数据采集模块后,根据关键要素信息补齐数据,同时通过模型计算,得到模型评分结果并补全至交易中。根据部署的规则,实时判定是否触发事中管控,如账户锁定等,并生成侦测信息、案件信息及风险标签。以智能手机银行为例,智能手机银行中的高风险交易可支持在交易发生的第一笔实时弹窗提示及拒绝机制。
最后,预警信息、风险标签等数据, 通过联机或批量的方式反哺给规则模型工厂,模型工厂对其中的模型进行迭代优化,以提高模型输出结果的准确性。
4 结束语
浦发银行通过引入关联图谱、神经网络等技术,并结合动态标签、客户历史交易特征等数据,建立了全方位的交易反欺诈监控体系。近几年浦发银行欺诈损失率一直维持在百万分之一以下业内领先水平,案件发生率及风险账户数量排名在同业排名持续靠后。
在外部监管机构强监管态势下,商业银行在交易反欺诈特别是电信欺诈风险防控领域仍需要持续加强和外部监管以及同业的合作,并可探索区块链、大模型等创新技术不断提升风险防控能力。