实时交易反欺诈

从一致 无差别强认证
基于行为数据分析 的动态区别管控
PART
银行反欺诈系统建设路线图
基于历史数据不断优化风控规则 与策略补充完善数据源
优化风控规则 与策略
利用机器学习 提高反欺诈能
力
将之前的所有经验及规则构建成多维 度的特征库，利用机器学习技术进一 步提高反欺诈能力
经验驱动 逐渐过度 数据驱动
系统建设+ 出色的行业风控专家把控 经验规则
PART
银行现有反欺诈系统面临的挑战
规则
基于简单规则
时效
事后处理
灵活
业务人员很难 实时调整修改
技术
人工智能 机器学习 设备指纹 关联图谱
业务
对黑产的了解， 反欺诈经验
数据
数据的获取与储备
总结: 银行现有反欺诈系统，投入大，时效性差，用户体验差、限制业务创新
PART
银行反欺诈发展趋势
风控时效性 事后→准实时→实时
2017年12月底前，完成基于大数据技术的银行卡风险
4
中国人民银行办公厅关于强化银行卡磁条交易安全管 理的通知 银办发〔2017〕120号
防控系统建设，提升磁条交易风险管理水平。一是基 于高风险交易特点和持卡人行为特征，建立风险评估 模型。二是根据风险等级实施差异化风险防控。对于
风险较大、可疑程度较高的磁条交易，采取精准识别、
43789
78781
155616
0
0
x1
x2
x4
x8
注1：测试环境为8台PC Server。单台服务器配置为4个CPU(x6)，256G内存。
注2：同时进行16个指标的运算，4个维度；以及标准差、求和、平均、最大、最小、去重、事件序列等算法
0.19
x1
0.26
x2
0.28
x4
0.34
x8
2.获得：教育部科技进步一等奖-海量混合大数据融合处理关键技术及应用
历史数据验证，评估规则效果
规则上线
一键热部署，无需停机，实时生 效
规则迁移
实现规则全量迁移，已有规则优 化
规则修改
界面化修改，支持版本记录与回 滚.
规则权限
功能权限控制，规则权限控制.
规则下线
一键下线，无需停机.
导入导出
全量、部分规则导入导出.
05 06 07 08
PART
业务——完整的核查流程
客户行为分析
知 银发〔2016〕170号
各商业银行、支付机构应该利用大数据分析、用户行为 建模等手段建立风控模型，做到及时预警异常交易
2
中国人民银行关于加强支付结算管理防范电信网络新
型违法犯罪有关事项的通知 银发〔2016〕261号
银行和支付机构应当加强对银行账户和支付账户的监 测，建立和完善可疑交易监测模型，账户及其资金划 转具有集中转入分散转出等可疑交易特征的，应当列 入可疑交易。
对客户历史行为进行分析，总结 习惯性特征，并支持实时计算
风控策略管理
针对规则配置阻断、短信验证、 名单校验等策略，并实时生效
预警核查
风险交易预警，预警相关数据
展现，核查处理
案件管理
案件全流程管理，还原案件
全貌
核查管理
名单管理
黑白灰名单、多维度、支持批量 导入
报表平台
规则有效率、案件分析、运营报表
反查系统
设备指纹生成服务支持云方式使用或本 地化部署
JS无感知嵌入，SDK客户端接口方便易 用
合理设计，服务器资源低消耗
PART
技术——基于纯规则反欺诈体系的弊端
依赖顶尖的反欺诈专家 线性分隔，特征量限制在5-10个 规则日积月累、管理复杂
新型欺诈无法防范 核查成本大、风险大 维护成本升高
PART
技术——基于机器学习的反欺诈模型
同时,数据处理采用流式处理和批式处理相结合的方式，能够支撑全行数据的处理和计算，满足 未来5-10年的数据增长需求。技术实现上，将在国内银行中拥有足够的先进性和前瞻性。
PART
数据——反欺诈数据
01 IP识别
✓ 全球代理IP ✓ 可疑端口IP ✓ IDC IP ✓ 基站IP
02 虚假手机号识别
✓ 虚假手机号 ✓ 通信小号 ✓ 标记欺诈手机号 ✓ 手机号归属地
流处理技术 • 逻辑先行
Streaming Processing
• Incremental • Dynamic • Distributed
➢ 小数据量
➢ 低延时(几十毫 米)
➢ 大数据量 ➢ 超高延时(几
天，几十小时)
➢ 大数据量
➢ 高延时(几小 时，几十分钟)
➢ 大数据量
➢ 低延时(几十或 几毫秒，甚至 <1ms)
规则
？
话费充值金额
模型
绑卡时间
PART
技术——机器学习在银行反欺诈的价值
基于机器学习算法，以科 学的方式进行风险识别
支持多种机器学习算法 与规则互补
持续进行机器学习模型优 化
提升风控能力 提升用户体验
目标 规则
目标
规则 机器学
习模型
PART
技术——基于机器学习的金融反欺诈业务创新
依托于企业已有的大数据平台，基于企业渠道的交易数据、访问数据以及外部服务数据，通过大 数据、机器学习建立智能反欺诈的机器学习模型,基于机器学习模型和专家规则综合判断交易风险。
实时流处理
时效性 毫秒级
高可扩展
单节点 30000 流水/秒
• 基于时间窗口移动的动态数据快速处理技术
• 支持计数、求和、平均、最大、最小、方差、标准差、K阶 中心矩、递增/递减、最大连续递增/递减、唯一性判别、采 集、过滤等多种分布式事中计算模型
• CEP支持，上下文算法支持
PART
技术——流立方性能指标
多维度、无限层级反查，分析 案例，挖掘潜在风险
风险大盘
图形化界面，直观展示风控指标
PART
技术——传统基于数据库技术的实时反欺诈问题
规 则
一笔反欺诈请求的
：
事中处理过程
同
一
大数据 大维度
◆ 每日5000万笔交易，3000万张活跃卡
◆ 商户维度：同一商户机过去1个月日交易时间的集中度； ◆ 支付渠道维度：同一支付通道过去24小时交
PART
技术——流处理技术应用在实时反欺诈领域的主要问题
JVM存储 VS 内存数 据库 VS 分布式缓存 合理的存储结构 存储效率问题 高可用、高可扩展(自 平衡) 多副本一致性问题 0 miss如何达成
数据驱动结果动态变 更 系统时钟驱动结果按 时变化 时间窗口按需调整， 即刻计算 时间单位计算精度按 需调整
项目 背景
业务量激增
发卡量3年增长三倍，超过2000万张，系统处理压力大增。
反欺诈规则愈加复杂
欺诈手段多变，反欺诈规则逻辑越来越复杂，数据处理能力成为瓶颈。
欺诈案件爆发式增长
业务扩张，导致欺诈案件爆发式增长，承受赔付与投诉压力巨大
PART
案例1——某股份制银行信用卡中心交易反欺诈
海量数据接入
所有信用卡相关的交易均接入以实 时模式接入风控系统，日均交易量 超过2000万笔。
计数、求和、平均、最 大、最小等算法 连续统计、递增、递减、 连续递增、递减等的支持 波动计算(方差、标准差) 偏度及峰度运算(3阶、4 阶中心矩) 排序、去重等问题 静态关联问题
长周期数据处理能力 大维度数据处理能力 时间序列识别能力 上下文关联能力
PART
技术——极速数据处理平台——流立方
数据流
实时拦截等措施。三是通过交易行为分析、机器学习
等不断优化风险评估模型，提高欺诈交易拦截成功率，
切实提升银行卡交易安全防护能力。
PART
总结
✓ 总体要求
• 建立基于大数据的风控系统
✓ 监控对象
• 银行卡：对于银行卡全行全渠道交易，特别是互联网交易进行重点防控 • 商户：对于收单业务特约商户进行风险防控
防御手段 专家规则→模型
系统建设 单一业务风控→全渠道中央风控
1
实时反欺诈 完美支持实时反欺诈，支持复杂规则，同时支持准实时、事后跑批的模式，三者需结合使用。
2
反欺诈三要素 先进技术如流式大数据处理技术、设备指纹、机器学习等，海量数据如代理IP侦测、虚假手机号、归属地解析等。
3
成熟的系统 满足企业级反欺诈需求，符合使用习惯，可以快速平滑过渡，同时支持定制化开发。
✓ 监控方式
• 实时交易监控，建立完善的规则模型，以监控银行卡、商户、交易的风险，并不断优化模型效果
✓ 风险控制
• 对交易进行分级，并对不同风险等级的交易采用不同的验证和控制措施 • 对于磁条卡交易进行交易提醒 • 对于风险交易进行风险提示 • 对于风险客户和商户进行调查，以控制风险
PART
风控建设
黑产给银行带来的欺诈风险图例
商家侧录
收买信息
一手信息 窃取信息
检测 12%
制卡出售 （中间 商）
“料”
制卡者
白卡；3min
￥80-￥500
黑客
攻击POS 机
欺诈者 与商家合谋
雇佣
网络(无需制卡)
盗刷
ATM POS 网银
PART
中国人民银行关于风险管理的发文
监管 政策
1
中国人民银行关于进一步加强银行卡风险管理的通
特征的卡的数量大于5张
PART
技术——联机分析处理(OLAP)的发展
Database
• ACID • SQL
Data Warehouse
• Acquisition • Storage • Access
批处理技术 • 数据先行
Hadoop
• MapReduce • HDFS • Distributed
1.通过：浙江省电子信息产品检验所-软件评测报告
流立方并发指标(TPS)
流立方延时指标(毫秒)
1200000 1000000
800000 600000
推送 查询
666280
1084889
推送 查询
2.5
2
1.92
1.61
1.62
1.5
1.43
1
400000
345493
301249
0.5
237590
200000
PART
案例1——某股份制银行信用卡中心交易反欺诈项目落地方案
3
中国人民银行关于强化银行卡受理终端安全管理的
通知 银发 [2017] 21号
银行卡清算机构会同成员机构利用大数据分析技术，有效 鉴别移机、切机、二清、套码等违规风险，对存在异常交 易的终端和商户，要采取调查核实、风险提示、延迟结 算、拒绝服务等风险防控措施。
全国性商业银行于2017年8月底前，其他商业银行于
PART
银行反欺诈解决方案建设三大基础
业务
• 黑产渗透 • 风险场景分析 • 一站式风控流程
技术
• 流式大数据处理 • 机器学习、关联图谱
• 设备指纹
数据
• 虚假手机 • 代理Ip识别 • 智能定位
PART
业务——规则灵活配置
01 02 03 04
规则配置
可视化，界面配置，无需编写代 码
规则训练
PART
技术——设备指纹
移动设备 • WAP应用 (IOS, • 微信应用
Android) • 移动应用
• WEB应用
PC设备
设备黑名单
可信设备 白名单 规则/模型的 设备维度应用
准确性 稳定性 安全性 易用性 性能
• 主动采集要素，精准识别设备 • 多维度要素综合决策
• 结合被动采集要素，多维度决策增强稳 定性
优异的性能
风控系统实时处理每一笔信用卡交 易，并实时计算复杂规则逻辑，风 控延迟小于50ms，整体业务延迟小 于100ms。
项目成果
大幅减少损失
借助邦盛提供的反欺诈咨询服务和 设备指纹技术，仅三个月时间 （2016.4-6），风控系统帮助银行 减少案件金额2000万。
案件大幅减少
风控系统上线后，案件数量大幅减 少，之前银行每天人均处理量为6070笔，上线后降低到人均5笔。
易金额
张
请求拦截
异常增加
信
用
● 事中风控极短时间：过去5分钟
卡
数据库查询原始流水
长时间段 ● 事中风控较长时间：过去6个月
当
● 事后风控极长时间：过去1年
日
累 计
指标运算
交
易 金
规则匹配
额
■ ■ ■
复杂规则
规则数量超过1000条，规则逻辑复杂，计算变量多
同一张卡当前交易商品是否在过去3个月最常交易 商品的前3名列表中； 同一个POS机过去1个月交易的信用卡中存在“先发 生小于50元交易后1分钟内发生大于5000元交易”
03 智能定位数据
✓ 基站数据库 ✓ GPS数据库 ✓ IP归属地 ✓ 借记卡归属地 ✓ 手机号归属地 ✓ 身份证归属地
PART
数据——安全可靠的数据服务模式
联盟黑名单数据
会员端
反欺诈云
数据仓库
采集端
企业端
数据服务前置机 风控系统
客户支付系统
PART
案例分享
PART
案例1——某股份制银行信用卡中心交易反欺诈
• 适配设备时间 、空间、操作变化 • 防篡改 • 动态变更 • 接口反作弊 • 业务系统易整合，兼容性佳 • 支持本地化部署或者云模式 • 服务器资源低消耗
• TPS 7000(单节点) • 本地化部署99.9%延时100ms以内
识别用户终端设备唯一性技术
PART
技术——安全可靠的设备指纹部署方案
实时交易反欺诈
目录
CONTENTS
风险解读
Risk Analysis
风控建设
Risk Management
案例分享
Case Sharing
PART
风险解读
PART
数据黑产生态
PART
黑产给银行带来的欺诈风险
营销套利 账户盗取
黑产给银行带 来的欺诈风险
银行卡盗刷
虚假注册 理财诈骗 虚假借贷
PART