CN110189134A - 基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 - Google Patents
基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 Download PDFInfo
- Publication number
- CN110189134A CN110189134A CN201910409251.8A CN201910409251A CN110189134A CN 110189134 A CN110189134 A CN 110189134A CN 201910409251 A CN201910409251 A CN 201910409251A CN 110189134 A CN110189134 A CN 110189134A
- Authority
- CN
- China
- Prior art keywords
- transaction
- module
- fraudulent trading
- data
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Accounting & Taxation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一种基于疑似欺诈交易参照序位的网络支付反欺诈系统架构,涉及网络支付反欺诈领域。本发明创造性地采用欺诈特征子空间合成理念,首次提出基于疑似欺诈交易参照序位的完备性欺诈空间划分方法,将欺诈特征空间划分为:欺诈交易前驱位特征空间、欺诈交易后继位特征空间和欺诈交易当中位特征空间。不同特征子空间根据用户交易过程中产生的交易数据参照序位,使用模块中的其中几个或全部分析交易是否为欺诈交易,根据各个模块产生的结果采用投票法的决策策略对各个模块的结果进行集成,最终生成系统的决策结果。本发明利用多模块相互独立减少耦合性,利用集成和协调策略将多模块组合,扩展性和可解释性好,各个模块之间功能互补,提高反欺诈系统性能。
Description
技术领域
本发明涉及网络支付反欺诈领域,尤其涉及网络支付反欺诈系统架构设计。
背景技术
随着移动互联网和电子商务等科技和服务模式的发展,网络支付已经渗入到人们的日常生活。网络支付不仅可用于线上网络购物,也可用于线下快捷支付,极大便利了人们的生活,提高效率。网络支付带来一定便利的同时也带来新的风险,例如身份盗用或手机丢失等引起的盗刷和洗钱等欺诈问题。对于许多线上交易平台而言,当欺诈团伙攻破反欺诈算法后可造成巨大经济损失(通常以资损率衡量),因此针对网络支付的反欺诈工作尤为重要。
现有的网络支付反欺诈系统大多结合采用信誉库、专家规则和机器学习等方法。常见的机器学习反欺诈系统利用用户各个维度的数据和特征,与欺诈交易建立关联关系,训练分类模型后用于判断未来的交易是否为欺诈交易。从方法的监督强度来分,常见主要有三种:基于强监督学习、无监督学习和弱监督学习的反欺诈系统。无监督反欺诈方法在特定场景(比如骗贷团伙欺诈等)下已经开始发挥作用;弱监督反欺诈系统近年开始兴起。强监督和弱监督学习方法通常并称为监督学习方法。当前,业内采用主要的反欺诈系统主要还是基于监督方法的。强监督式反欺诈方法通常从两个角度进行设计:误用检测和异常检测。前者,主要是针对历史上出现的欺诈交易(标记为黑样本)进行特征挖掘和建模,基于黑样本和白样本(正常交易采样)训练机器学习分类模型;后者,则通常是针对白样本建模交易的正常模式,通过检测不符合正常模式的交易并将之判定为疑似欺诈交易。
传统的金融反欺诈方法难以满足网络支付反欺诈领域的需求。现阶段网络支付反欺诈系统往往需要满足以下原则:
1)实时性:基于用户体验,网络支付反欺诈系统需在最短的时间内对欺诈交易做出判断。
2)自动化:由于网络支付场景具有交易量大、速度快等特点,所以检测网络支付欺诈很难使用人工操作。
3)数据化:由于人工难以操作,与常规反欺诈场景不同,网络支付的反欺诈系统性能往往由数据的应用能力来决定,数据采集、数据挖掘、数据建模等方面都决定了反欺诈系统性能的高低。
发明内容
网络支付反欺诈检测系统在功能架构方面,通常是根据针对不同欺诈特征来构建功能模块。现有架构比较多的是通过代表性反欺诈方法来做功能分割,比如设备指纹、生物探针、行为序列和关联图谱等。该类架构往往针对用户的身份信息特征设计反欺诈系统,对用户的隐私数据涉及较多,对用户的交易数据利用较少。这类架构的问题在于不同功能模块所关注的欺诈特征可能存在较大重叠,并且各个模块关注欺诈特征的并集仍然不够完备。
技术方案
本发明是为了克服现有技术不足之处,提供了一种基于疑似欺诈交易参照序位的网络支付反欺诈系统架构。为实现上述目的,针对网络支付反欺诈场景,本发明创造性地采用欺诈特征子空间合成理念,首次提出一种基于疑似欺诈交易参照序位(疑似欺诈交易的前驱位、后继位和当中位)的完备性欺诈空间划分方法,将欺诈特征空间划分为对应的三个子空间,即欺诈交易前驱位特征空间、欺诈交易后继位特征空间和欺诈交易当中位特征空间。不同特征子空间以自适应融合的方式进行决策合成,即根据用户交易过程中产生的交易数据参照序位,使用模块中的其中几个或全部分析交易是否为欺诈交易,根据各个模块产生的结果采用投票法的决策策略对各个模块的结果进行集成,最终生成系统的决策结果。分析欺诈交易发生前的交易特征可用于预防未来的欺诈交易,当发生网络支付过程中有几笔数据符合该类数据特征时,有较大概率未来的下一笔交易是欺诈交易;分析欺诈交易发生后的交易数据特征则重点是防范重放攻击,网络支付场景中经常发生当一笔交易为欺诈交易则后面连续几笔交易均为欺诈交易的情况;分析未发生欺诈交易的数据特征则是防止由于账户被盗用等引起的欺诈交易,一般采用个体建模的方式对用户建立模型,分析用户平时的交易习惯。
上述创新思路下,设计根据交易参照序位的分割反欺诈模块,根据分割出的反欺诈模板设计对应机器学习算法模型(如:随机森林算法、深度学习算法等),利用类似集成学习方法策略(如:投票法)对各个模块进行集成,同时系统架构中添加强化学习模块,利用强化学习算法更新系统架构性能。
系统实现:
系统架构包括输入模块、预检模块、中央控制模块、风险评估模块、后继分析模块、关联评估模块和输出模块。所述中央控制模块、风险评估模块、后继分析模块、关联评估模块构成反欺诈系统,所述中央控制模块还包括强化学习模块;中央控制模块的功能是将风险评估模块、后继分析模块、关联评估模块进行集成,对预检模块无法判断的交易做进一步处理,根据风险评估模块、后继分析模块、关联评估模块输出的判断利用投票法的策略给出系统最终的决策结果,同时加以强化学习技术用于提高系统准确性。
所述输入模块是为系统架构提供数据输入的支持,采用流数据等形式将数据输入到反欺诈系统架构中,输入方式也可根据实际场景需求更改。
所述预检模块由业务规则和知识设计得出,该模块用于判断哪些类型的交易为欺诈交易,哪些类型的交易为正常交易,哪些类型的交易需要做进一步的验证才能判断。设计预检模块的目的主要是满足反欺诈系统实时性的需要,采用网络支付领域的业务规则和知识设计该模块,能够对大部分交易数据做出准确判断,(本领域已为成熟技术,该部分内容不属于本发明需要解决的问题)由此满足系统架构实时性的需求。
所述风险评级模块通过检测疑似欺诈交易前驱位交易的欺诈特征来预判交易是否异常。该模块分析欺诈交易前若干笔交易的数据特征,用于判断未来的交易是否为欺诈交易。欺诈交易发生前数据存在一定特征,根据这些相关数据训练模型,用于对未来的交易做出预测,当出现特征类似的交易数据时,该得到训练后的模型检测并给出报警,判断此将发生的一笔交易可能为欺诈交易。该模块可以理解为判断欺诈交易发生的先决条件,当已发生的交易特征满足这些前提条件时,往往伴随着欺诈交易的产生,而该模块则是提前一步做出预警。
所述风险评级模块,其数据集的分割设计:所具有的特点为将所有原始数据集中确定为发生欺诈交易的前若干笔交易数据构成数据集的子集,作为风险评估模块的训练数据集、测试数据集。
风险评估模块选用分类模型算法分析训练数据集中的数据特征,建立分类模型。当分类模型建立训练完成后,利用测试集评估模型的性能,并利用调参等手段提高模型的性能,使其达到最优的水平。当模型达到最优后,可实际部署与真实的场景中,该模块通过分析每一笔交易数据的数据特征,判断是否符合已建立模型的数据特征,若交易数据的特征与模型中欺诈交易数据特征相似,该模块判断该笔交易为欺诈交易,并将结果传递至中央控制模块用于最终结果的判断。
所述后继分析模块通过检测疑似欺诈交易后继位交易的欺诈特征来判定交易是否异常。该模块分析欺诈交易发生后的数据特征,利用欺诈交易后几笔交易的数据训练模块中的模型,再用于判断交易是否为欺诈交易。该模块主要针对重发攻击欺诈场景,即在一定时间内连续发生多笔相似欺诈交易。后继分析模块通过分析欺诈交易发生后的数据特征,利用该类特征建立模型用于判断网络支付中每笔交易是否为欺诈交易,对与欺诈交易特征相似的交易输出判断结果为欺诈交易。
所述后继分析模块,其数据集的分割设计:所具有的特点为将所有原始数据集中确定为欺诈交易发生后的几笔交易数据,构成数据集的子集,作为后继分析模块的训练数据集、测试数据集。训练过程中,后继分析模块利用该训练集建立分类模型,分析训练集中的数据特征,进而使模型能够根据分析出的数据特征,判断哪些交易数据为欺诈交易。当模型训练完成后,通过分割测试数据集,获取欺诈交易后的几笔交易数据作为测试集对模型进行性能评估,根据性能分析结果对模型进行调优,使后继分析模块的性能达到最优。随后将后继分析模块部署于实际场景中,后继分析模块通过分析每一笔新的交易数据判断该笔交易是否符合该模型的数据特征,若交易数据与模型中欺诈交易数据特征相似度较高,则该模块判断该笔交易为欺诈交易,并将判断结果传递给中央控制模块,用于系统最终判定结果的依据。
所述关联评估模块通过检测交易的关联异常特征来判定交易是否异常。该模块对用户进行个体行为建模,利用用户在网络支付产生的交易数据建立个体模型,分析用户的交易特征,例如分析用户的交易频次或交易时间地点等。该模块能够根据建立的个体模型分析用户是否存在被盗用账号等问题,当用户被盗用账号后,所发生的交易特征与用户平时的交易特征不同,该模块利用这一特征判断交易是否为欺诈交易。
所述关联评估模块,其数据集的分割设计:所具有的特点为将所有原始数据集中当前交易前后都未发生欺诈交易数据,构成所有数据集的子集,作为关联评估模块的训练数据集、测试数据集。
该训练集由于前后都未有欺诈交易,因此需要对每个用户建立个体模型,分析关联评估模块训练集的数据特征,最终每个用户都拥有一个所属的模型。然后利用测试集的数据对关联评估模块的性能进行评估,若关联评估模块的性能较低,可以通过调整模型参数或更换模型的方式进行调优,使关联评估模块的性能达到最优。
若用户行为数据较少,无法建立行之有效的个体模型,可以利用张量分解或者向量嵌入等方式利用其他相似用户的数据对该用户数据进行填充,使其能够建立能准确的模型。调优完成后,对关联评估模块进行实际部署,实际场景中,分析每一笔新的交易数据是否符合该用户的个体模型特征,若与该用户个体模型不相似则表示该笔交易为欺诈交易,则该模块判断该笔交易为欺诈交易,并将结果传输给中央控制模块用于最终判断。
以上,风险评级模块、后继分析模块、关联评估模块,所使用的数据集是从所有原始数据集中根据欺诈交易发生前后或未发生欺诈交易分割而成,三大模块所利用不同的交易参照序位的数据正是因为该类特征恰恰能够分析不同角度数据的特征。本发明利用不同交易参照序位分割方法,将全部特征空间分割成三类特征空间,将复杂问题简单化处理,同时采用“分而治之”的策略,具有较好的可解释性和性能优势。三大模块实际部署于生产环境后,根据新来的每笔交易的数据,分析该笔交易数据是否符合模块中模型的数据特征,若数据特征符合欺诈交易的数据特征,则模块判断该笔交易为欺诈交易,相反则不判定该笔交易为欺诈交易,随后将结果传输至中央控制模块中,中央控制模块利用投票法的策略判断该笔交易是否为欺诈交易。三大模块定时更新模型,以用于检测新的欺诈交易数据特征,加以强化学习方法,可减少模块误报率等问题的发生。
所述输出模块则是用于作为整个系统架构的输出,与中央控制模块相连接,根据中央控制模块的决策方法输出系统最终的判断结果,同时对系统架构一定时间或一定数量判断错误的交易输入到中央控制模块中,启动中央控制模块的强化学习算法进一步提高系统性能及提高系统架构的准确性。输出模块涉及人工审核的功能,由于系统自动判决交易是否为欺诈可能出现误报等问题,当出现误报时,用户会对该笔交易提出疑问,此时需要人工审查该笔交易是否为欺诈交易。若确定该笔交易为系统误判,则通过输出模块对该笔交易打入人工审查标签,表示该笔交易系统判决错误,当类似误判交易量达到一定阈值时,将出错的交易反馈至中央控制模块中,中央控制模块利用强化学习算法,进一步提高系统性能。
进一步的,基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的设计过程:
步骤一,根据实际应用场景确定输入方式,根据输入方式设计输入模块。
步骤二,根据网络支付欺诈场景总结业务规则知识,设计预检模块,预检模块要求足够的简单和准确,能够根据业务逻辑准确判断大部分交易是否为欺诈交易,对无法判断的交易交由后面的模块处理。
步骤三,根据实际需求,分析各个模块所需的特征,各个模块所使用的特征要尽量保持独立,交集较少保证各个模块的多样性和独立性,使得系统最终耦合性较低,便于更新和修改。
步骤四,划分特征空间,以一笔疑似欺诈交易为参照,将特征空间划分为三个部分:欺诈交易前驱位特征、欺诈交易后继位特征和欺诈交易当中位特征。针对这三类特征的检测分别对应于风险评级模块、后继分析模块和关联评估模块。根据特征划分数据集,用于后续模块中模型的训练。
步骤五,确定各个模块所用算法,利用已分割好的各模块数据集训练模块中的模型,训练完成后利用测试数据集测试模块性能,并通过调整参数或其他方法使模块性能尽可能的达到最高性能,保证较高的召回率、准确率等性能指标,降低打扰率等指标。各个模块的构建设计以及采用算法,不是本发明的发明任务,也不是本发明的创新所在。本发明指出了若干现有的方法,但不能穷尽,比如风险评级模块可以使用XGBoost、逻辑回归和支持向量机等常用机器学习算法,后继分析模块使用随机森林、朴素贝叶斯等机器学习算法,关联评估模块可使用马尔可夫模型、最大熵模型和时间序列模型等基于用户行为的算法。中央控制模块集成部分可以使用常用的AdaBoost、Bagging和Stacking等集成学习中的算法模型,强化学习部分可以单步强化学习的K-摇臂赌博机模型或有限多步强化学习的有模型学习方法和免模型学习方法,或者采用无穷多步强化学习:值函数近似或模仿学习模型。
步骤六,利用中央控制模块将各个模块集成,各个模块将判断出的结果传输给中央控制模块,中央控制模块根据实际场景选择决策策略,若实际场景中对实时性便捷性要求较高,可以采用投票法的决策策略。若实际场景对准确性等性能要求较高,可以采用以Stacking方法为代表的学习法决策策略对各个模块的判断结果进行集成。在本发明实施例中采用投票法的决策方式判断出该笔交易是否为欺诈交易。随后将判断结果交由输出模块输出,若判断错误的数量达到一定程度时,输出模块激活中央控制模块的强化学习功能。
进一步的,基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的工作步骤如下:
步骤一,每一笔线上交易数据由输入模块输入反欺诈系统中。
步骤二,首先利用预检模块进行判断,若预检模块能够准确判断出该笔网络支付交易是否为欺诈交易则将结果传输出中央控制模块,再由中央控制模块传输至输出模块输出,系统判断为该笔交易为欺诈交易或正常交易。若不能判断交易为欺诈交易,则进行步骤三的过程。
步骤三,预检模块无法判断该笔交易为欺诈交易,需用后面三种模块进行判断。将该笔交易数据信息输送至各个模块中,利用各个模块以各自训练好的模型对该笔交易进行判断,各个模块将判断得出的结果输送给中央控制模块。
步骤四,中央控制模块获取各个模块的判断结果,根据选定的决策方案,此处为投票法的决策方法,输出最终系统的判断结果,并将结果交由输出模块输出。
步骤五,若系统对线上交易数据判断错误量到达一定程度或一定周期要更新反欺诈系统时,由输出模块激活中央控制模块的强化学习部分,强化学习模块可以选用单步强化学习的K-摇臂赌博机模型,该方法侧重于最大化单步奖赏,也可选用有限多步强化学习的有模型学习方法和免模型学习方法,或者采用无穷多步强化学习:值函数近似或模仿学习模型,进而提高系统的性能。中央控制模块模型本身具体选择何种已有技术去实现,不是本发明的发明任务,本发明不做穷举。
本发明提供的方案有益效果为:
一方面,有效的分割欺诈交易特征空间,将特征空间根据欺诈交易分割为三种,分别为欺诈交易前驱位交易的欺诈特征、欺诈交易后继位交易的欺诈特征和欺诈交易当中位交易的欺诈特征。此处所依据的分割策略为,根据交易数据的训练集,将数据分为三类,分别对应为欺诈交易发生前的交易数据,欺诈交易发生后的交易数据以及未发生欺诈交易的数据,采用本策略分析这三类数据集中交易数据的特征,并利用这三类数据分别训练机器学习模型,训练得出交易数据规律,使得模型能够在实际应用场景中根据新的一笔交易数据特征匹配相似的特征,系统能够判断出该笔交易与欺诈交易的关系,是否发生在欺诈交易前后或者与欺诈交易无关。该方法充分划分网络支付场景的特征空间,充分考虑到欺诈发生的多种场景,并且分别设计模块应用于各个特征空间中。
另一方面,该系统架构采用“分而治之”的策略,每个模块负责与之对应的功能,模块之间相互独立。采用中央控制模块将各个模块进行集成,方便模块的增删,若有新的欺诈场景出现,可以设计对应的模块并添加至系统架构中,同时针对无用的模块可直接删除,具有良好的扩展性。本发明上述所提出的根据欺诈交易将特征空间分割为欺诈交易发生前的交易数据特征、欺诈交易发生后的交易数据特征和未发生欺诈交易的特征,利用分割出的三类数据,分别训练适合该模块的机器学习模型,利用“分而治之”的策略,分别设计三种模块对应于上述的三类交易特征,根据欺诈交易分割特征空间数据,使得分割出的特征空间交集较少,进而各个模块相互独立。同时为进一步提高系统的性能,采用集成学习的集成策略如投票法和学习法等方式对各个模块进行集成,同时该集成策略方便系统增删模块,更具灵活性,可以根据具体需求对系统架构进行修改。由此该系统架构具有良好的可解释性,若系统架构出现误拦截等操作,可以给出拦截该笔交易的模块,同时方便于查看每笔交易在不同特征空间下的判断结果。
该发明所提出的基于疑似欺诈交易参照序位的网络支付反欺诈系统架构充分划分网络支付场景的特征空间,并设计对应模块。同时满足实际场景中速度的需求,并利用多模块相互独立减少耦合性,利用中央控制的对各个模块集成和协调策略将多模块组合,具有良好的可扩展性和可解释性,各个模块之间功能互补,进一步提供反欺诈系统的性能。
附图说明
图1实施例提供的基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的欺诈交易参照序位欺诈空间划分方法。
图2实施例提供的基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的生成流程图。
图3实施例提供的基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的工作流程图。
具体实施方式(案例)
下面结合附图和具体的实施方式对本发明做进一步描述。
实施例一:
如图1所示,本发明实施提供了一种基于疑似欺诈交易参照序位(疑似欺诈交易的后继位、当中位和前驱位)的完备性欺诈空间划分方法。将欺诈特征空间划分为对应的三个子空间,即欺诈交易前驱位特征空间、欺诈交易后继位特征空间和欺诈交易当中位特征空间,分别对应于风险评级模块、后继分析模块和关联评估模块。此处本发明的“欺诈交易的参照序位”可以理解为,若总共有10笔交易数据,假设其中第5笔为欺诈交易,则本发明提出的特征空间就是指根据欺诈交易发生前后划分特征空间,其中欺诈交易发生前的交易特征为第1、2、3、4笔交易所表现的特征,对应于风险评级模块的前驱位交易特征。欺诈交易发生后的交易特征为第6、7、8、9、10笔交易所表现的特征,对应于后继分析模块的后继位交易特征。未发生欺诈交易的为第1、2、3、7、8、9、10笔交易所表现的特征,对应于关联评级模块所需特征。通过欺诈交易将特征空间完备性划分成三个子模块,分别设计各个模块中算法模型用于检测交易是否为欺诈交易。
如图2所示,本发明实施例提供了一种基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的设计过程:
S101根据具体场景需求确定数据的输入方式,训练各个模块模型时可以采用流数据或从数据库导入等方式将交易数据导入反欺诈系统架构中,例如从MySQL或Redis等数据库中读入数据。在实际部署中,需要考虑网络、数据量等环境的影响,根据实际需求设置对应的输入方式。本实施例中选用从Redis中将数据导入反欺诈系统中。
S102根据需要解决的网络支付业务规则和知识设计预检模块,此处需要总结目前场景下,普遍出现的欺诈交易的共同特征,根据共同特征和具体业务的规则设计出预检模块。预检模块完成所有的检测任务,通常能够判断出大部分交易是否为欺诈交易即可,对于无法判断是否为欺诈的交易交由后续模块处理。
S103根据要解决的反欺诈场景,分析交易数据的特征,筛选哪些特征为解决该场景有效特征。所选的特征要遵循以下原则:采用布尔型特征。
本实施例给出的特征主要包括以下几种,分别是交易对象、资金流向、交易时间、交易行为、终端信息、IP和地理位置、操作行为以及利用关联图谱挖掘出的特征。所选特征较少涉及用户的个人隐私信息,大量利用网络交易过程中产生的信息。
S104划分特征空间,根据数据集欺诈交易的参照序位,将特征空间划分为三种,分别为欺诈交易发生前的交易特征、欺诈交易发生后的交易特征和未发生欺诈交易的特征。这三类特征空间分别对应于风险评级模块、后继分析模块和关联评估模块。此处本发明的“欺诈交易的参照序位”可以理解为,若总共有10笔交易数据,假设其中第5笔为欺诈交易,则本发明提出的特征空间就是指根据欺诈交易发生前后划分特征空间,其中,
欺诈交易发生前的交易特征为第1、2、3、4笔交易所表现的特征,对应于风险评级模块的前驱位交易特征,将这些交易数据分割至风险评级模块所需的训练数据集和测试数据集中。风险评估模块所用特征包括欺诈交易发生前各交易的时间差、金钱差、平均交易额,验签方式、是否为常用IP地址以及交易代码。风险评估模块用于分析未来交易是否为欺诈交易。
欺诈交易发生后的交易特征为第6、7、8、9、10笔交易所表现的特征,对应于后继分析模块的后继位交易特征,将以上交易数据分割至后继分析模块的训练数据集和测试数据集中。后继分析模块所用特征包括发生欺诈交易后一定时间内交易次数、每笔交易时间间隔均值、每笔交易时间间隔方差、每笔交易金额差均值以及方差。后继分析模块则主要用于防止重放攻击,即在一定时间内连续发生多笔相似欺诈交易。
未发生欺诈交易的为第1、2、3、7、8、9、10笔交易所表现的特征,对应于关联评级模块所需特征,将以上交易数据分割至关联评级模块的训练数据集和测试数据集中。关联评估模块主要所用特征包括交易卡号、商户编号、发卡地编号、交易时间、交易金额尾数和分段、连续两次交易间隔、是否为常用类型以及操作系统类型。关联评估模块用于防止用户身份被盗用所引起的一般化欺诈场景,当用户身份被盗用后,盗用者的操作行为往往会不同于该用户正常操作,如:如果用户账户被盗用,盗用者会急于将用户账户内金额转出,此时该账户的交易频次较正常情况更频繁。若盗用者不在短时间内将金额转出,用户一旦在短时间内察觉账户被盗用必然修改密码或者报警冻结该账户。关联评估模块则是对这种情况进行检测,如果用户此时操作习惯与以往不用则判断用户账户可能发生盗用
具体欺诈交易前后划分标准的间隔可以根据具体情况确定。
上述列出的特征仅为各个模块所用的主要特征,每个模块所挑选的特征尽量保证模块间相互独立或交集较少,保证各个模块的独立性。
S105根据风险评级模块、后继分析模块和关联评估模块所划分的特征,每个模块设计对应的模型,本实施例中风险评级模块使用XGBoost算法,后继分析模块使用随机森林算法,关联评估模块使用基于用户行为的模型算法,在不同的场景中可以根据实际需求进行调整。确定各个模块使用的模型后,使用已分割好的数据集对模型进行训练,并利用测试集对模型进行测试,查看各个模块模型的性能,并通过调整参数等方式,提高各个模块的性能,为后续模块集成后的高性能打好基础。(训练、测试、调参、优化性能,这些都是应用深度网络实践中的常规操作)
S106利用中央控制模块对风险评级模块、后继分析模块和关联评估模块做集成,三种模块能够将交易的判断结果传送到中央控制模块中。本实施例中央控制模块采用投票法的决策策略,决定系统最终的判断结果,中央控制模块也可以选用其他类型的决策方式,只需要保证使用中央控制模块集成各个模块后,整个系统的性能相较于单个模块的性能要高。中央控制模块将决策判断结果输送到输出模块中,系统最终由输出模块将结果输出。输出模块同时还有统计系统错误判断交易的数量,当系统错误判断量达到一定阈值时,输出模块反馈并激活中央控制模块的强化学习功能,使各个模型利用新的数据集进行再训练和测试,进一步增强系统的鲁棒性。
如图3所示,本发明实施例提供一种基于疑似欺诈交易参照序位的网络支付反欺诈系统架构的工作流程图,该流程图反映了设计的反欺诈系统实际的工作流程,涉及的流程为:
每笔互联网线上交易数据通过输入模块传递到反欺诈系统中,首先利用预检模块进行判断,若预检模块能够准确判断该笔交易是否为欺诈交易,则直接将判断结果传送至中央控制模块中,再由中央控制模块递交于输出模块输出系统最终的判断结果。
若预检模块无法判断该笔交易为欺诈交易,则需要交由风险评级模块、后继分析模块和关联评估模块进行判断,三种模块分别给出判断结果,将结果传递给中央控制模块,中央控制模块采用投票法的集成策略,将三种结果按照“少数服从多数”的原则,判断出该笔交易是否为欺诈交易,然后将判断结果传递给输出模块输出。
输出模块不仅具备系统输出功能,同时具备统计系统判断错误量的功能,当系统判断错误量达到一定阈值或一定周期要更新反欺诈系统时,触发中央控制模块的强化学习功能,进而提高整个反欺诈系统的性能。
到此反欺诈系统完成一笔交易的判断,由于大部分交易可用预检模块给出结果,因此系统的响应速度能够满足高实时的要求。
本项目的创新点
1.提出一种新的网络支付反欺诈系统架构,该反欺诈系统由输入模块、预检模块、中央控制模块、关联评估模块、后继分析模块、风险评估模块和输出模块组成。
2.提出一种满足实时需求的方法,设计预检模块加快反欺诈系统响应时间,预检模块能够对大部分交易给出判断结果。
3.提出一种针对网络交易的特征空间分割方法,将特征空间划分为三种,分别为欺诈交易发生前的交易特征、欺诈交易发生后的交易特征和未发生欺诈交易的特征。并设计风险评级模块、后继分析模块和关联评估模块分别对应于这三种特征空间。
Claims (2)
1.一种基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法,其特征在于,针对网络支付反欺诈场景,采用欺诈特征子空间合成理念,提出基于疑似欺诈交易参照序位(疑似欺诈交易的前驱位、后继位和当中位)的空间划分,将欺诈特征空间划分为对应的三个子空间,即欺诈交易前驱位特征空间、欺诈交易后继位特征空间和欺诈交易当中位特征空间;
三个子空间:分析欺诈交易发生前的交易特征可用于预防未来的欺诈交易,当发生网络支付过程中有几笔数据符合该类数据特征时,有较大概率未来的下一笔交易是欺诈交易;分析欺诈交易发生后的交易数据特征则重点是防范重放攻击,网络支付场景中经常发生当一笔交易为欺诈交易则后面连续几笔交易均为欺诈交易的情况;分析未发生欺诈交易的数据特征则是防止由于账户被盗用等引起的欺诈交易,一般采用个体建模的方式对用户建立模型,分析用户平时的交易习惯;
不同特征子空间之间以自适应融合的方式进行决策合成,即根据用户交易过程中产生的交易数据参照序位,使用模块中的其中几个或全部分析交易是否为欺诈交易,根据各个模块产生的结果采用投票法的决策策略对各个模块的结果进行集成,最终生成系统的决策结果。
2.如权利要求1所述的基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法,其特征在于,设计根据交易参照序位的分割反欺诈模块,利用类似集成学习方法策略对各个模块进行集成,同时系统架构中添加强化学习模块,利用强化学习算法更新系统架构性能;
系统实现:
系统架构包括输入模块、预检模块、中央控制模块、风险评估模块、后继分析模块、关联评估模块和输出模块;所述中央控制模块、风险评估模块、后继分析模块、关联评估模块构成反欺诈系统;所述中央控制模块还包括强化学习模块;
中央控制模块的功能是将风险评估模块、后继分析模块、关联评估模块进行集成,对预检模块无法判断的交易做进一步处理,即根据风险评估模块、后继分析模块、关联评估模块输出的判断利用投票法的策略给出系统最终的决策结果;所述强化学习模块采用强化学习算法用于提高系统准确性;
所述输入模块是为系统架构提供数据输入的支持;由业务规则和知识设计得出,该模块用于判断哪些类型的交易为欺诈交易,哪些类型的交易为正常交易,哪些类型的交易需要做进一步由中央控制模块的验证才能判断;
所述风险评级模块通过检测疑似欺诈交易前驱位交易的欺诈特征来预判交易是否异常;该模块分析欺诈交易前若干笔交易的数据特征,用于判断未来的交易是否为欺诈交易;欺诈交易发生前数据存在一定特征,根据这些相关数据训练模型,用于对未来的交易做出预测,当出现特征类似的交易数据时,该得到训练后的模型检测并给出报警,判断此将发生的一笔交易可能为欺诈交易;
所述后继分析模块通过检测疑似欺诈交易后继位交易的欺诈特征来判定交易是否异常;该模块分析欺诈交易发生后的数据特征,利用欺诈交易后几笔交易的数据训练模块中的模型,再用于判断交易是否为欺诈交易;
所述关联评估模块通过检测交易的关联异常特征来判定交易是否异常;该模块对用户进行个体行为建模,利用用户在网络支付产生的交易数据建立个体模型,分析用户的交易特征;该模块能够根据建立的个体模型分析用户是否存在被盗用账号等问题,当用户被盗用账号后,所发生的交易特征与用户平时的交易特征不同,该模块利用这一特征判断交易是否为欺诈交易;
以上,风险评级模块、后继分析模块、关联评估模块,所使用的数据集是从所有原始数据集中根据欺诈交易发生前、发生后、未发生欺诈交易以不同的交易参照序位分割而成:
所述风险评级模块,其数据集的分割设计:具有的特点为将所有原始数据集中确定为发生欺诈交易的前若干笔交易数据构成数据集的子集,作为风险评估模块的训练数据集、测试数据集;
所述后继分析模块,其数据集的分割设计:具有的特点为将所有原始数据集中确定为欺诈交易发生后的几笔交易数据,构成数据集的子集,作为后继分析模块的训练数据集、测试数据集;
所述关联评估模块,其数据集的分割设计:具有的特点为将所有原始数据集中当前交易前后都未发生欺诈交易数据,构成所有数据集的子集,作为关联评估模块的训练数据集、测试数据集;
所述输出模块则是用于作为整个系统架构的输出,与中央控制模块相连接,根据中央控制模块的决策方法输出系统最终的判断结果,输出模块具备人工审核功能,由于系统自动判决交易是否为欺诈可能出现误报等问题,当人工排查该笔交易系统判决错误,会通过输出模块对该笔交易打入人工审查标签,表示该笔交易系统判决错误,当类似误判交易量达到一定阈值时,将出错的交易反馈至中央控制模块中,中央控制模块启用其强化学习模块的强化学习算法进一步提高系统性能及提高系统架构的准确性。;
输出模块涉及人工审核的功能,由于系统自动判决交易是否为欺诈可能出现误报等问题,当出现误报时,用户会对该笔交易提出疑问,此时需要人工审查该笔交易是否为欺诈交易;若确定该笔交易为系统误判,则通过输出模块对该笔交易打入人工审查标签,表示该笔交易系统判决错误,当类似误判交易量达到一定阈值时,将出错的交易反馈至中央控制模块中,中央控制模块利用强化学习算法进一步提高系统性能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910409251.8A CN110189134B (zh) | 2019-05-17 | 2019-05-17 | 基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910409251.8A CN110189134B (zh) | 2019-05-17 | 2019-05-17 | 基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110189134A true CN110189134A (zh) | 2019-08-30 |
| CN110189134B CN110189134B (zh) | 2023-01-31 |
Family
ID=67716532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910409251.8A Active CN110189134B (zh) | 2019-05-17 | 2019-05-17 | 基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110189134B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111144899A (zh) * | 2019-12-04 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 识别虚假交易的方法及装置和电子设备 |
| CN111383096A (zh) * | 2020-03-23 | 2020-07-07 | 中国建设银行股份有限公司 | 欺诈检测及其模型训练方法、装置、电子设备及存储介质 |
| CN111639690A (zh) * | 2020-05-21 | 2020-09-08 | 同济大学 | 基于关系图谱学习的欺诈分析方法、系统、介质及设备 |
| CN112580005A (zh) * | 2020-12-23 | 2021-03-30 | 北京通付盾人工智能技术有限公司 | 一种基于生物探针技术的移动端用户行为采集方法及系统 |
| CN113034153A (zh) * | 2021-03-26 | 2021-06-25 | 支付宝(杭州)信息技术有限公司 | 一种基于共享学习的被欺诈风险识别方法、装置及设备 |
| CN116562901A (zh) * | 2023-06-25 | 2023-08-08 | 福建润楼数字科技有限公司 | 基于机器学习的反欺诈规则自动生成方法 |
| CN112580005B (zh) * | 2020-12-23 | 2024-05-24 | 北京通付盾人工智能技术有限公司 | 一种基于生物探针技术的移动端用户行为采集方法及系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL1002269C2 (nl) * | 1996-02-07 | 1997-08-08 | Nederland Ptt | Telecommunicatie-systeem, fraudesignaleer-inrichting en werkwijze. |
| CN104794192A (zh) * | 2015-04-17 | 2015-07-22 | 南京大学 | 基于指数平滑、集成学习模型的多级异常检测方法 |
| CN106327209A (zh) * | 2016-08-24 | 2017-01-11 | 上海师范大学 | 一种基于信誉累积的多标准协作欺诈检测方法 |
| US20170140384A1 (en) * | 2015-11-12 | 2017-05-18 | Fair Isaac Corporation | Event sequence probability enhancement of streaming fraud analytics |
| CN107169870A (zh) * | 2017-05-23 | 2017-09-15 | 上海百林通信网络科技服务股份有限公司 | 一种通过位置信息融合防止车辆保险欺诈的信用甄别方法 |
| CN107392755A (zh) * | 2017-07-07 | 2017-11-24 | 南京甄视智能科技有限公司 | 贷款风险融合评估方法与系统 |
| CN107767138A (zh) * | 2017-10-20 | 2018-03-06 | 杭州呯嘭智能技术有限公司 | 在线支付反欺诈方法及系统 |
| CN108038701A (zh) * | 2018-03-20 | 2018-05-15 | 杭州恩牛网络技术有限公司 | 一种集成学习反欺诈测试方法及系统 |
| CN108596616A (zh) * | 2018-04-20 | 2018-09-28 | 平安科技(深圳)有限公司 | 用户数据真实性分析方法及装置、存储介质、电子设备 |
| CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
-
2019
- 2019-05-17 CN CN201910409251.8A patent/CN110189134B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL1002269C2 (nl) * | 1996-02-07 | 1997-08-08 | Nederland Ptt | Telecommunicatie-systeem, fraudesignaleer-inrichting en werkwijze. |
| CN104794192A (zh) * | 2015-04-17 | 2015-07-22 | 南京大学 | 基于指数平滑、集成学习模型的多级异常检测方法 |
| US20170140384A1 (en) * | 2015-11-12 | 2017-05-18 | Fair Isaac Corporation | Event sequence probability enhancement of streaming fraud analytics |
| CN106327209A (zh) * | 2016-08-24 | 2017-01-11 | 上海师范大学 | 一种基于信誉累积的多标准协作欺诈检测方法 |
| CN107169870A (zh) * | 2017-05-23 | 2017-09-15 | 上海百林通信网络科技服务股份有限公司 | 一种通过位置信息融合防止车辆保险欺诈的信用甄别方法 |
| CN107392755A (zh) * | 2017-07-07 | 2017-11-24 | 南京甄视智能科技有限公司 | 贷款风险融合评估方法与系统 |
| CN107767138A (zh) * | 2017-10-20 | 2018-03-06 | 杭州呯嘭智能技术有限公司 | 在线支付反欺诈方法及系统 |
| CN108038701A (zh) * | 2018-03-20 | 2018-05-15 | 杭州恩牛网络技术有限公司 | 一种集成学习反欺诈测试方法及系统 |
| CN108596616A (zh) * | 2018-04-20 | 2018-09-28 | 平安科技(深圳)有限公司 | 用户数据真实性分析方法及装置、存储介质、电子设备 |
| CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111144899A (zh) * | 2019-12-04 | 2020-05-12 | 支付宝(杭州)信息技术有限公司 | 识别虚假交易的方法及装置和电子设备 |
| CN111144899B (zh) * | 2019-12-04 | 2023-04-25 | 支付宝(杭州)信息技术有限公司 | 识别虚假交易的方法及装置和电子设备 |
| CN111383096A (zh) * | 2020-03-23 | 2020-07-07 | 中国建设银行股份有限公司 | 欺诈检测及其模型训练方法、装置、电子设备及存储介质 |
| CN111639690A (zh) * | 2020-05-21 | 2020-09-08 | 同济大学 | 基于关系图谱学习的欺诈分析方法、系统、介质及设备 |
| CN112580005A (zh) * | 2020-12-23 | 2021-03-30 | 北京通付盾人工智能技术有限公司 | 一种基于生物探针技术的移动端用户行为采集方法及系统 |
| CN112580005B (zh) * | 2020-12-23 | 2024-05-24 | 北京通付盾人工智能技术有限公司 | 一种基于生物探针技术的移动端用户行为采集方法及系统 |
| CN113034153A (zh) * | 2021-03-26 | 2021-06-25 | 支付宝(杭州)信息技术有限公司 | 一种基于共享学习的被欺诈风险识别方法、装置及设备 |
| CN116562901A (zh) * | 2023-06-25 | 2023-08-08 | 福建润楼数字科技有限公司 | 基于机器学习的反欺诈规则自动生成方法 |
| CN116562901B (zh) * | 2023-06-25 | 2024-04-02 | 福建润楼数字科技有限公司 | 基于机器学习的反欺诈规则自动生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110189134B (zh) | 2023-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110189134A (zh) | 基于疑似欺诈交易参照序位的网络支付反欺诈系统架构设计方法 | |
| CN106803168B (zh) | 一种异常转账侦测方法和装置 | |
| CN109410036A (zh) | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 | |
| CN109034194B (zh) | 基于特征分化的交易欺诈行为深度检测方法 | |
| CN111311416B (zh) | 一种基于多通道图和图神经网络的区块链洗钱节点检测方法 | |
| CN106600423A (zh) | 基于机器学习的车险数据处理方法、车险欺诈识别方法及装置 | |
| CN103473786A (zh) | 基于多目标模糊聚类的灰度图像分割方法 | |
| CN110210966A (zh) | 用户可信度社交网络数据的处理方法 | |
| CN109377339A (zh) | 一种可疑交易案例的辅助甄别方法及系统 | |
| CN113011973A (zh) | 基于智能合约数据湖的金融交易监管模型、系统、设备 | |
| CN110020868A (zh) | 基于线上交易特征的反欺诈模块决策融合方法 | |
| CN111882420A (zh) | 响应率的生成方法、营销方法、模型训练方法及装置 | |
| WO2023045691A1 (zh) | 对象识别方法、装置、电子设备及存储介质 | |
| KR102113347B1 (ko) | 인공지능을 이용한 암호화폐 계좌 분류 방법, 장치 및 컴퓨터프로그램 | |
| CN109993538A (zh) | 基于概率图模型的身份盗用检测方法 | |
| CN114638688A (zh) | 一种用于信贷反欺诈的拦截策略衍生方法、系统 | |
| CN109242165A (zh) | 一种模型训练及基于模型训练的预测方法及装置 | |
| CN110956543A (zh) | 异常交易检测的方法 | |
| CN114140248A (zh) | 一种基于ai人工智能技术的异常交易识别方法 | |
| CN111475566A (zh) | 一种区块链资金可疑交易模式的识别方法及装置 | |
| CN116385137A (zh) | 一种基于电力信息数据的企业反欺诈风险评估方法及系统 | |
| CN110458684A (zh) | 一种基于双向长短期记忆神经网络的金融反欺诈检测方法 | |
| CN112967062B (zh) | 基于谨慎度的用户身份识别方法 | |
| CN108388913A (zh) | 一种基于约束投影的多决策树信用卡欺诈检测方法及系统 | |
| CN115204901A (zh) | 基于多特征融合的信用卡欺诈检测方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |