应对措施:为了防范日益严峻的外部欺诈风险,建设银行以“十二五”战略规划及新一代实施路线为基础,以“企业级基础风险偏好”为导向,“风险与业务收益相平衡”“客户安全体验”为依据,从制度标准、防控能力等方面,依托新兴大数据、人工智能技术手段,结合国际一流实践的能力研究,构建了覆盖多产品、全渠道、全流程和“事前、事中、事后”实时、准实时及批量侦测,包括“主动防、智能控、快速赔”三位一体的企业级反欺诈联防联控体系(如图1所示)。

图1 企业级反欺诈联防联控体系

构建企业级智能反欺诈平台

通过企业级反欺诈整体规划,建立了各部门共同参与、广泛合作的反欺诈协同工作机制;完善各业务产品的反欺诈措施,建立跨业务产品的欺诈风险联防联控;降低客户端安全控制门槛,提升客户(含员工)安全体验与满意度,建立客户风险画像等智能化进行风险防控;形成客户背景和社会网络、交易行为、交易背景的全面客户欺诈风险识别模式,在业内率先搭建了覆盖侦测策略、交易预警、事件调查等全流程的企业级智能反欺诈管理平台。

1.企业级反欺诈联防联控。构建面向客户的跨渠道、跨产品、全流程的企业级反欺诈平台,实现了事前的客户准入控制、事中的交易拦截、事后的批量侦测及风险分析,提升客户使用各类金融产品的安全体验;建立企业级防控策略的统筹管理,规范欺诈风险分类和定义,整合风险识别、欺诈评估、交易防控,提升欺诈风险联防联控管控水平;建立反欺诈威胁情报与预警中心,实现跨条线的告警及调查处理结果的信息共享以及企业级黑名单的联防联控。

2.首笔实时侦测阻断。新型欺诈手段多样化、影响规模化,首笔刷卡大额欺诈、短时间内高频率小额非面欺诈成为主要欺诈手法,作案手法较以往更加快速。首笔欺诈发生额占比已超过60%,通过规则模型的实时部署生效,交易联机实时侦测,实现首笔欺诈的实时阻断。

3.统一策略管理,规则模型实时验证、部署,动态更新。成立专业化反欺诈风险团队,统一策略研发与管理,同时提供规则策略在线验证,实时部署,规则部署后实时生效,解决了面对外部欺诈手段变化快、侦测规则需要及时调整生效的问题。

4.大数据智能反欺诈。传统的反欺诈侦测,存在缺乏关联分析及大数据挖掘能力,未能及时发现隐藏风险。建立统一联机实时侦测策略决策平台,研发神经网络交易欺诈智能评分模型,综合分析卡片历史交易行为等特征。构建智能化侦测模型,覆盖实时、准实时和批量的策略研发和管理,提高交易风险管控能力,前瞻发掘隐性风险。

5.高并发毫秒级响应。反欺诈平台通过引入分布式内存数据库等多项技术,将服务内嵌在交易过程中,实现了最高支持上万笔交易同时进行毫秒级决策响应。在满足“双十一”“双十二”等高并发交易场景的同时,将事后欺诈防控前移为事中欺诈拦截,有效堵截欺诈盗刷交易。

6.智能客户风险画像。针对社会工程、信息窃取、身份盗用、黑客/木马攻击等风险,99%欺诈交易都是行为异常。通过采集客户行为信息,为客户行为习惯建立档案画像,实现行为认证和异常行为侦测,建立可替代或强化安全工具的交易认证授权机制,提供客户自助安全防控设置,提升客户安全体验。综合客户当前及历史欺诈风险信息,实现全生命周期个性化的客户欺诈综合风险评级,建立基于客户风险评级的交易授权应用,以实现事前事中事后的全面风险防控。

7.一站式风险事件处置。建设企业级的告警案件管理平台,涉及信用卡、借记卡、电子渠道、善融商务、电话支付等业务条线,整合全渠道、全口径风险警报,实现案件信息共享。实现包括告警队列灵活配置、一键管控等领先欺诈识别应用,在统一平台内冻卡、换卡、短信等一键快速管控作业,解决了多平台、跨系统的繁琐操作,提升案件调查处理运营效率。

引入大数据深度学习技术,实现智能侦测

首先看一个近期建设银行实时拦截的信用卡盗刷案例。某日15时27分58秒,某信用卡VIP客户A女士的卡片因发生异地POS余额查询,触发了建设银行反欺诈系统中的信用卡监控策略而预警,监控人员于15时28分32秒及时获取警报而正常排查期间,此卡又发生1.88万元的异地珠宝类异常交易尝试,虽两次交易间隔仅仅在短短的一分钟内,因触发实时监控策略而被自动拒绝。同时,监控人员凭借经验敏锐判断,迅速利用系统的一键“卡片管制”快速处置功能,阻止了犯罪分子后续多次尝试但无一成功的盗刷行为,成功保障了客户账户内十几万元资金的安全。

此案例具有“先查询卡片、后大额盗刷”“短时间、多次数”等典型盗刷特征,也是防范卡片盗刷的难点和痛点。从此案例上看,在欺诈的生命周期中,欺诈损失与时间密切相关,在关键区间内的预测和侦测是难点。反欺诈侦测模型首先必须具备预测性,并且能在关键期间内高效侦测。欺诈行为在关键区间是可预期和可侦测的,准确和效率是关键,才能做到与犯罪分子争分夺秒,及时防损。

面对各种复杂的欺诈手段,反欺诈的防控必然是多层次、全方位的。在事前、事中、事后等多个环节中,根据各自不同的欺诈特性,部署不同的欺诈防线(如图2所示)。包括事前的渠道实时联机侦测、事中产品、客户层的实时侦测、事后全面的批量侦测。基于行为分析的异常模式侦测、预测型智能模型以及社会网络分析是目前侦测未知欺诈风险的新兴技术工具。引入实时智能模型、行为分析等领先欺诈识别应用,防范首笔欺诈交易损失,有效应对伪卡、身份盗用、社会工程、洗钱、虚增交易、套现等高发欺诈风险威胁。

图2 构建多层次的反欺诈防线

中国建设银行在反欺诈侦测方面,搭建了在线的统一模型策略研发实验室,依托该实验室的支持,率先在业内引入了基于神经网络模型的实时评分模型,构建客户画像和进行客户账户分级管理,并基于知识图谱社交网络模型进行欺诈黑产业分析,实现了多维度的智能侦测。

1.建立统一的模型策略研发实验室,提供策略研发管理平台。构建在线策略实验室环境,支持采用真实的交易数据设计新的模型规则,并对现有反欺诈模型/规则进行调优分析和持续优化。并可以辅助进行事后欺诈风险识别,实现对反欺诈策略分析、设计、测试、验证、评估、优化的全生命周期的规范化、精细化管理。

2.建立账户分级及客户行为画像,加强事前风险识别。针对社会工程、信息窃取、身份盗用、黑客/木马攻击等风险,99%的欺诈交易都是行为异常。基于大数据行为分析模型,通过采集客户行为信息,为客户行为习惯建立档案画像。客户交易时,通过设备、会话及行为的比对,实时判定交易风险,对低风险交易减少认证措施,优化客户体验,对高风险交易加强认证,提高交易安全性。

同时基于账户行为特征,建立账户分级管理,依托大数据分析、终端位置等智能技术,通过多种属性特征相结合,从账户和客户维度评定风险等级,使得风险识别环节进一步前移,有效提升风险识别的前瞻性和对高风险交易的控制能力。

3.构建基于BP神经网络的实时交易欺诈评分模型。由于欺诈行为是小概率事件,而且欺诈交易和正常交易往往交织在一起。因此使用简单的规则或规则集进行欺诈交易识别虽然可以在一定程度上能捕获欺诈交易,但因为正常交易和欺诈交易交织在一起且欺诈是小概率事件,规则集的线性特性势必也会在捕获欺诈交易的同时影响到大量的正常交易。

欺诈评分模型是一种欺诈风险量化工具,利用可观察到的交易特征变量计算出一个分值来衡量该笔交易的欺诈风险,并进一步将欺诈风险分为不同等级。评分模型预期达到的目的是利用当前交易信息和历史交易行为模式对比来预测当前交易为欺诈的概率,为智能性反交易欺诈、交易风险评分提供科学依据,对欺诈风险高的交易可以拒绝授权和展开调查。

国际上先进银行的最佳实践大多通过神经网络模型的非线性识别能力提升侦测率,降低误报率。神经网络模型,起源于科研人员对人脑神经系统的应激—响应模型。交易反欺诈模型大部分采用前馈式(Back Propagation)神经网络结构,运用误差反向传播算法来训练模型,具备有效捕捉数据中非线性、非可加性的数量关系,对复杂问题的识别,比其他方法更加精准。建设银行在业内率先将神经网络模型应用于交易反欺诈侦测,成功将人工智能技术引入反欺诈领域,并取得了良好的效果。

4.构建知识图谱模型,挖掘欺诈黑产信息。关联分析是数据挖掘中的一个重要组成部分。通过数据挖掘,可以把已知的欺诈信息和未知的欺诈信息有效联系起来,发现大量数据中相关属性集之间的关联关系,其目的在于发现潜在的欺诈团伙,为规则制定提供参考依据。通过已知欺诈者相关属性,构建与欺诈者相关的客户资金链路图,分析其有资金往来的客群,分析犯罪分子的资金流向。

其次,通过社团检测等大数据图分析功能,可以从复杂凌乱的交易图中对结点进行聚类,构成一个个的社团。一般认为社团内部的点之间的连接相对稠密,而不同社团的点之间的连接相对稀疏,如图3所示。

图3 构建知识图谱模型,挖掘欺诈黑产信息

而这些社团中,一部分是正常合法交易的社团,一部分是欺诈或黑色产业链社团。通过进一步利用大数据图分析技术,对这两类社团进行训练,获得异常社团分类模型,对分类阈值大于一定程度的设定为疑似欺诈社团。

中国建设银行新一代企业级反欺诈平台,以国际一流为标杆,在业内率先实现了企业级反欺诈管理平台,搭建了侦测策略部署、预警交易处理、风险事件调查等统一处理平台,助力反欺诈核心能力建设再上新台阶。

作者:中国建设银行厦门开发中心陈桂花

本文节选自《金融电子化》2018年7月刊

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。