信用卡反诈标签规则和机器学习模型初探

作者

兴业银行信用卡中心 施琤漪

浙江邦盛科技股份有限公司 吴伟

近年来，网络赌博、电信网络诈骗等犯罪活动猖獗，不法分子利用银行账户作为其犯罪资金的转移渠道，作案手法及资金转移的手段不断翻新，逐渐呈现区域化、规模化、专业化特征。此类犯罪案件对客户的资金安全、银行的正常运营及声誉造成了严重侵害。在黑产中，银行卡、手机卡、网银U盾及密码、身份证复印件等银行卡“四件套”的价格大幅上涨，因用于诈骗收款或转移非法所得的借记卡账户资源紧缺，不法分子转而将信用卡作为作案工具，并通过信用卡账户的溢缴款来收取或转移非法资金，洗钱诈骗作案工具由借记卡向信用卡扩大的趋势愈发明显。鉴于此，公安机关部署“净网”“断链”“断卡”等专项行动，持续严厉打击、治理电信网络新型违法犯罪。金融机构则通过逐步完善风险监测管理机制，进一步提高涉诈风险防控能力。

2022年以来，兴业银行信用卡中心加速推进反诈工作体系建设，包括建立反诈标签规则和机器学习模型（以下简称“反诈模型”）、布设电诈涉案账户的止付管控自动化策略、开展涉案账户的倒查工作、关注公安机关反诈中心对电诈账户的特征分析与相关风险动态。对于涉诈信用卡账户，一方面积极配合公安机关实时管控涉案账户，防止电诈资金流出；另一方面根据涉案账户的特征建立反诈模型，产出风险预警名单，提早介入调查并尽早拦截电诈资金，同时结合当前电诈风险动态的变化及时调优模型，做好精准管控工作。

一、反诈模型概述

基于行业成熟的专家经验和机器学习算法工具，兴业银行信用卡中心结合黑样本析取、特征分析、标签定义、模型构建、模型预警等策略构建了反诈模型，反诈标签规则和机器学习模型架构如图1所示。

1. 黑样本析取

在模型构建前，银行需要收集一定数量、一定时间跨度、不同特点的黑样本数据（经过调查、分析等手段能明确账户是电诈账户的样本数据）。源头数据将用于后续的分析、验证、优化，直接影响后续产出数据的准确性，因此其来源是模型构建的重中之重。经考量，反诈模型最终选取的黑样本账户以国家反诈中心向银行推送的已认定的电诈涉案账户为主，以银行端监测、倒查、调查产出的电诈高危账户为辅。通过对黑样本账户的电诈涉案模式与手法进行分析发现，电诈涉案的上游账户主要负责赃款分散流入，中游账户主要负责资金迂回转移，而下游账户主要负责资金洗白流出。比较常见的涉诈作案手法主要是电诈资金通过还款方式转入信用卡账户后，通过消费的方式将资金转出。

2. 特征分析

通过对黑样本案例进行全面的分析后，反诈模型进一步提炼涉诈异常特征。信用卡电诈账户比较常见的特征包括多对一还款、交易间隔短、交易金额超信用额度等。例如，在黑样本案例中发现不少电诈账户当天在多个不同账户转账还款后，短时间内通过消费的方式将入账的款项全部消费完，消费金额远高于账户的信用额度。

3. 标签定义

根据黑样本特征定义具体标签，如通过某黑样本案例特征定义标签为当天进行多笔还款、当天还款后立即交易、交易金额与还款金额相近；通过某黑样本案例特征定义标签为当天还款后出现大额溢缴款、当天还款后立即交易。不同的黑样本案例可能具有共同的特征和标签，上述两个黑样本案例具有相同的标签，即当天还款后立即交易。

结合专家经验和黑样本数据分析结果，系统共设计涉案风险标签500余个，用于反诈模型的开发和训练。反诈模型的开发与训练模式运行机制如图2所示。

4. 模型构建

反诈模型构建包括标签规则库与机器学习模型的结合，既有基于专家经验的规则库，也有基于机器学习算法的模型。其中，人工智能和机器学习技术的应用，可以使模型自动学习数据中的规律和特征，从而更准确地预测未来事件的发生概率。反诈模型采用了基于决策树的XGBoost算法，该算法可以对数据进行分析和建模，通过多次迭代和加权训练，得到一个高精度的预测模型。在模型评估方面，反诈模型使用精确率、召回率、KS值和AUC值等指标进行评价和优化。

（1）标签规则库

系统运用“且”“或”的关系组合标签并形成规则，通过数据分析设定合理阈值，在覆盖足够多的黑样本账户的同时，尽可能减少对正常账户的误判。针对已有规则未覆盖的黑样本账户，持续分析原因并补充规则，以最大限度平衡规则的召回率和精确率，实现效果最优化。标签规则库的运行模式如图3所示。

（2）机器学习模型

系统运用XGBoost算法构建机器学习模型，模型由海量决策树共同决策，而决策树则由数据驱动的方式自动构建，其中每一棵决策树都会考虑前一棵决策树的预测结果，从而选择一个区分度最优决策空间和预测评分。通过多次训练和验证各类模型指标，选择最优的打标方式和样本集划分方案，从而保证模型的可靠性和准确性。当机器学习模型判断的欺诈概率超过设定的阈值时，系统会自动产生预警名单，为反诈工作提供有效支持。机器学习模型的运行模式如图4所示。

5. 模型预警和优化

反诈模型输出预警名单后，系统对名单进行调查确认并统计模型效果指标，通过新增标签和参数调整的方式持续优化反诈模型。经过多轮调优，反诈模型在企业级数字化智能反欺诈平台上线，通过不断完善常态化监测机制，进一步防范信用卡涉诈风险。

二、模型的深度应用与拓展

未来，电信网络诈骗手法将加速迭代变化，银行应实时关注电信网络诈骗犯罪出现的新变化、新特点、新模式，加强技防能力建设，不断探索新技术的运用，提升反诈模型的防控能力，筑牢信用卡涉诈风险防线。

一是加强内外部合作，持续丰富风险标签库。银行应加强内外部合作，包括与行内其他部门、银联及电信运营商等合作，汇集除卡账客及交易流水以外的数据资产，打通数据孤岛，通过数据清洗、加工衍生后补充风险标签库，加强反诈模型对于跨条线数据的应用。

二是依托反欺诈平台算力支持，构筑“立体防控”模式。基于行业领先的“批流一体”技术框架，实现批式模型的流水级决策，提升银行风险识别的敏感度。在反欺诈平台的强大算力支持下，实现实时、准实时、事后的全模态监控，提升风险管控的速度和深度。

三是引入关联图谱工具，深入挖掘涉诈团伙。借助关联图谱工具，拓展研究涉案账户及可疑账户的关联对象，通过图规则的搭建探索其他潜在风险账户，进一步识别团伙欺诈风险。

反诈模型的建设不是终点而是起点。下一步，兴业银行信用卡中心将以反诈模型为基础，持续构建和完善电信网络诈骗主动防御机制，不断提升风险防范能力，多样拓展、精耕细作，持续提升客户体验，守护人民群众的资金安全。

本文刊于《中国信用卡》2023年第7期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。