CN109472610A

CN109472610A - 一种银行交易反欺诈方法及***、设备和存储介质

Info

Publication number: CN109472610A
Application number: CN201811331035.8A
Authority: CN
Inventors: 廖根健; 王燕梅; 陈丽霞; 王驿; 吴舒蓉; 郭超年; 马胜蓝; 程舒晗; 王桐森
Original assignee: FUJIAN RURAL CREDIT YONHAP
Current assignee: FUJIAN RURAL CREDIT YONHAP
Priority date: 2018-11-09
Filing date: 2018-11-09
Publication date: 2019-03-15

Abstract

本发明提供一种银行交易反欺诈方法，包括：1、客户发起交易；2、对交易进行安全检查；3、计算出该交易的RAIB分数，将RAIB分数与风险等级匹配，并将风险等级与风险门限值进行比较；4、将该交易进行分类，并判断该交易所在的分类器是否存在欺诈风险，若不存在，则返回交易无欺诈风险的结果给银行电子渠道，否则该交易被判定为可疑交易；5、客服通过呼叫中心对质疑的问题向客户进行电话确认，并反馈确认结果；6、验证确认结果，并将验证结果返回给银行电子渠道，如果验证结果为客户没有通过质疑，则该交易被拒绝执行且账号被冻结；否则交易继续执行。本发明还提供一种银行交易反欺诈***、设备和存储介质，避免银行交易被欺诈。

Description

一种银行交易反欺诈方法及***、设备和存储介质

技术领域

本发明涉及数据处理技术、金融风控领域技术和交易反欺诈方法，尤其涉及一种银行交易反欺诈方法及***、设备和存储介质。

背景技术

随着信息科技和银行业的快速发展，大部分的现代商业依赖于电子银行业务和无现金支付***。通过提供电子银行服务，传统金融机构可降低成本、优化客户服务、留住客户和扩大市场份额。电子银行比如电话银行、网上银行和手机银行，给人们的日常生活提供了极大的便利。而安全，是电子银行的主要问题之一。使用电子银行的客户担心有人会非法获取他们的账号并盗取资金。中国的电子银行欺诈事件近年来快速增长，根据《2017年电话欺诈情况分析报告》，2017年29.17％的电话欺诈事件发生在金融领域，造成了915亿元损失。福建农信每天有180万笔交易通过电子银行渠道，而多达5千笔属于欺诈交易。电子银行欺诈风险主要包括低金额大交易量、交易追踪困难等。如何有效地管理和控制电子银行欺诈风险，已经成为监管者必须重视、银行必须面对的一个重要问题。

对欺诈风险监测的研究主要从两个方面进行：一、在客户端，主要关注电子银行终端的身份和安全性；二、在银行端，主要关注评分规则专家***和数据驱动模型机器学***衡和大数据量的问题。为了解决以上问题，本发明设计了一种基于规则评分和大数据预测的银行交易反欺诈方法和***。

反欺诈是金融交易很重要的一部分，随着普惠金融的不断发展，交易反欺诈在金融机构工作中将越来越重要。当前交易反欺诈在面对多维度的各个用户属性、依赖传统人工经验的规则库安全性与可用性、大量当前实时交易数据等方面，尚存在着对现有数据的依赖、规则库难以保持其鲁棒性、检测困难、风险确认等级与实际不一致等问题。此外，交易反欺诈误报率的居高不下造成资源和成本的大量损耗，影响交易判定的时效性和准确性，降低了客户体验，进而给金融机构带来负面声誉。

目前，针对交易反欺诈的处理一般是对当前的大量实时交易信息进行分析，通过一系列的交易行为模型和数据模型，获得局部的简单风险信息，缺少对用户信息、身份验证方式等多维度各个属性的考虑，只依赖于当前实时交易数据，只能获取局部的简单风险信息，无法构建和预测完整的风险行为发生，影响交易判定的时效性和准确性，引发一系列的风险。

公开号为108305166A，公布日为2018-07-20的发明专利《一种面向金融领域的反交易欺诈方法》，公布了一种面向金融领域的反交易欺诈方法，包括收集各渠道实时交易数据，利用事先编辑好的欺诈规则对实时交易进行欺诈规则匹配，按最终汇总信息的不同输出结果进行不同的业务逻辑处理，从而利用大数据挖掘及分析，监督欺诈行为，助力金融智能决策。

公开号为107103479A，公布日为2017-08-29的发明专利《金融交易实时反欺诈***》，公布了一种金融交易实时反欺诈***方法，包括情报交换平台、情报分析平台、情报应用处置平台，实现了对第三方情报数据的整合及存储，并通过处理获得风险参照数据集，通过实时交易分析数据与风险参照数据集的匹配，确定匹配结果，以供用户接收或查询，从而辅助降低银行业务***整体风险。

公开号为105005901A，公布日为2015-10-28的发明专利《一种面向金融领域的交易欺诈检测***与方法》，公布了一种面向金融领域的交易欺诈检测***与方法，包括在通用用户交易行为模型和用户个人交易行为模型侦测的基础上，通过电话声纹识别模块对可疑交易的对象发起实时的远程身份识别来进一步确定交易是否是欺诈交易，从而更及时地防范交易欺诈行为，减少误判。

上述的发明专利主要缺点有：

首先，上述发明专利针对交易反欺诈的处理一般是对当前实时交易信息进行分析，并未涉及历史交易数据信息、规则库的迭代更新管理，缺少对用户信息、身份验证、用户活动等多维度的各个用户属性管理、风险确认等级与实际不一致的考虑只能获取局部的简单风险信息，无法构建和预测完整的风险行为发生；

其次，上述发明专利大多都通过一系列的数据模型计算出该笔客户的欺诈风险的门限值，根据门限值的标准去评价该行为的欺诈风险，从而检测客户行为是否涉及交易欺诈并给出警告或者进一步的检测，上述发明的缺点是只能识别固有的较常见的欺诈行为，对于新型的欺诈行为难以识别；

最后，上述发明专利由于缺少实时预测机制，且评分规则无更新进而很容易出现***确认的风险等级与实际不符引发交易误判等一系列的风险。

发明内容

本发明要解决的技术问题之一，在于提供一种基于规则评分和大数据预测的银行交易反欺诈方法，本发明采用RAIB在线评分模型与并行随机森林分类器，解决了两个问题：一是由于数据计算规则过于简单导致计算结果不准；二是过于依赖现有数据导致计算出的风险确认等级与实际不一致或者偏差较大，而本发明对于风险分类水平为五个水平，分类细化加上动态实时调整指标评分规则，并加入历史数据计算，对欺诈交易的覆盖面更加广阔，不但能减少欺诈误报率，可以更加精准识别新型的欺诈行为。

本发明的问题之一，是这样实现的：一种银行交易反欺诈方法，包括如下步骤：

步骤1、客户通过任意一个银行电子渠道发起交易；

步骤2、对发起的交易进行安全检查，若该交易通过安全检查，则进入步骤3；若不通过安全检查，则该交易不继续进行；

步骤3、线上计算出该交易的RAIB分数，将RAIB分数与风险等级匹配，并将风险等级与风险门限值进行比较，如果风险等级小于风险门限值，返回交易无欺诈风险的结果给对应的银行电子渠道，交易继续进行；如果风险等级不小于风险门限值，将该交易进行线下处理；

步骤4、将该交易进行分类，并判断该交易所在的分类器是否存在欺诈风险，若不存在，则返回交易无欺诈风险的结果给银行电子渠道，若存在，则该交易被判定为可疑交易，进入步骤5；

步骤5、从客户信息中心中获取客户的信息，根据客户的信息生成质疑的问题；客服通过呼叫中心对质疑的问题向客户进行电话确认，客户确认后将确认结果通过呼叫中心反馈给客服；

步骤6、对确认结果进行验证，并将验证结果返回给银行电子渠道，如果验证结果为客户没有通过质疑，则该交易被拒绝执行且账号被冻结；否则交易继续执行。

进一步地，所述步骤3具体为：

将交易风险模型根据不同的渠道和业务场景划分为不同的模型，所有的业务场景抽象出三个维度：活动、身份和行为，活动反应的是交易的具体活动信息，包括发起交易的渠道、位置和交易频率，身份反应的是账户状态、客户的身份状态和设备状态，行为反应的是客户的正常行为，包括最大的交易数量、正常的交易时间和交易的收款人；

针对银行电子渠道完成的交易t_x，在每个维度中有复数条规则，每条规则都有一个用于表示欺诈风险等级的子分数，分别用表示三个维度规则的子分数，用S_RAIB表示交易t_x的RAIB分数，所有的规则有初始权重而活动、身份和行为也有初始权重w_A、w_I、w_B，因此，RAIB分数S_RAIB由等式(1)产生：

规则引擎是由银行的银行服务领域专家预先配置的，每个规则的权重通过不同的机器学***中，风险水平划分为五个等级：低级、中低级、中级、中高级和高级，RAIB分数越高，风险等级越高，欺诈风险越大，将风险等级与风险门限值进行比较，如果RAIB分数映射的风险等级小于风险门限值，返回交易无欺诈风险的结果给银行电子渠道，交易继续进行；如果风险等级不小于风险门限值，将该交易进行进一步处理。

进一步地，所述步骤4具体为：

初始化分区数量及每个分区的决策树数量；

获取到交易，每个交易都有复数个原始特性，从原始特性中选择最有关联性的特性，这个过程称为特性工程过程，以f_r表示原始特性，f_e表示选择的特性，则特性工程过程用函数表示为：E:f_r→f_e；将原始数据集经过特性工程过程处理后形成特征数据集，以DS表示原始数据集，是原始特性f_r的集合，以DS_E表示特征数据集，是选择的特性f_e的集合，将特征数据集DS_E载入各分区中，以生成不同的决策树；

每个决策树的单个节点的***过程是基于所有选择的特性f_e来进行随机选择子集，将子集中所有选择的特性f_e随机分配到并行随机森林F的所有决策树中，并行随机森林F中的每个决策树都是独立的，每个分区内的决策树生成不同的分类器，搜集所有的分类器来生成最终的并行随机森林分类器C_rf；并行随机森林分类器C_rf部署在分布式环境中，通过并行随机森林分类器C_rf以并行训练多组决策树；

每个决策树的所有叶子代表一个分类，通过并行随机森林F的各个决策树来预测结果，各个决策树将各自的预测结果通过各自的分类器反馈给并行随机森林分类器C_rf；所述并行随机森林分类器C_rf根据预测结果判断该交易所在的分类器是否存在欺诈风险，若不存在，则返回交易无欺诈风险的结果给银行电子渠道，若存在，则该交易被判定为可疑交易。

进一步地，所述步骤6之后还包括：

步骤7、Kafka分布式消息队列从所有银行电子渠道中定期地搜集交易日志文件，Spark统一分析引擎从Kafka分布式消息队列中读取数据并处理特性工程，同时基于并行随机森林分类器从历史数据中将交易分门别类，再将交易的原始特性存储到MPP Gbase数据库，交易的原始特性是用于查询和机器学习。

本发明要解决的技术问题之二，在于提供一种银行交易反欺诈***，本发明是基于专业知识的线上评分子***和基于大数据的线下机器学***，在线下子模块，大数据框架应用于机器学习中，用于处理历史交易数据，并行随机森林分类器在反欺诈监测方面有较好的作用，被用于反欺诈交易学习中。

本发明的问题之二，是这样实现的：一种基于规则评分和大数据预测的银行交易反欺诈***，包括：

交易发起模块，用于客户通过任意一个银行电子渠道发起交易；

安全检查模块，用于对发起的交易进行安全检查，若该交易通过安全检查，则进入RAIB在线评分模块；若不通过安全检查，则该交易不继续进行；

RAIB在线评分模块，用于线上计算出该交易的RAIB分数，将RAIB分数与风险等级匹配，并将风险等级与风险门限值进行比较，如果风险等级小于风险门限值，返回交易无欺诈风险的结果给对应的银行电子渠道，交易继续进行；如果风险等级不小于风险门限值，将该交易进行线下处理；

KSMG线下预测模块，用于将该交易进行分类，并判断该交易所在的分类器是否存在欺诈风险，若不存在，则返回交易无欺诈风险的结果给银行电子渠道，若存在，则该交易被判定为可疑交易，进入客户确认模块；

客户确认模块，用于从客户信息中心中获取客户的信息，根据客户的信息生成质疑的问题；客服通过呼叫中心对质疑的问题向客户进行电话确认，客户确认后将确认结果通过呼叫中心反馈给客服；

交易验证模块，用于对确认结果进行验证，并将验证结果返回给银行电子渠道，如果验证结果为客户没有通过质疑，则该交易被拒绝执行且账号被冻结；否则交易继续执行。

进一步地，所述RAIB在线评分模块具体为：

进一步地，所述KSMG线下预测模块具体：

初始化分区数量及每个分区的决策树数量；

进一步地，所述交易验证模块之后还包括：

KSMG学习模块，用于Kafka分布式消息队列从所有银行电子渠道中定期地搜集交易日志文件，Spark统一分析引擎从Kafka分布式消息队列中读取数据并处理特性工程，同时基于并行随机森林分类器从历史数据中将交易分门别类，再将交易的原始特性存储到MPP Gbase数据库，交易的原始特性是用于查询和机器学习。

本发明要解决的技术问题之三，在于提供一种计算机设备。

本发明的问题之三，是这样实现的：一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-4中任一项所述的方法。

本发明要解决的技术问题之四，在于提供一种计算机可读存储介质。

本发明的问题之四，是这样实现的：一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1-4中任一项所述的方法。

本发明的优点在于：本发明基于RAIB在线评分模型、并行随机森林分类器、KSMG线下学习和预测模块、反欺诈交易检测四种主要技术手段解决以下问题：

一是将所有的业务场景抽象出三个维度：活动、身份和行为，充分考虑了多维度各个属性，生成交易的RAIB评分及风险水平，通过多维度的复杂计算出该行为的一个交易风险分数，根据专家设置的规则将分数映射到风险水平中。风险水平划分为五个等级：低级、中低级、中级、中高级、高级，分数越高，欺诈风险越高。如果分数映射的风险水平在门限值之下，交易继续进行；

二是判断交易分数的规则是由银行的银行服务领域专家预先配置的。随着交易的进行，规则会被不断更新。因此，在线下子模块采用KMSG结构，根据现有数据及历史交易日志进行自主学习，使反欺诈规则不再一成不变，进行动态更新，从而配置出最科学的风险评分规则；每个规则的权重可以通过不同的机器学习算法进行训练；这样风险监测通过***不断学习更新，配置出最科学的分数规则，识别新型的欺诈行为；

三是对于简单的计算规则及对现有的数据依赖导致计算出的风险确认等级与实际不一致或者偏差较大的困难，该技术可以准确的计算出交易分数，准确判断风险等级，有效解决了评分规则基于专业知识，易受新型欺诈方式的影响的问题，避免了给银行带来的声誉风险。

附图说明

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明一种银行交易反欺诈***的框架图。

图2为本发明中并行随机森林分类器的实现流程图。

图3为本发明中KSMG学习模块的整体框架图。

具体实施方式

为使得本发明更明显易懂，现以一优选实施例，并配合附图作详细说明如下。

如图1所示，整个银行交易反欺诈***架构包括安全检测模块、银行电子渠道***、银行核心账务***、反欺诈交易检测***、呼叫中心和客户信息中心，反欺诈交易检测***由RAIB在线评分模块和KSMG线下学习及预测模块组成，银行电子渠道***包括网上银行、手机银行、电话银行和存取款机等银行电子渠道，客户信息中心是记录客户关键信息的客户信息***，比如客户名字、电话号码、性别、地址等，银行核心账务***保存所有的账户信息、处理日间联机实时交易和夜间批量交易，呼叫中心处理客户的呼入和呼出电话。

RAIB在线评分模块是基于电子银行服务的专家***，用于计算交易的风险评分。风险评分基于RAIB生成，即由不同权重的三个维度组成：交易的活动、身份和行为。当客户从任何一个电子渠道发起交易时，会触发对活动、身份和行为的检查。

KSMG线下学习及预测模块是一个大数据引擎KSMG：Kafka，Spark和MPP Gbase。Kafka是一个常用于日志搜集的分布式消息队列***，搜集所有银行电子渠道***的交易日志。Spark是大数据处理过程中的统一分析引擎，内置了流媒体、SQL、机器学习和图形处理模块。基于并行随机森林分类器，Spark从历史数据中将交易分门别类，再将交易数据存入MPP Gbase数据库中。KSMG线下学习及预测模块包括KSMG线下预测模块和KSMG学习模块。

本发明的一种银行交易反欺诈方法，包括如下步骤：

步骤1、客户通过任意一个银行电子渠道发起交易；所述银行电子渠道包括网上银行电子渠道、手机银行电子渠道、电话银行电子渠道和存取款机电子渠道；

步骤6、对确认结果进行验证，并将验证结果返回给银行电子渠道，如果验证结果为客户没有通过质疑，则该交易被拒绝执行且账号被冻结；否则交易继续执行；

步骤7、Kafka分布式消息队列从所有银行电子渠道中定期地搜集交易日志文件，Spark统一分析引擎从Kafka分布式消息队列中读取数据并处理特性工程，同时基于并行随机森林分类器从历史数据中将交易分门别类，再将交易的原始特性存储到MPP Gbase数据库，交易的原始特性是用于查询和机器学习，如图3所示。

具体地，在本实施例中，所述步骤3具体为：

在银行服务中有许许多多的***，因此将交易风险模型根据不同的渠道和业务场景划分为不同的模型，所有的业务场景抽象出三个维度：活动、身份和行为，活动反应的是交易的具体活动信息，包括发起交易的渠道、位置和交易频率，身份反应的是账户状态(正常、非激活、冻结等)、客户的身份状态(黑名单、灰名单或白名单)、设备状态(受信任的、欺诈的)，行为反应的是客户的正常行为，包括最大的交易数量、正常的交易时间和交易的收款人；

规则引擎是由银行的银行服务领域专家预先配置的，随着交易的进行，规则会被不断更新，因此每个规则的权重通过不同的机器学***中，风险水平划分为五个等级：低级、中低级、中级、中高级和高级，RAIB分数越高，风险等级越高，欺诈风险越大，将风险等级与风险门限值进行比较，如果RAIB分数映射的风险等级小于风险门限值，返回交易无欺诈风险的结果给银行电子渠道，交易继续进行；如果风险等级不小于风险门限值，将该交易进行进一步处理。

具体地，在本实施例中，所述步骤4具体为：

初始化分区数量及每个分区的决策树数量；

获取到交易，每个交易都有复数个原始特性，为了从大量数据中建立有效的分类器，必须从原始特性中选择最有关联性的特性，这个过程称为特性工程过程，以f_r表示原始特性，f_e表示选择的特性，则特性工程过程用函数表示为：E:f_r→f_e；将原始数据集经过特性工程过程处理后形成特征数据集，以DS表示原始数据集，是原始特性f_r的集合，以DS_E表示特征数据集，是选择的特性f_e的集合，将特征数据集DS_E载入各分区中，以生成不同的决策树，如图2；

每个决策树的单个节点的***过程是基于所有选择的特性f_e来进行随机选择子集，将子集中所有选择的特性f_e随机分配到并行随机森林F的所有决策树中，并行随机森林F中的每个决策树都是独立的，每个分区内的决策树生成不同的分类器，搜集所有的分类器来生成最终的并行随机森林分类器C_rf；并行随机森林分类器C_rf部署在分布式环境中，通过并行随机森林分类器C_rf以并行训练多组决策树，因此，用Spark并行地实现并行随机森林，提高了分类器生成的效率，并行随机森林分类器C_rf利用引导技术生成大量的决策树以减少过度学习的风险；

每个决策树tree_i的所有叶子代表一个分类，通过并行随机森林F(tree₁，tree₂，…，tree_n)的各个决策树来预测结果，各个决策树将各自的预测结果通过各自的分类器反馈给并行随机森林分类器C_rf；所述并行随机森林分类器C_rf根据预测结果判断该交易所在的分类器是否存在欺诈风险，若不存在，则返回交易无欺诈风险的结果给银行电子渠道，若存在，则该交易被判定为可疑交易。

每个分区中的所有决策树都被收集来生成最终的并行随机森林分类器C_rf，并行随机森林分类器C_rf的生成过程“过程1”：首先，初始化分区数量及每个分区的决策树数量；其次，将原始数据经过特性工程处理后，载入分区中，生成决策树分类器；最后，搜集所有决策树的分类器，生成最终的并行随机森林分类器C_rf。

本发明的一种银行交易反欺诈***，包括：

交易发起模块，用于客户通过任意一个银行电子渠道发起交易；所述银行电子渠道包括网上银行电子渠道、手机银行电子渠道、电话银行电子渠道和存取款机电子渠道；

交易验证模块，用于对确认结果进行验证，并将验证结果返回给银行电子渠道，如果验证结果为客户没有通过质疑，则该交易被拒绝执行且账号被冻结；否则交易继续执行；

KSMG学习模块，用于Kafka分布式消息队列从所有银行电子渠道中定期地搜集交易日志文件，Spark统一分析引擎从Kafka分布式消息队列中读取数据并处理特性工程，同时基于并行随机森林分类器从历史数据中将交易分门别类，再将交易的原始特性存储到MPP Gbase数据库，交易的原始特性是用于查询和机器学习，如图3所示。

具体地，在本实施例中，所述RAIB在线评分模块具体为：

将交易风险模型根据不同的渠道和业务场景划分为不同的模型，所有的业务场景抽象出三个维度：活动、身份和行为，活动反应的是交易的具体活动信息，包括发起交易的渠道、位置和交易频率，身份反应的是账户状态(正常、非激活、冻结等)、客户的身份状态(黑名单、灰名单或白名单)、设备状态(受信任的、欺诈的)，行为反应的是客户的正常行为，包括最大的交易数量、正常的交易时间和交易的收款人；

具体地，在本实施例中，所述KSMG线下预测模块具体为：

初始化分区数量及每个分区的决策树数量；

本发明的一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-4中任一项所述的方法。

本发明的一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1-4中任一项所述的方法。

虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。

Claims

1.一种银行交易反欺诈方法，其特征在于：包括如下步骤：

步骤1、客户通过任意一个银行电子渠道发起交易；

2.如权利要求1所述的一种银行交易反欺诈方法，其特征在于：所述步骤3具体为：

3.如权利要求1所述的一种银行交易反欺诈方法，其特征在于：所述步骤4具体为：

初始化分区数量及每个分区的决策树数量；

4.如权利要求1所述的一种银行交易反欺诈方法，其特征在于：所述步骤6之后还包括：

5.一种银行交易反欺诈***，其特征在于：包括：

6.如权利要求5所述的一种银行交易反欺诈***，其特征在于：所述RAIB在线评分模块具体为：

7.如权利要求5所述的一种银行交易反欺诈***，其特征在于：所述KSMG线下预测模块具体：

初始化分区数量及每个分区的决策树数量；

8.如权利要求5所述的一种银行交易反欺诈***，其特征在于：所述交易验证模块之后还包括：

KSMG学习模块，用于Kafka分布式消息队列从所有银行电子渠道中定期地搜集交易日志文件，Spark统一分析引擎从Kafka分布式消息队列中读取数据并处理特性工程，同时基于并行随机森林分类器从历史数据中将交易分门别类，再将交易的原始特性存储到MPPGbase数据库，交易的原始特性是用于查询和机器学习。

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于：所述处理器执行所述程序时实现如权利要求1-4中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：该程序被处理器执行时实现如权利要求1-4中任一项所述的方法。