GH GambleHub

詐欺の検出

不正検知

アンチフラウドはリスクモデルであるだけではありません。"これは回路です:標準化されたイベント→特徴とグラフ→ルール/モデル→決定とアクション→説明とアピール→効果測定とドリフト制御。以下は、支払いおよびゲームプラットフォーム、マーケットプレイス、およびフィンテックサービスに適用されるシステム手順です。

1)脅威マップ(私たちが守るもの)

支払いスキーム:盗まれたカード、カードテスト、チャージバック、フレンドリーな詐欺。
アカウントリスク:ハッキング/傍受、マルチアカウント、ボーナス乱用、デバイスファーム。
KYC/AML:虚偽の文書、ダミー、キャッシュアウト、制裁/PEPリスク。
行動:ボット、スクリプト、レート/トランザクションの異常なパターン。
アフィリエイト:トラフィック/紹介の詐欺、低品質の預金の刺激。

2)信号および原料

デバイス/ネットワーク:デバイス指紋、キャンバス/ワグ、エミュレータ、IP/ASN/プロキシ/VPN、 geovelositi。
支払:BIN/MCC/カードの国、3DS/ECI、 AVS/CVVの結果、速度(カード/アカウント/装置によって)、限界の偏差。
行動:フォームの速度、マウス/タッチ軌道、ドウェルタイム、アクションのシーケンス。
ソーシャル/グラフ:電話/電子メール/地図/アドレス/デバイスの偶然、「悪い」ノードとの共通機能。
CUS/Documents: OCR 品質/selfie-matching/liveliness (liveness)、日付/ソース、ブラックリスト/制裁。

3)特徴の店(ポイント・イン・タイム)

時間窓:速度特徴のための5m/1h/24h/7d;エクスポンだ。滑らかになること。
身元単位:user_id、電話、電子メール、地図、装置、IP/ASNによって。

地理/時間: 国/地域/タイムゾーン/ローカルホリデープロファイル

フィーチャーグラフ:度/三角形の数/ページランク、悪いものとの接続の割合、コンポーネント。
KYC品質:信頼性OCR、名前/アドレスの編集距離、IBAN/TIN検証。
反面:厳しくポイント・イン・タイム、未来の印;オンライン/オフラインのパリティ。

4)マークアップとターゲット変数

ターゲット:チャージバック=1、 confirmed_fraud=1、 bonus_abuse=1。
延期された真実のWindows:タグはT(チャージバック)の後に来る、学習するときの期間の「フリーズ」を使用します。
配分:強い不均衡(0。1-1%「単位」)→重量を量る/慎重にサンプリング。
サロゲートタグ:手動確認とアピール-自信を持ってください。

5)モデルとアプローチ

ルール(policy-as-code):ホワイトリスト/ブラックリスト、速度しきい値、ジオベロシティ、互換性のない属性。速く、理解できる、フェイルセーフのための基盤。
監督:グラデーションブースト/フォレスト、ロジスティック回帰、コストに敏感な損失を持つ表形式NN。
異常:Isolation Forest、 LOF、堅牢なz-score/seasonal-decomp、オートエンコーダ。
グラフのアプローチ:リンク予測、GNN/DeepWalk埋め込み、一般的なデバイス/マップのルール。
ハイブリッド:カスケード(ルール→ML→グラフ)、FP/FNの異なる罰金を伴うアンサンブル。
口径測定:確率のためのプラット/同位体;エラーのコストからのしきい値。

6)質の測定基準(まれなクラスに焦点を合わせる)

プライマリとしてPR-AUC;ROC-AUCは不均衡において二次的である。
@FPR ≤ x%、 Precision@k、コストに敏感なユーティリティを思い出してください。
生産スコアリングのためのカバレッジとレイテンシp95。
Fairness/Harms:国/デバイス/支払い方法セグメントによるエラー。

7)しきい値の方針とヒステリシス

ソリューションゾーンを分離する:
  • 'score ≥ τ_block'→autoblock;
  • 'τ_review ≤ score <τ_block'→マニュアルレビュー;
  • 'score <τ_review'→スキップ。

ヒステリシス(入出力しきい値が異なる)とクールダウン(最小再試行間隔)を追加して「、点滅」を回避します。

意思決定テーブルの例

[条件]コンテキスト[アクション]ガードレール
'score ≥ 0。95'は'blacklist'のデバイス'お支払い方法ブロッキングFPR ≤ 0。3%、 SLA <1c
`0.8 ≤スコア<0。95'と'量>Q90'お支払い方法ハンドレビューSLA 2h
'geo-velocity> 1,000km/h'および'#3DS'認証ステップアップのKYC/3DSZhaloby ≤ Kh

8)オンライン回路: スコアリングとオーケストレーション

ストリーミング:バス経由のイベント;オンライン機能ストアからの機能。'event_id'によるidempotency。
レイテンシ:ターゲットp95(たとえば、リクエストごとに100〜300ミリ秒を≤)。
オーケストレーター:保証付き配信、レトライ/バックオフ、DLQ、チャンネル間のレート制限。
アクションチャンネル:3DS/step-up、ホールド/リミット、ブロック、ドキュメントのリクエスト、ケースマネージャーへのチケット、ユーザーへの通知。
監査:エンドツーエンドの'correlation_id' 「signal→resheniye→deystviye→iskhod」。

9)ヒューマン・イン・ザ・ループおよびケース・マネジメント

事例:インシデント/証拠を集計し、説明を表示します(トップフィーチャー/ルール、グラフ隣人)。
アクセス許可:自動ブロック/部分制限/追加ACC/クロージャの要求。
トレーニング:アナリストの編集はデータ(リラベル)に戻ります。
SLA: P1/P2優先度、応答時間、キュー、ロード共有。

10)実際のグラフ分析

'ユーザー↔デバイス↔カード↔電話↔電子メール↔ IP'。
パターン:カードテストの「星」、ボーナス乱用の「コンポーネント」、一般的なプロキシ/VPN。
スコアリングノード/エッジ:重み付けPageRank、悪い隣人の割合による疑わしい。
予防:それらが「感染した」コンポーネントに含まれている場合、新しいノードを隔離します。

11) KYC/AML/制裁とコンプライアンス

一致:制裁リスト/POP/アドレスメディア;ファジー検索、名前正規化/転写。
書類:活気/アンチスプーフィング、MRZ/ビジュアルサインチェック、地理的整合性。
トランザクション監視:転送の量/しきい値/チェーンのルール、シナリオがリセットされました。
ガバナンス:RLS/CLS、 PIIマスキング、意思決定ログ、説明可能性、アピールのパス。

12)効果の見積もり(「正確さ」だけでなく)

ソリューションエコノミクス: 
[
EV =\text{前。ダメージ}-\text{偽ブロックのコスト}-\text{トランザクションコスト}
]

ポリシー/テスト:しきい値と規則のA/B/準実験 (DiD);step-upメソッドを選択します。
ガードレール:苦情/控訴、NPS、「誤ったロック」(FPR)の割合、レイテンシ。

13)モニタリング、ドリフト、SLO

質:PR-AUC/スライディングウィンドウによるRecall@FPR;確率キャリブレーション。
ドリフト:主要機能によるPSI/KL、「不明」BIN/ASNの共有、新しいデバイスクラスタ。
操作:p95レイテンシ、タイムアウトの共有、手動エスカレーションの%、バックログレビュー。

SLO: 可用性>99。9%、決定→アクションp95 ≤ 2-5 c;データ品質劣化時の「ストップコック」

Runibooks:カードテストのサージ、3DSの低下、停止プロバイダ、ログの嵐。

14)データとコードアーキテクチャ

イベント:正規スキーム(UTC、バージョン、ソース)、idempotentキー。
Feature Store:オンライン/オフラインのパリティ、ポイント・イン・タイム・フライト、バージョン変換。
モデル:バージョンの登録、再現可能なパイプライン、生産での認証、シャドウ起動。
Rules-as-Code: gitリポジトリ、レビュー/チェックリスト、回帰テスト。
説明:SHAP/ルールウェイトログ、サポートトレーニング用のケースサンプル。

15)セキュリティ、プライバシー、倫理

PII最小化:識別子のトークン化/ハッシュ化;「安全な」店を分けて下さい。
アクセス:RLS/CLSおよび監査の読み取り/アップロード;エクスポート-トークンと期限付き。
公平性:領域/メソッドによるエラー差別化をテストし、無効な属性を排除します。
透明性:意思決定の理由とユーザーへの理解可能なアピール。

16)疑似SQLとレシピ

Idempotentトランザクションログ

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

ベロシティフィーチャー(24hウィンドウ)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17)不正防止の起動チェックリスト

  • 信号と回路が標準化され、idempotencyが有効
  • ポイント・イン・タイム、オンライン/オフラインのパリティを持つ機能ストア
  • ラベルは顔なしで形成され、遅延された真理ウィンドウは考慮されます
  • ヒステリシスとステップアップ、SLAとガードレールが設定されたしきい値ポリシー
  • ケース管理とヒューマンインザループが設定されており、説明可能
  • メトリクス:PR-AUC、 Recall@FPR、 Cost-utility;fairness-diagnostics(公平性診断
  • ドリフト/エラーモニタリング、アラート、インシデントRunibooks
  • ガバナンス:モデル/ルールのバージョン、レビュー、ソリューション監査、KYC/AMLコンプライアンス
  • しきい値/ポリシーのA/B/DiD計画;ルールの安全なフォールバック

合計

強力な不正防止は、制御されたループ内のルール、モデル、グラフのハイブリッドです。高品質のシグナルと機能→しきい値ポリシー、ヒステリシス→高速オンラインスコアリングとアクションのオーケストレーション→ヒューマンインザループと透明なアピール→エフェクトメトリクスとドリフトコントロール。このスキームに従うことで、損失を減らし、偽のロックからの害を制限し、ユーザーと規制当局の信頼を維持します。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

Telegram
@Gamble_GC
統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。