사기 탐지

사기 탐지

"위험 모델 '만은 아니다. "이것은 회로입니다: 표준화 된 이벤트 → 기능 및 그래프 → 규칙/모델 → 결정 및 행동 → 설명 및 이의 제기 → 효과 측정 및 드리프트 제어. 다음은 결제 및 게임 플랫폼, 마켓 플레이스 및 핀 테크 서비스에 적용되는 시스템 교육입니다.

1) 위협지도 (우리가 보호하는 것)

지불 체계: 도난당한 카드, 카드 테스트, 요금 지불, 친절한 사기.
계정 위험: 해킹/차단, 다중 회계, 보너스 남용, 장치 팜.
KYC/AML: 허위 서류, 인형, 현금 인출, 제재/PEP 위험.
행동: 봇, 스크립트, 비정상적인 속도/트랜잭션 패턴.
제휴: 교통/추천 사기, 저품질 예금 자극.

2) 신호 및 원료

장치/네트워크: 장치 지문, 캔버스/wag, 에뮬레이터, IP/ASN/프록시/VPN, geovelositi.
지불: BIN/MCC/카드 국가, 3DS/ECI, AVS/CVV 결과, 속도 (카드/계정/장치 별), 제한 편차.
행동: 형태의 속도, 마우스/터치 궤적, 체류 시간, 일련의 행동.
소셜/그래프: 전화/전자 메일/맵/주소/장치의 일치, "나쁜" 노드가있는 일반적인 기능.
CUS/Documents: OCR 품질/셀카 매칭/활기 (활기), 날짜/소스, 블랙리스트/제재.

3) 피처 스토어 (포인트 인 타임)

시간 창: 속도 기능의 경우 5m/1h/24h/7d; 엑손. 매끄럽게.
ID별로 단위: 사용자 _ id, 전화, 전자 메일, 지도, 장치, IP/ASN.

Geo/Time: 국가/지역/시간/지역 휴일 프로필

기능 그래프: 정도/삼각형 수/PageRank, 나쁜 것과의 연결 비율, 구성 요소.
KYC 품질: 신뢰 OCR, 이름/주소 거리 편집, IBAN/TIN 유효성 검사.
안티 페이스: 엄격한 시점, 미래의 마크 없음; 온라인/오프라인 패리티.

4) 마크 업 및 대상 변수

대상: chargeback = 1, 확인 된 _ fraw = 1, bonus _ abuse = 1.
지연된 진실의 창: 태그는 T (차지 백) 뒤에 있으며 학습 기간의 "프리즈" 를 사용하십시오.
분포: 강한 불균형 (0. 1-1% "단위") → 무게/샘플링주의 깊게.
대리 태그: 수동 확인 및 항소-자신감을 유지하십시오.

5) 모델 및 접근 방식

규칙 (코드 정책): 화이트리스트/블랙리스트, 속도 임계 값, 측지 속도, 호환되지 않는 속성. 안전을위한 빠르고 이해하기 쉬운 기반.
감독: 그라디언트 부스팅/포레스트, 로지스틱 회귀, 비용에 민감한 손실이있는 표 형 NNs.
Anomalies: 격리 숲, LOF, 견고한 z- 스코어/계절 분해 장치, 자동 인코더.
그래프 접근 방식: 링크 예측, GNN/DeepWalk 임베딩, 일반 장치/맵 규칙.
하이브리드: 캐스케이드 (규칙 → ML → 그래프), FP/FN에 대해 벌금이 다른 앙상블.
교정: 확률을위한 Platt/Isotonic; 오류 비용으로 인한 임계 값.

6) 품질 지표 (희귀 클래스에 중점)

1 차 PR-AUC; ROC-AUC는 불균형이 이차적입니다.
Precision @ k, 비용에 민감한 유틸리티를 @ FPR 방식으로 리콜하십시오.
생산 점수에 대한 적용 범위 및 대기 시간 p95.
공정성/피해: 국가/장치/지불 방법 세그먼트별 오류.

7) 임계 값 정책 및 히스테리시스

솔루션 영역을 분리하십시오

'점수 계정 _ 블록' → 자동 블록;

(PHP 3 = 3.0.6, PHP 4)

'점수 <따라서 검토' → 건너 뛰기.

"깜박임" 을 피하기 위해 히스테리시스 (입력/출력 임계 값이 다름) 와 쿨 다운 (최소 재 시도 간격) 을 추가하십시오.

결정 테이블 예

8) 온라인 회로: 스코어링 및 오케스트레이션

스트리밍: 버스를 통한 이벤트; 온라인 피처 스토어의 기능; '이벤트 _ id' 를 통한 dempotency.
대기 시간: 대상 p95 (예: 요청 당 100-300ms).
오케스트레이터: 채널 간 배송 보장, retrai/backoff, DLQ, 요율 제한.
동작 채널: 3DS/스텝 업, 보류/제한, 차단, 문서 요청, 사례 관리자 티켓, 사용자에게 알림.
감사: 엔드-투-엔드 '상관 _ id' "신호 → resheniye → deystviye → iskhod".

9) Human-in-the-loop 및 사례 관리

사례: 집계 사건/증거, 설명 (상단 기능/규칙, 그래프 이웃).
권한: 추가 ACC/클로저에 대한 자동 블록/부분 제한/요청.
교육: 분석가의 편집은 국경에서 자산을 빌려주는 데이터 (relabel) 로 돌아갑니다.
SLA: P1/P2 우선 순위, 응답 시간, 대기열, 부하 공유.

10) 실제로 그래프 분석

• 패턴: 카드 테스트의 "별", 보너스 남용의 "구성 요소", 일반 프록시/VPN.
• 채점 노드/가장자리: 가중 PageRank, 나쁜 이웃의 비율에 의한 의심.
• 예방: "감염된" 구성 요소에 포함 된 새 노드를 검역합니다.

11) KYC/AML/제재 및 준수

일치: 제재 목록/POP/주소 미디어; 퍼지 검색, 이름 정규화/음역.
문서: 활기/스푸핑 방지, MRZ/시각적 표지판 확인, 지리 일관성.
거래 모니터링: 양의/임계 값/전송 체인에 대한 규칙, 시나리오가 재설정되었습니다.
거버넌스: RLS/CLS, PII 마스킹, 의사 결정 로그, 설명 가능 및 항소 경로.

12) 효과 추정치 ("정확도" 뿐만 아니라)

[
EV =\텍스트 {Prev. 손상} -\텍스트 {잘못된 블록 비용} -\텍스트 {거래 비용}
]

정책/테스트: 임계 값 및 규칙에 대한 A/B/준 실험 (DiD); 스텝 업 방법을 선택하는 도적.
Guardrails: 불만/항소, NPS, "잘못된 자물쇠" (FPR) 의 비율, 대기 시간.

13) 모니터링, 드리프트 및 SLO

품질: 슬라이딩 창을 통한 PR-AUC/Recall @ FPR; 확률 보정.
드리프트: 주요 기능별 PSI/KL, "알 수없는" BIN/ASN 공유, 새로운 장치 클러스터.
운영: p95 대기 시간, 타임 아웃 점유율, 수동 에스컬레이션의%, 백 로그 검토.
SLO: 가용성> 99. 9%, 결정 → 행동 p95 께 2-5 c; 데이터 품질 저하의 경우 "스톱 콕".
Runibook: 카드 테스트 급증, 3DS 감소, 중단 제공 업체, 통나무 폭풍.

14) 데이터 및 코드 아키텍처

이벤트: 표준 체계 (UTC, 버전, 소스), demempotent 키.
피처 스토어: 온라인/오프라인 패리티, 시점 비행, 다양한 변환.
모델: 버전 등록, 재현 가능한 파이프 라인, 생산 인증, 섀도우 런칭.
규칙: git 저장소, 검토/점검표, 회귀 테스트.
설명 가능성: SHP/규칙 가중치 로그, 지원 교육을위한 사례 샘플.

15) 보안, 개인 정보 보호, 윤리

PII 최소화: 식별자의 토큰 화/해싱; 별도의 "안전한" 상점.
액세스: RLS/CLS 및 감사 읽기/업로드; 수출-토큰 및 마감일.
공정성: 지역/방법에 따른 테스트 오류 차별화는 유효하지 않은 속성을 제거합니다.
투명성: 의사 결정 사유 및 사용자에게 이해할 수있는 호소.

16) 의사-SQL 및 레시피

이데올로기 거래 로그

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

속도 저하 기능 (24 시간 창)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) 사기 방지 발사 점검표

• 신호 및 회로 표준화, demotency 활성화
• 포인트 인 타임, 온라인/오프라인 패리티가있는 피처 스토어
• 라벨은 얼굴없이 형성되며, 연기 된 진실 창은 고려됩니다
• 히스테리시스 및 스텝 업, SLA 및 가드 레일 설정의 임계 값 정책
• 사례 관리 및 Human-in-the-loop가 설정되고 설명 할 수 없습니다
• 지표: PR-AUC, 리콜 @ FPR, 비용 유틸리티; 공정성 진단
• 드리프트/오류 모니터링, 경고, 사건 Runibook
• 거버넌스: 모델/규칙 버전, 리뷰, 솔루션 감사, KYC/AML 준수
• 임계 값/정책에 대한 A/B/DiD 계획; 규칙에 대한 안전한 폴백

합계

강력한 사기 방지는 제어 루프의 규칙, 모델 및 그래프의 하이브리드입니다. 고품질 신호 및 히스테리시스가있는 → 임계 값 정책 → 빠른 온라인 스코어링 및 동작 조정 → Human-in-the-loop 및 투명한 호소 → 효과 메트릭 및 드리프트 제어. 이 체계를 따르면 손실을 줄이고 허위 잠금 장치로 인한 피해를 제한하며 사용자 및 규제 기관의 신뢰를 유지합니다.