Алаяқтықты анықтау

Антифрод - бұл тек «тәуекел моделі» ғана емес. Бұл контур: стандартталған оқиғалар → белгілер мен бағандар → ережелер/модельдер → шешім және әрекет → түсініктеме және апелляциялар → әсерді өлшеу және дрейф-бақылау. Төменде - төлем және ойын платформаларына, базарларға және финтех-сервистерге қолданылатын жүйелік нұсқаулық.

1) Қатерлер картасы (не қорғаймыз)

Төлем схемалары: ұрланған карталар, тестинг карталары, чарджбэки, friendly fraud.
Аккаунт-тәуекелдер: хакерлік/тосқауыл, мультиаккаунтинг, бонус-абьюз, құрылғы фермалары.
KYC/AML: жалған құжаттар, жалған тұлғалар, ұрлау, санкциялық/РЕР-тәуекелдер.
Мінез-құлық: боттар, сценарийлер, аномальды ставкалар/транзакциялар үлгілері.
Серіктестік: трафик/рефералдар фроды, сапасыз депозиттерді ынталандыру.

2) Сигналдар мен шикізат

Құрылғы/желі: device fingerprint, canvas/ваг, эмуляторлар, IP/ASN/прокси/VPN, геовелоситтер.
Төлем: BIN/MCC/карта елі, 3DS/ECI, AVS/CVV-нәтижелері, velocity (карта/есеп/құрылғы бойынша), лимиттердің ауытқуы.
Мінез-құлық: пішін жылдамдығы, тінтуір/тач траекториясы, dwell-time, әрекеттер реттілігі.
Әлеуметтік/графалық: телефондардың/е-mail/карталардың/мекенжайлардың/құрылғылардың сәйкес келуі, «нашар» тораптармен жалпы фичтер.
ҚҰС/Құжаттар: сапасы OCR/селфи-матчинг/тіршілік (liveness), күні/көзі, blacklists/санкциялар.

3) Белгілер инженериясы (feature store, point-in-time)

Уақытша терезелер: velocity-фич үшін 5м/1ч/24ч/7д; экспон. тегістеу.
Агрегаттар сәйкестігі бойынша: user_id, телефон, e-mail, карта, құрылғы, IP/ASN бойынша.
Гео/уақыт: ел/өңір/таймзона/жергілікті мерекелік профильдер.
Баған-фичтер: degree/triangle count/PageRank, нашар байланыстардың үлесі, компоненттілігі.
KYC сапасы: confidence OCR, edit distance есімдер/мекенжайлар, IBAN/ЖСН валидациясы.
Анти-лики: қатаң point-in-time, болашақ белгілерсіз; online/offline parity.

4) Таңбалау және мақсатты айнымалылар

Таргеттер: chargeback = 1, confirmed_fraud=1, bonus_abuse=1.
Кейінге қалдырылған ақиқат терезелері: белгілер T (чарджбэки) кейін келеді, оқыту кезінде «фриз» кезеңін пайдаланыңыз.
Дистрибутив: күшті теңгерімсіздік (0. 1-1% «бірлік») → өлшеу/семплинг мұқият.
Суррогат белгілер: қолмен растау және апелляция - сенімділікті сақтаңыз.

5) Модельдер мен тәсілдер

Ережелер (policy-as-code): ақ/қара тізімдер, velocity табалдырықтары, геовелоситтер, үйлеспейтін атрибуттар. Жылдам, түсінікті, fail-safe үшін база.
Супервизия: градиентті бустинг/орман, логистикалық регрессия, cost-sensitive лоссалары бар кестелік NN.
Аномалиялар: Isolation Forest, LOF, robust z-score/seasonal-decomp, автоэнкодерлер.
Баған-тәсілдер: link prediction, GNN/DeepWalk-эмбеддингтер, «жалпы девайс/карта» ережелері.
Будандар: cascade (ережелер → ML → баған), FP/FN үшін әртүрлі айыппұлдары бар ансамбльдер.
Калибрлеу: ықтималдықтар үшін Platt/Isotonic; қателер құнының шектері.

6) Сапа өлшемдері (сирек сыныптарға бағдарланамыз)

PR-AUC негізгі ретінде; ROC-AUC теңгерімсіздік кезінде қайталанады.
Recall@FPR≤x%, Precision@k, Cost-sensitive utility.
Прод-скоринг үшін Coverage және Latency p95.
Fairness/Harms: елдер/құрылғылар/төлем әдістері сегменттері бойынша қателер.

7) Шекті саясат және гистерезис

Шешу аймақтарын бөліңіз:

'score ≥ τ_block' → автоблок;
'τ _ review ≤ score <τ_block' → қолмен тексеру;
'score <τ_review' → рұқсатнама.

Жыпылықтауды болдырмау үшін гистерезис (кіру/шығу шегі ерекшеленеді) және cool-down (қайталау әрекеттерінің ең аз аралықтары) қосыңыз.

decision table мысалы

Шарт	Мәтін мәнері	Әрекет	Guardrails
`score ≥ 0. 95` или `device in blacklist`	төлем, төлем	Бұғаттау	FPR≤0. 3%, SLA <1c
`0. 8≤score<0. 95 'және' сомасы> Q90 '	төлем, төлем	Қолмен реву	SLA 2h
'geo-velocity> 1000 км/сағ' және 'No 3DS'	аутентификация	Step-up KYC/3DS	Шағымдар ≤ Х

8) Онлайн контур: скоринг және оркестрлеу

Стриминг: шина арқылы оқиғалар; online feature store-дан фичтер; 'event _ id' арқылы теңсіздік.
Latency: мақсатты p95 (мысалы, сұрау салуға 100-300 мс ≤).
Оркестратор: кепілді жеткізу, ретраи/backoff, DLQ, rate-limit арналары бойынша.
Іс-қимыл арналары: 3DS/step-up, холдинг/лимит, блок, құжаттарды сұрату, кейс-менеджерге тикет, пайдаланушыға хабарлама.
Аудит: өтпелі 'correlation _ id' «сигнал → шешім → әрекет → нәтиже».

9) Human-in-the-loop және кейс-менеджмент

Кейстер: оқиғаларды/куәліктерді біріктіріңіз, түсіндіруді көрсетіңіз (top features/ережелер, көршілес бағандар).
Рұқсаттар: авторазлок/ішінара лимит/қосымша ҚҰК сұрау/жабу.
Оқыту: талдаушылардың түзетулері деректерге (relabel), актив- ленинг шекарасына кері кетеді.
SLA: P1/P2 басымдығы, реакция уақыты, кезек, жүктемені бөлу.

10) Практикадағы баған-талдау

Связи: `user ↔ device ↔ card ↔ phone ↔ email ↔ IP`.
Паттерндер: карта-тестингтің «жұлдыздары», бонус-абьюздің «компоненттері», жалпы прокси/VPN.
Тораптар/қабырғалар скорингі: нашар көршілердің үлесі бойынша өлшенген PageRank, suspiciousness.
Алдын алу: егер олар «жұқтырылған» компонентке кіретін болса, жаңа түйіндердің карантині.

11) KYC/AML/санкциялар және комплаенс

Матчинг: санкциялық тізімдер/РЕР/адверз-медиа; fuzzy-іздеу, аттарды қалыпқа келтіру/транслитерация.
Құжаттар: тіршілік/анти-спуфинг, MRZ/визуалды белгілерді тексеру, гео-үйлесімділік.
Транзакциялық мониторинг: аударымдардың сомалары/шектері/тізбектері бойынша қағидалар, сценарийлер қамтылды.
Говернанс: RLS/CLS, PII бүркемелеу, шешімдер журналы, түсініктілік және апелляция жолы.

12) Әсерді бағалау («дәлдік» қана емес)

Шешім экономикасы:

[
EV =\text {Алдыңғы. Шығын} -\text {Жалған блоктардың құны} -\text {Операциялық шығындар}
]

Саясат/тесттер: А/В/квазиэксперименттер (DiD) табалдырықтар мен ережелер үшін; step-up әдісін таңдау үшін bandits.
Guardrails: шағымдар/апелляциялар, NPS, «дұрыс емес блоктау» үлесі (FPR), latency.

13) Мониторинг, дрейф және SLO

Сапасы: жылжымалы терезе бойынша PR-AUC/Recall @FPR; ықтималдықтарды калибрлеу.
Дрейф: PSI/KL, «белгісіз» BIN/ASN үлесі, құрылғылардың жаңа кластерлері.
Операциялар: p95 latency, таймауттар үлесі, қолмен эскалациялар%, backlog ревью.
SLO: қол жетімділік> 99. 9%, Decision→Action p95 ≤ 2–5 c; деректер сапасының тозуы кезіндегі «тоқтату-кран».
Рунибуки: карта тестингі, 3DS құлдырауы, провайдер outage, дауыл.

14) Деректер мен кодтың архитектурасы

Оқиғалар: каноникалық схема (UTC, version, source), идемпотенттік кілттер.
Feature Store: онлайн/офлайн паритет, point-in-time рекеттер, трансформацияны нұсқалау.
Модельдер: нұсқалар тізілімі, қайталанатын пайплайндар, өнімге сертификаттау, shadow-іске қосу.
Rules-as-Code: git-репозиторий, ревью/чек-парақтар, регрессия тестілері.
Explainability: SHAP/ереже таразы журналы, саппортты оқытуға арналған кейстердің семплдері.

15) Қауіпсіздік, құпиялылық, әдеп

PII барынша азайту: идентификаторларды токендеу/хэштеу; жеке «сейф» - қоймалар.
Қолжетімділік: RLS/CLS және оқу/түсіру аудиті; экспорт - белгілермен және мерзімдермен.
Әділдік: өңірлер/әдістер бойынша қателер саралануын тестілеңіз, жарамсыз атрибуттарды алып тастаңыз.
Ашықтық: шешімдердің себептері және пайдаланушыға түсінікті апелляция.

16) Псевдо-SQL және рецепттер

Транзакциялардың демпотенттік журналы

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Velocity-фичи (24 сағат терезе)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) Антифродты іске қосудың чек-парағы

Сигналдар мен схемалар стандартталған,
Feature Store point-in-time, online/offline паритет
Белгілер лақтырусыз қалыптастырылған, кейінге қалдырылған ақиқаттың терезелері ескерілген
Гистерезисі бар шекті саясат және step-up, SLA және guardrails берілген
Кейс-менеджмент және human-in-the-loop бапталған, түсіндіру қол жетімді
Өлшемдер: PR-AUC, Recall @FPR, Cost-utility; fairness-диагностика
Дрейф/қателер мониторингі, алерта, инциденттердің рунибуки
Говернанс: модельдер/ережелер нұсқалары, ревью, шешімдер аудиті, KYC/AML комплаенс
Шектер/саясат үшін A/B/DiD жоспары; ережеге қауіпсіз фолбэк

Жиынтығы

Күшті антифрод - бұл басқарылатын контурдағы ережелердің, модельдер мен бағандардың гибриді: сапалы сигналдар мен фичтер → гистерезисі бар шекті саясат → жылдам онлайн скоринг және іс-қимылдарды оркестрлеу → human-in-the-loop және мөлдір апелляциялар → әсердің метрикасы және дрейф-бақылау. Осы схемаға сүйене отырып, сіз шығындарды азайтып, жалған бұғаттаулардан болатын зиянды шектеп, пайдаланушылар мен реттеушілердің сенімін сақтайсыз.

Алаяқтықты анықтау