欺詐檢測

欺詐檢測

Antifrod不僅僅是「風險模型」。這是一個輪廓：標準化事件→特征和圖→規則/模型→決定和行動→解釋和上訴→效果測量和漂移控制。下面是適用於支付和遊戲平臺，市場和fintech服務的系統指令。

1）威脅圖（我們保護什麼）

支付方案：竊取卡，卡測試，收費表，友好欺詐。
帳戶風險：黑客/攔截,多巡回,獎金,設備場。
KYC/AML：偽造文件，偽造者，訂閱，制裁/RER風險。
行為：機器人，腳本，異常的投註/交易模式。
合作夥伴：交通/轉介，刺激不合格存款。

2）信號和原材料

設備/網絡： 設備指紋,canvas/wag,模擬器,IP/ASN/proxy/VPN, geovelositi.

付款：BIN/MCC/卡國家/地區，3DS/ECI，AVS/CVV結果，velocity（卡/帳戶/設備），限制偏差。
行為：形式速度，鼠標/tach軌跡，dwell-time，動作順序。
社交/圖形：電話/電子郵件/地圖/地址/設備匹配，常見的fici和「不良」節點。
CUS/文件：OCR質量/自拍對決/生存（liveness），日期/來源，黑名單/制裁。

3）特征工程（功能商店,點對點時間）

時間窗口：5m/1h/24h/7d用於velocity-fich；expon。平滑。
按身份分組：通過user_id，電話，電子郵件，地圖，設備，IP/ASN。
地理/時間：國家/地區/時區/當地節日概況。
Graph-fici： degree/triangle count/PageRank,與不良關聯的比例,分量。
KYC質量：confidence OCR，名稱/地址距離編輯，IBAN/INN驗證。

反面具： 嚴格按時進行，沒有未來的標簽；online/offline parity.

4）標記和目標變量

目標：chargeback=1, confirmed_fraud=1, bonus_abuse=1。
延遲真理窗口：標簽在T（charjbacks）之後到達，在學習時使用時期的「fries」。
分布：嚴重失衡（0.1-1％的「單位」）→小心地加權/采樣。
代孕標簽：手動確認和上訴-保持信心。

5）模型和方法

規則（策略即代碼）：白色/黑色列表，velocity閾值，geovelosity，不兼容屬性。快速、可解釋的故障安全基礎。

主管： 梯度增強/森林,邏輯回歸,表格NN與成本感知借口.

異常：隔離森林，LOF，robust z-score/seasonal-decomp，自動編碼器。
圖形方法：鏈接預測，GNN/DeepWalk掩碼，「共享設備/映射」規則。
雜種：cascade（規則→ ML →圖形），FP/FN罰款不同的合奏。
校準：概率的Platt/Isotonic；錯誤成本的閾值。

6）質量度量（針對稀有類別）

PR-AUC是主要的；ROC-AUC在失衡中是次要的。

Recall@FPR≤x%, Precision@k, Cost-sensitive utility.

Coverage和Latency p95進行分數。
Fairness/Harms：按國家/設備/支付方法劃分的錯誤。

7）閾值政策和滯後

• '得分≥ τ_block' →汽車人"；
• 'τ_review ≤分數<τ_block' →手動檢查；
• 'score <τ_review' →跳過。

添加滯後（入口/出口閾值不同）和cool-down（最小重復動作間隔）以排除「閃爍」。

示例決策表

8）在線輪廓： 得分和編排

流媒體：通過總線的事件；來自在線功能商店的fici；通過「event_id」的冪等。
Latency：目標p95（例如，每個請求≤ 100-300毫秒）。

管弦樂隊： 保證交付,retraie/backoff, DLQ, rate-limit通過渠道.

活動渠道：3DS/step-up、限制/限制、塊、文檔請求、撥號到案例管理器、通知用戶。
審計：端到端的「correlation_id」 「signal→resheniye→deystviye→iskhod」。

9）人為循環和案例管理

案例：匯總事件/證詞,顯示解釋（頂級功能/規則,圖鄰居）。
權限：自動插頭/部分限制/請求。CUS/關閉。
培訓：分析師的編輯回到數據（relabel），資產列寧在邊境。
SLA：P1/P2優先級，反應時間，隊列，負載分配。

10）實踐中的圖形分析

Связи: `user ↔ device ↔ card ↔ phone ↔ email ↔ IP`.

模式：卡測試的「星星」，獎金的「組件」，常見的代理/VPN。
節點計分/肋骨：加權的PageRank，按不良鄰居的比例劃分。
提防：如果新節點進入「受感染」組件,則隔離它們。

11） KYC/AML/制裁和合規性

對決：制裁名單/RER/adverz媒體；fuzzy搜索，名稱歸一化/音譯。
文件：生存/反欺騙，MRZ/視覺特征檢查，地理一致性。
事務監控：關於金額/閾值/轉移鏈的規則，情景擁抱。
Hovernance：RLS/CLS，PII掩蓋，決策記錄，可解釋性和上訴途徑。

12）效果評估（不僅僅是「準確性」）

[
EV =\text {Detuv。損壞}-\text{虛假塊成本}-\text{交易成本}
]

策略/測試：閾值和規則的A/B/準實驗（DiD）；bandits選擇步進方法。
Guardrails：投訴/上訴、NPS、「錯誤鎖定」（FPR）份額、後悔。

13）監視，漂移和SLO

質量：PR-AUC/Recall@FPR通過滑動窗口；概率校準。
漂移：PSI/KL按鍵,「未知」BIN/ASN的比例,新設備集群。
操作：p95 latency，taymauts的份額，手動升級的百分比，backlog咆哮。
SLO：可用性>99.9%, Decision→Action p95 ≤ 2–5 c;數據質量退化的停止水龍頭。
Runibuki：卡測試激增，3 DS下降，outage提供商，暴風雨日誌。

14）數據和代碼體系結構

事件：規範方案（UTC，版本，源），等效鍵。
Feature Store：在線/離線平價、點對點計數、轉換轉換。
型號：版本註冊表，可播放的piplines，prod認證，shadow啟動。
規則即代碼：git存儲庫，評論/支票清單，回歸測試。
Explainability： SHAP/Log規則權重,Sapport培訓案例樣本。

15）安全、隱私、道德

PII最小化：ID標記/哈希；單獨的「保險箱」倉庫。
訪問：RLS/CLS和閱讀/上載審核；導出-帶有令牌和截止日期。
公平性：按區域/方法測試錯誤修剪,消除無效屬性。
透明度：決定的原因和對用戶的明確上訴。

16）Pseudo-SQL和食譜

等效交易日誌

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Velocity-fichi （24小時窗口）

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17）反流派發射支票清單

• 信號和電路標準化，等效性包括
• 具有點對點、在線/離線平價的特色商店
• 標簽形成時沒有面孔，延遲的真相窗口被考慮在內
• 帶滯後和步進、SLA和guardrails的閾值策略設置為
• Case Management和human-in-the-loop設置,可解釋
• 度量標準：PR-AUC，Recall@FPR，成本實用程序；fairness診斷
• 監視漂移/錯誤，Alerta，Runibook事件
• Howernans：模型/規則版本,評論,解決方案審核,KYC/AML合規性
• A/B/DiD閾值/政策計劃；安全的後退規則

底線

強大的反氟化物是受控回路中規則，模型和圖形的混合體：質量提示和技巧→滯後閾值策略→快速在線得分和動作編排→人體循環以及透明的稱呼→效果指標和漂移控制。按照這個計劃，你減少損失，限制錯誤鎖定的傷害，並保持用戶和監管機構的信任。