調節防凍劑和規則
TL;DR
Antifrod不是「捕捉入侵者」,而是利潤優化:在限制裂紋成本(CoF)和AR_net時,最大限度地減少裂紋和沖鋒槍的暴露損失(EL)。基本方案:計分(ML)→閾值/樹木步進→規則(策略和速度)→手動驗證。成功得出的結果是:純標簽,穩定的fichi,經濟上校準的閾值,金絲雀發行,嚴格的冪等性和規則的可管理性。
1)經濟生產
Expected Loss:
`EL = P_fraud(tx) × Exposure(tx)`;通常'Exposure=captured_amount'。
Cost of Friction (CoF):
`CoF = (Abandon_on_Friction × LTV_new/ret) + Opex_review + Fees_stepup`.
目標函數(最大化profit):- `Profit = GGR − Cost_payments − EL − CoF`.
最佳閾值「τ」:選擇「d(Profit)/dτ=0」或通過網格min(「EL+CoF」)進行得分。實際上,是具有權重的ROC/PR的成本感:'w_fraud=Exposure','w_fp=LTV_loss+opex'。
2)認證樹枝(step-up ladder)
1.Auto-approve(低風險):即時通道,3 DS frictionless在可能的情況下。
2.Step-up A: 3DS challenge / SCA / device-challenge / reCAPTCHA.
3.Step-up B: легкий KYC (doc selfie/face-match, liveness).
4.手冊評論:分析師的案例(SLA,reason-codes)。
5.Auto-decline:高風險/制裁/mu子/憑證異常。
閾值/分支取決於得分,總和(「ticket_size」),國家/地區,BIN/issuer,行為奇觀和上下文(獎勵活動,夜間窗口,velocity)。
3)信號和fichi(最小基礎)
支付:BIN/IIN,issuer_country,ECI/3DS流,AVS/CVV比賽,軟標碼,歷史上的退款/派遣。
行為:事件速度(velocity: 'cards/device/ip/email'),白天時間,first-seen/last-seen,「拓撲」帳戶(圖通信:通用設備/卡/錢包)。
設備/網絡:設備指紋、仿真器/玉米餅、代理/VPN/TOR、ASN/托管。
反獎金:推薦辛迪加,「抽出」獎金,異常模式depozit→vyvod沒有遊戲。
付款/錢包/代金券:PIN重播,地理錯配,「速度」稀有,模擬級聯。
KYC/KYB:級別,驗證,SoF/SoW標誌。
制裁/RER/清單:名單匹配、Fuzzi FIO/地址匹配。
4)堆棧: ML+規則
5)質量指標(基數清晰)
AR_clean = `Auth_Approved / (Auth_Attempted − Fraud_preblocked − Abandon_3DS)`
Fraud Rate(通過捕獲)='Fraud_captured_amount/ Captured_amount'
Chargeback Rate='Chargeback_count/ Captured_Tx'(或總和)
False Positive Rate (FP) = `Legit_declined / Legit_attempted`
Step-up Rate = `StepUp_tx / Auth_Attempted`, Abandon_on_StepUp
Auto-approve %, Manual review %, Review SLA/TtA
調整後的凈利潤提升(AB差EL+CoF vs控制)。
基準:新用戶的FP ≤ 1-2%(按數量),Fraud(按數量)-在許可證/計劃目標走廊中。
6)閾值和規則政策
6.1閾值校準
我們構建一個成本曲線:對於每個「τ」認為「EL(τ)+CoF(τ)」。
選擇最低限度的「τ」。對於高門票-一個單獨的「τ_hi」。
6.2示範規則(偽代碼)
yaml
- name: SANCTIONS_HIT when: sanctions_match==true action: DECLINE reason: "Sanctions/PEP match"
- name: BIN_RISKY_3DS when: bin in RISKY_BINS and score in [τ_low, τ_mid)
action: STEPUP_3DS
- name: DEVICE_VELOCITY_LOCK when: device_id in last_10min.deposits > 3 action: DECLINE_TEMPORARY ttl: 2h
- name: BONUS_ABUSE_GUARD when: (bonus_received and gameplay_turnover < Xdeposit_amount) and payout_request action: HOLD_REVIEW reason: "Turnover not met"6.3動態限制
按風險級別(風險級別)劃分的交易金額和數量限制:「R1/R2/R3」。
新賬戶的自適應限制,以良好的歷史預熱。
7)規則生命周期(政府)
DSL/規則註冊表,具有版本,所有者和效果說明。
Shadow mode → canary (5–10%) → full rollout.
RACI: Owner (Payments Risk), Approver (Compliance/Legal), Consulted (Support/Treasury), Informed (Ops).
審核日誌:誰/何時更改了哪些度量/AV,回滾。
規則有效期和重新評估(例如30/60天)。
8)數據和模型培訓
按時間劃分,沒有泄漏(功能僅來自過去的窗口)。
目標標簽:confirmed fraud/chargeback;單獨的獎勵標簽。
按總和(amount-weighted loss)重建類。
Drift監視:PSI for key fich, KS for scors, baseline stability。
Retrain觸發器:PSI> 0。25、KS下降,交通/轄區變化。
9)可解釋性和薩波特
對於每個解決方案,我們生成具有人性化線索的reason_codes(最多5個原因)。
踏入/故障的Sapport宏。(3 DS,KYC,turnover)。
孢子/發散:反饋進入標簽管道(關閉循環)。
10)合規與隱私
GDPR/DSAR:決定解釋權;PII的最小化;hashing (salted) ID (電子郵件/電話/PAN令牌)。
PCI-DSS:PAN安全流,令牌化。
制裁/AML:單獨的篩選+MLRO升級輪廓。
Retention:信號存儲策略和解決方案合理性。
11)監測和Alerta(每小時/每日)
AR_clean, Fraud (amt%), FP (retention-weighted), Step-up/Abandon, Review SLA, Chargeback Rate (lagged).
Velocity尖峰,TOR/Proxy/ASN托管的增長,BIN降解,憑證稀有。
Alerts: FP>走廊,Fraud> targeta, Abandon>基地+X p.p., PSI/KS漂移。
12) SQL切片(示例)
12.1基本指標
sql
WITH base AS (
SELECT
DATE_TRUNC('day', attempt_ts) d, country, provider, method_code,
COUNT() FILTER (WHERE auth_status='ATTEMPTED') AS attempted,
COUNT() FILTER (WHERE auth_status='APPROVED') AS approved,
COUNT() FILTER (WHERE decision='DECLINE' AND label='LEGIT') AS fp_cnt,
SUM(captured_amount) AS cap_amt,
SUM(CASE WHEN label='FRAUD' THEN captured_amount ELSE 0 END) AS fraud_amt
FROM payments_flat
GROUP BY 1,2,3,4
)
SELECT d, country, provider, method_code,
approved::decimal/NULLIF(attempted,0) AS ar_clean,
fraud_amt::decimal/NULLIF(cap_amt,0) AS fraud_rate_amt,
fp_cnt::decimal/NULLIF(attempted,0) AS fp_rate
FROM base;12.2積壓和積壓故障份額
sql
SELECT
DATE_TRUNC('day', attempt_ts) d,
WIDTH_BUCKET(score, 0, 1, 10) AS bucket,
AVG(CASE WHEN decision='STEPUP' THEN 1 ELSE 0 END) AS stepup_share,
AVG(CASE WHEN decision='DECLINE' THEN 1 ELSE 0 END) AS decline_share,
AVG(CASE WHEN stepup_abandon THEN 1 ELSE 0 END) AS abandon_after_stepup
FROM risk_events
GROUP BY 1,2
ORDER BY d, bucket;13)花花公子調音
在穩定的FP下的Fraud(amt%)增長→提高「τ」,增強設備/ASN的優勢,並包括易受攻擊的BIN的3DS-challenge。
新→的FP較高,可以減輕低門票的「τ」,將部分轉換為Step-up A而不是偏轉。
Abandon 3DS↑ →與PSP就3 DS2參數進行談判,改善UX,縮小移動的低風險步伐。
Sindividual獎金網絡→圖形fici,限制「並行」付款,turnover規則。
憑證異常→通過PIN/零售商/地理,設備綁定,保管直到驗證。
14)實施: 支票單
- 經濟閾值校準(「EL+CoF」),按細分市場分開的「τ」。
- 規則註冊表(DSL),shadow→canary→rollout,審核和回滾。
- Reason-codes和通信模板。
- 監視PSI/KS,漂移Fitch/Scores,常規Retrain。
- 反饋渠道(disputy→leybly)。
- KYC/step-up政策,SLA評論和TtA/TtR。
- 私有性:hashing ID,最小化PII。
15)摘要
防凍調諧是一種系統性的利潤優化,具有可控摩擦功能:ML評分+深思熟慮的步進林地,嚴格的法律規則和整潔的速度限制。經濟閾值校準、純標簽、金絲雀布局和嚴格的可管理性使Fraud的總和低,新的FP低,高AR_net-對合規性和UX沒有驚喜。