А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

8 февраля, 2017

Сизов Алексей

руководитель направления противодействия мошенничеству Центра информационной безопасности ("Инфосистемы Джет")


Антифрод на пороге машинного обучения

Сегодня Maсhine Learning (ML) используется во многих достаточно сложных моделях аналитики: от прогнозирования погоды до анализа биржевых котировок, от медицинских исследований до контекстной рекламы. А что обуславливает необходимость применения ML в области борьбы с фродом? Первое – несовершенство других существующих технологий. По данным IDC, объем данных, хранимых в цифровом виде, удваивается каждые два года. То же можно сказать и о большинстве банковских продуктов или услуг. В реальности темпы роста объемов данных гораздо выше. Причина в том, что современные организации уделяют все больше внимания не только критическим операциям, но и вообще любым действиям клиента в дистанционном канале или сотрудника в офисе обслуживания.

К этому стоит добавить пополнение информации о клиентах. Основные игроки рынка ведут внутренние и партнерские процессы по обогащению данных о клиенте – «Know Your Customer!». А это подтверждает справедливость и другой оценки аналитиков ИТ-отрасли: связанность данных возрастает на 50% в год.

Суммируя два показателя, можно говорить о коэффициенте увеличения объемов информации, равном 4. Это можно считать грубой оценкой степени ежегодного усложнения работы фрод-аналитиков и офицеров систем фрод-мониторинга. И это без учета тренда к построению единых кроссканальных систем фрод-мониторинга. Сохранять необходимое качество выявление фрода с каждым годом становится все сложнее, особенно если это делается лишь за счет человеческих ресурсов и простой автоматизации. К тому же задача поиска квалифицированного сотрудника год от года усложняется.

Вторым фактором, в какой-то мере субъективным, можно назвать решение крупнейших игроков банковского и платежного рынков о применении методов ML и систем на их основе. Так, в декабре 2016 г. MasterCard объявила о начале построения такой системы ввиду снижения качества классических, почти 15 лет используемых методов обнаружения мошенничества. К слову, на рынке РФ антифрод с режимом самообучения существует еще с 2012 г., правда только в виде «черного ящика», эксплуатация которого порой вызывает много вопросов у конечных пользователей.

Означает ли все сказанное, что решение комплексных задач по принятию решений в области противодействия мошенничеству пора переложить на плечи искусственного интеллекта или, по крайней мере, автоматизировать этот процесс до такой степени, что участие в нем человека сведется к роли контролера и оператора при решении внештатных ситуаций? Скорее нет. Человек пока является ключевым звеном, в том числе, при построении моделей ML. Но вот решение частных задач оценки риска и перестроения моделей под изменяемые параметры входящего потока операций, а тем более регистрации новых случаев мошенничества – задача, с которой компьютер, снабженный математическим аппаратом, справится быстрее и гораздо качественнее.

Антифрод: критерии выбора 

Каким критериям традиционно отдавались предпочтения при выборе антифрод-решений?
  • Гибкость интеграции с различными источниками. Сейчас это устойчивый базис для всей антифрод-индустрии.
  • Функциональность настройки и ее доступность относительно применяемой аналитики. Но на практике это диаметрально противоположные понятия. Повышение доступности при высоком уровне реализации правил и политик неизбежно приводило компании-производители к повышению сложности внесения корректировок, вплоть до необходимости работы с системой на уровне языка программирования.
  • Удобство пользовательских интерфейсов. Но с годами этот критерий перерос лишь в требования к управлению, и относительная простота для операторов была почти полностью нивелирована в угоду создания в банках централизованных систем управления инцидентами или обращениями клиентов.
Какие же характеристики сегодня является обязательным критерием выбора? На наш взгляд, их только две: скорость и точность.

Скорость – это не только скорость обработки операций, но и скорость создания и тестирования правил – ведь это ключевой показатель способности системы быть настроенной. Время создания правил под новые типы фрода – тот интервал, когда риск реализации мошенничества, особенного нового типа, максимально велик. Требование скорости распространяется и на принятие решения по формированию в антифрод-системе уведомлений о тех или иных зафиксированных рисках. В первую очередь, оно основывается на интерпретируемости результата работы антифрода и достаточности данных для ручного анализа оператором системы. И, наконец, одна из наиболее актуальных в последнее время характеристик – скорость масштабирования решения.

Точность – за этот показатель отвечают множество метрик. Две ключевые – false positive (FP) и false negative (FN), метрики, напрямую влияющие на финансовый результат. Важно обеспечить возможность максимально точного управления этими параметрами системы еще на стадии создания правил и выбора аналитиком моделей решения. Если скорость – это технологическая платформа, а уже потом ML, то инструменты контроля и гарантии уровней FP и FN – это целиком и полностью задачи методов машинного обучения.  

Антифрод нового поколения 

Что мы сегодня понимаем под применением ML в антифроде? Все более распространенными становятся системы помощи при создании правил и политик анализа с заданными FP и FN, работающих на базе интерпретируемых моделей ML, например, деревьев решений. Но достаточно ли этого для полноценной работы, и что скрывается за применением полного спектра моделей?

На наш взгляд, оптимальный подход – открытая платформа для работы с моделями машинного обучения. Мы реализовали фабрику, которая самостоятельно анализирует данные и генерирует оптимальную модель. Фабрика использует наиболее успешные подходы, которые применяются на сегодняшний день в области ML – оптимизацию гипер-параметров, сложные ансамбли моделей, нейронные сети. В результате мы получаем подготовленную модель, описанную в международном стандарте PMML.

Так мы решаем несколько важных задач – обеспечиваем открытость полученного результата, полную совместимость с продуктами сторонних вендоров, возможность полного контроля над процессом выявления мошенничества. Компании могут изменять математическую модель, не боясь потерять работоспособность системы, и использовать собственные наработки в удобных для них инструментах.

В то же время модели должны отвечать и требованиям скорости. В нашем понимании, это работа анфтирод-системы в режиме online со скоростью анализа в 0,1–0,2 секунды на пике плюс возможность обучения модели в минимальные дискретные промежутки времени – не дни, а часы, а при необходимости и минуты между полными циклами обучения.

Однако абстрактная потребность в ML не говорит о том, как правильно выбрать схему использования таких моделей.

Мы выбрали 3 основных направления:
  1. Классические обучаемые алгоритмы, целью которых является выявление ранее зафиксированного фрода, т.е. обучение «с учителем»;
  2. Обучаемые модели по выявлению аномалий. От предыдущих они отличаются в двух ключевых аспектах. Первый: их цель – выявить не одну операцию или маленькую группу, а распознать глобальный объект (клиента, счет, платежный инструмент), подверженный рискам мошенничества. Второй: механизмы обучения применяются лишь на вершине цепочки модели – аномалии формируются без учителя, экспертно-статистическими методами, а обучение используется для выбора доверительных интервалов определения аномалий, которые формируются в виде инцидентов. При этом ни одна аномалия не будет полностью отвергнута как нерискованная;
  3. Контроль информационных технологий. Это направление детального анализа последовательности операций в рамках некоторого процесса: формирования платежного поручения клиентом, заведения заявки на перевыпуск карты и т.д. Цель – выявление риска совершения отдельных действий в последовательности операций. Как показывает практика, такой анализ позволяет обнаруживать аномалии в банковских процессах, в том числе, признаки реализации мошеннических или противоправных действий.
Среди других особенностей созданного нами решения – платформа, свободная от использования реляционных СУБД, очень гибкая схема выбора аппаратной платформы, уникальные инструменты управления решением и инцидент-менеджмент, созданный специально для полноценного и удобного контроля кроссканальных схем мошенничества. Но главным преимуществом является высокая точность выявления фрода с минимальными показателями ложных срабатываний. 

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
К ближайшим мероприятиям...