实战 | 支付领域实时风控系统建设实践
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国银联技术开发中心 祝军伟 臧大卫
移动互联网大潮袭来,在支付领域掀起变革的千层巨浪,从扫码支付到刷脸支付,支付场景愈发多元化、复杂化。支付相关的风控体系也必须紧紧围绕着便捷和安全两大核心不断创新,以应对日益复杂的金融环境。作为一个银行卡组织,中国银联在交易风控环节担任了重要的责任。银联的上一代风险管理系统,包含基于交易的准实时欺诈侦测、基于商户的收单风险监控,风险信息共享和司法协助服务等。但是,随着支付产业的不断创新和发展,已经难以满足最新需求:市场需要的不仅仅是风险管理的手段,更是高时效性、高准确性的风险服务。中国银联在此背景下积极迎合业务发展需求,开展了新一代实时风控系统的建设与实践。
实时风控的场景特点与挑战
实时风控摒弃了事后风控采用离线交易分析并对下笔交易监控风险的方式,对当笔交易进行实时分析、实时服务以及实时拦截。该场景同时对系统的分析计算能力、实时处理能力提出了很高的要求,系统建设则涉及分布式、大数据、人工智能等多个技术领域。一套具有高准确率的事中交易风险监控系统在架构上应具有高性能、高可管理、高可用、高可扩展、高灵活的特性。在业务上,系统需要支持策略灵活配置、多模型并行决策和流畅迭代,以及对不同风险等级的分级控制能力。
针对实时风控的场景特点,中国银联在实时风控系统的建设中,以海量交易数据为载体,运用基于分布式技术的大数据运算系统,实现对于海量数据的分析、回归和统计,通过分析卡片和持卡人的用户交易行为,形成可信环境;系统基于用户交易行为的可信环境,通过自研规则引擎(UPRule)、深度引擎(UPRrs)、评分引擎(UPScore)等,实现对于交易的实时评分、控制分析以及风险决策。
系统以规则引擎为核心,将深度引擎和评分引擎以子规则的形式挂载在规则引擎上,支持同时调用多个深度引擎和评分引擎,提升了风险策略的灵活性。与此同时,系统支持多个不同等级的规则包,并支持试用规则,显著降低了风险策略的迭代周期。此外,系统结合各种业务场景,针对各项特殊业务,允许交易接入不同等级、不同内容的风险策略包,可以同时满足多种业务场景的风控需求。
实时风控系统架构
图1 中国银联实时风控系统架构
在架构上,银联实时风控系统采用分层、松耦合的架构设计,包含:风控接入层、模型服务层、数据服务层、存储持久层。
风险接入层:该层主要负责通讯功能的进出处理,是与外部联机交易系统的统一交互桥梁,可以适应多种数据对象的接入请求。风险接入层在接入系统、处理能力上都可以横向扩展。
模型服务层:该层主要负责对接入的交易进行风险分析,包含三个自研引擎:规则引擎(UPRule)、深度引擎(UPRrs)和评分引擎(UPScore)。其中规则引擎是模型服务层的核心,其利用规则评估树的技术实现了复杂组合风险规则的判定,且采用多个进程并行分析,在每个进程中又将组合规则拆成多个子规则,各个子规则亦并行计算,这样使得系统具有较高的并发处理能力和较快的响应速度。深度引擎装载预先训练好的深度学习模型,亦支持传统机器学习模型,对交易风险进行预测。评分引擎利用评分卡,实现了风险评分。深度引擎和评分引擎作为子规则挂载在深度引擎上,业务可以根据需要将相应模型的评分结果配入规则,实现调用。除此之外,模型服务层还可容纳其他模型框架,例如事件流模型。分析能力可以随着新技术的引入而多变。
数据服务层:该层主要负责可信特征数据、短时统计数据的计算和缓存,快速响应模型服务层的请求,为其提供数据支持。数据服务层包含三个模块:分布式流式计算平台(UPMem)、批量计算平台(UPBat)、外部服务统一网关。其中分布式流式计算平台处理对效率要求极高的数据,对其进行计算和存储,例如:短时统计量、上下文、当日统计量等数据;批量计算平台处理计算量较大或计算方法特殊的统计量,生成批量任务交由后台处理;外部服务统一网关处理外部服务提供的要素、统计量,例如设备指纹等。
数据持久层:该层主要负责存储持久化的数据,为数据服务层提供持久化数据支持和数据落地保障,包含数据库、NFS等多种形式。
1.规则引擎
图2 规则引擎计算逻辑
规则引擎具有高效、灵活的特点。引擎对交易进行实时的规则判定,规则可以通过Web前台灵活配置组合,设置的规则可以选择立即生效和日切生效,可以应对风险欺诈模式的快速变化。
策略包即规则集,以链表的形式装载在内存中,一个规则包包含多条组合规则。每个规则即为一条业务规则,由多个原子规则通过逻辑算符组合得到,是一条完整的风控规则。逻辑算符支持与、或、非和括号,举例如下:
Rule1=(A|B)&(D|E)
Rule2=A&((B|C)&D)
其中A、B、C、D、E均为原子规则,一条原子规则由5个元素组成,支持简单逻辑运算如第1条:T001<3;也支持带操作符的复杂运算如第2条:T002-T003>5。每条原子规则的运算结果均为一个整数型值。
表1 原子规则结构
左操作数1 | 左操作符 | 左操作数2 | 关系符 | 右操作数 |
T001 | < | 3 | ||
T002 | - | T003 | > | 5 |
原子规则支持多种要素、操作和关系运算。支持的要素包括各类上下文、第三方要素等;支持的操作包括:加、减、乘、除、取模等等;支持的关系运算包括:大于、小于、大于等于、小于等于、等于、不等于、属于、不属于、包含、不包含、开区间、闭区间等等。
2.深度引擎
图3 深度引擎计算逻辑
深度引擎兼容传统机器学习模型与深度学习模型,可以装载预先训练好的模型,对交易进行实时评分。模型训练部分使用离线训练方式,将历史数据进行特征变量提取,计算出需要的特征,再对特征进行数据预处理,进行编码,最后输入自学习网络进行训练。使用测试样本对训练好的模型进行评估,若性能满足需求即可装载上线,将其以原子规则的形式配入策略包即可生效使用。模型预测部分使用在线实时预测,交易数据通过特征提取、编码后,输入已经装载模型的神经分析网络,对本笔交易的风险进行判定。深度引擎训练、预测使用的模型可以是1个或多个二分类模型,也可以是多分类模型。
将模型作为原子规则装载进规则包具有高灵活性,且可通过配置试用规则在线上验证模型效果,显著提升了建模效率,降低了风险。
3.评分引擎
评分引擎使用评分卡,基于线下历史特征、短时统计量、以及当笔交易要素和衍生要素对交易进行实时评分,其底层为规则引擎,通过一套转换脚本将评分卡转换为多个组合规则,将组合规则的输出结果进行求和,实现评分卡的功能,具体设计不再赘述。评分引擎也以原子规则的形式配入策略包进行使用。
总 结
面对日趋复杂的互联网形势和无处不在的支付风险,实时风控系统在预防金融机构资金损失、保障用户财产安全方面起到举足轻重的作用。中国银联新一代实时风控系统运用基于分布式技术的大数据运算平台,实现对于海量数据的分析、回归和统计,能够应对风控场景愈发复杂的形势,同时对未来可能出现的新型风控技术提供了良好的兼容性。
自从系统上线至今,系统线上每日监控海量交易,有效地将互联网与移动支付的欺诈率指标控制在较低水平,支撑了银联创新业务的健康快速发展。
往期精选:
● 实战 | 云室吸气式极早期探测预警系统在数据中心火灾防范的应用
● 实战 | 金融科技在基础设施信息管理的应用探索——以兴业银行接入金融信息基础设施管理平台为例
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧