硬核 | 用AI布下天罗地网,狙击金融黑产团伙
“黑产大军就像幽灵一样盘旋在金融机构的上空,据不完全统计,专业的黑产从业人员已达数十万,每年给金融系统造成的经济损失可达百亿元”,同盾人工智能研究院专家表示。
而且,黑产单打独斗的时代已经成为过去时,早就以团伙形式盘踞在线上和线下,形成了分工专业、规模庞大的产业链,盘根错节、战线隐秘、手法高超,如何对其进行有效挖掘和精准围剿是当前金融机构反欺诈工作的重点。在近日的一场内部分享中,同盾专家从申请、登录到反洗钱,针对如何在金融领域对黑产团伙进行精准挖掘和完整布控进行了解析。
在线信贷申请是黑产攻击比较密集的业务领域,在信贷领域有70%以上的业务损失由申请欺诈造成,黑中介通过购买个人信息、编造虚假个人身份信息、冒用他人身份信息、串通客户等手段进行欺诈。
射人先射马,擒贼先擒王。黑色产业链看似庞大且分散,让人无从下手,但只要能挖掘出作案团伙,就能挖出萝卜带出泥,给予整体黑色产业链釜底抽薪般的打击。
只要是团伙作案,总会或轻或重遵循统一的指令,相似的聚集,在时间上、物理空间上和网络空间上的行为和分布呈现出微妙的规律。
在金融申请场景下,半监督学习是非常有效的技术武器。半监督学习在仅有少量样本的情况下,既可以利用充分标记样本中的知识,又可以发挥无监督学习的主动发现优势。半监督学习就像无数根经脉一样,将隐藏在暗处,散落在天南海北,难以溯源,经过层层伪装的团伙给定位和拼接起来。
标签传播算法是一种典型的半监督学习算法,它的基本思想是为网络中所有的节点赋予不同的标签,设计一个传播规则,标签根据这个规则在网络上迭代传播,直到所有节点的传播达到稳定,最后将具有相同标签的节点划分到一个社区中。
在每次迭代传播时,每个节点的标签都更新为最多数量的邻居节点拥有的标签,这个传播规则定义了网络的社区结构,即网络中每个节点选择加入的社区是其最多数量的邻居节点属于的社区。
同盾专家针对金融申请场景的典型风险,提出了一种自定义的半监督团伙挖掘算法。基于欺诈样例统计多个维度关联的异常度,生成样本之间的关联边并量化边的异常度,然后通过设置阈值来选取权重,超过阈值的异常边进行连通分量计算,最后计算连通子图的异常度并输出欺诈团伙。
对于用户在线申请的订单,金融机构一般会基于业务规则进行人工审核并标记欺诈样例。订单样本的典型属性包括订单号、订单日期、是否欺诈等。
在方案落地的过程中需要对样本数据进行如下辅助处理:
预处理:业务样例数据的分析及清洗,如去除无效值、去除重复样例等,预处理使得欺诈团伙的关联和挖掘结果更可信。
关联边权重的融合策略:两个订单之间可能有多维度的关联,如Cookie关联、家庭座机关联、直亲手机等,需要基于不同维度的关联综合计算关联边的权重,典型的方法有加权组合、同类型关联设置最大值等。
针对最终生成的欺诈订单及欺诈团伙数据,人工可以对呈现的欺诈团伙进行审核排查。
| 金融在线申请反欺诈半监督处理流程
同盾在异常关联方面有较多积累,典型异常关联如单维属性集、跨属性关联、非一致性关联等。在关联的异常度定义方面,同盾提出了一种量化的计算方法。同盾在申请场景的团伙挖掘专利,已于2019年7月份提交国家专利局。
登录场景的风险一般可分为两类:正常用户的账号安全问题和黑产养号问题。
第一类风险为正常用户注册账号之后,被黑产拖库、撞库或暴力破解导致密码泄露,以至于账号密码可以被黑产获得并登陆平台,这在本质上是一种盗窃行为。
黑产拖库、撞库或暴力破解往往伴随登录流量异常升高的现象,从这个角度下手更容易提前发现问题。
第二类:黑产养号。这是做号码-养号-卖号产业链中的关键一环。登录行为在养号过程中比较普遍,也是“梦开始的地方”。养号是一个极为费精力,高成本的活动,也正因成本和维护的原因,黑产控制或“养成”的恶意账户往往呈现聚焦性,比如多个账号聚焦在同一设备、IP段、wifi环境下,或者使用了不同的ID但是使用了相同的改机工具;多个账户在用户操作行为上存在相似性,在头像、昵称或简介等方面具有随机性,但又有一定的相似性。
某国有大行在账户登录上同样面临着黑产的威胁,同盾通过团伙挖掘、异常检测等手段对该行网银登录安全体系进行一次全面的提升。
同盾研发人员全面分析该行的系统和业务特点,根据现有环境,建立异常登录人工智能服务,识别暴力破解、跨异地登录、撞库扫号、机器人登录、设备不可信等登录风险,生成多个定制的人工智能模型,实现多层次的安全信息纵深防御机制。
上图所展示的就是该行账户登录场景下,所遭受的IP和设备团伙协同攻击情形,图中红色节点代表风险IP,绿色节点代表尝试登录但是失败的风险账户,蓝色节点代表尝试登录并且登录成功的风险账户。
同盾采用团伙挖掘、异常检测等技术,有效地识别登录场景下的风险账号和风险IP集合,与当月原有规则识别风险账号比较,智能模型较原规则提升约15倍。在近10个月的时间段内,风险IP识别精确率超过99%;仅仅一个月内同盾就精准挖掘出风险账号数量为8万个,其中绝大多数为团伙攻击受害者。
传统的反洗钱系统重视排查流程和报送合规性,但在监测方面,缺少创新的智能化辅助工具,存在未筛查出的异常交易和可疑的个人或者对公客户。案件排查方面,甄别人员面对海量交易数据,缺少丰富的风险识别工具和信息提示,工作量大,效率低,存在误报漏报风险。
同盾专家指出,在对洗钱团伙挖掘时通常会进行知识图谱反洗钱分析挖掘。
同盾基于 “云图-知识图谱”,推出智能反洗钱图谱解决方案,解决反洗钱实际业务中的痛点与难点,构建更加完整和创新性的反洗钱监测体系。
通过对客户进行持续识别和监控,同盾“云图”增强非对面交易的反洗钱风险洞察及溯源核查能力,从IP、设备、交易渠道的角度分析反洗钱特征及风险;分析客户关联关系和资金交易路径;挖掘可疑交易结构、团伙洗钱交易链条,有效识别复杂和隐蔽的洗钱交易和案件。
| 反洗钱解决方案基本流程
同盾专家总结认为:团伙挖掘的优点在于发现关联团伙、主动发现、可视化的欺诈及关联展现、图深度学习结合。同时也存在一些挑战,团伙挖掘的计算代价大,一般为分布式离线挖掘,在线可以和已挖掘结果做实时关联。超大规模图计算或者图神经网络也需要一定的分布式计算框架支持。此外需要注意的是,关联不等于欺诈,需要欺诈定性。
在团伙挖掘中对关联属性、案件模型、用户行为的分析,都离不开安全技术的发展与进步。而层出不清的黑产无疑刺激了互联网安全技术的突破。对于风控从业者来说,唯有对黑产的技术手段和攻击模式进行深入了解,才能在未来的技术竞争中处于不败之地。