Введение новых условий мониторинга транзакций
Современная СМТ должна, помимо прочего, обеспечивать анализ транзакций на основе явно задаваемых правил. Это требуется банкам для быстрого противодействия вновь выявленным схемам мошенничества, приоритетного мониторинга некоторой группы карт (например, возможно скомпрометированных в некотором стороннем ПЦ в неопределенный интервал времени, причем число карт достаточно велико для их блокировки и перевыпуска), введения временных ограничений операций по некоторым картам и т.д. Эффективность действующих правил и критериев оценки транзакций также должна постоянно поддерживаться путем уточнения условий мониторинга. Общая схема управления условиями мониторинга в правилах анализа транзакций показана на рисунке 4.3.
┌─────────────────────────┐
│ Анализ данных │
│ о мошенничестве │
└────────────┬────────────┘
▼
Нет ┌────────────┴────────────┐ Да
┌─────────────┤ Выявлено ├───────────┐
|
|
│ │ с помощью СМТ? │ │
│ └─────────────────────────┘ │
▼ ▼
┌─────────┴─────────────┐ ┌───────────┴───────────┐
│ Разработка новых │ │ Анализ эффективности │
│ условий │ │ заданных условий │
└───────────────────┬───┘ └───────────┬───────────┘
▼ ▼
┌────┴─────────┐ ┌────────┴─────┐
Нет │Добавить новые│ Да Нет │ Изменить │Да
┌────────┤ условия? ├──────┐ ┌─┤ заданные ├──┐
|
|
│ │ │ │ │ │ условия? │ │
│ └──────────────┘ │ │ └──────────────┘ │
│ ▼ │ ▼
│ ┌──────┴───────┐ │ ┌──────────┴───┐
│ │ Добавление │ │ │ Изменение │
│ │новых условий │ │ │ заданных │
│ │ │ │ │ условий │
│ └───────┬──────┘ │ └──────────┬───┘
▼ ▼ ▼ ▼
┌─────┴────────┐ ┌───────┴────┐ ┌───┴───────┐ ┌────────┴───┐
│ Условия не │ │ Условия │ │Условия не │ │ Условия │
|
|
│ добавлены │ │ добавлены │ │ изменены │ │ изменены │
└──────────────┘ └────────────┘ └───────────┘ └────────────┘
Рис. 4.3. Управление условиями мониторинга
Каждый факт мошенничества должен анализироваться относительно того, выявлен ли он был или мог бы быть выявлен с помощью СМТ. Если мошенничество было обнаружено с помощью СМТ, то, возможно, требуется уточнение заданных условий анализа транзакций для более раннего обнаружения подобных фактов и (или) снижения количества ложных срабатываний по немошенническим транзакциям. В случае если мошенничество не было выявлено, следует рассмотреть вопрос о добавлении новых условий анализа транзакций в СМТ для того, чтобы аналогичные транзакции могли быть выявлены в дальнейшем.
При изменении заданных условий мониторинга и добавлении новых необходимо оценивать следующие величины:
- степень выявления транзакций определенной схемы мошенничества;
- возможные потери по мошенническим транзакциям, которые могут возникнуть в результате их пропуска при заданных условиях мониторинга;
|
|
- количество ложных срабатываний по немошенническим транзакциям;
- нагрузка на операторов СМТ, обрабатывающих подозрительные транзакции;
- нагрузка на операторов call-центра, обеспечивающих взаимодействие с держателями карт для подтверждения транзакций.
СМТ на основе нейронных сетей
Из предыдущих разделов становится понятно, что современная СМТ обеспечивает анализ транзакций как минимум на основе правил. Если у банка есть квалифицированные специалисты, способные создавать правила и поддерживать их в актуальном состоянии, то этого часто будет достаточно для организации эффективной защиты от мошенничества в платежной сфере и поддержания рисков на приемлемом уровне.
Тем не менее очень привлекательной выглядит возможность использования аналитических моделей на основе нейронных сетей. Основными преимуществами таких моделей являются построение на основе классифицированных данных о транзакциях (мошеннических и легальных) и их адаптивность с учетом появления информации о новых фактах мошенничества. К минусам следует отнести сложность построения, а также необходимость наличия моделей либо для каждого клиента / ТСП, либо для характерной группы клиентов / ТСП, поведение которых является достаточно типичным. Отдельно нужно строить модель мошенника либо модели для мошенничества различных типов.
Далее в данном разделе рассмотрим один из подходов к построению аналитической модели на основе нейронных сетей.
Задача, которую предстоит решить с использованием модели на основе нейронной сети, относится к распознаванию образов - следует проанализировать транзакцию и сделать вывод о ее принадлежности классу мошеннических, либо к классу легальных транзакций. Нейронные сети, используемые для распознавания, относятся к классу многослойных персептронов (рис. 4.4).
Обучение такой сети происходит следующим образом: каждой входной модели транзакции (вектору информационных признаков транзакции) ставится в соответствие целевое значение 0, если транзакция легальная, и 1, если транзакция нелегальная (мошенническая). Вместе они составляют обучающую пару. Для обучения требуется несколько обучающих пар, обычно не меньше произведения количества нейронов в слоях сети. По входной модели транзакции вычисляется выход сети и сравнивается с соответствующим целевым значением. Разность между выходом сети и целевым значением используется для изменения весов дуг, связывающих нейроны в слоях. Эти изменения происходят в соответствии с некоторым алгоритмом, стремящимся минимизировать ошибку. Векторы информационных признаков из обучающей выборки последовательно подаются на вход сети, ошибки вычисляются и веса подстраиваются д о тех пор, пока ошибка не достигнет заданного уровня. Следует отметить, что выходным значением может быть не 0 или 1, а, например, число в интервале от 0 до 1 включительно.
Этот процесс зависит от огромного числа факторов и далеко не всегда приводит к желаемому результату. Фактически используется метод проб и ошибок. Требуется опыт работы с нейронными сетями вообще и, в частности, с моделями транзакций, чтобы получить приемлемый результат.
В рассматриваемом подходе исходные признаки транзакции являются отправной точкой. На их основе получаются расширенные признаки транзакции, после чего формируются входные данные для нейронной сети - информационные признаки транзакции.
Таблица 4.9. Исходные признаки транзакции
N | Атрибут | Тип данных | Описание |
D01 | Номер карты | Строка | Номер карты. В соответствии с PCI DSS может быть представлен в маскированном виде (6 первых и 4 последних символа) или любым уникальным идентификатором |
D02 | Тип транзакции | Число | Тип транзакции: покупка в ТСП, покупка в интернет-магазине, получение наличных денежных средств в банкомате, запрос баланса, перевод денежных средств, различные платежи и др. |
D03 | Дата и время транзакции | Дата и время | Дата и время совершения транзакции (время, приведенное к часовому поясу ПЦ) |
D04 | Сумма транзакции в валюте финансового института | Число | Сумма транзакции в валюте финансового института |
D05 | Сумма транзакции в оригинальной валюте | Число | Оригинальная валюта транзакции. Значение представлено числом в соответствии с ISO 3166 |
D06 | Код ответа ПЦ | Число | Код ответа ПЦ в результате авторизации транзакции |
D07 | Идентификатор института эквайрера | Строка | Идентификатор института эквайрера |
D08 | Код страны | Число | Код страны совершения транзакции. Значение представлено числом в соответствии с ISO 3166 |
D09 | Идентификатор терминала | Строка | Идентификатор терминала |
D10 | Тип терминала | Число | Тип терминала: банкомат, терминал в ТСП, интернет-терминал, терминал голосовой авторизации |
D11 | Идентификатор ТСП | Строка | Идентификатор точки приема карты к обслуживанию |
D12 | Код категории торгового предприятия | Число | Четырехзначный код категории предприятия, обслуживающего карту (Merchant Category Code - MCC) |
D13 | Индикатор присутствия карты | Число | Индикатор присутствия карты в месте совершения транзакции: - 0 - не присутствует; - 1 - присутствует |
D14 | Индикатор присутствия держателя карты | Число | Индикатор присутствия держателя карты в месте совершения транзакции: - 0 - не присутствует; - 1 - присутствует |
D15 | Индикатор присутствия ПИН-кода | Число | Индикатор присутствия ПИН-кода в транзакции: - 0 - не присутствует; - 1 - присутствует |
D16 | Индикатор обслуживания транзакции по чипу | Число | Индикатор обслуживания транзакции по чипу: - 0 - транзакция проводилась не по чипу; - 1 - транзакция проводилась по чипу; - 2 - чиповая карта обслуживалась по магнитной полосе, карта присутствовала |
D17 | Индикатор присутствия CVC2 / CVV2 | Число | Индикатор присутствия кода CVC2 / CVV2 в транзакции: - 0 - не присутствует; - 1 - присутствует |
D18 | Индикатор обслуживания транзакции по 3-D Secure | Число | Индикатор обслуживания транзакции по 3-D Secure: - 0 - не по 3-D Secure; - 1 - по 3-D Secure |
D19 | Уникальный идентификатор транзакции | Число | Уникальный идентификатор транзакции в системе |
D20 | Признак мошеннической транзакции | Число | Признак мошеннической транзакции: - 0 - легальная; - 1 - мошенническая |
Относительно представленных в таблице 4.9 данных следует сделать ряд замечаний:
1. Множества мошеннических и легальных транзакций должны быть четко разделимыми, что является необходимым условием обучения нейронной сети.
2. Многие мошеннические транзакции могут быть выявлены только при анализе последовательности транзакций, только по одной сделать вывод о ее мошенническом характере часто бывает невозможно.
Из этого следует, что если множества легальных и мошеннических транзакций плохо разделимы, что встречается достаточно часто (мошеннические транзакции, например, в Интернете на I-Tunes или Blizzard для одного клиента могут быть вполне типичными для другого), то обучить сеть на полном наборе таких "неразделяемых" данных не получится. Именно поэтому создаются отдельные модели для каждого клиента или каждой карты/терминала, что позволяет учесть особенности транзакций по конкретной карте или конкретному терминалу.
Второе замечание приводит к необходимости расширения набора признаков, которые следует использовать для обучения нейронной сети. Пример набора таких расширенных, то есть не содержащихся непосредственно в данных текущей транзакции, признаков приведен в таблице 4.10.
Таблица 4.10. Расширенные признаки транзакции
N | Атрибут | Тип данных | Описание |
E01 | Индикатор смены страны | Число | Признак различия стран в двух последующих транзакциях (текущей и предыдущей): - 0 - страны одинаковые; - 1 - страны разные |
E02 | Разница в часах между транзакциям | Число | Разница в часах между двумя последовательными транзакциями по одной карте в двух странах за день |
E03 | Общая сумма транзакций за день | Число | Общая сумма транзакций по карте за день |
E04 | Общее кол-во транзакций за день | Число | Общее число транзакций по карте за день |
E05 | Общая сумма транзакций за день по MCC | Число | Общая сумма транзакций по карте в точках с таким же кодом категории ТСП (MCC), рассчитываемая за день |
E06 | Общее кол-во транзакций за день по MCC | Число | Общее число транзакций по карте в точках с таким же MCC, рассчитываемое за день |
E07 | Средняя сумма транзакций за день | Число | Средняя общая сумма транзакций по карте в день, рассчитываемая за последний месяц |
E08 | Среднее кол-во транзакций за день | Число | Среднее число транзакций по карте в день, рассчитываемое за последний месяц |
E09 | Средняя общая сумма транзакций за день по MCC | Число | Средняя общая сумма транзакций по карте в день в точках с таким же MCC, рассчитываемая за последний месяц |
E10 | Среднее общее кол-во транзакций за день по MCC | Число | Среднее число транзакций по карте в день в точках с таким же MCC, рассчитываемое за последний месяц |
Нейронная сеть работает с числовыми значениями, поэтому на ее вход необходимо подавать соответствующие величины. Исходные и расширенные признаки транзакции следует преобразовать в числа, которые будут являться входными значениями для нейронной сети. Вариантами преобразования признаков транзакции может быть такое, которое дает бинарные значения (например, вход сети "транзакция в банкомате" может принимать значения 1 или 0) или действительные числа (например, отношение общей суммы покупок в ТСП за сутки к среднемесячному суточному значению по карте данного клиента или карточного продукта).
Число внутренних слоев может быть подобрано экспериментально, но рекомендуется выбирать не большое их число (2-3), иначе такая топология сети может препятствовать обучению сети. Так, проводимые эксперименты с многослойными нейронными сетями прямого распространения показывали неплохие результаты (сеть обучалась, ошибка не превышала заданной пороговой величины) при наличии двух скрытых слоев.
В СМТ аналитическую модель на основе нейронных сетей можно использовать совместно с другими методами. Например, так, как показано на рисунке 4.5. Первым шагом анализа эмитентской транзакции является извлечение профиля клиента (это может быть статистический профиль, построенный без привлечения методов нейронных сетей) и оценка транзакции на соответствие этому профилю. Такая проверка позволяет учесть характерные транзакции для клиента и снизить число ложных срабатываний на легальных транзакциях, которые для других клиентов могут являться подозрительными на предмет их мошеннического характера. Если транзакция соответствует профилю, то можно считать ее не подозрительной, то есть легальной.
┌───────────────────────────────────┐
│ Анализ транзакции по легальной │
│ модели │
└─────────────────┬─────────────────┘
▼
Нет ┌─────────────────┴─────────────────┐ Да
┌────────┤ Соответствует? ├────────┐
│ └───────────────────────────────────┘ │
│ │
▼ │
┌────────┴──────────────────────────┐ │
│Анализ транзакции по мошеннической │ │
│ модели │ │
└────────────────────┬──────────────┘ │
│ │
▼ │
Нет ┌────────┴───────┐ Да │
┌───┤ Соответствует? ├───────┐ │
│ └────────────────┘ │ │
│ │ │
│ │ │
▼ │ │
┌───────┴─────────┐ │ │
│Анализ транзакции│ │ │
│ по нейросетевой │ │ │
│ модели │ │ │
└───────┬─────────┘ │ │
▼ ▼ ▼
┌───────┴─────────┐ ┌──────┴────────┐ ┌───────┴───────┐
│Оценка на основе │ │ Транзакция │ │ Транзакция │
│выхода нейросети │ │ мошенническая │ │ мошенническая │
└─────────────────┘ └───────────────┘ └───────────────┘
Рис. 4.5. Комбинированная оценка эмитентской транзакции
Если транзакция не соответствует профилю клиента, то на втором шаге проводится оценка транзакции по модели мошенничества. Такая модель может быть единой в СМТ либо их может быть несколько для мошеннических транзакций разных типов - в любом случае ранее выявленные факты несанкционированных операций по другим картам служат сигналом к тому, что и данную транзакцию следует рассматривать как подозрительную. Если шаблон мошеннического поведения применим к данной транзакции - она считается подозрительной (мошеннической).
Третьим шагом является оценка транзакции по модели нейронной сети - ни легального, ни мошеннического характера у данной транзакции не выявлено, значит, следует провести нечеткую оценку с использованием нейросети. На основе выхода сети можно будет сделать вывод о том, считать ли транзакцию легальной или подозрительной.
В заключение следует отметить, что построение и обучение нейронной сети является весьма трудоемким процессом, сильно зависящим от качества и особенностей данных. Так, необходима точная классификация мошеннических и легальных транзакций - все ошибки в такой классификации приведут к неверному обучению сети. Также важно учитывать, что легальные транзакции для одной группы клиентов могут быть признаны мошенническими для другой, и без учета этой специфики провести адекватную оценку с приемлемым уровнем ошибок достаточно сложно (если вообще возможно).
Выводы
Риски, связанные с мошенничеством в платежной сфере, являются ее неотъемлемой характеристикой, полностью исключить которую невозможно. Рациональным представляется подход, связанный с количественной оценкой этих рисков и применением средств и инструментов для их уменьшения, среди которых системы мониторинга транзакций в настоящее время занимают важнейшее место.
Дата добавления: 2019-02-12; просмотров: 145; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!