Введение новых условий мониторинга транзакций

⇐ ПредыдущаяСтр 18 из 28Следующая ⇒

Современная СМТ должна, помимо прочего, обеспечивать анализ транзакций на основе явно задаваемых правил. Это требуется банкам для быстрого противодействия вновь выявленным схемам мошенничества, приоритетного мониторинга некоторой группы карт (например, возможно скомпрометированных в некотором стороннем ПЦ в неопределенный интервал времени, причем число карт достаточно велико для их блокировки и перевыпуска), введения временных ограничений операций по некоторым картам и т.д. Эффективность действующих правил и критериев оценки транзакций также должна постоянно поддерживаться путем уточнения условий мониторинга. Общая схема управления условиями мониторинга в правилах анализа транзакций показана на рисунке 4.3.

┌─────────────────────────┐

│ Анализ данных │

│ о мошенничестве │

└────────────┬────────────┘

▼

Нет ┌────────────┴────────────┐ Да

┌─────────────┤ Выявлено ├───────────┐

│ │ с помощью СМТ? │ │

│ └─────────────────────────┘ │

▼ ▼

┌─────────┴─────────────┐ ┌───────────┴───────────┐

│ Разработка новых │ │ Анализ эффективности │

│ условий │ │ заданных условий │

└───────────────────┬───┘ └───────────┬───────────┘

▼ ▼

┌────┴─────────┐ ┌────────┴─────┐

Нет │Добавить новые│ Да Нет │ Изменить │Да

┌────────┤ условия? ├──────┐ ┌─┤ заданные ├──┐

│ │ │ │ │ │ условия? │ │

│ └──────────────┘ │ │ └──────────────┘ │

│ ▼ │ ▼

│ ┌──────┴───────┐ │ ┌──────────┴───┐

│ │ Добавление │ │ │ Изменение │

│ │новых условий │ │ │ заданных │

│ │ │ │ │ условий │

│ └───────┬──────┘ │ └──────────┬───┘

▼ ▼ ▼ ▼

┌─────┴────────┐ ┌───────┴────┐ ┌───┴───────┐ ┌────────┴───┐

│ Условия не │ │ Условия │ │Условия не │ │ Условия │

│ добавлены │ │ добавлены │ │ изменены │ │ изменены │

└──────────────┘ └────────────┘ └───────────┘ └────────────┘

Рис. 4.3. Управление условиями мониторинга

Каждый факт мошенничества должен анализироваться относительно того, выявлен ли он был или мог бы быть выявлен с помощью СМТ. Если мошенничество было обнаружено с помощью СМТ, то, возможно, требуется уточнение заданных условий анализа транзакций для более раннего обнаружения подобных фактов и (или) снижения количества ложных срабатываний по немошенническим транзакциям. В случае если мошенничество не было выявлено, следует рассмотреть вопрос о добавлении новых условий анализа транзакций в СМТ для того, чтобы аналогичные транзакции могли быть выявлены в дальнейшем.

При изменении заданных условий мониторинга и добавлении новых необходимо оценивать следующие величины:

- степень выявления транзакций определенной схемы мошенничества;

- возможные потери по мошенническим транзакциям, которые могут возникнуть в результате их пропуска при заданных условиях мониторинга;

- количество ложных срабатываний по немошенническим транзакциям;

- нагрузка на операторов СМТ, обрабатывающих подозрительные транзакции;

- нагрузка на операторов call-центра, обеспечивающих взаимодействие с держателями карт для подтверждения транзакций.

СМТ на основе нейронных сетей

Из предыдущих разделов становится понятно, что современная СМТ обеспечивает анализ транзакций как минимум на основе правил. Если у банка есть квалифицированные специалисты, способные создавать правила и поддерживать их в актуальном состоянии, то этого часто будет достаточно для организации эффективной защиты от мошенничества в платежной сфере и поддержания рисков на приемлемом уровне.

Тем не менее очень привлекательной выглядит возможность использования аналитических моделей на основе нейронных сетей. Основными преимуществами таких моделей являются построение на основе классифицированных данных о транзакциях (мошеннических и легальных) и их адаптивность с учетом появления информации о новых фактах мошенничества. К минусам следует отнести сложность построения, а также необходимость наличия моделей либо для каждого клиента / ТСП, либо для характерной группы клиентов / ТСП, поведение которых является достаточно типичным. Отдельно нужно строить модель мошенника либо модели для мошенничества различных типов.

Далее в данном разделе рассмотрим один из подходов к построению аналитической модели на основе нейронных сетей.

Задача, которую предстоит решить с использованием модели на основе нейронной сети, относится к распознаванию образов - следует проанализировать транзакцию и сделать вывод о ее принадлежности классу мошеннических, либо к классу легальных транзакций. Нейронные сети, используемые для распознавания, относятся к классу многослойных персептронов (рис. 4.4).

Обучение такой сети происходит следующим образом: каждой входной модели транзакции (вектору информационных признаков транзакции) ставится в соответствие целевое значение 0, если транзакция легальная, и 1, если транзакция нелегальная (мошенническая). Вместе они составляют обучающую пару. Для обучения требуется несколько обучающих пар, обычно не меньше произведения количества нейронов в слоях сети. По входной модели транзакции вычисляется выход сети и сравнивается с соответствующим целевым значением. Разность между выходом сети и целевым значением используется для изменения весов дуг, связывающих нейроны в слоях. Эти изменения происходят в соответствии с некоторым алгоритмом, стремящимся минимизировать ошибку. Векторы информационных признаков из обучающей выборки последовательно подаются на вход сети, ошибки вычисляются и веса подстраиваются д о тех пор, пока ошибка не достигнет заданного уровня. Следует отметить, что выходным значением может быть не 0 или 1, а, например, число в интервале от 0 до 1 включительно.

Этот процесс зависит от огромного числа факторов и далеко не всегда приводит к желаемому результату. Фактически используется метод проб и ошибок. Требуется опыт работы с нейронными сетями вообще и, в частности, с моделями транзакций, чтобы получить приемлемый результат.

В рассматриваемом подходе исходные признаки транзакции являются отправной точкой. На их основе получаются расширенные признаки транзакции, после чего формируются входные данные для нейронной сети - информационные признаки транзакции.

Таблица 4.9. Исходные признаки транзакции

N	Атрибут	Тип данных	Описание
D01	Номер карты	Строка	Номер карты. В соответствии с PCI DSS может быть представлен в маскированном виде (6 первых и 4 последних символа) или любым уникальным идентификатором
D02	Тип транзакции	Число	Тип транзакции: покупка в ТСП, покупка в интернет-магазине, получение наличных денежных средств в банкомате, запрос баланса, перевод денежных средств, различные платежи и др.
D03	Дата и время транзакции	Дата и время	Дата и время совершения транзакции (время, приведенное к часовому поясу ПЦ)
D04	Сумма транзакции в валюте финансового института	Число	Сумма транзакции в валюте финансового института
D05	Сумма транзакции в оригинальной валюте	Число	Оригинальная валюта транзакции. Значение представлено числом в соответствии с ISO 3166
D06	Код ответа ПЦ	Число	Код ответа ПЦ в результате авторизации транзакции
D07	Идентификатор института эквайрера	Строка	Идентификатор института эквайрера
D08	Код страны	Число	Код страны совершения транзакции. Значение представлено числом в соответствии с ISO 3166
D09	Идентификатор терминала	Строка	Идентификатор терминала
D10	Тип терминала	Число	Тип терминала: банкомат, терминал в ТСП, интернет-терминал, терминал голосовой авторизации
D11	Идентификатор ТСП	Строка	Идентификатор точки приема карты к обслуживанию
D12	Код категории торгового предприятия	Число	Четырехзначный код категории предприятия, обслуживающего карту (Merchant Category Code - MCC)
D13	Индикатор присутствия карты	Число	Индикатор присутствия карты в месте совершения транзакции: - 0 - не присутствует; - 1 - присутствует
D14	Индикатор присутствия держателя карты	Число	Индикатор присутствия держателя карты в месте совершения транзакции: - 0 - не присутствует; - 1 - присутствует
D15	Индикатор присутствия ПИН-кода	Число	Индикатор присутствия ПИН-кода в транзакции: - 0 - не присутствует; - 1 - присутствует
D16	Индикатор обслуживания транзакции по чипу	Число	Индикатор обслуживания транзакции по чипу: - 0 - транзакция проводилась не по чипу; - 1 - транзакция проводилась по чипу; - 2 - чиповая карта обслуживалась по магнитной полосе, карта присутствовала
D17	Индикатор присутствия CVC2 / CVV2	Число	Индикатор присутствия кода CVC2 / CVV2 в транзакции: - 0 - не присутствует; - 1 - присутствует
D18	Индикатор обслуживания транзакции по 3-D Secure	Число	Индикатор обслуживания транзакции по 3-D Secure: - 0 - не по 3-D Secure; - 1 - по 3-D Secure
D19	Уникальный идентификатор транзакции	Число	Уникальный идентификатор транзакции в системе
D20	Признак мошеннической транзакции	Число	Признак мошеннической транзакции: - 0 - легальная; - 1 - мошенническая

Относительно представленных в таблице 4.9 данных следует сделать ряд замечаний:

1. Множества мошеннических и легальных транзакций должны быть четко разделимыми, что является необходимым условием обучения нейронной сети.

2. Многие мошеннические транзакции могут быть выявлены только при анализе последовательности транзакций, только по одной сделать вывод о ее мошенническом характере часто бывает невозможно.

Из этого следует, что если множества легальных и мошеннических транзакций плохо разделимы, что встречается достаточно часто (мошеннические транзакции, например, в Интернете на I-Tunes или Blizzard для одного клиента могут быть вполне типичными для другого), то обучить сеть на полном наборе таких "неразделяемых" данных не получится. Именно поэтому создаются отдельные модели для каждого клиента или каждой карты/терминала, что позволяет учесть особенности транзакций по конкретной карте или конкретному терминалу.

Второе замечание приводит к необходимости расширения набора признаков, которые следует использовать для обучения нейронной сети. Пример набора таких расширенных, то есть не содержащихся непосредственно в данных текущей транзакции, признаков приведен в таблице 4.10.

Таблица 4.10. Расширенные признаки транзакции

N	Атрибут	Тип данных	Описание
E01	Индикатор смены страны	Число	Признак различия стран в двух последующих транзакциях (текущей и предыдущей): - 0 - страны одинаковые; - 1 - страны разные
E02	Разница в часах между транзакциям	Число	Разница в часах между двумя последовательными транзакциями по одной карте в двух странах за день
E03	Общая сумма транзакций за день	Число	Общая сумма транзакций по карте за день
E04	Общее кол-во транзакций за день	Число	Общее число транзакций по карте за день
E05	Общая сумма транзакций за день по MCC	Число	Общая сумма транзакций по карте в точках с таким же кодом категории ТСП (MCC), рассчитываемая за день
E06	Общее кол-во транзакций за день по MCC	Число	Общее число транзакций по карте в точках с таким же MCC, рассчитываемое за день
E07	Средняя сумма транзакций за день	Число	Средняя общая сумма транзакций по карте в день, рассчитываемая за последний месяц
E08	Среднее кол-во транзакций за день	Число	Среднее число транзакций по карте в день, рассчитываемое за последний месяц
E09	Средняя общая сумма транзакций за день по MCC	Число	Средняя общая сумма транзакций по карте в день в точках с таким же MCC, рассчитываемая за последний месяц
E10	Среднее общее кол-во транзакций за день по MCC	Число	Среднее число транзакций по карте в день в точках с таким же MCC, рассчитываемое за последний месяц

Нейронная сеть работает с числовыми значениями, поэтому на ее вход необходимо подавать соответствующие величины. Исходные и расширенные признаки транзакции следует преобразовать в числа, которые будут являться входными значениями для нейронной сети. Вариантами преобразования признаков транзакции может быть такое, которое дает бинарные значения (например, вход сети "транзакция в банкомате" может принимать значения 1 или 0) или действительные числа (например, отношение общей суммы покупок в ТСП за сутки к среднемесячному суточному значению по карте данного клиента или карточного продукта).

Число внутренних слоев может быть подобрано экспериментально, но рекомендуется выбирать не большое их число (2-3), иначе такая топология сети может препятствовать обучению сети. Так, проводимые эксперименты с многослойными нейронными сетями прямого распространения показывали неплохие результаты (сеть обучалась, ошибка не превышала заданной пороговой величины) при наличии двух скрытых слоев.

В СМТ аналитическую модель на основе нейронных сетей можно использовать совместно с другими методами. Например, так, как показано на рисунке 4.5. Первым шагом анализа эмитентской транзакции является извлечение профиля клиента (это может быть статистический профиль, построенный без привлечения методов нейронных сетей) и оценка транзакции на соответствие этому профилю. Такая проверка позволяет учесть характерные транзакции для клиента и снизить число ложных срабатываний на легальных транзакциях, которые для других клиентов могут являться подозрительными на предмет их мошеннического характера. Если транзакция соответствует профилю, то можно считать ее не подозрительной, то есть легальной.

┌───────────────────────────────────┐

│ Анализ транзакции по легальной │

│ модели │

└─────────────────┬─────────────────┘

▼

Нет ┌─────────────────┴─────────────────┐ Да

┌────────┤ Соответствует? ├────────┐

│ └───────────────────────────────────┘ │

│ │

▼ │

┌────────┴──────────────────────────┐ │

│Анализ транзакции по мошеннической │ │

│ модели │ │

└────────────────────┬──────────────┘ │

│ │

▼ │

Нет ┌────────┴───────┐ Да │

┌───┤ Соответствует? ├───────┐ │

│ └────────────────┘ │ │

│ │ │

▼ │ │

┌───────┴─────────┐ │ │

│Анализ транзакции│ │ │

│ по нейросетевой │ │ │

│ модели │ │ │

└───────┬─────────┘ │ │

▼ ▼ ▼

┌───────┴─────────┐ ┌──────┴────────┐ ┌───────┴───────┐

│Оценка на основе │ │ Транзакция │ │ Транзакция │

│выхода нейросети │ │ мошенническая │ │ мошенническая │

└─────────────────┘ └───────────────┘ └───────────────┘

Рис. 4.5. Комбинированная оценка эмитентской транзакции

Если транзакция не соответствует профилю клиента, то на втором шаге проводится оценка транзакции по модели мошенничества. Такая модель может быть единой в СМТ либо их может быть несколько для мошеннических транзакций разных типов - в любом случае ранее выявленные факты несанкционированных операций по другим картам служат сигналом к тому, что и данную транзакцию следует рассматривать как подозрительную. Если шаблон мошеннического поведения применим к данной транзакции - она считается подозрительной (мошеннической).

Третьим шагом является оценка транзакции по модели нейронной сети - ни легального, ни мошеннического характера у данной транзакции не выявлено, значит, следует провести нечеткую оценку с использованием нейросети. На основе выхода сети можно будет сделать вывод о том, считать ли транзакцию легальной или подозрительной.

В заключение следует отметить, что построение и обучение нейронной сети является весьма трудоемким процессом, сильно зависящим от качества и особенностей данных. Так, необходима точная классификация мошеннических и легальных транзакций - все ошибки в такой классификации приведут к неверному обучению сети. Также важно учитывать, что легальные транзакции для одной группы клиентов могут быть признаны мошенническими для другой, и без учета этой специфики провести адекватную оценку с приемлемым уровнем ошибок достаточно сложно (если вообще возможно).

Выводы

Риски, связанные с мошенничеством в платежной сфере, являются ее неотъемлемой характеристикой, полностью исключить которую невозможно. Рациональным представляется подход, связанный с количественной оценкой этих рисков и применением средств и инструментов для их уменьшения, среди которых системы мониторинга транзакций в настоящее время занимают важнейшее место.

Дата добавления: 2019-02-12; просмотров: 145; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 13 14 15 16 171819 20 21 22 Следующая ⇒

Мы поможем в написании ваших работ!