IT ManagerБезопасностьУправление ИБ

Как выбрать антифрод-систему?

| 12.10.2019

Как выбрать антифрод-систему?

Сегодня мошенничество, связанное с финансовыми онлайн-транзакциями, становится все более сложным и продвинутым, что, в свою очередь, приводит к внушительным финансовым потерям как со стороны клиента, так и со стороны финансовых организаций. Подобные действия в онлайн-банках постоянно развиваются, их сложно анализировать и выявлять из-за обманного поведения, которое динамично, распространяется по разным профилям клиентов и распределено по очень большим и разносортным наборам данных.

Несмотря на значительное количество антифрод-систем, большинство из них направлено на детектирование определенных сигнатур фрода. Такой подход позволяет выявлять лишь мошеннические операции, описанные в сигнатурах, и то на достаточно непродолжительный временной период – злоумышленники адаптируются, находят новые уязвимые точки и используют другие инструменты для очередных атак. В связи с этим при построении современных антифрод-систем становится необходимым применение технологий машинного обучения, корректно настроенные алгоритмы которых позволяют не только детектировать более сложный фрод, но и адаптироваться к динамичным условиям онлайн-транзакций. В статье мы проанализируем актуальные проблемы по детектированию фрода, попробуем разобраться в эффективности сигнатурных методов и машинного обучения по выявлению мошеннических операций, а также рассмотрим наиболее популярные и эффективные алгоритмы машинного обучения, использующиеся при построении антифрод-систем.

Актуальные проблемы антифрод-систем

Большинство антифрод-систем построено по типу rule-based, то есть на сигнатурном выявлении нелегитимных операций. Данный подход позволяет детектировать определенные мошеннические действия, однако имеет ряд недостатков. Кроме того, важно не просто обнаружить фрод, но и сделать это мгновенно, потому что восстановить убытки и репутационные потери при позднем детектировании будет практически невозможно. Вот почему необходимо, чтобы антифрод-система имела высокую точность и скорость обнаружения мошенничества при незначительных показателях ложных срабатываний, тогда процесс выявления аномалий не превратится в процедуру по расследованию легитимных операций.

Рассмотрим наиболее актуальные и значимые проблемы при построении и эксплуатации антифрод-систем:

  • Массив анализируемых данных очень большой, разносортный и несбалансированный, в связи чем появляется проблема по обработке данных очень большого объема. По статистике, количество мошеннических операций на общее число операций не превышает 0,01%. Столь огромный дисбаланс существенно усложняет выявление мошеннических операций.

img

Рис. 1. Соотношение легитимных и мошеннических операций

  • Необходимость обнаружения мошеннических действий в режиме реального времени, поскольку временной интервал жизненного цикла типовой транзакции очень короток. Для того чтобы успеть предотвратить финансовые потери, антифрод-триггер должен срабатывать максимально быстро.

  • Мошенническое поведение динамично изменяется. Злоумышленники, также как и защищающаяся сторона, следят за постоянно развивающимися технологиями и современными антифрод-решениями, поэтому мошенники регулярно совершенствуют и модернизируют свои методы и инструменты атак.

  • Модели поведения клиентов (групп клиентов) банка существенно различаются. В свою очередь, мошенники научились успешно подделывать подлинное поведение определенных клиентов (групп клиентов) и периодически его изменять, тем самым расширяя легитимные пороги для операций. Учитывая это, охарактеризовать мошенническое действие становится все труднее.

Сигнатурные правила или машинное обучение?

Как уже было сказано, в качестве основного функционала по выявлению мошеннических операций подавляющее количество антифрод-систем использует сигнатурные правила. Но достаточно ли они эффективны? Применение технологий машинного обучения в обнаружении мошенничества получило широкое распространение в последние годы и сместило интерес отрасли от антифрод-систем, созданных на сигнатурах, к решениям на основе Machine Learning. В чем же ключевое различие обоих подходов и какой из них эффективнее?

Сигнатурные правила. Подход, основанный на сигнатурных правилах, базируется на срабатывании триггеров в соответствии с логикой, описанной профильным экспертом. К наиболее популярным относятся слишком крупные или частые транзакции, транзакции в нетипичных местах геолокации и другие, которые, очевидно, нуждаются в дополнительной проверке. Для выявления фродовой операции нередко применяются комбинации из таких сигнатурных правил. На сегодня типовая антифрод-система имеет в своем арсенале около 300 подобных правил. Основные недостатки данных систем – постоянная необходимость доработки старых и создания новых правил, способных предотвратить угрозы, актуальные для бизнеса, и невозможность определения неявных корреляций. Часто такие системы используют в качестве бэкенда примитивное программно-аппаратное обеспечение, которое не в состоянии обрабатывать большие данные в реальном времени. Схематично процесс работы антифрод-системы, базирующейся на сигнатурных правилах, представлен на рис. 2.

img

Рис. 2. Схема работы антифрод-системы, базирующейся на сигнатурных правилах

Машинное обучение. Несмотря на относительную эффективность сигнатурных правил, направленных на детектирование очевидных мошеннических операций, в пользовательском поведении бывают скрытые события, способные неявно сигнализировать о возможном фроде. Машинное обучение направлено на реализацию алгоритмов, выявляющих скрытые корреляции между действиями пользователя и вероятностью мошенничества. Благодаря этому возможно значительно снизить риск пропуска потенциальных мошеннических действий и в то же время не увеличить показатель ложных срабатываний. Антифрод-системы, базирующиеся на машинном обучении, как правило, имеют современные инструменты по обработке и анализу данных, что позволяет сократить время и трудозатраты на детектирование мошенничества. Схематично процесс работы антифрод-системы, основанной на машинном обучении, представлен на рис. 3.

img

Рис. 3. Схема работы антифрод-системы, базирующейся на машинном обучении

Эксперты Angara Technologies Group, основываясь на практическом опыте, отмечают следующие ограничения, присущие сигнатурным правилам при выявлении мошеннических операций:

  • Фиксированные критичные пороги.

  • Абсолютные значения о показателе фрода («да» или «нет», отсутствие вероятностей).

  • Повышенная вероятность ошибки, вызванной человеческим фактором.

  • Низкое покрытие общего числа мошеннических сценариев.

  • Отсутствие realtime-обработки и анализа.

  • Невозможность адаптации правила под динамичное поведение клиента.

Обзор и сравнение алгоритмов машинного обучения, применяемых в антифрод-системах

Учитывая сложность детектирования мошенничества и недостаточную эффективность сигнатурных правил становится ясно, что необходимы новые инструменты. На текущий момент машинное обучение является наиболее эффективным подходом к построению современных антифрод-систем. Однако на каком алгоритме остановить свой выбор или, быть может, стоит использовать сразу несколько? Рассмотрим наиболее популярные алгоритмы машинного обучения и сравним их на предмет того, какой из них наиболее эффективен при детектировании мошенничества. В качестве критериев оценки были выбраны следующие:

  • Алгоритм должен обладать высокой точностью обнаружения мошеннических действий при обработке больших объемов данных – «точность».

  • Алгоритм должен покрывать максимально большое число возможных мошеннических сценариев – «покрытие».

  • Алгоритм должен быть наименее затратным как в плане временных ресурсов, так и денежных – «стоимость».

В таблице представлен сравнительный обзор ключевых алгоритмов, которые используются в современных антифрод-системах. Сопоставление алгоритмов проводилось на основании частоты их применения и критериев, рассмотренных выше, где 1 – «низкий», 2 – «средний», 3 – «высокий». Выбор перечня алгоритмов и соответствующих оценочных показателей основан на исследовании 2019 года Ясского университета имени А. И. Кузы о наиболее часто используемых алгоритмах машинного обучения в антифрод-системах – «An Analysis of the Most Used Machine Learning Algorithms for Online Fraud Detection».

Таблица. Сравнение алгоритмов машинного обучения


Алгоритм

Тип алгоритма

Частота использования

Точность

Покрытие

Стоимость

Artificial Neural Network (ANN)

С учителем

40%

2

2

3

Decision Tree (DT)

С учителем

38%

2

2

3

Support Vector Machine (SVM)

С учителем

34%

3

3

3

Genetic algorithm (GA)

Без учителя

26%

2

2

1

K-nearest Neighbors (KNN)

Без учителя

20%

2

2

3

Bayesian Network (BN)

С учителем

16%

3

2

3

Hidden Markov Model (HMM)

Без учителя

16%

1

1

3

Logistic Regression (LR)

С учителем

16%

3

2

2

Random Forest (RF)

С учителем

16%

3

2

2

Fuzzy Logic Based system (FL)

С учителем

8%

3

2

3


Из сравнительного анализа следует, что наиболее эффективным и дорогостоящим алгоритмом по обнаружению мошеннических действий является SVM. Тем не менее, зачастую в антифрод-системах используется несколько алгоритмов, взаимно дополняющих друг друга. Такой подход необходим для оптимизации оценки и достижения более высокой точности.

Заключение

Выявление мошеннических операций является сложной задачей, решение которой подразумевает комплексный подход. Очень важны предварительные обработка и анализ данных, выбор правильного технологического стека и, конечно, инструментов по детектированию фрода. Несмотря на то что машинное обучение позволяет решить подавляющее большинство актуальных проблем антифрод-систем, нужно помнить об ограничениях данного подхода.

Для небольших организаций с формализованными типами мошеннических операций лучшим выбором остаются антифрод-системы, базирующиеся на сигнатурных правилах. Для успешного детектирования мошенничества с использованием алгоритмов машинного обучения необходимы большие, качественно обработанные и размеченные данные, соответствующий технологический стек и профильные специалисты, которые будут заниматься поддержкой алгоритмов. Эти ограничения устанавливают определенный барьер перед малыми и средними организациями.

Крупные компании сталкиваются с проблематикой динамичного поведения большого числа клиентов и постоянно изменяющихся угроз. В таких условиях поддержка и разработка новых сигнатурных правил становится практически нереализуемой задачей. Использование самообучающихся математических моделей, способных адаптироваться под динамичные условия бизнеса и возникающие угрозы, является едва ли не единственным эффективным методом по детектированию фрода.

Эксперты Angara Technologies Group рекомендуют решения по выявлению мошенничества, основанные на комбинированном подходе — следует использовать как сигнатурные правила, так и методы машинного обучения, рассмотренные в данной статье.

Автор: Никита Андреянов, ведущий эксперт по обработке больших данных Angara Technologies Group

 

Ключевые слова: кибербезопасность, информационная безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

05.12.2019 — 06.12.2019
Эффективное производство 4.0

Москва, Территория «Цифрового делового пространства»

05.12.2019 — 06.12.2019
Открытая конференция ИСП РАН

Главное здание РАН

17.12.2019
Кибербезопасность: законы, люди, технологии.

Москва, Конференц-центр Newsroom, зал "Цукерберг", Поклонная ул, д.3, корпус Е4

02.04.2020
HotelCIO Exchange

Москва, Отель Бородино, Русаковская ул., 13, стр. 5