Как выбрать антифрод-систему?

Сегодня мошенничество, связанное с финансовыми онлайн-транзакциями, становится все более сложным и продвинутым, что, в свою очередь, приводит к внушительным финансовым потерям как со стороны клиента, так и со стороны финансовых организаций. Подобные действия в онлайн-банках постоянно развиваются, их сложно анализировать и выявлять из-за обманного поведения, которое динамично, распространяется по разным профилям клиентов и распределено по очень большим и разносортным наборам данных.

Несмотря на значительное количество антифрод-систем, большинство из них направлено на детектирование определенных сигнатур фрода. Такой подход позволяет выявлять лишь мошеннические операции, описанные в сигнатурах, и то на достаточно непродолжительный временной период – злоумышленники адаптируются, находят новые уязвимые точки и используют другие инструменты для очередных атак. В связи с этим при построении современных антифрод-систем становится необходимым применение технологий машинного обучения, корректно настроенные алгоритмы которых позволяют не только детектировать более сложный фрод, но и адаптироваться к динамичным условиям онлайн-транзакций. В статье мы проанализируем актуальные проблемы по детектированию фрода, попробуем разобраться в эффективности сигнатурных методов и машинного обучения по выявлению мошеннических операций, а также рассмотрим наиболее популярные и эффективные алгоритмы машинного обучения, использующиеся при построении антифрод-систем.

Актуальные проблемы антифрод-систем

Большинство антифрод-систем построено по типу rule-based, то есть на сигнатурном выявлении нелегитимных операций. Данный подход позволяет детектировать определенные мошеннические действия, однако имеет ряд недостатков. Кроме того, важно не просто обнаружить фрод, но и сделать это мгновенно, потому что восстановить убытки и репутационные потери при позднем детектировании будет практически невозможно. Вот почему необходимо, чтобы антифрод-система имела высокую точность и скорость обнаружения мошенничества при незначительных показателях ложных срабатываний, тогда процесс выявления аномалий не превратится в процедуру по расследованию легитимных операций.

Рассмотрим наиболее актуальные и значимые проблемы при построении и эксплуатации антифрод-систем:

  • Массив анализируемых данных очень большой, разносортный и несбалансированный, в связи чем появляется проблема по обработке данных очень большого объема. По статистике, количество мошеннических операций на общее число операций не превышает 0,01%. Столь огромный дисбаланс существенно усложняет выявление мошеннических операций.

stati2359_1.jpg

Рис. 1. Соотношение легитимных и мошеннических операций

  • Необходимость обнаружения мошеннических действий в режиме реального времени, поскольку временной интервал жизненного цикла типовой транзакции очень короток. Для того чтобы успеть предотвратить финансовые потери, антифрод-триггер должен срабатывать максимально быстро.

  • Мошенническое поведение динамично изменяется. Злоумышленники, также как и защищающаяся сторона, следят за постоянно развивающимися технологиями и современными антифрод-решениями, поэтому мошенники регулярно совершенствуют и модернизируют свои методы и инструменты атак.

  • Модели поведения клиентов (групп клиентов) банка существенно различаются. В свою очередь, мошенники научились успешно подделывать подлинное поведение определенных клиентов (групп клиентов) и периодически его изменять, тем самым расширяя легитимные пороги для операций. Учитывая это, охарактеризовать мошенническое действие становится все труднее.

Сигнатурные правила или машинное обучение?

Как уже было сказано, в качестве основного функционала по выявлению мошеннических операций подавляющее количество антифрод-систем использует сигнатурные правила. Но достаточно ли они эффективны? Применение технологий машинного обучения в обнаружении мошенничества получило широкое распространение в последние годы и сместило интерес отрасли от антифрод-систем, созданных на сигнатурах, к решениям на основе Machine Learning. В чем же ключевое различие обоих подходов и какой из них эффективнее?

Сигнатурные правила. Подход, основанный на сигнатурных правилах, базируется на срабатывании триггеров в соответствии с логикой, описанной профильным экспертом. К наиболее популярным относятся слишком крупные или частые транзакции, транзакции в нетипичных местах геолокации и другие, которые, очевидно, нуждаются в дополнительной проверке. Для выявления фродовой операции нередко применяются комбинации из таких сигнатурных правил. На сегодня типовая антифрод-система имеет в своем арсенале около 300 подобных правил. Основные недостатки данных систем – постоянная необходимость доработки старых и создания новых правил, способных предотвратить угрозы, актуальные для бизнеса, и невозможность определения неявных корреляций. Часто такие системы используют в качестве бэкенда примитивное программно-аппаратное обеспечение, которое не в состоянии обрабатывать большие данные в реальном времени. Схематично процесс работы антифрод-системы, базирующейся на сигнатурных правилах, представлен на рис. 2.

stati2359_2.jpg

Рис. 2. Схема работы антифрод-системы, базирующейся на сигнатурных правилах

Машинное обучение. Несмотря на относительную эффективность сигнатурных правил, направленных на детектирование очевидных мошеннических операций, в пользовательском поведении бывают скрытые события, способные неявно сигнализировать о возможном фроде. Машинное обучение направлено на реализацию алгоритмов, выявляющих скрытые корреляции между действиями пользователя и вероятностью мошенничества. Благодаря этому возможно значительно снизить риск пропуска потенциальных мошеннических действий и в то же время не увеличить показатель ложных срабатываний. Антифрод-системы, базирующиеся на машинном обучении, как правило, имеют современные инструменты по обработке и анализу данных, что позволяет сократить время и трудозатраты на детектирование мошенничества. Схематично процесс работы антифрод-системы, основанной на машинном обучении, представлен на рис. 3.

stati2359_3.jpg

Рис. 3. Схема работы антифрод-системы, базирующейся на машинном обучении

Эксперты Angara Technologies Group, основываясь на практическом опыте, отмечают следующие ограничения, присущие сигнатурным правилам при выявлении мошеннических операций:

  • Фиксированные критичные пороги.

  • Абсолютные значения о показателе фрода («да» или «нет», отсутствие вероятностей).

  • Повышенная вероятность ошибки, вызванной человеческим фактором.

  • Низкое покрытие общего числа мошеннических сценариев.

  • Отсутствие realtime-обработки и анализа.

  • Невозможность адаптации правила под динамичное поведение клиента.

Обзор и сравнение алгоритмов машинного обучения, применяемых в антифрод-системах

Учитывая сложность детектирования мошенничества и недостаточную эффективность сигнатурных правил становится ясно, что необходимы новые инструменты. На текущий момент машинное обучение является наиболее эффективным подходом к построению современных антифрод-систем. Однако на каком алгоритме остановить свой выбор или, быть может, стоит использовать сразу несколько? Рассмотрим наиболее популярные алгоритмы машинного обучения и сравним их на предмет того, какой из них наиболее эффективен при детектировании мошенничества. В качестве критериев оценки были выбраны следующие:

  • Алгоритм должен обладать высокой точностью обнаружения мошеннических действий при обработке больших объемов данных – «точность».

  • Алгоритм должен покрывать максимально большое число возможных мошеннических сценариев – «покрытие».

  • Алгоритм должен быть наименее затратным как в плане временных ресурсов, так и денежных – «стоимость».

В таблице представлен сравнительный обзор ключевых алгоритмов, которые используются в современных антифрод-системах. Сопоставление алгоритмов проводилось на основании частоты их применения и критериев, рассмотренных выше, где 1 – «низкий», 2 – «средний», 3 – «высокий». Выбор перечня алгоритмов и соответствующих оценочных показателей основан на исследовании 2019 года Ясского университета имени А. И. Кузы о наиболее часто используемых алгоритмах машинного обучения в антифрод-системах – «An Analysis of the Most Used Machine Learning Algorithms for Online Fraud Detection».

Таблица. Сравнение алгоритмов машинного обучения

stati2359_4.jpg


Из сравнительного анализа следует, что наиболее эффективным и дорогостоящим алгоритмом по обнаружению мошеннических действий является SVM. Тем не менее, зачастую в антифрод-системах используется несколько алгоритмов, взаимно дополняющих друг друга. Такой подход необходим для оптимизации оценки и достижения более высокой точности.

Заключение

Выявление мошеннических операций является сложной задачей, решение которой подразумевает комплексный подход. Очень важны предварительные обработка и анализ данных, выбор правильного технологического стека и, конечно, инструментов по детектированию фрода. Несмотря на то что машинное обучение позволяет решить подавляющее большинство актуальных проблем антифрод-систем, нужно помнить об ограничениях данного подхода.

Для небольших организаций с формализованными типами мошеннических операций лучшим выбором остаются антифрод-системы, базирующиеся на сигнатурных правилах. Для успешного детектирования мошенничества с использованием алгоритмов машинного обучения необходимы большие, качественно обработанные и размеченные данные, соответствующий технологический стек и профильные специалисты, которые будут заниматься поддержкой алгоритмов. Эти ограничения устанавливают определенный барьер перед малыми и средними организациями.

Крупные компании сталкиваются с проблематикой динамичного поведения большого числа клиентов и постоянно изменяющихся угроз. В таких условиях поддержка и разработка новых сигнатурных правил становится практически нереализуемой задачей. Использование самообучающихся математических моделей, способных адаптироваться под динамичные условия бизнеса и возникающие угрозы, является едва ли не единственным эффективным методом по детектированию фрода.

Эксперты Angara Technologies Group рекомендуют решения по выявлению мошенничества, основанные на комбинированном подходе — следует использовать как сигнатурные правила, так и методы машинного обучения, рассмотренные в данной статье.

Автор: Никита Андреянов,
ведущий эксперт по обработке больших данных
Angara Technologies Group

Статья опубликована на it-world.ru



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах