Данные, структурированные как сеть отношений, могут быть смоделированы в виде графа, который затем может помочь извлечь понимание данных с помощью машинного обучения и подходов на основе правил. Хотя эти графические представления обеспечивают естественный интерфейс для транзакционных данных для людей, следует соблюдать осторожность и контекст при использовании машинной интерпретации этих связей.
Контекст
Существует множество подходов к определению того, является ли конкретная транзакция мошеннической. От систем, основанных на правилах, до моделей машинного обучения - каждый метод лучше всего работает в определенных условиях. Успешные системы борьбы с мошенничеством должны извлекать выгоду из всех подходов и использовать их там, где они лучше всего подходят для решения проблемы. Понятие анализа сетей и соединений в мире систем защиты от мошенничества имеет первостепенное значение, поскольку оно помогает выявить скрытые характеристики транзакций, которые невозможно восстановить никаким другим способом. В этом сообщении блога мы попытаемся пролить свет на то, как сети создаются и затем используются для обнаружения мошеннических транзакций.
Сети в обнаружении мошенничества
Давайте рассмотрим транзакцию - одну из основных сущностей в мире онлайн-платежей. Каждую транзакцию можно описать набором атрибутов. В Nethone мы собираем более 5000 точек данных за транзакцию, но для простоты давайте сосредоточимся на нескольких наиболее распространенных, например: каковы характеристики платежа (сумма, токен карты), кто инициировал транзакцию (имя, адрес электронной почты), на каком устройстве (IP-адрес, ОС устройства, файлы cookie браузера) Имея в виду эти типичные атрибуты транзакции, мы можем теперь перейти к этапу построения сети. Сеть (или граф) представляет собой набор узлов («точек»), соединенных ребрами («линиями»). В мире онлайн-платежей узлы могут быть либо транзакциями, либо конкретными значениями атрибутов транзакций. Ребра могут представлять различные отношения, но в этом случае давайте сосредоточимся на наиболее распространенном: совместное использование значения атрибута. Давайте возьмем эту простую сеть в качестве примера:
Мы видим, что обработанная транзакция («точка с ореолом») разделяет IP-адрес (зеленый узел), адрес электронной почты (фиолетовый узел) и значение cookie (оранжевый узел) с несколькими другими транзакциями (черные узлы). Процедура создания такой сети довольно проста:
Извлечь значения атрибутов обработанной транзакции (например, IP-адрес, cookie, электронная почта и т. Д.).
Найдите другие транзакции, у которых совпадают значения некоторых атрибутов.
Постройте их и подключитесь к обработанной транзакции через промежуточные узлы, представляющие определенные значения атрибутов.
Короче говоря, все дело в соединении транзакций с использованием некоторого атрибута в качестве ключа соответствия. Этот подход, хотя и простой в принципе, дает ценный контекст.
После создания графа мы можем запрашивать у него различные свойства. Мы можем проверить, каков самый длинный путь или сколько узлов подключается к конкретному узлу, представляющему, например, IP-адрес. После извлечения функций сети мы можем скормить их системам на основе правил или моделям машинного обучения, как упоминалось в начале, поскольку гибридный подход работает лучше всего.
Визуализация мошеннической атаки
Эта сеть была построена с использованием другой исходной транзакции и расширена за счет увеличения параметра глубины. Это означает, что теперь мы можем связать транзакции, относящиеся к обработанной транзакции - проводя аналогию из мира социальных взаимодействий, мы можем анализировать «друзей друзей друзей… и т. Д.» поэтому транзакции, связанные с различными связанными транзакциями. Таким образом, мы можем расширить сферу деятельности и получить больше информации. Давайте увеличим масштаб и рассмотрим некоторые кластеры.
На первый взгляд, мы видим, что один адрес электронной почты и IP-адрес (красный и зеленый узлы) связаны со многими разными токенами кредитных карт (синие узлы). Поскольку у людей довольно редко бывает большое количество кредитных карт, такой тип сети может быть примером мошенничества с картами. В таких атаках мошенники используют украденные учетные данные кредитной карты для выполнения множества транзакций. Мы можем легко отличить нормальный трафик от шаблонов кардинга (небольшое количество людей, множество карт и транзакций), когда данные структурированы как сеть. После запроса нашего графика и обнаружения рискованного шаблона мы можем добавить подозрительные значения атрибутов в черные списки. Таким образом, если они когда-либо будут обнаружены нашей системой, транзакции будут автоматически помечены как рискованные.
Преимущества и проблемы анализа подключения
Мы можем извлечь много полезной информации из анализа соединений, но они не предоставляются бесплатно - есть и дополнительные проблемы. С одной стороны, изучение связей в сетях, построенных на основе транзакционных табличных данных, может помочь нам выявить взаимосвязи, которые трудно извлечь при сохранении однородности данных. Структура сети и то, как она изменяется во времени, может быть очень богатым источником информации, а также удобным для человека интерфейсом к нашим данным.
С другой стороны, жестких правил относительно того, что является мошенничеством, а что нет. Если мы видим, что с общего IP-адреса поступает несколько транзакций, это может означать мошенническую атаку, но это также может означать, что сотрудники используют свою корпоративную прокси-сеть для совершения покупок. Важно учесть как можно больше факторов - упущение некоторых из них может вызвать серьезные искажения в нашем восприятии данных через наши сети. Хорошим примером решающего фактора является время: кто-то, совершающий 10-ю транзакцию в тот же день и очищающий файлы cookie браузера после каждой из них, будет выглядеть точно так же, как законный пользователь, совершающий 10-ю покупку в том же году, чьи файлы cookie естественным образом истекают между последующими транзакции.
Контекст - это все.