TAF大数据反欺诈在消费金融领域的实践与应用

随着金融科技的快速发展，金融交易特别是线上交易正以惊人的速度增长。以马上消费金融（以下简称马上金融）交易量为例，最高日审批消费贷款百万单，而且未来的交易量呈阶梯增长趋势。要支撑如此庞大的即时交易并保持资产质量总体优良，必须有大量的技术和系统支撑，其中非常重要的就是反欺诈相关技术和系统。借助大数据和人工智能技术，马上消费金融构建的TAF反欺诈引擎成为风险防控的强大利器，在实践应用中取得了良好成效。

一、消费金融面临欺诈的新形势

与传统金融‍行业相比，以线上展业为主的消费金融公司，由于其展业形态以及目标客户定位的特点，其面临的欺诈风险有以下特征：（1）交易金额小但欺诈比例高。客户单笔贷款金额一般仅为数千元，但针对线上业务发生的欺诈比例较高。（2）客户地域分散化。当前依托线上展业的特点，使客户分布在全国各地，一旦欺诈得逞，案件取证十分困难。（3）欺诈主体多元化。线下消费场景涉及客户、SA/RA、中介、商户等多种角色，每个角色都存在欺诈风险。以商户为例，即使长期合作良好的商户，也可能因经营不善、资金链断裂而转换为欺诈商户。（4）欺诈手段多样化。犯罪分子技术手段越来越先进，组织严密、分工合作，欺诈手法针对不同场景灵活改变，甚至形成欺诈黑色产业链。

基于当前严峻的反欺诈形势，消金公司必须通过技术手段，以较低的成本和高效的策略，在授信、交易进行前、中、后阶段，对授信、交易的各个环节设计有针对性的反欺诈措施和策略。而且需要根据最新发现的欺诈案例，分析其欺诈模式和手段，及时调整应对措施和策略。

二、TAF大数据反欺诈引擎的构建

针对当前欺诈的风险特点，马上金融自主研发了事件驱动的TAF大数据反欺诈引擎。该引擎通过数据采集、数据分析、数据决策等功能模块，实现在毫秒级别内完成欺诈识别,并成功堵截各类欺诈风险事件。

（一）数据采集模块

在整个技术实现框架中，数据是基础，数据广度和质量的高低决定着分析和决策质量的高低。

1.数据来源。从数据来源上看，既要充分利用外部开放数据，也要深入挖掘公司内部自有数据。从数据维度看，收集的信息包括（1）用户基本信息：姓名、身份证、银行卡、手机号等；（2）交易信息：消费记录、提现记录、还款明细；（3）用户操作记录：注册、绑卡、登录、密码修改、手机号修改等；（4）设备综合位置信息：IP、GPS、Wifi等；（5）设备指纹；（6）联系人信息；（7）生物特征信息；（9）内部黑名单；（10）外部行业共享信息。这些信息构成了TAF反欺诈引擎的基础数据，在这些基础数据之上，通过数据分析结合行业专家经验，构建出用于反欺诈引擎决策的模型和变量。需要指出的是，在获取各类数据的同时，需要把握好个人信息与个人隐私、商业信息与商业秘密的边界，确保数据获取、采集、加工、利用均符合相关法律规定。

2.技术难度。数据采集需要专注于其背后的诸多技术细节，以确保数据采集的完整性和准确性。如果数据不完整或者存在遗漏，将导致多种场景下数据决策失效；而如果数据不准确，则会影响后续数据分析和决策的准确性，甚至可能会得出完全错误的结论，后果更严重。以IP检测技术为例，通过用户IP地址，可以获取到大致的地理位置，但欺诈分子可能会使用代理，这就为获取用户真实IP地址增加了难度，需要通过代理侦测技术检查用户是否使用了代理。再比如，通过设备指纹技术为每台终端生成唯一标识，然后通过复杂网络，将设备指纹相同的不同申请人关联起来，就可以发现黑产中介欺诈团案。那么，如何生成设备指纹就变得非常关键。好的设备指纹算法需要保证设备标识的唯一性和稳定性，可以一定程度上的容许设备软件或硬件变更时依然可以辨识，也就要求设备识别准确率和召回率都比较高。由于传统基于设备id、MAC地址的设备标识可以人为篡改，所以我们摒弃了传统的设备标识，而采用多维度识别匹配算法，设备匹配准确率和召回率都达到了较高的水平。

（二）数据分析模块

借助于海量基础数据进行数据分析，是反欺诈引擎部署成败的关键。反欺诈引擎必须需具备稳定、快速、准确的特点，这就要求数据分析模块能平衡业务拓展、客户体验和风险控制三方的关系。马上金融的主要做法是，通过机器学习算法离线训练模型，模型训练完之后，会部署到生产环境，先通过小部分流量观察模型效果，确认效果不错之后再逐步全量用于生产。同时，会配置数据监控告警规则，定期执行数据分析脚本，一旦发现异常就触发告警，后续有人工介入进行调查。调查过程中如果发现新的欺诈模式，会反馈到生产，及时更新生产部署的模型和规则。此外，还会基于用户的手机号、邮箱地址、设备指纹等信息离线构建复杂网络，复杂网络在在线决策、离线分析以及人工调查环节都有应用。

（三）数据决策模块

反欺诈引擎决策由事件驱动，当用户登录、申请贷款、消费或者提现的时候，就会产生相应的事件，并触发TAF反欺诈引擎在后台做一系列数据采集、分析、比对、决策的动作。比如，用户登录的时候，系统会自动采集设备指纹并将设备综合位置信息记录下来，然后进行设备黑名单匹配，如果不在黑名单，会进一步和用户最近经常出现的地点做比对，如果不在常现登录地点，TAF引擎会给本次登录行为打上风险标签。如果用户前一小时内登录地点在重庆，一小时之后登录地点在北京，系统会认为用户账号有较大可能性被盗，用户接下来如果申请消费或提现，TAF引擎会要求用户完成额外的核身操作，比如做人脸识别、指纹识别等。对欺诈风险高的交易可以拒绝授权和展开调查。如果TAF引擎判断某笔交易存在风险，但需要进行人工确认，会有人工介入进行调查，在人工确认欺诈之后，会尽可能挽回损失（线下交易场景会发出货物拦截指令），并将用户相关信息和设备信息加入黑名单，然后会根据需要更新相应的模型和规则。

三、总结与展望

新形势下金融业面临的欺诈风险演化出更多的表现形式，亟需对传统的欺诈风险防控手段进行“智能化”升级。公司构建的通过事件驱动方式的TAF反欺诈引擎，参与到用户申请、交易全流程的各个环节，建立起一套事前预测、事中干预、事后监控反馈的欺诈应对机制闭环，使得身份伪冒、账号盗用、中介黑产、内外勾结等欺诈案件发生的可能性大幅降低。一旦欺诈案件发生之后，可以做到及时发现并快速响应，尽量挽回损失并填补漏洞，避免未来再出现类似的欺诈案件。通过持续优化，反欺诈引擎现在已成为马上用户强大的护盾，成为马上降低欺诈案件发生率的一大利器。同时，反欺诈引擎将反欺诈模型与规则从业务规则剥离出来，进行动态管理和多规则多重组合，从而让系统变得更加灵活和富有弹性，其开放的框架使得系统可以向信用卡分期、小微企业贷款、保险反欺诈等更广泛的领域扩展，提升金融行业整体风控水平。