进化的黑产 vs 进击的蚂蚁:支付宝的每一次点击,都离不开一张“图”的守护

2022-08-26 17:29:20 浏览数 (1)

在近日举办的数字中国峰会展会上,蚂蚁集团全图风控技术负责人王兴驰发表现场演讲,首次公开分享蚂蚁全图风控技术架构。

图技术正成为风控市场的关注重点。把图技术应用于风控领域,可以构建风险关系网络,实现对风险全链路的、关系视角的刻画,从而解决传统风控碎片化的问题。近期IDC发布《中国金融行业反欺诈市场研究》报告指出,图技术的应用将成为未来的风控建设重点之一,来自蚂蚁集团的业内首个基于图架构的风控体系,入选为IDC应用图计算技术的典型案例。

据了解,全图风控是蚂蚁自研的智能风控技术体系“IMAGE”的组成部分,该体系还包括交互式主动风控、端边云协同风控、多方风控和智能对抗。“IMAGE”解决了多个风控领域的世界难题,获得包括CCF科学技术奖、吴文俊人工智能科学技术进步奖等多个权威技术奖项。

以下是王兴驰的演讲内容实录:

各位下午好,今天的分享会分三个部分,首先,概述整个风控行业面临怎样的风险形势升级;第二,在这种风险形势变化下,蚂蚁如何用图解决问题;第三,介绍蚂蚁的全图风控整体架构是什么样子,应用情况如何。

1

风控行业面临的风险形式升级

1. 风险趋势一:利用跑分/水房账号进行三方欺诈的模式出现, 欺诈交易链条复杂化

我们先看一个简单的欺诈案例:张某是一个小商家,突然有一天张某接到一个冒充公检法的电话,威胁他如果不转账做保障,可能要吊销他的商家执照。张某心慌,就打算把钱用支付宝转给对方陆某。这时候蚂蚁的智能风控引擎会立刻判断陆某的收款账号是否曾经被投诉过,是否在我们的处罚名单里面,以及过去一天是否有大额的或者多频交易,通过这样多个维度的判断,帮助张某去识别陆某是不是一个欺诈者。这是我们在过去五六年用得最多的一种场景。

但是,风控是一个攻防的过程,也就是说,黑产一直在进化。我们发现现阶段一个很重要的变化就是,黑产引入了“跑分平台”或“水房账号”等模式, 来规避之前的防御。

什么叫跑分平台和水房账号?跑分平台可以把许多受骗普通用户的支付宝账号收集起来的平台,然后黑产利用这些用户的个人收款码,为别人进行代收款,随后赚取佣金,俗称“过水”。

跑分平台的加入,让整个支付链路变得更加复杂,隔绝了被骗的张某和骗子陆某,从而让风险更难识别。而且复杂的欺诈交易链路会有多度,它可能会从中规模的跑分到小规模,小规模再到大规模等等,经过几度的传播,这笔钱才真正到达陆某。

钱在不停地流转,这使得风控系统面对同一个账户找出欺诈行为的难度提高。因此,新型风险升级的趋势变化之一,就是跑分平台和水房账号的加入,让交易链路复杂化,从而难以识别。

2. 风险趋势二:黑产团队化,聚集性风险上升

如今的风险基本不是用户的一张银行卡掉到地上,被其他人捡起来盗刷,这样简单的个体风险。通过我们的风控实践来看,团伙性风险在逐年增高,现在更多都是团伙作案。

大家可以通过下面这个案例了解:今天张某去刘某处消费,花了35块钱,用了6块钱的券;吴某也去刘某处消费,交易了10块钱,用了2块钱的券;之后刘某转了45块钱给高某。

如果我们从每一笔孤立的行为来看,每一笔转帐都是正常的。但如果把视角往上升到全局来看,其实发生了什么事情呢?所谓的“买卖”双方联合了起来,把本应该用于拉新促活的消费券薅走了。“卖家”收到资金之后, 并没有出货, 只是把钱转回去循环利用,通过小小的45块钱,他们可以循环着把大量营销费用薅走。这是我们发现的第二个风险变化趋势,即黑产行为团伙化,聚集性风险上升,传统地从个体角度孤立看风险的做法不适用了。

3. 风险趋势三:资金时序变化加快,通过单笔交易识别资金流转链路难度上升

第三个风险形式的升级是资金时序的变化,这常见于洗钱。前面我们讲过,如今黑产会引入水房账号,参与主体变多了,导致风险难以识别。而在洗钱的场景中,变化的不仅是主体数量,钱的流转速度也大为提高。因此我们要关注的不仅是交易的空间关系,也包括时序关系。

在洗钱的场景中,大家要把自己想成一笔钱,这笔钱到底在体系里面经历哪些节点?这些节点到底是水房账号还是赌博庄家?最终这笔钱转出体系的时候,我们需要根据这笔交易的历史,溯源出当前这笔交易是否是洗钱最后一步。

2

应对复杂风险形势的

下一代风控基础设施——全图风控

总结起来,现在整个风控业界面临的风险,是从显性的个体风险,转化为了隐性的、有组织有规模的团伙化风险。

面对风险的新态势,我们需要什么?需要具备同时刻画空间和时间维度的能力。空间上,它能够关联除了人以外的更多主体,例如常用的WiFi等;时间上,它要能反映出多种主体的时序行为特征。

经过大量研究,我们认为,图具有这样强的承载力和刻画能力。

其实图技术目前在很多领域都有应用,但把图技术和风控结合起来没有这么简单,这跟风控本身强对抗、低延时的特性有关。

举个例子,在搜索推荐场景下,下午2点钟,你用图找出一群人,他们是高净值人群,你给高净值人群推荐匹配的一些产品。一个小时之后,他们大概率还依然是高净值人群。但是,在风控场景里面,一个小时可以完成十几笔甚至几百笔的转账,可能一分钟就发生了一次洗钱行为,所以风控必须是低延时的,是实时的。

图技术能解决风控的许多问题,同时风控的特性也对图提出了非常多的挑战。综合这些因素,蚂蚁安全团队建设了全图风控设施,作为应对复杂风险形势的下一代风控基础设施。全图风控也是蚂蚁“IMAGE”智能风控体系中的一个核心技术(G)。

全图风控即全域一张图,强对抗、低延时特性也要求提高图计算的丰富程度。在全图风控中,除了用传统的多度查询来进行风险链路判断,我们还引入模式识别的方式(菱形/三角型等)、社区发现的算法等来应对更加复杂的场景。同时我们也必须保证图计算和图数据的时效性,能在毫秒级进行一次识别。

总的来说,全图风控可以提供以下几个核心服务能力:

第一是基于图的团伙挖掘的能力,包括团伙整个行动链路上的挖掘、定性、分析以及追踪;

第二,基于图的资金链路识别,在反洗钱场景上,我们会看一笔钱最终是怎么到达这里,它进入支付宝和出支付宝路径是什么;

第三,基于图的可信识别,我们能构建一个可信网络,帮助风控快速判断一笔交易是否可信。

全图风控是应对复杂风险的下一代风控基础设施。在应用层,全图风控应用于整个风控的生命周期,包括风险感知、风险识别、风险管控、风险审理、风险分析。基于图的异常检测,能够提前做到风险感知;在事中识别的时候,通过多样化图计算,配置不同SLA的特征去帮助事中风险识别;在风险分析阶段,利用丰富的图数据去关联或者探索出更多信息来辅助案件审理和分析。

3

蚂蚁全图风控的技术架构和应用情况

接下来讲一讲蚂蚁全图风控的技术架构。我简单地分为风险一张图的构图层和多模图计算的计算架构层。

先从风险构图来说:

1.图数据来源的数据格式各不相同,有半结构化的数据、非结构化的数据以及相对结构化的数据,同时源数据的多样性也体现在它的时效性存在差异,有离线版的源数据也有近线版的源数据。针对源数据的多样性, 建设一套标准化的图清洗流程,从最源头的数据源内容管理来保障接入数据源质量和标准化, 到运行时保障整套流程能够适配到多种运行时应对时效性的差异。

2.当原始数据清洗成相应的图数据时候, 就需要针对图数据进行建模。在图建模过程中为了应对跨域共享共知的问题, 首次提出风险一张图的概念,建设一套全局逻辑大图来承载和管理多源化数据的一致性和口径等问题, 在这个过程中引入图数据委员会的机制标准化以及整个逻辑大图的运营工作。

3.为了解决各域业务对于场景化图应用的问题, 设计业务图组件来解决多样化点/边转化需求, 同时在这个模块中加入存储物化方案,保障图数据可以物化到在线/近线/离线的场景的解决物化遇见的大点/热点等场景问题。

再说全图计算层:

1.在计算层中首要解决的,就是风险对抗中,如何用一套统一的框架把图查询、图挖掘、图学习等图计算手段进行归纳并且抽象, 来保障业务可以在不同场景中选择最合适手段进行风控模式的识别。经过多年图应用场景的定制和磨砺, 全图风控沉淀了一套多模计算框架来解决上诉问题。

统一的多模计算框架分触发源模块、计算模式模块、图计算DSL模块、静态编译和评估仿真模块。触发源模块和计算模式两个模块相互配合, 重点解决图应用场景中不同数据源用不同计算方式触发计算的多样性问题, 例如常见的实时风险识别中来风险事件进行一次识别, 或者定时一个小时进行一次全图点触发的图计算等。

2.统一图计算DSL模块。图查询/图挖掘/图学习的方式多样, 如何利用用一个统一图DSL来归纳和收敛多样性,保障业务可以灵活的应用?在设计统一图DSL时,我们把纯粹的子图抽取的DSL先拆分出来,保障可以灵活查询一个子图; 然后再根据这个子图进行两种计算,一种是子图转换成表的统计型计算,一种是针对子图的模型型计算。

3.当图计算模式确定之后, 接下来就是针对图计算模式进行物化选择和优化。由于底层针对不同时效性的图计算引擎差异, 导致图计算模式最终根据业务需求和SLA所确定引擎会存在不同, 多模图计算选择就是用来根据图计算模式, 业务SLA和成本来匹配相应的引擎。

当图计算模式匹配成功之后, 接下来就会进行优化阶段主要解决就是风控特性带来的时效性问题, 例如在线图查询要求三度以内20ms返回。重点基于底层影响大的大点/缓存,以及数据分区进行优化。

接下来简单介绍一下全图风控目前在整个蚂蚁集团应用的情况。从图数据层面,我们构建了蚂蚁风险一张图,是整个风控的数据底盘,在一些业务结果上,我们的风险识别在原有的基础上提升了9.4倍,审理分析能力提升了90%。

我们对全图风控的定位是应对复杂风险的下一代风控的基础设施。为什么?在跨域的风险数据上,我们希望能有一张图能够做补全对齐,保证我们在应对黑产的时候,可以会跨主体和时间的交互去刻画风险,而不是一个单一维度上去刻画。在显性模式挖掘基础上挖掘隐式特征关联,把一种被动的攻防能够转化成主动出击,这就是我们认为全图风控是下一代风控基础设施的原因。

更多内容,点击下方关注:

扫码添加 AI 科技评论 微信号,投稿&进群:

0 人点赞