基于行为分析模型的检测防控系统
商业新知 08/20

2015 年在国家“互联网 +”战略推动下,互联网及相关新技术大量应用于传统行业。目前,金融行业尤其是银行业受到来自互联网金融的冲击较大,传统柜面业务被大量互联网技术取代,主要大型银行电子替代率已超过 7 成,银行业务电子替代率将继续保持增长态势,直接导致银行网点增速明显放缓。当今,传统业务应用模式不断收到新技术的验证,而监管政策可能在某些新场景下放开管制,使得银行业务效率不断提升,业务办理时间不断缩短,随之也带来新的风险。

由于互联网的高效性、快速性的特点,使得大量金融交易流程优化后能在瞬间完成,这种流程优化通常是计算机自动交易审核代替人工审核。相对于人工交易审核来说,计算机自动交易审核是依据具体而固定的规则执行,客观性较人工审核要高,但由于计算机自动按规则进行交易审核,而各项规则无法做到十全十 美,因此存在漏洞的规则容易被利用,而产生新的风险,而人工审核凭借经验判断,在一定程度上可以弥补规则漏洞带来的不足。

为了弥补计算机自动交易审核带来的不足,需要借助其他方法对交易的情况进行进一步解析,已发现现有交易的风险,为此海南农信通过建立和不断优化数学模型,对交易行为进行分析,提出运用欺诈风险实时监测模型分析交易行为。

2015 年 8 月,项目任务书下达。2016 年 1 月,系统开发部署完成,上线准备就绪。2017 年 12 月,将全行所有应用集成到系统上。

本项目采用非耦合技术,通过网络报文分析还原技术,在不影响被监测业务系统正常运行和安全性前提下,实现从网络报文单向监听俘获、数据完整性汇集、报文处理负载合理分配、数据采集与预处理、报文解析与还原、用于交易性能分析的报文时间标定以及前后台数据处理等全过程的研究与验证,完成金融业务交易的实时监测预警功能。整个流程如图 5—6 所示。

图 5—6 实时数据采集及预警系统流程图

鉴于本系统采用的非耦合渠道监听技术进行报文的采集,同时省联社所有的业务系统均部署在省联社核心机房,因此,只需要对机房网络上的进出数据包进行监测,即可监测全部的业务行为,这种行为不仅包括电子银行渠道,还能监控柜面渠道。不仅如此,通过对技术应用进行扩展,只需要记录数据包进出主机和各网络的时间,并在对时间进行统计分析的基础上,可以进一步分析主机和各网络设备的性能,从而有效分析主机和网络设备是否存在故障、主机进程是否死掉等系统运维信息,并根据分析结果对业务系统的运行环境进行完善。

为了更加深入地了解问题、分析问题、解决问题,最终建立具有说服力的模型,达到预期检测和防控目标,首先需对银行客户行为进行分析。主要有以下三个方面:发现客户行为规律为客户群体分类提供参考;预测客户的潜在价值,通过多样的营销手段发掘客户的长远价值,为企业创造更多的利润;监测客户异常行为及账户异常操作,为预警客户异常行为做准备,防止客户资金被盗刷、非法转移,将风险降到最低。

根据银行业多年的发展,按现行银行的业务种类,可将客户群体分为个人客户和企业客户两大类。

一是个人客户。

个人客户主要是指与银行发生业务关系的自然人,银行主要为这类人群提供存取款、小额贷款、代理投资理财及其他相关业务。在为客户取得收益的同时防范可能存在的风险。

个人客户的消费行为主要是指在消费动机支配下,为满足个人、家庭的消费需要而购买银行产品或服务的活动,包括与这种活动有关的决策过程。在消费活动中,除了受消费动机支配外,还要受经济、文化、社会、个人以及心理等多个方面的因素。经济因素主要包括个人的收入,银行产品价格、银行产品效用、银行产品模式等;文化因素主要包括个人的社会阶层、当前社会的主流文化等;社会因素主要包括客户的家庭状况、当前社会趋势等;个人因素主要包括客户认知感受、学习、消费动机、信念与态度等;心理因素主要包括个人的生活方式、年龄与人生阶段、个性与自我形象、性别、职业与教育等。

二是企业用户。

企业客户主要是指与银行发生业务关系的各企事业单位及政府或社会团体等。银行主要帮助其办理日常业务和防范风险。

企业客户消费行为主要指除银行个人客户(自然人)之外的一切有法人代表的组织,包括工商企业、事业机关单位和社会团体等,为了满足政治、经济、社会、文化和生产经营活动的需要,针对银行产品发生的消费行为。

在消费活动中,企业客户受环境、组织、人际和个人等四大因素的影响。环境因素主要指公司所处的外部环境因素包括国家的经济前景、市场的需求水平、技术发展变化、市场竞争态势、政治法律情况等;组织因素主要包括企业目标、组织结构、购买政策、规章制度、工作流程等;人际因素主要包括指公司客户内部参与购买过程中的各种角色的职位、地位、态度和相互关系对购买行为的影响等;个人因素主要包括客户参与购买过程中每个人的年龄、个性、教育水平、工作职务、风险态度等几个方面。

用户行为分析主要从信用分析、价值分析及流失分析三个方面展开。信用分析主要包括还款情况、借款情况、担保情况、异常分析。价值分析主要包括成本付出、银行收益、市场占有、客户收益。流失分析主要包括产品流失、价值流失、市场流失、渠道流失。

数据来源主要包括各个系统中的静态数据、动态数据及消费渠道。客户的静态数据包括客户的年龄、收入、婚姻状况、教育程度、所处行业、住房类型、联系方式等个人背景资料,以及客户拥有的银行产品、资产和产生的坏账等;客户的交易行为数据包括现金交易、转账、消费、还款、透支/借贷、缴费及其相关的渠道、时间、银行机构、金额等;客户的非交易行为数据包括购买银行产品/资产、服务需求、投诉、更改地址、销户、参加营销活动等;客户的接触模式或渠道包括柜台、ATM、POS、电话银行、网络银行、代理等。

基于行为分析模型的检测防控系统通过分析大量历史交易数据,并结合客户的属性(年龄、性别、收入水平等)、客户的账户属性(账户余额、账户状态、贷款、贷款还款情况)、客户的行为信息(网上银行、手机银行、POS机消费),对客户的行为进行分析,并判断客户的交易行为是否异常。

基于行为分析模型的检测防控系统是基于用户历史数据建立了欺诈风险实时监测模型和基于神经网络的信用卡风险控制系统。

其中,欺诈风险实时监测模型是对过往的大量历史交易数据进行整合,为每一位客户建立个人历史交易数据信息库,以便在新的交易发生时进行对比分析。同时分析整理过往的既成欺诈事实的案件和交易,分析其特征,作为判断新交易是否有欺诈风险时参考的依据。欺诈风险实时监测模型的核心在于对历史交易数据进行贝叶斯分析,并根据特征分析当前交易为风险交易的概率,对应于四种预警等级(四级预警、三级预警、二级预警、一级预警)。

基于神经网络的信用卡风险控制系统模拟大脑的思维模式,自动学习客户行为,通过大量数据样本进行训练能有效判断高风险交易,进而进行报警。该系统将客户的信息划分为客户属性信息、客户账户信息、客户交易信息、客户渠道信息和客户行为信息,并以这些信息为神经网络的输入,输出信息为高风险、中风险和低风险三个级别。

面向顺贷数据的聚类分析是理想的多变量统计技术,已经在诸多领域发挥着重要的作用。由于该类算法属于无监督方法,即模型的训练不需要标靶数据,所以特别适合探索性质的数据分析任务。在与小贷员的交流过程中,业务部门希望对现有数据做更为细致的客户分类。在此之前,已经初步验证了聚类相关算法对该数据集的处理效果,但受制于当时的计算条件,数据的聚类分析只能做到最大5个类别的客户细分。之后,更新了计算环境,提高计算性能。为此,针对这一次计算性能上的升级,进一步以聚类分析方法为基础,对计算环境做更大规模的性能和压力方面的测试,为后续的数据挖掘与分析任务做铺垫。

目前,已经提取了569,029位客户的顺贷数据,其中有41,328位客户已经发生了贷款行为。因此,对于该数据集,可以利用聚类算法对现有客户进行分类、分析未贷款客户与已贷款客户之间的关联性、挖掘潜在贷款客户等任务。之前,除了客户细分任务,也做了一些贷款客户关联性的分析,得到了“账面状况越好,贷款的概率越高”的结论。

通过应用本系统,可有效监测我社所有的交易,还原交易场景,进而为本行和他行客户提供服务,特别是对争议交易的处理上,有效保护了客户的权益,打破了银行独有的优势。

通过应用本系统,对争议交易进行透明化的处理,绝不把责任推给客户,进而培养客户的合规、诚信意识,营造“守信光荣、失信可耻”的社会氛围,建设人人守信的信用环境。

作为海南省唯一的地方性农村金融机构,我单位通过应用该系统,大大缩短了争议交易的处理时间,进而给客户满意的答复,提升服务水平,促进行业发展。

通过应用本系统,可以在1分钟内发现各项应用系统的故障,发现问题后,运维人员可以及时通知相关人员,解决故障,将风险降到最低,不影响客户的使用安全感,同时可以保护客户的权益。

系统可以根据实时性能监控、早期预警、事件报表分析手段,阻断各类安全攻击事件以及部分潜在的 APT 攻击。安全管理人员可以根据需要使用专业的人工服务,对恶意软件做进一步的逆向分析了解其特性及危害,或对已经存在于内部网络的恶意软件进行清理,提升了网络安全的等级。

本系统首次将交易数据应用到信贷风险管理领域,基于客户连续交易信息预测客户近期的交易状况,从而帮助信贷员识别潜在贷款风险,同时针对海南当地以农产品销售作为主要收入来源的特点,交易数据结合天气对农业的影响、农产品市场行情进一步分析用户还款能力,从而提升信贷风险控制水平。本项目的实施为银行业开拓了一种新的数据应用思路,提升了数据整体分析和应用水平。



本文由新知号原创发布,转载请注明来源。
联系方式:system@shangyexinzhi.com
2000+知识点 7000+案例
商业新知助力数字化转型
下载