当下,网络欺诈、滥用、洗钱等行为正变得愈发严重。Javelin Strategy & Research数据显示,2016年,仅美国由欺诈造成的损失预计高达160亿美元,比2015年增加近10亿美元。United Nations Office on Drugs and Crime指出,全球每年洗钱交易金额估计高达1-2万亿美元,占全球GDP的2%-5%,然而,执法部门从中缴获的非法资金不到总数的1%。

令人痛心,但这还不是最可怕的。更为关键的是,被欺诈方、政府每年为此投入的成本在不断增加。换句话说,大量的投入并没有换来预想的效果,甚至可以说几乎没有成效。

为什么?古人云药到病除,但前提是对症下药。今天出现如此状况,说到底是因为大部分被欺诈者,甚至是反欺诈解决方案提供商都做不到对症,那下药就无从谈起。

日前,反欺诈检测技术领军企业DataVisor发布了一份技术白皮书《无监督机器学习引擎》,其中对当下的欺诈形势、手段、方式进行了详细的剖析,并深入解读了DataVisor无监督机器学习(UML)引擎的工作原理。

阅后你就能明白为什么之前那么多反欺诈投入没有成效,为什么DataVisor能获得像Pinterest、Yelp、阿里巴巴、大众点评、今日头条、Cheetah Mobile和Tokopedia等那么多超级大客户的青睐。阅读白皮书全文可关注DataVisor微信公众号下载,本文只摘取其中部分重点内容。

攻击方式变了,原有的方案失效了

在白皮书中,DataVisor指出,欺诈攻击方式在过去几年发生了巨变。当前的数字化时代,攻击者发现通过大量个人账户实施攻击会比之前零散的攻击有效得多。

与此同时,现实环境也给他们提供了很多便利。比如,个人信息的泛滥使他们更容易伪装,只要获取来自社交媒体、公共记录或暗网的信息,很容易绕过基于知识的认证技术(KBA),从而利用窃取来的信息,编造虚假身份进行欺诈。再比如,如今可以使用的软件工具和数据资源也有所增加,包括数以百万计的数据中心、远程工作的廉价全球劳动力,以及可隐藏身份设备的仿真软件。

当前,攻击方式主要呈现两大趋势:

1、有组织大规模的攻击。如今的攻击都是由欺诈团伙发起的有组织欺诈,由于其中包含了许多单独看起来都合法的账户,使得每个账户显得十分正常,从而将破坏最大化。

2、模仿正常用户的行为。攻击者不断采取新的技术模仿正常用户的行为,借此加大反欺诈系统的检测难度。这些攻击技术中,一个值得关注的技术是孵化账户,它们先模仿正常用户的行为获得信誉值,然后再实施破坏。DataVisor研究实验室调查显示,44%的账户在孵化“休眠账户”(sleeper cell),这些休眠账户随时可以激活,伺机发起攻击。

在新的攻击形势下,现有解决方案暴露出三大缺陷:被动检测、孤立的分析事件或账户、无法利用新型数字信息。落后就要挨打,变革迫在眉睫。

DataVisor无监督机器学习引擎为什么有效?

无监督机器学习引擎是DataVisor的旗舰产品,其基于DataVisor申请专利的、独有的无监督机器学习 (UML)算法。

DataVisor UML引擎与其它解决方案相比,有三大差异化优势:

  1. 主动检测新型攻击。UML引擎无需标签和训练数据,可提前防范、灵活应对不断演变的欺诈模式,比现有系统检出率高30%-50%,真正能做到提前检测,甚至在欺诈账户申请或注册时就能将其检测出来。
  2. 实时关联所有账户。UML引擎能够一次处理所有事件和用户活动,分析成千上万个账户之间的关联和相似性,在众多滥用、欺诈或洗钱账户中实时发现微妙、潜在的攻击模式。
  3. 有效利用新型数字信息。UML引擎会在DataVisor全球智能信誉库(GIN)中录入和排查信息,而GIN专门负责汇总和计算多样化的数字指纹信息。此外,GIN能够整合已知攻击模式,推导出细粒度更高、手段更全面的攻击信号,从而改进UML引擎的检测效果。

除此之外,DataVisor UML引擎还支持灵活的输入数据格式和数量,拥有极低的误报率(90%以上,常常超过99%)、更低的重新调优花费和合规可解释性。

这份白皮书详细阐述了DataVisor UML引擎的工作原理。在数据输入和结果输出之间,DataVisor UML引擎会执行四个主要的步骤,包括动态特征提取、无监督攻击团伙检测、有监督检测(可选)和结果分类和排序。

每个部分不再一一展开,详见白皮书全文。目前,DataVisor UML引擎已投入市场三年多,保护着全球来自大中型企业超过20亿的用户账户。