姜宝华
摘要:近年来,我国的银行卡产业已进入快速发展时期,银行卡已经渗透到经济、社会生活的各个方面。各类银行卡欺诈也相伴而生,持卡人恶意透支,社会上出现伪卡诈骗行为等等,给商业银行、持卡人、特约商户造成了损失,在社会上形成了不良的影响,在一定程度上制约了我国银行卡的发展。为了增强安全性,保障持卡人的合法权益,银行在大量发行卡的同时,也要加强对取款异常的检测。本文通过取款的流程及取款行为模式来分析异常行为,为基于规则的银行卡取款异常检测算法奠定基础。
关键词:行为模式;数据采集;特征分析及提取;异常行为检测
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2015)34-0012-02
Abstract:In recent years, China's banking card industry has entered a period of rapid development, the bank card has penetrated into all aspects of economic and social life. All kinds of bank card fraud also accompanied by birth, the cardholder's malicious overdraft, social pseudo card fraud, and so on, to commercial banks, credit card holders, merchants caused a loss, in the community formed a bad influence, to some extent, restricted the development of China's Bank cards. In order to enhance security, protect the legitimate rights and interests of the cardholder, the bank in a large number of issuing cards, but also to strengthen the detection of withdrawal anomalies. In this paper, we analyze the abnormal behavior through the process of withdrawal and withdrawal behavior, which lays the foundation for the rule based bank card withdrawals anomaly detection algorithm.
Key words:behavior pattern; data acquisition; feature analysis and extraction; abnormal behavior detection
1 行为模式流程
行为模式是从人们实际的生活中概括出来的行为的理论抽象、标准和基本框架。人的需求和行为都要受到社会群体的压力和影响,处在同一社会阶层的人们在商品需求、兴趣、爱好、生活方式、生活习惯上有着很多的相似之处。不同的分析模式可能在某种特定的场合显得更重要一些。
银行取款可分为柜台取款和自动柜员机(ATM)取款。
在银行取款的流程如图所示:
2 取款行为的数据采集
2.1 数据采集
在进行检测前,首先要找到能够完全的反映全部数据特征的典型样本。一个完整的银行系统有60多个表组成,而我们检测异常所要用的表主要有两种,一种主要包括银行卡主和银行本身的基本信息,以及银行卡上自带的信息。第二种是交易时留下的交易记录信息。银行内部数据库中对卡号进行加密,客户的交易数据是可见的。
银行卡表主要包括客户姓名,银行卡余额,银行卡号,月平均支出,上一年年底余额,年底余额,地区代码,月平均余额,银行卡类别,发卡时间,交易笔数,欺诈客户类别。
交易记录表主要包括银行卡号、账面余额,记账日,前期余额,交易额(收入、支出),流水号,交易时间。它主要记录银行卡的交易情况,作为对样本分类基础依据。它包括以下信息:银行卡号,计息日期,前期余额,当日发生额(收入、支出),余额,交易笔数。月记表、月度数据聚集表。存放银行账户月度统计聚集数据,其中与分析主题有关数据有:银行卡号、月份、前期余额、当月发生额(收入、支出)、余额、交易笔数。由该表可以计算银行在每张卡上的收益,即客户对银行的贡献度,作为对样本分类的重要依据。
2.2 数据预处理
数据预处理是分析数据前的必要环节。预处理的重要性等同于真正的数据分析和建模。在取款异常分析中,为了防止由于卡的密码的丢失而造成客户的损失,我们关注的主要对象是卡号以及卡里面的金额。卡是否透支,透支数量,月记表等属性与异常检测多半不是相关的。
银行基本信息表主要包括银行代码、所属ATM机代码、银行名称、银行地点等。
3 行为特征分析及主要特征提取
从行为到数据的特征分析方法一般分为三个步骤:行为特征分析、行为到数据的特征映射以及数据特征发现。行为特征分析就是在特征线索特征发现过程中首先要尽量分析列举出可能的行为特征表现。在异常分析中,要将行为特征转化为数据特征,就是要找出行为到数据的特征映射,基本方法是首先采集行为特征所对应的数据;其次确定与行为特征直接对应的关键字段;然后模拟行为特征所决定的数据特征。通过以上两个步骤,将问题的表征转化为特定的数据特征,接下来就是用适当的技术和方法直接寻找表现特征的可疑数据,从而指导进一步的工作。这个过程是通过运用计算机查询语言或多维分析方法等相应技术来寻找符合相关特征的数据,或验证数据的发展趋势是否与通常的规律相一致的过程。
特征的选取是异常发现的关键,而所选的特征的好坏却直接影响所设计的分类器。因而从样本的选取到特征的选取和特征的优化,其中的每一步都是非常关键的。同时,特征的识别和选择也是整个异常检测的关键。本文是按照从行为到数据来对取款行为进行分析。
客户通过银行卡号和密码到指定的银行或ATM机上取款,或是用银行卡在指定的商户和POS机上进行刷卡消费。当以下这些中的一个或几个不一致时,那么相应的取款或者消费则有可能出现异常,对出现异常的记录要给予特别的关注。可以通过二次确认的方式来决定是否准许取款或消费。
3.1 取款对象——取款金额的大小
取款金额的大小直接关系到卡的持有者损失的大小。取款金额是检测中最主要的一个环节。在正常的生活中,大部分人一个月取款的金额相差不大。当出现在的取款金额即取款出现异常,则有可能卡号和密码泄露,盗卡人为了取得利益的最大化通常会大量取款,从而出现大额的取款。如,一个大学生每个月大概要消费1000元,那么突然出现取出10000元则很有可能不是本人取款。通过检测取款金额可以有效地防止由于卡号和密码泄露造成持卡人损失。
3.2 取款的主体
不同的取款人有不同的生活方式,同一个人也有其固定的生活方式。不同主体有不同的消费侧重点。普通家庭消费包括生活、工作、学习等各个方面。普通家庭由于收入是相对固定的,他们的消费额相差不大。对于在校的学生他们的消费则主要是生活费,除了每个月的生活费外,就是平时数额不多的零用钱。不同的人的消费侧重点不一样,相同的人群也会形成相近的消费习惯。取款主体的不同,他们的取款行为有明显的不同。
3.3 取款的地点
大部分人的生活的地点是固定的,那么他们消费的地点也是相对固定的。如果取款也会在同一个城市的相对集中的几个银行网点和ATM机上。绝大部分的消费也会集中在一个城市。当卡号和密码泄露后,用伪卡取款时,取款行为就发生在其他地点。通过取款地点也可以发现异常的取款行为。
3.4 取款的时间
一个发生在凌晨三点的取款很有可能是异常的取款行为。一个上班族大多是在不上班的时候取款。通过监测取款时间也可以发现异常的取款行为。
3.5取款的频率和月平均消费额
月平均消费额可以很好的记录持卡人的日常消费习惯。通过月平均消费额可以很好的追踪消费方式。当取款的金额都较小时,取款的频率就能很好地反映取款行为是不是异常。当一个卡号出现连续多次的正常范围金额的取款时,那么它也可能 是异常取款行为。能过月平均消费额就能发现是不是异常。
4 异常行为检测
异常检测可以在系统操作流程完成之前对潜在的危险和误操作进行报警,它是一种实时、基于行为的防护工具。异常检测就是检测数据中的离群点。离群点与正常的点不同,表现为与使用者正常的行为习惯不同。当不同于正常的行为出现时,就可以检测到异常。
对当前的数据,经过数据预处理后得到和挖掘模式相同的数据格式。通过取款金额、取款的主体、取款的地点、取款的时间及取款的频率和月平均消费额,这些属性是否在一定的取值范围内,就能判断是不是异常取款行为。
参考文献:
[1] 郑红艳,吴照林.用户行为异常检测模型[J].计算机系统应用,2009,18(8):190-192.
[2]Joshua S.Gans,Stephenp,King.Theoretical Analysis of Credit Card Reform in Australia[J].the Economic Record,2003(1):462-472.
[3] 邬书跃,田新广.基于隐马尔可夫模型的用户行为异常检测新方法[J].通信学报,2007,28(4):38-43.
[4] 张晴,丁鹏.银行卡业务异常数据分析方法的研究与实现[J].计算机工程,2004,30(z1):48-49,52.
[5] 陈文文.图书馆使用者行为模式的数据挖掘研究[D].西南大学,2007.
[6]朱智武,叶晓俊.数据库用户行为模型与异常检测[C].//2009国际信息技与应用论坛论文集,2009:167-169.