Решение графовых классификационных задач как инструмент обнаружения мошеннических банковских транзакций
Яковенко Е.С.1, Сушков В.М.1, Леонов П.Ю.1
1 Национальный Исследовательский Ядерный Университет «МИФИ»
Скачать PDF | Загрузок: 3
Статья в журнале
Информатизация в цифровой экономике (РИНЦ, ВАК)
опубликовать статью | оформить подписку
Том 5, Номер 2 (Апрель-июнь 2024)
Цитировать:
Яковенко Е.С., Сушков В.М., Леонов П.Ю. Решение графовых классификационных задач как инструмент обнаружения мошеннических банковских транзакций // Информатизация в цифровой экономике. – 2024. – Том 5. – № 2. – С. 231-244. – doi: 10.18334/ide.5.2.121050.
Эта статья проиндексирована РИНЦ, см. https://elibrary.ru/item.asp?id=71962587
Аннотация:
Растущий объём данных, используемых для принятия управленческих решений и развития бизнеса, требует использования новейших аналитических инструментов, отличающихся отказоустойчивостью, эффективностью и умением работать над задачами в специфических областях данных. В частности, структура банковских транзакций приводит нас к необходимости использовать не только стандартные реляционные методы хранения и обработки данных, но и более инновационный, графовый подход. В статье рассматривается возможность использования экспертных правил в сочетании с графовыми нейронными сетями в решении классификационных задач, таких как выявление мошеннических операций в массиве финансовых транзакций между банковскими счетами. Иллюстрируются возможности графовой базы данных ArangoDB по работе с графовыми топологиями данных, а также библиотеки Deep Graph Library для моделирования графовых нейронных сетей. Практические результаты настоящей статьи могут быть актуальны для исследователей и практиков в области бизнес-аналитики и разработки.
Ключевые слова: мошеннические операции, графовые базы данных, графовый анализ, графовые нейронные сети, ArangoDB, DGL
JEL-классификация: C80, L86, D58
Введение
Банки и иные финансовые институты в настоящее время сталкиваются со стремительно растущим объёмом клиентов, открытых продуктов и совершаемых банковских транзакций. Большой объём общего числа транзакций, а также инновационные методы сокрытия финансовых преступлений, включая мошенничество и отмывание преступных доходв, делает выявление таких преступлений очень трудоёмким даже при использовании автоматизированных средств анализа и продвинутого программного обеспечения.Опыт промышленных проектов последних лет показал, что графовая аналитика – действенное средство в выявлении подозрительных явлений в графоподобных системах [1] [2] (которыми в том числе являются банковские системы), а графовые алгоритмы машинного обучения и нейронные сети ничем не уступают традиционным методам, используемым при работе с «плоскими» данными, получаемыми из реляционных баз данных [3]. Наибольшая эффективность при работе с данными, представленными в виде графа, достигается при сочетании результатов, полученных после применения экспертных правил, и аналитической работы, проводимой графовыми нейронными сетями. На данный момент организации недостаточно осведомлены в возможностях и перспективах графовой аналитики. Вследствие этого целью исследования стала практическая реализация данного подхода. Был сгенерирован синтетический набор банковских транзакций, разработаны экспертные правила для применения, а также создана графовая модель, способная решать классификационные задачи в подобных системах.
Создание тестового набора данных
В опытно-промышленной эксплуатации аналитических приложений структура анализируемых данных диктуется бизнес-логикой протекаемых процессов и, как следствие, данных, полученных по результатам потоковой обработки. Такие данные зачастую содержат конфиденциальную информацию о пользователях, клиентах и деталях совершаемых ими действий, поэтому они никогда не публикуются в открытом доступе. Отсутствие наборов реальных данных вынуждает исследователей, не имеющих доступ к промышленной среде какой-либо компании, создавать «синтетические» наборы (synthetic datasets) для решения аналитических задач и использования в алгоритмах машинного обучения. При разработке синтетических данных важно, чтобы их содержание было близко к реальному миру. Например, если моделируется набор банковских операций, важно, чтобы такие данные наиболее точно отражали поведение реальных клиентов банка.Существует множество алгоритмов генерации синтетических наборов банковских транзакций; примерами являются алгоритмы PaySim [4], AMLSim, SynthAML [5]. В то же время, анализ таких алгоритмов выявил ряд неустранимых проблем, которые делают их использование невозможным, включая:
1. Отсутствие или недостаточность параметризации для создания необходимых нам типов и свойств транзакций;
2. Отсутствие адаптера для выгрузки данных в графовые базы данных в языке, на котором был написан алгоритм;
3. Непригодность алгоритма для создания графовой системы.
Вышеперечисленные факторы обусловили необходимость разработки нового алгоритма генерации банковских транзакций, результат работы которого можно применить при решении задач графовой аналитики. Данные будут включать в себя два набора: accounts – с информацией о счетах клиентов банка, и transactions – с информацией об операциях, совершаемых клиентами. Оба набора создаются в виде JSON-файлов, для упрощения выгрузки в качестве коллекций в графовую базу данных ArangoDB. Структура полей в наборах accounts и transactions представлена в таблицах 1 и 2 соответственно.
Таблица 1. Структура набора transactions. Составлено авторами
Наименование поля
|
Описание
|
tx_id
|
Уникальный номер транзакции
|
sender_id
|
Уникальный номер отправителя
|
receiver_id
|
Уникальный номер получателя
|
tx_type
|
Тип транзакции. Случайным образом выбирается из списка:
TRANSFER (перевод), CASH_IN (внесение
наличных), CASH_OUT (выдача
наличных)
|
tx_amount
|
Сумма транзакции
|
timestamp
|
Час, в который была совершена транзакция. Принимает
значение от 0 до 47 (генерируются транзакции за период 2 суток)
|
is_alerted
|
Флаг подозрительности операции. Принимает значение 1
или 0
|
is_fraud
|
Флаг того, что операция была мошеннической. Принимает значение
1 или 0. Не используется, но может быть использован при обучении на абсолютно
истинных данных – операциях, которые точно были мошенническими
|
Наименование поля
|
Описание
|
account_id
|
Уникальный номер счёта
|
start_balance
|
Исходный баланс на счёте. Использует в генерации
случайную величину, имеющую нормальное распределение со средним значением
2500 и стандартным отклонением 1000 (настраиваемые значения)
|
account_type
|
Тип счёта. Случайным образом выбирается из списка: DEBIT (дебетовый счёт), CREDIT (кредитовый счёт)
|
account_creation_dttm
|
Час создания счёта. Может принимать значение от -1000
(настраиваемое значение) до 47
|
При генерации синтетических данных мы используем конфигурационные параметры, в частности:
· NUM_ACCOUNTS – число счетов для генерации. Значение по умолчанию: 20;
· MAX_TX_IN_ONE_HOUR – максимальное количество операций между счетами в час. Значение по умолчанию: 30;
· MIN_TX_IN_ONE_HOUR – минимальное количество операций между счетами в час. Значение по умолчанию: 10;
· CREDIT_NEGATIVE_LIMIT – лимит по отрицательному остатку по счетам типа CREDIT. Баланс дебетовых счетов, в отличие от кредитовых, не может опускаться ниже 0.
Применение экспертных правил
В зависимости от требований бизнес-аналитики и технических ограничений, экспертные правила могут применяться к наборам данных в любой момент времени, а именно:1. Непосредственно при инкрементальной загрузке (в нашем случае – при генерации синтетического набора данных);
2. В целевом хранилище данных, куда они попадают после загрузки.
Первый вариант предпочтителен для быстрой обработки отдельно взятой операции, если пользователь уверен, что результат проверки не потребуется как ретроспективно, так и при анализе дальнейших операций; второй же, наоборот, удобен при необходимости агрегации данных и рассмотрения операции в контексте других, схожих с ней по каким-либо признакам, операций. В нашем приложении с помощью экспертного правила проверяется подозрительность операции, то есть ей выставляется значение флага is_alerted, равное 0 либо 1. Первый способ применения экспертного правила реализован как функция python, являющаяся частью модуля генерации синтетических данных, а второй – как AQL-запрос, выполняющийся для коллекций ArangoDB.
Экспертные правила, сформулированные для выявления подозрительных операций среди всего массива, следующие:
1. Сумма. Операция признаётся подозрительной, если:
a. Её сумма превышает 2500 для операций типа TRANSFER и 1000 для операций типа CASH_IN и CASH_OUT;
b. По результатам её проведения баланс счёта типа CREDIT становится отрицательным (для дебетовых счетов такие операции невозможны).
Проверка этих экспертных правил осуществляется непосредственно при генерации набора данных.
2. Частота. Операции признаются подозрительными, если их за один час было совершено более 3-х между одни и тем же отправителем и получателем. Применение данного экспертного правила требует агрегации данных по совершаемым транзакциями, поэтому может осуществляться только в целевом хранилище с данными, то есть в коллекции ArangoDB. В листинге 1 представлен AQL запрос, с помощью которого можно проверить транзакции на выполнение данного правила.
Листинг 1. AQL-запрос для проверки экспертного правила №2. Составлено авторами
FOR tx IN transaction
COLLECT sender = tx.sender, receiver = tx.receiver, dttm = tx.timestamp
INTO txGroup
LET txGroupSize = LENGTH(txGroup)
FILTER txGroupSize > 3
LET alerted_tx_ids = txGroup [*].tx.tx_id
FOR tx IN transaction
FILTER tx.tx_id IN alerted_tx_ids
UPDATE tx WITH {is_alerted : true} IN transaction
3. Новизна. Операция признаётся подозрительной, если была произведена со счёта, который был создан в тот же час или за час до произведения операции с этого счёта. Структура созданных нами синтетических данных позволяет проверить выполнение этого экспертного правила как и во время загрузки операций, так и в целевом хранилище. Однако предпочтителен последний вариант, поскольку проверка использует специфику хранимых данных, а именно их представление в виде коллекций рёбер и вершин. В листинге 2 представлен AQL-запрос для проверки данного экспертного правила.
Листинг 2. AQL-запрос для проверки экспертного правила №3. Составлено авторами
FOR acc IN account
FOR v_acc, e_tx
IN 1..1 ANY acc transaction
FILTER (e_tx.timestamp - acc.account_creation_dttm) <= 1
UPDATE e_tx WITH {is_alerted : true} IN transaction
По результатам применения экспертных правил некоторые операции были отмечены флагом is_alerted, что свидетельствует о возможности совершения мошеннических действий. На данном этапе возможна проверка этих операций аналитиками и выявления действительных фактов мошенничества, что позволит отметить их флагом is_fraud.
Использование графовой нейронной сети
Несмотря на простоту имплементации, экспертные правила обладают одним существенным недостатком: они не способны предсказать нестандартные паттерны поведения клиентов и новые схемы проведения мошеннических транзакций. Для повышения адаптивности и ускорения отклика в системах выявления мошеннических операций или операций, связанных с отмыванием преступных доходов, используются предсказательные модели, построенные на основе алгоритмов машинного обучения и графовых нейронных сетей.В отличие от стандартной реляционной модели, данные, хранящиеся в графовом представлении, имеют уникальную структуру: пары вершин, связанные между собой рёбрами. Графовые нейронные сети позволяют извлечь наибольшее преимущество из такой организации данных при помощи сообщений [6]. В контексте графов сообщением принято называть информацию, передаваемую по рёбрам от одних вершинам к другим. При этом, в зависимости от архитектуры нейронной сети, сообщения могут как являться агрегацией различных свойств различных элементов графа (как рёбер, так и вершин), так и изменять их.
Алгоритм построения графовой нейронной сети можно разбить на следующие шаги:
1. Определение входных и выходных данных.
Поскольку в созданном нами графе исследовать на подозрительность можно только транзакцию, но не счёт, перед нами стоит графовая задача классификации рёбер. Для построения графовой структуры и её интеграции с графовыми нейронными сетями в данной работе использована библиотека DGL – Deep Graph Library. ArangoDB имеет адаптер, позволяющий создать dgl граф из коллекций вершин и рёбер. При этом требуется спецификация метаграфа – структуры, с помощью которой можно принести вершины и рёбра и их атрибуты, избежав неоднозначности. В листинге 3 представлен данный метаграф.
Листинг 3. Метаграф для импорта коллекций ArangoDB в dgl граф. Составлено авторами
tx_metagraph = {
"vertexCollections" : {
"account" : {
"features" : {
"account_type" : CategoricalEncoder(mapping={
"DEBIT" : 0,
"CREDIT" : 1
}),
"account_creation_dttm" : IdentityEncoder(dtype=torch.int)
}
}
},
"edgeCollections" : {
"transaction" : {
"features" : {
"tx_type" : CategoricalEncoder(),
"tx_amount" : IdentityEncoder(dtype=torch.int),
"timestamp" : IdentityEncoder(dtype=torch.int)
},
"label" : "is_alerted"
}
}
}
Задаются единственные коллекции вершин (account) и рёбер (transaction); для обеих коллекций в поле features указаны атрибуты, которые, по нашему мнению, будут влиять на обучение и классификацию: тип и время создания счёта, тип, сумма и время совершения транзакции. При этом все категориальные переменные были преобразованы к числовому типу . Для коллекции рёбер указано также поле label – результат работы алгоритма классификации.
2. Создание модели.
Для решения классификационной задачи рёбер принято решение использовать графовую нейронную сеть, основанную на алгоритме SAGE [7]. Сам по себе алгоритм SAGEConv не использует атрибуты рёбер графа; его предназначение – агрегация информации о вершинах, соседних с данной, и последующая их нормализация. Таким образом, использование двухуровневой сети на основе SAGE позволяет адаптивно изменять значения атрибутов вершин исследуемого графа. Размеры слоёв нейронной сети определяются следующим образом:
· Количество нейронов во входном слое диктуется логикой работы SAGEConv. Так как данный алгоритм агрегирует информацию о вершинах графа, данный слой имеет 2 нейрона – размерность признакового пространства вершин;
· Включение в модель двух уровней сети SAGEConv требует наличия скрытого (промежуточного) слоя, размер которого задаётся при помощи конфигурационного параметра NUM_HIDDEN_FEATURES (по умолчанию он равен 20);
· В целях использования в обучении модели признакового пространства не только вершин, но и рёбер графа, в архитектуру сети добавлен класс DotProductPredictor; его задачей является создание сообщений на основе атрибутов вершин графа и исходящих из них рёбер, нормализация этих сообщений (для того, чтобы они находились в интервале от 0 до 1) и размещение их в атрибуте label. Поэтому выходной слой имеет три нейрона: для возможности конкатенации атрибутов рёбер и вершин графа они должны иметь одинаковую размерность.
3. Обучение модели.
Для обучения и для создания графовой нейронной сети используется библиотека torch, содержащую множество моделей нейронных сетей и оптимизаторов параметров. Выбран оптимизатор Adam – базовый оптимизатор, опирающийся на алгоритм градиентного спуска. Оптимизатор работает с множеством параметров нейронной сети, представленных в виде матриц; размер матриц при этом определяется размером слоёв сети: входного, скрытого, выходного. Стандартный алгоритм обучения нейронной сети в torch состоит из нескольких шагов:
1. Вычисление результативных признаков (в нашем случае – атрибута label) в одной итерации работы модели;
2. Вычисление функции потерь как среднего из разности квадратов предсказанных и реальных значений результативного признака;
3. Вычисление градиента на основе потерь и смещение параметров оптимизатора на величину градиента;
4. Повторение алгоритма.
Для остановки работы алгоритма введены два конфигурационных параметра: LOSS_TOLERANCE – минимально допустимое изменение в значении функции потерь, и MAX_NUM_STEPS – максимальное число итераций обучения.
Один из сеансов обучения сети остановился после 102 шагов, итоговое значение потери составило 0,2477. Таким образом, значения атрибута label рёбер графов были предсказаны сетью с точностью 75,23%.
Проблемы обучения и дальнейшего использования модели
Важно подчеркнуть разницу в методах обучения и дальнейшего применения обычных и графовых нейронных сетей. Она выражается в двух особенностях:1. Для набора данных, используемом при обучении GNN (сокр. от Graph Neural Network – графовая нейронная сеть), разбиение на обучающую, тестовую и валидационную выборки не является оптимальной стратегией, а иногда и вовсе невозможно. Это связано с тем, что сеть агрегирует информацию из вершин «по соседству», то есть вершин, отстоящих от данной не более, чем на k рёбер [8]. С одной стороны, чтобы убедиться во вхождении в обучающую выборку всех ближайших соседей избранных вершин, может потребоваться алгоритм со значительной вычислительной мощностью. С другой стороны, невключение таковых может привести к снижению качества обучения за счёт непредоставления полной оригинальной информации. Как следствие, графовая нейронная сеть, в отличие от обыкновенной, чаще всего обучается на всём объёме предоставляемых данных. Использование разделений на обучающую и тестовую выборки при этом может иметь смысл для вычисления функции потерь (такой подход используется во многих базовых архитектурах GNN), однако эксперименты над моделью, предложенной в данной работе, показали, что потери при классификации не отличаются значимо при использовании всех данных или лишь данных, отобранных в обучающую выборку;
2. Базовые графовые алгоритмы неспособны работать в инкрементальном режиме. Под инкрементальным режимом понимается способность использовать уже вычисленные параметры нейронной сети для предсказания значений в единичном режиме. Например, если известны веса в слоях стандартной нейронной сети, возможно передать в качестве входного вектора одну строку данных и получить на выходе предсказанные значения интересующих параметров, при этом не затрагивая сами значения весов. В свою очередь, графовые нейронные сети будут вынуждены провести полный пересчёт модели для решения единичной классификационной или регрессионной задачи, что значительно повышает их требовательность с точки зрения вычислительных ресурсов. Отметим, что существуют алгоритмы, позволяющие осуществлять инкрементальное обучение графовых моделей [9] [10]. Однако ни один из них не является «коробочным» решением и не может быть применен без адаптации при решении конкретной задачи, так как такие алгоритмы не являются частью самой модели, а должны применяться именно как надстройка над базовым алгоритмом обучения.
В целом, алгоритм обучения графовой нейронной сети состоит из следующих шагов:
1. Передача полного массива данных с вычисленными заранее значениями целевых переменных;
2. Обучение модели;
3. Сравнение значений целевых переменных до и после обучения и дальнейший анализ данных, в которых это значение изменилось;
4. Накопление достаточного объёма данных, ещё не знакомых сети, и повторение алгоритма.
Таким образом, в силу особенностей, описанных выше, алгоритмы GNN способны лишь дополнять классификационную задачу, решение которой начали другие алгоритмы. Именно поэтому в задачах графовой аналитики важно совмещать применение экспертных правил и нейронных сетей. С помощью экспертных правил можно задать фундамент из элементов графа, в истинности которых у пользователя есть наибольшая уверенность, тогда как применение алгоритмов GNN к этим элементам позволит выявить необычные закономерности и адаптироваться к постоянно изменяющимся данным, в том числе изменяя экспертные правила.
Заключение
В данной статье представлен инструмент для создания синтетических наборов данных, имитирующих банковские транзакции и поведение реальных клиентов. Рассмотрено практическое применение двух основных подходов графовой аналитики: использование экспертных правил и графовых нейронных сетей – для решения графовой классификационной задачи. Методики обучения и применения GNN значительно отличаются от стандартных нейронных сетей; однако, по нашему мнению, при правильной разработке и эксплуатации графовая аналитика не уступает стандартным методикам ни в производительности, ни в точности предсказаний, что позволяет современным компаниям использовать её для решения прикладных бизнес-задач, в частности, для выявления мошеннических банковских транзакций.Источники:
2. «Ингосстрах» внедрил в работу единую систему для автоматизированного мониторинга мошенничества. Ingos.ru. [Электронный ресурс]. URL: https://www.ingos.ru/company/news/2024/c210fa69-10d4-4617-0efb-08dc377fa046 (дата обращения: 20.03.2024).
3. Яковенко Е.С., Сушков В.М. Графовые базы данных как инструмент анализа финансовых операций на наличие признаков отмывания преступных доходов // Мси: 10 лет подготовки кадров для международной системы под/фт: Материалы IX Международной научно-практической конференции Международного сетевого института в сфере ПОД/ФТ. Москва, 2023. – c. 256-266.
4. Lopez-Rojas E.A. Applying Simulation to the Problem of Detecting Financial Fraud. Bth.diva-portal.org. [Электронный ресурс]. URL: http://bth.diva-portal.org/smash/record.jsf?pid=diva2%3A955852&dswid=-9594.
5. Jensen R.I.T., Ferwerda J., Jørgensen K.S., Jensen E.R., Borg M., Krogh M.P., Jensen J.B., Iosifidis A. A synthetic data set to benchmark anti-money laundering methods // Scientific Data. – 2023. – № 1. – p. 661. – doi: 10.1038/s41597-023-02569-2.
6. Циликов Н.С., Федосин С.А. Графовые нейронные сети // Инженерные технологии и системы. – 2012. – № 2. – c. 161-163.
7. William L. Hamilton, Rex Ying, Jure Leskovec Inductive Representation Learning on Large Graphs. Social and Information Networks. [Электронный ресурс]. URL: https://arxiv.org/abs/1706.02216.
8. Training mask not used in Pytorch-Geometric when inputting data to train model (Docs). Stackoverflow. [Электронный ресурс]. URL: https://stackoverflow.com/a/70594561/19713355 (дата обращения: 07.03.2024).
9. Lukas Galke, Iacopo Vagliano, Benedikt Franke, Tobias Zielke, Marcel Hoffmann, Ansgar Scherp Lifelong learning on evolving graphs under the constraints of imbalanced classes and new classes // Neural Networks. – 2023. – p. 156-176. – doi: 10.1016/j.neunet.2023.04.022.
10. Di Wei, Yu Gu, Yumeng Song, Zhen Song, Fangfang Li & Ge Yu IncreGNN: Incremental Graph Neural Network Learning by Considering Node and Parameter Importance. Springer.com. [Электронный ресурс]. URL: https://link.springer.com/chapter/10.1007/978-3-031-00123-9_59#Sec3 .
Страница обновлена: 08.10.2024 в 15:46:30