一、项目背景

近年来，电信诈骗案件频发，给社会和银行客户带来了巨大的经济损失，同时，犯罪团队逐渐隐蔽化、团伙化、专业化，日益演化成一条分工明确、结构完整的成熟产业链，给电信诈骗的防控工作带来了前所未有的挑战。据报道，2022年全国电诈损失总金额高达2万亿，2023年依旧超万亿。在此背景下，我行积极响应国家反诈号召，致力于通过先进的数据挖掘、机器学习和图计算技术，构建了一套“规则+模型 +知识图谱”的三层智能防控体系，以保护客户资金安全，维护金融秩序稳定。

二、需求分析

1.模型粒度

模型需覆盖账户和交易两个层面。首先，需要从账户角度出发，识别高风险涉案账户，并进行管控；其次，需要从交易角度，实时监测和拦截可疑交易，实现高效精准防控；最后，从关联关系角度，通过知识图谱挖掘跨账户、设备、网络等关联关系，实现对犯罪团队的挖掘。

2.模型输出目标

根据模型的底层方法、运行方式和业务场景的不同，会输出不同的关键信息，以下是不同场景下，模型的输出要素：

实时规则模型：该类模型用于运用在对风险交易进行实时拦截的场景，需要较强的可解释性，因此输出包括：结论、处置建议（仅拦截、冻结账户、账户限额等）、触发规则、运行指标、时间、基础入参等数据，同时在模型触发，进行交易拦截后，会同步下发预警流程至网点进行核实。

离线机器学习模型：该类模型主要运用在涉案账户事后的识别和管控上，有一定可解释性要求，因此主要输出包括：账户、风险系数、分类、重要特征、时间。

离线图模型：该类模型主要基于关联关系识别风险关联账户，识别结果会推送给开户机构进行分析，输出要素包括：账户、关联账户、风险类型、传导系数等。

3.模型调度周期

根据不同模型、算法的执行性能和效果，模型的调度周期分为实时和离线两个调度周期，具体包括：

实时：针对具备良好的执行性能，能够支持毫秒级响应时效的模型（规则模型为主），实时嵌入到每一笔交易过程中，实现风险实时的识别、预警和阻断。

离线：针对执行性能稍差或需要进行大规模数据计算的模型，如：机器学习模型、图模型等。采用每日更新一次，作为实时模型的补充，提升整体风险事件识别的覆盖率。

同时，会不定期回溯模型运行的历史数据，分析最新的通报案例，针对新的犯罪手法和特征，对模型持续进行更新。

三、创新点

采用“规则+AI模型+知识图谱”的三层智能风控体系，结合多种建模方法。首先，基于专家经验构建规则模型，对明显的异常交易进行实时拦截；其次，运用机器学习算法（如逻辑回归、随机森林、XGBoost等）构建分类模型，整合行内所有数据，对复杂的风险特征进行学习和识别，实现T+1风险预警；最后，利用图算法构建知识图谱，挖掘账户之间的关联关系，识别团伙作案等复杂风险场景。

体系中的各个部分互相联动，AI模型在迭代过程中，通过实时变量检测持续输出高价值特征变量反哺专家规则，专家规则也会结合人工校验对AI模型的训练进行矫正，实现同步优化。另外基于知识图谱可以有效挖掘关联关系特征变量以及团伙或黑产社群等辅助判断指标，同样可以作为模型变量用于AI模型训练，进一步提高AI模型的甄别范围，信息熵较高的特征或条件也会直接作用于专家规则。通过这样联动的方式形成动态的防控体系，识别效果随着不断使用会持续提升。

四、项目技术方案

1.样本规则

样本分为正样本和负样本。正样本来源于公安部门，下发的涉案账户及关联的具体涉案交易；负样本则通过随机抽取与涉案交易相同时间内的正常账户交易数据获得。同时，根据账户用途（如贷款账户、工资卡账户等）对样本进行分层，以构建针对性模型。

2.标签规则

账户维度以公安部门确认的涉案账户为正标签，以正常账户为负标签，具体为：

账户正标签：账户在公安下发名单中，用1表示；

账户负标签：账户不在公安下发清单中，用0表示；

交易维度，以公安部门下发的涉案账户，发生的具体涉案资金的进、出账交易为正标签，以非涉案账户或非涉案资金交易为负标签，具体为：

交易正标签：根据公安下发的涉案账户清单，结合下发时间、金额等数据，对涉案账户的交易流水数据进行分析，由相关业务领域专家，基于专家经验结合典型异常特征，人工标注出涉案资金的交易，为正标签，用1表示；

交易负标签：非涉案账号的交易或非涉案资金的交易，为负标签，用0表示。

3.规则模型构建

在进行规则模型构建时，包括下列主要过程：

特征提取：根据业务经验和数据分析结果，从专家经验对特征进行定性分析，同时，从IV、相关性系数、特征分布、PSI等进行定量分析，最终提取出高有效性特征；

确定阈值：基于历史数据分布情况，确定规则的阈值，制定出一系列规则，如“单笔交易金额大于50万元”“交易对手为陌生账户”“账户在短时间内频繁发生大额转账交易”等；

规则组合：再将多条规则组合形成模型，如“单笔交易金额大于50万元且交易对手为陌生账户且账户在短时间内频繁发生大额转账交易”等；

模型验证：通过样本数据对模型进行验证，统计模型的召回率、精确率，验证效果达标后，如：召回率>30%且精确率>1%，提交研发部署。

模型部署：部署在风控中台系统内，对所有交易进行实时监测，直接对满足规则的交易进行拦截。

4.机器学习模型构建

本次项目中，尝试使用逻辑回归、随机森林、XGBoost等多种算法进行训练，大致过程如下：

数据清洗：分析收集到的基础样本数据，对其中的异常值、缺失值等数据进行处理，具体包括：样本过滤，如：剔除无法关联的样本数据；数值转换，如：核心记账交易金额为负数，转换成正数；异常值处理，如：交易备注包含逗号，导致CSV解析异常，替换成中文；缺失值处理，交易对手名称为null时，用空字符串填充；缺失字段过滤，核心记录的交易对手银行所在地有大量缺失，去除该字段等等。

特征工程：首先，对基础字段通过维度交叉或时间窗口的方式进行加工，衍生出更多特征，如：近5天同金额进出账次数、近2天大额陌生交易次数、交易对手卡bin所在地等；其次，使用LabelEncode、One-Hot等方法，对分类字段进行标签编码，如：交易类型；再次，对交易金额、账户余额、累计金额、累计次数等连续特征进行分箱，以便模型识别特征的非线性关系，如：近2天交易次数分为十分频繁、频繁、低频、很低；最后，通过IV值、相关性系数分析特征的有效性，通过PSI等指标分析特征的稳定性，调选合适的特征入模。

模型构建：对特征进行归一化、标准化处理后，分别使用逻辑回归、随机森林、XGBoost等算法进行训练，通过交叉验证和网格搜索等方法优化模型超参，如：evak_metric、learning_rete、depth、l2_leaf_reg、loss_function等，提高模型的精确率和召回率。

模型验证：模型训练完成后，使用训练集初步验证模型的精确率、召回率、AUC，在初步验证通过后，保存训练好的权重。另外编写测试代码，加载权重，使用测试集数据进行进一步验证。

5.图知识图谱构建

数据入图：利用知识图谱技术，接入行内交易流水数据，辅助中心人员对发现的可疑客户线索，挖掘是否有关联交易对手等关联关系、相同IP交易客户，加强团伙作案线索的挖掘。

集成图算法：运用图算法、图模型、知识解析等知识图谱技术，构建反洗钱团伙识别、反洗钱线索挖掘、黑中介识别等模型，深挖黑灰名单的多层关系网络，进一步发现潜在风险。

五、项目过程管理

六、运营情况

在不同月份的数据测试中，模型的精确率和召回率波动较小，均在合理范围内，表明模型对不同时间、不同业务场景下的数据具有较强的适应能力。

通过特征工程构建了60余个特征，进行分析发现其中30个为有效特征，因保密性要求仅挑选部分行业内常用特征进行展示。

本次项目研发规则模型7套，其中4套已在系统内部署运行，3套在部署中，下图为我行通过系统内部署的规则模型，进行实时风险交易拦截的展示：

本次项目研发机器学习模型1套，通过T+1的方式离线运行，运行结果会发送给业务，由业务进行核实确认和处置。

本次项目研发图模型1套，通过T+1的方式离线运行，运行结果会提供可视化页面，同步会给业务发送消息提醒，由业务查看页面，结合其他数据判断是否确实可疑。

七、项目成效

穿透反诈的技术的纵深：融合专家规则、机器学习模型以及知识图谱关联推理，形成纵深反诈防御体系，反诈识别层级进一步提高，涉案资金拦截率提升至63.67%。

全场景生态覆盖：落地1154项规则，精准识别洗钱、非法集资、团伙诈骗等电信诈骗场景，接入公安、运营商、三方数据、行内信息等多个数据源，构建亿级实体关系的反诈生态图谱。高危账户识别半径扩大3倍。

风险账户精准狙击：通过三层防控体系，模型整体干扰率从行业平均的0.01%降至0.004%，避免正常用户交易摩擦。

毫秒级响应拦截：每日实时监测交易近400余万笔，实现了涉案交易的毫秒级拦截。

八、经验总结

本项目以“规则引擎+AI模型+知识图谱”三位一体为核心，分阶段推进智能反诈系统建设，实现技术攻关与业务落地的协同增效。

项目在需求调研阶段重点完成规则引擎动态拦截、AI模型风险评分、知识图谱关系挖掘等模块的技术可行性论证；在实施阶段通过三阶段迭代开发，逐步构建“实时拦截-深度分析-动态调优”的全链路能力：一阶段聚焦规则逻辑配置与监督学习模型训练，二阶段引入知识图谱实现资金网络穿透与团伙识别，三阶段打通模型反馈闭环，形成规则与AI的双向优化机制。项目通过团队协作，最终实现毫秒级交易风控响应、未知欺诈模式识别、跨层级资金链治理等突破，打造了“技术防御-数据洞察-业务运营”的自动化闭环，为金融机构建立可持续进化的智能风控体系提供实践范本。