一、翼支付業(yè)務(wù)介紹

首先簡(jiǎn)單介紹一下翼支付，作為中國(guó)電信旗下的子公司，負(fù)責(zé)包括支付方案等金融板塊的工作。具體來(lái)看，翼支付主要有三大業(yè)務(wù)場(chǎng)景：支付場(chǎng)景、電商場(chǎng)景和信貸場(chǎng)景。

對(duì)于風(fēng)控領(lǐng)域來(lái)說(shuō)，其挑戰(zhàn)是業(yè)務(wù)中面臨的諸多風(fēng)險(xiǎn)。

首先是支付場(chǎng)景，常見(jiàn)的有欺詐類（涉及到賬戶盜用、銀行卡盜刷），還有洗錢(qián)類，犯罪團(tuán)伙會(huì)利用金融機(jī)構(gòu)來(lái)做洗錢(qián)的平臺(tái)，以及賭博套現(xiàn)類等。

第二個(gè)是電商場(chǎng)景。電商場(chǎng)景與之相應(yīng)的更多的是營(yíng)銷套利的風(fēng)險(xiǎn)，例如做發(fā)放補(bǔ)貼或者消費(fèi)券的工作時(shí)，補(bǔ)貼或消費(fèi)券存在被羊毛黨薅走，或者被虛假的交易盜用的風(fēng)險(xiǎn)。

第三個(gè)是信貸場(chǎng)景。信貸主要分兩種風(fēng)險(xiǎn)類型。第一類是信用類，是對(duì)人的借貸能力和還款能力的評(píng)估。第二類是欺詐類，信貸場(chǎng)景存在中介的團(tuán)伙欺詐或者惡意的騙貸行為，會(huì)對(duì)整個(gè)機(jī)構(gòu)和金融秩序造成非常大的影響。

我們的對(duì)手統(tǒng)稱為黑產(chǎn)。黑產(chǎn)從規(guī)模上來(lái)看，是一個(gè)具有千億黑產(chǎn)值和約 160 萬(wàn)的從業(yè)人員的團(tuán)體。從分工來(lái)看，整個(gè)黑產(chǎn)的鏈路分工明確，包括最底層的物料提供商，到技術(shù)的提供商，再到相關(guān)從業(yè)人員共同構(gòu)成了一個(gè)完整的鏈路。

黑產(chǎn)具有技術(shù)多樣，分工明確的特點(diǎn)。圖中是我們經(jīng)常遇到的一些黑產(chǎn)對(duì)手使用的設(shè)備，比如貓池、卡池、云手機(jī)，是為了大規(guī)模地注冊(cè)賬戶使用的。還有一些打碼平臺(tái)，可以自動(dòng)地識(shí)別驗(yàn)證碼。以及用來(lái)跑分的設(shè)備模擬器等。根據(jù)對(duì)手的不同形式，我們會(huì)從風(fēng)控的體系上做出針對(duì)性建設(shè)。

風(fēng)控作為一個(gè)整體的解決方案，不只有模型這一部分。我們從底層的數(shù)據(jù)加工到形成一套實(shí)時(shí)的風(fēng)控決策引擎，以及一些分析模塊、預(yù)警模塊和系統(tǒng)處置管理來(lái)共同完善整個(gè)金融業(yè)務(wù)流程中的風(fēng)控體系建設(shè)。

除了圖以外，當(dāng)今的很多 AI 技術(shù)已經(jīng)在風(fēng)控中有較好的應(yīng)用。比如 CV 領(lǐng)域做的視覺(jué)反詐。圖中左下的兩張圖是在實(shí)際業(yè)務(wù)中遇到的，在用戶準(zhǔn)入的時(shí)候，欺騙者會(huì)通過(guò)合成虛假的身份證圖像，或翻拍圖像來(lái)實(shí)現(xiàn)用戶的準(zhǔn)入。對(duì)此，CV 可以有針對(duì)性地應(yīng)對(duì)。

接著，是無(wú)監(jiān)督的能力，在電商場(chǎng)景下，很明顯的特點(diǎn)是數(shù)據(jù)通常是無(wú)標(biāo)簽的。對(duì)此我們有一套基于無(wú)監(jiān)督的黑產(chǎn)團(tuán)伙的挖掘方案。

同樣，有監(jiān)督的模型也會(huì)運(yùn)用在風(fēng)控中，比如 XGB，LGB 等模型是在欺詐或者信用場(chǎng)景下，有明確的樣本標(biāo)簽時(shí)使用的方法。

還有一類是聯(lián)邦學(xué)習(xí)的方法，從監(jiān)管的角度來(lái)看，對(duì)用戶隱私的保護(hù)和數(shù)據(jù)合規(guī)要求更加嚴(yán)格。模型的好壞，數(shù)據(jù)占很重要的成分。把更多的數(shù)據(jù)在安全的、合規(guī)的情況下使用起來(lái)，是我們基于聯(lián)邦學(xué)習(xí)的聯(lián)合建模的能力。

那么，為什么說(shuō)圖學(xué)習(xí)是風(fēng)控業(yè)務(wù)的重要解決手段呢？我們先來(lái)看兩個(gè)案例，這是我們?cè)跇I(yè)務(wù)中發(fā)現(xiàn)的兩種經(jīng)典黑產(chǎn)團(tuán)伙模式。第一類是大規(guī)模的團(tuán)伙（見(jiàn)左圖），考慮這個(gè)黑產(chǎn)團(tuán)伙以黃色點(diǎn)為中心節(jié)點(diǎn)，假設(shè)該節(jié)點(diǎn)是一個(gè)設(shè)備，我們就可以通過(guò)發(fā)現(xiàn)該設(shè)備登錄了很多賬戶來(lái)判斷其為異常節(jié)點(diǎn)。但是作為傳統(tǒng)角度識(shí)別方法來(lái)說(shuō)，可能就到此為止了，因?yàn)闊o(wú)法看到一個(gè)完整的圖結(jié)構(gòu)。在圖學(xué)習(xí)的視角中，一個(gè)完整的圖結(jié)構(gòu)中，黑產(chǎn)節(jié)點(diǎn)通過(guò)一些中間節(jié)點(diǎn)關(guān)聯(lián)到更大更多的團(tuán)伙，這是通過(guò)傳統(tǒng)的方法看不到的。

第二類是如右圖這種長(zhǎng)鏈路的團(tuán)伙。黑產(chǎn)是狡猾的，會(huì)與風(fēng)控做對(duì)抗攻擊。當(dāng)我們對(duì)單賬戶做了非常嚴(yán)格的限制，導(dǎo)致黑產(chǎn)不能做明確的攻擊時(shí)，黑產(chǎn)會(huì)轉(zhuǎn)換思路。在圖中，從藍(lán)色的節(jié)點(diǎn)來(lái)看會(huì)覺(jué)得這是個(gè)正常的用戶，因?yàn)樗哂蟹浅Ｉ俚年P(guān)聯(lián)。但當(dāng)我們做長(zhǎng)鏈路拓展的時(shí)候，就可以發(fā)現(xiàn)它們是通過(guò)這種細(xì)長(zhǎng)的環(huán)狀結(jié)構(gòu)彼此串聯(lián)在一起，是一個(gè)風(fēng)險(xiǎn)團(tuán)伙，會(huì)對(duì)業(yè)務(wù)進(jìn)行攻擊。

當(dāng)前黑產(chǎn)的特點(diǎn)，第一個(gè)是團(tuán)伙性。團(tuán)伙性帶給我們的挑戰(zhàn)是傳統(tǒng)規(guī)則模型以單主題為預(yù)警對(duì)象，并不能發(fā)現(xiàn)風(fēng)險(xiǎn)的全貌。第二個(gè)是隱蔽性。無(wú)論是規(guī)則體系也好，模型體系也好，都會(huì)有一個(gè)閾值，閾值之上的我們認(rèn)為是風(fēng)險(xiǎn)。黑產(chǎn)就會(huì)通過(guò)不斷地試探這種攻擊，對(duì)它的操作行為進(jìn)行包裝，讓我們難以識(shí)別，但其中也有難以隱藏的關(guān)聯(lián)關(guān)系，是可以通過(guò)隱蔽性挖掘進(jìn)行識(shí)別的，這是圖學(xué)習(xí)非常擅長(zhǎng)的。第三個(gè)是實(shí)時(shí)性，比如一個(gè)用戶被騙了，給黑產(chǎn)的轉(zhuǎn)賬是很快的。我們對(duì)轉(zhuǎn)賬的攔截需要做到更快的響應(yīng)。

二、翼支付圖風(fēng)控體系

簡(jiǎn)單來(lái)說(shuō)，以點(diǎn)邊為基礎(chǔ)單元構(gòu)成的數(shù)據(jù)是圖數(shù)據(jù)。比如金融業(yè)務(wù)中，賬戶，設(shè)備，銀行卡，身份證都可以是圖中的點(diǎn)。不同點(diǎn)之間的關(guān)系，包括轉(zhuǎn)賬關(guān)系，登錄關(guān)系，或者賬戶間的發(fā)紅包行為或者幫人助力等任何關(guān)系都是圖中的邊，共同構(gòu)成圖數(shù)據(jù)。

圖算法可以分成兩類。一種是基于圖論的傳統(tǒng)算法，像連通圖、Louvain、標(biāo)簽傳播和  PageRank 等。另一種是基于深度學(xué)習(xí)和神經(jīng)網(wǎng)絡(luò)圖算法模型。比如 Node2Vec、GCN、GAT、GraphSage 等基于深度學(xué)習(xí)的方法。

關(guān)于圖數(shù)據(jù)建設(shè)，我們使用分布式的圖數(shù)據(jù)庫(kù)來(lái)做數(shù)據(jù)的存儲(chǔ)。在支付、金融和通訊三個(gè)業(yè)務(wù)板塊，根據(jù)業(yè)務(wù)的需求建設(shè)不同體量的圖數(shù)據(jù)庫(kù)。

數(shù)據(jù)之上我們需要一套系統(tǒng)來(lái)承載更多的功能，因此，我們實(shí)現(xiàn)了一套整體的知識(shí)圖譜解決方案的開(kāi)發(fā)：翼支付云篆知識(shí)圖譜。它包括前端圖數(shù)據(jù)可視化的展示、基于圖譜的案例分析，基于圖的查詢管理功能。

如圖是翼支付圖譜的整個(gè)體系建設(shè)，對(duì)于底層數(shù)據(jù)，我們有對(duì)應(yīng)的圖譜構(gòu)建平臺(tái)。平臺(tái)之下是一套分布式的存儲(chǔ)系統(tǒng)，因?yàn)檫@種百億級(jí)的體量是需要分布式的方案來(lái)做的。接著會(huì)有整個(gè)應(yīng)用工具庫(kù)，工具庫(kù)主要是實(shí)現(xiàn)分析、路徑挖掘、檢驗(yàn)探索、可視化等功能。工具的底層是算法能力，包括傳統(tǒng)算法和深度算法的實(shí)現(xiàn)，用來(lái)作為支撐工具庫(kù)的基礎(chǔ)。我們把這套系統(tǒng)應(yīng)用在整個(gè)金融、支付和通信反查的業(yè)務(wù)當(dāng)中。

三、圖學(xué)習(xí)算法及應(yīng)用

我們有三部分算法體系，一是基于傳統(tǒng)圖論的方法，我們稱之為基于 SubGraph 的子圖挖掘。二是 MetaPath，是基于圖模式匹配的。三是基于深度學(xué)習(xí)圖神經(jīng)網(wǎng)絡(luò)（GNN）的。

首先介紹 SubGraph 子圖挖掘方法。這里舉兩個(gè)例子，通過(guò)左圖某大規(guī)模團(tuán)伙案例的可視化圖可以發(fā)現(xiàn)，黑產(chǎn)團(tuán)伙攻擊的行為具有規(guī)模大、破壞性強(qiáng)、隱蔽性高的特點(diǎn)。此外，我們?cè)谏a(chǎn)中發(fā)現(xiàn)這樣一個(gè)情況：在信貸業(yè)務(wù)中授信額度認(rèn)證環(huán)節(jié)，申請(qǐng)的人提交認(rèn)證照片的背景是非常相似的（見(jiàn)右圖），這就說(shuō)明它們是在同一個(gè)地方進(jìn)行的認(rèn)證，可以推斷出有很大可能性存在中介騙貸的行為。

那么，為什么要使用圖計(jì)算作為解決方案呢？

第一，從同質(zhì)性的角度來(lái)考慮，若一個(gè)節(jié)點(diǎn)和一個(gè)非法節(jié)點(diǎn)關(guān)聯(lián)密切，無(wú)論這個(gè)節(jié)點(diǎn)是人，設(shè)備，還是資質(zhì)都大概率是非法的。從傳播性的角度來(lái)說(shuō)，這是我們認(rèn)為可以用基于社區(qū)發(fā)現(xiàn)方法的重要前提。

第二，從稀缺性角度。用圖數(shù)據(jù)一定要保證它的數(shù)據(jù)上是存在關(guān)聯(lián)性的，關(guān)聯(lián)性的產(chǎn)生原因很重要的就是黑產(chǎn)資質(zhì)的稀缺性，比如身份證銀行卡，貓池卡池這種設(shè)備。對(duì)黑產(chǎn)來(lái)說(shuō)，為了降低作案成本，他們會(huì)把生產(chǎn)資質(zhì)做復(fù)用，比如不同的手機(jī)號(hào)去匹配不同的身份證注冊(cè)銷戶，再重新匹配注冊(cè)。這個(gè)過(guò)程中就難免留下一些綁定關(guān)聯(lián)關(guān)系。同樣，在洗錢(qián)或者詐騙中涉及到資金轉(zhuǎn)移，通過(guò)轉(zhuǎn)賬或商戶消費(fèi)一系列的行為，都一定會(huì)留下資金鏈路的蛛絲馬跡。因此，同質(zhì)性和稀缺性是我們做子圖挖掘的思路。

我們面臨的挑戰(zhàn)首先是將黑產(chǎn)識(shí)別全，然后是在于識(shí)別的效率。因?yàn)閷?duì)于風(fēng)控業(yè)務(wù)來(lái)說(shuō)，我們想實(shí)時(shí)攔截就要在毫秒級(jí)完成整個(gè)任務(wù)的響應(yīng)。因此我們的工作基于實(shí)時(shí)的子圖挖掘展開(kāi)，來(lái)滿足業(yè)務(wù)對(duì)實(shí)時(shí)性的要求。

下面介紹實(shí)時(shí)子圖劃分的方案，我們借助外置緩存 Redis 來(lái)滿足實(shí)時(shí)性的要求。方案的第一步，我們會(huì)基于離線數(shù)據(jù)將整個(gè)群組的劃分和初始信息的存儲(chǔ)好，再放一份到外置緩存中。接著，對(duì)于每日增量數(shù)據(jù)帶來(lái)的圖譜結(jié)構(gòu)的變化，分不同情況進(jìn)行對(duì)應(yīng)群組計(jì)算，保證 Redis 中群組編號(hào)為最新映射，從而降低圖譜本身群組計(jì)算的壓力。

對(duì)于群組劃分方案，如流程圖中所示，在更新實(shí)體時(shí)如果發(fā)現(xiàn)該實(shí)體為已屬于多個(gè)群組的實(shí)體，則對(duì)外置緩存進(jìn)行以下操作：添加新的群組到緩存中，合并所有該實(shí)體屬于群組，公式為：

RESULT_SET=SET_AMATCHED ∪SET_BMATCHED ∪?∪SET_NMATCHED

在業(yè)務(wù)中，我們有很多寶貴的專家經(jīng)驗(yàn)，我們要做的就是如何運(yùn)用好這些經(jīng)驗(yàn)來(lái)精準(zhǔn)地識(shí)別風(fēng)險(xiǎn)。通過(guò)充分利用圖數(shù)據(jù)庫(kù) AP 和 TP 的能力，我們實(shí)現(xiàn)了查詢的離線支持、實(shí)施規(guī)則推理的部署、實(shí)時(shí)的數(shù)據(jù)入圖、毫秒級(jí)響應(yīng)等功能。

接著我們來(lái)看這樣一個(gè)案例：營(yíng)銷行為中，營(yíng)業(yè)員故意隱瞞活動(dòng)信息，將高價(jià)值營(yíng)銷物品私藏，用低額轉(zhuǎn)賬代替，這是典型的活動(dòng)欺詐，同時(shí)，隨著營(yíng)業(yè)員反偵意識(shí)的提升，可能持有多個(gè)賬號(hào)，一個(gè)進(jìn)行辦理訂單另一個(gè)進(jìn)行轉(zhuǎn)賬，規(guī)避風(fēng)控檢查。對(duì)此，業(yè)務(wù)專家抽象出 schema 圖，圖中的每個(gè)流程看似正常，不過(guò)結(jié)合在一起就會(huì)發(fā)現(xiàn)符合業(yè)務(wù)專家經(jīng)驗(yàn)的欺詐風(fēng)險(xiǎn)模式。我們把這個(gè)模式抽象出來(lái)基于 Cypher 進(jìn)行表達(dá)，可以為整個(gè)庫(kù)上的實(shí)時(shí)查詢能力做支撐。

同樣，對(duì)于非技術(shù)背景的同學(xué)，我們也專門(mén)做了一個(gè)模塊，可以通過(guò)點(diǎn)選和拖拉拽操作，把想要的節(jié)點(diǎn)和模式勾選出來(lái)，從而實(shí)現(xiàn)進(jìn)一步的條件過(guò)濾和篩選，以提升工作效率。

在洗錢(qián)的場(chǎng)景下，會(huì)存在圖中這種分散轉(zhuǎn)出、集中轉(zhuǎn)入的模式，對(duì)于圖來(lái)說(shuō)，其的本身的查詢能力可以很好地勝任對(duì)異常結(jié)構(gòu)的描述。

我們基于業(yè)務(wù)經(jīng)驗(yàn)梳理出來(lái)異常的單元結(jié)構(gòu)，并在全圖上進(jìn)行統(tǒng)計(jì)。得到數(shù)據(jù)后我們可以做以下兩個(gè)工作：第一是異常檢測(cè)，將模型輸出的 Embedding 和其他的屬性拼接，去進(jìn)行分類或者聚類去判斷賬戶是否異常。第二是基于不同 Pattern Cnt 做用戶的風(fēng)險(xiǎn)的評(píng)分，再把這種評(píng)分輸入下游的機(jī)器學(xué)習(xí)分類任務(wù)，可以很好地提升已知的業(yè)務(wù)信息和已知其他的機(jī)器學(xué)習(xí)模型的推理的準(zhǔn)確率。

最后是基于 GNN 的方法，對(duì)于洗錢(qián)的案例，較難用一種固定的單一模式來(lái)描述，因?yàn)閷?shí)際業(yè)務(wù)中是千變?nèi)f化的。因此，問(wèn)題來(lái)了，對(duì)于非固定 pattern 的拓?fù)浣Y(jié)構(gòu)和屬性信息，應(yīng)該如何精確地表達(dá)識(shí)別呢？對(duì)此，我們想到了 GNN 的方法。GNN 最擅長(zhǎng)的就是我們把拓?fù)湫畔⒑蛯傩孕畔⒔Y(jié)合起來(lái)，需要面對(duì)的挑戰(zhàn)是在數(shù)據(jù)量非常大的部署 GNN 模型，比如在百億級(jí)的體量上直接跑一個(gè) GNN 的模型。如果是純內(nèi)存非分布式的方案，成本消耗將非常驚人，整個(gè)訓(xùn)練收斂難度非常大。

對(duì)此，這里有兩個(gè)思路，第一是利用支持 batch 的架構(gòu)。第二，是從降低數(shù)據(jù)上的思路上解決問(wèn)題，來(lái)篩選掉大部分的正常用戶。第三是基于用戶的行為 pattern，可以通過(guò)基于時(shí)間的劃分來(lái)觀察每個(gè)時(shí)間段用戶的行為分布的 pattern 來(lái)判斷洗錢(qián)者和正常人的區(qū)別。

如圖是我們整個(gè) GNN 的方案。首先是對(duì)圖做了切割，把大量正常用戶過(guò)濾掉，剩下的這一部分就是我們覺(jué)得有風(fēng)險(xiǎn)的用戶。從數(shù)據(jù)層面來(lái)說(shuō)降低了計(jì)算壓力。下面又分了三部分，第一部分是 GNN 的模型來(lái)產(chǎn)生用戶的評(píng)分。第二個(gè)就是基于資金折損的角度得到的用戶評(píng)分。第三部分就是基于用戶 pattern 得到的評(píng)分，求和后得到 Risk Score 整體洗錢(qián)風(fēng)險(xiǎn)的總分。

四、未來(lái)展望

最后想跟大家一起探討一下我們未來(lái)可能會(huì)有的應(yīng)用方向。

在數(shù)據(jù)方面。我們其實(shí)會(huì)有兩部分的需求。第一部分是大規(guī)模分布式的原生圖數(shù)據(jù)庫(kù)，因?yàn)橛脝螜C(jī)不可能承載這么大的數(shù)據(jù)量。第二部分是數(shù)據(jù)庫(kù)的實(shí)時(shí)插入和保持?jǐn)?shù)據(jù)一致性的能力以及時(shí)序圖數(shù)據(jù)能力，因?yàn)槿航M會(huì)隨時(shí)間維度信息變化，這種演化的時(shí)序信息在數(shù)據(jù)庫(kù)存好，才能為后面做更好的應(yīng)用。

在系統(tǒng)方面，我們會(huì)側(cè)重兩點(diǎn)。第一個(gè)是自動(dòng)規(guī)則挖掘。我們現(xiàn)在已經(jīng)可以很好地把專家的經(jīng)驗(yàn)通過(guò)人工的方式做挖掘，那么在我們構(gòu)建的圖業(yè)務(wù)數(shù)據(jù)中，自動(dòng)地挖掘出可疑的規(guī)則，來(lái)極大地降低人工工作量，是我們努力的方向。第二個(gè)是可解釋性的預(yù)警，對(duì)于金融機(jī)構(gòu)，面對(duì)的用戶的投訴監(jiān)管，整個(gè)檢出的準(zhǔn)確率可能受到質(zhì)疑。那么如何利用好圖的可解釋性，也是我們?cè)谙到y(tǒng)方面的挑戰(zhàn)。

在算法方面，第一是分布式的圖訓(xùn)練框架，基于 batch 的方式構(gòu)建。比如 DGL 或者 PyG，他們有很好的分布式訓(xùn)練框架方案，來(lái)真正實(shí)現(xiàn)工業(yè)界上大規(guī)模數(shù)據(jù)的訓(xùn)練。第二點(diǎn)是多模態(tài)異構(gòu)數(shù)據(jù)的融合，我們現(xiàn)在更多依賴 node attribute 信息，未來(lái)還有一些基于 NLP 的信息，怎么把這些信息融合到一個(gè)框架里面來(lái)做 GNN 訓(xùn)練，更好更全面地識(shí)別風(fēng)險(xiǎn)，也是會(huì)一個(gè)很好的方向。第三塊就是圖的聯(lián)邦學(xué)習(xí)，圖聯(lián)邦重要在于關(guān)聯(lián)性的構(gòu)建，如何在數(shù)據(jù)彼此不完整的情況下，把這種各方的關(guān)聯(lián)性的數(shù)據(jù)基于聯(lián)邦學(xué)習(xí)的方式融合到一起，也是我們探索的方向。最后一點(diǎn)是對(duì)監(jiān)管的要求。我們監(jiān)管上做了很多的工作，包括行業(yè)的一些風(fēng)控和金融算法的認(rèn)證和標(biāo)準(zhǔn)的制定工作，對(duì)于對(duì)抗攻擊的魯棒性，對(duì)用戶隱私的保護(hù)，對(duì)算法公平性的保障等，這同樣是我們未來(lái)的一個(gè)大的趨勢(shì)。

翼支付這些年在 AI 領(lǐng)域做了一些積累，如果有同學(xué)或者公司對(duì)此感興趣，我覺(jué)得我們可以一起來(lái)探索。

五、問(wèn)答環(huán)節(jié)

Q1：GNN 有和 GBDT 這種樹(shù)模型融合嗎？有沒(méi)有相應(yīng)的落地經(jīng)驗(yàn)？

A1：有的，一般做法就是在 GNN 的最后一層，也就是 Embedding 之后的那一層的向量，拿出來(lái)作為節(jié)點(diǎn)特征信息的補(bǔ)充方案來(lái)和 GBDT 做融合以實(shí)現(xiàn)分類任務(wù)。

Q2：在 GNN 反洗錢(qián)的圖中，實(shí)體和邊大概是個(gè)什么量級(jí)？

A2：為了使服務(wù)端的壓力減小一些，我們首先會(huì)盡可能把大量的正常用戶過(guò)濾掉，最后實(shí)際用于 GNN 的大概是百萬(wàn)級(jí)的量級(jí)。