【Flink银行反欺诈系统设计方案】7.反欺诈离线分析场景及代码实现

最新推荐文章于 2025-11-26 20:23:01 发布
原创 最新推荐文章于 2025-11-26 20:23:01 发布 · 684 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flink #大数据

【Flink银行反欺诈系统设计方案】7.反欺诈离线分析场景及代码实现

离线分析在反欺诈中用于对历史数据进行深度挖掘,识别复杂模式和长期行为异常。以下是5个典型场景及实现示例(基于 SparkPython)。

1. 场景1:团伙欺诈检测(共同IP/设备关联)

案例说明
  • 目标:识别同一IP或设备在短时间内被多个账户使用,可能为团伙作案。
  • 分析逻辑
    • 统计同一IP/设备在1天内关联的账户数。
    • 若超过阈值(如5个账户),标记为高风险。
代码实现
from pyspark.sql import SparkSession
from pyspark.sql.functions import count, col

# 加载交易数据
df = spark.read.parquet("hdfs://path/to/transactions")

# 按IP和设备分组统计账户数
grouped = df.groupBy("ip", "device_id") \
    .agg(count("user_id").alias("user_count")) \
    .filter(col("user_count") > 5)  # 阈值设为5

# 保存高风险IP/设备
grouped.write.parquet("hdfs://path/to/risk_ips_devices")
表设计
字段名类型说明
ipSTRINGIP地址
device_idSTRING设备ID
user_countINT关联账户数
dateDATE日期

2. 场景2:用户行为模式分析(交易时间分布异常)

案例说明
  • 目标:分析用户历史交易时间分布,发现异常时间段交易(如凌晨3点大额交易)。
  • 分析逻辑
    • 计算用户历史交易时间分布(小时级)。
    • 标记在低概率时间段(如凌晨)的大额交易。
代码实现
from pyspark.sql.functions import hour

# 计算用户每小时交易频率
user_hour_dist = df.groupBy("user_id", hour("timestamp").alias("hour")) \
    .agg(count("*").alias("count")) \
    .groupBy("user_id") \
    .pivot("hour") \
    .sum("count")

# 标记异常时间交易(凌晨3-5点)
anomalies = df.filter(
    (hour("timestamp").between(3, 5)) & 
    (col("amount") > 10000)  # 大额交易
).join(user_hour_dist, "user_id", "left")

anomalies.write.parquet("hdfs://path/to/time_anomalies")
表设计
字段名类型说明
user_idSTRING用户ID
hourINT交易小时
countINT交易次数
amountDECIMAL交易金额

3. 场景3:交易网络图谱分析(资金环检测)

案例说明
  • 目标:识别资金环形流动(A→B→C→A),可能为洗钱行为。
  • 分析逻辑
    • 构建交易网络图,检测环路。
    • 使用图算法(如强连通分量)识别环路。
代码实现
from graphframes import GraphFrame

# 构建交易图(边:payer → payee)
edges = df.selectExpr("payer_id as src", "payee_id as dst")
vertices = df.selectExpr("payer_id as id").union(df.selectExpr("payee_id as id")).distinct()

# 创建图对象
graph = GraphFrame(vertices, edges)

# 检测强连通分量(环路)
scc = graph.stronglyConnectedComponents(maxIter=10)
scc.filter(size(collect_set("id").over(Window.partitionBy("component"))) >= 3) \
    .write.parquet("hdfs://path/to/cycles")
表设计
字段名类型说明
payer_idSTRING付款方ID
payee_idSTRING收款方ID
amountDECIMAL交易金额
timestampTIMESTAMP交易时间

4. 场景4:历史交易异常聚合分析(金额突变)

案例说明
  • 目标:统计用户历史交易金额的均值和标准差,标记近期交易金额突增。
  • 分析逻辑
    • 计算用户历史交易金额的均值和标准差。
    • 标记近期交易金额超过均值3倍标准差。
代码实现
from pyspark.sql.window import Window
from pyspark.sql.functions import avg, stddev

# 计算用户历史均值和标准差
window = Window.partitionBy("user_id").orderBy("timestamp").rowsBetween(-100, -1)
stats = df.withColumn("hist_avg", avg("amount").over(window)) \
    .withColumn("hist_std", stddev("amount").over(window))

# 标记异常交易(当前金额 > 均值 + 3*标准差)
anomalies = stats.filter(
    col("amount") > (col("hist_avg") + 3 * col("hist_std"))
)

anomalies.write.parquet("hdfs://path/to/amount_anomalies")
表设计
字段名类型说明
user_idSTRING用户ID
amountDECIMAL交易金额
hist_avgDECIMAL历史均值
hist_stdDECIMAL历史标准差

5. 场景5:机器学习模型训练(欺诈分类)

案例说明
  • 目标:训练分类模型(如随机森林),预测欺诈交易。
  • 分析逻辑
    • 特征工程:提取用户行为特征(交易频率、金额分布等)。
    • 使用历史标签数据训练模型,预测新交易风险。
代码实现
from pyspark.ml.feature import VectorAssembler
from pyspark.ml.classification import RandomForestClassifier
from pyspark.ml import Pipeline

# 特征工程:聚合用户历史行为
features = df.groupBy("user_id").agg(
    avg("amount").alias("avg_amount"),
    count("*").alias("total_txns"),
    sum(when(col("is_fraud") == 1, 1).otherwise(0)).alias("fraud_count")
)

# 合并特征向量
assembler = VectorAssembler(
    inputCols=["avg_amount", "total_txns", "fraud_count"],
    outputCol="features"
)

# 训练随机森林模型
rf = RandomForestClassifier(labelCol="is_fraud", featuresCol="features")
pipeline = Pipeline(stages=[assembler, rf])
model = pipeline.fit(training_data)

# 预测并保存结果
predictions = model.transform(test_data)
predictions.write.parquet("hdfs://path/to/fraud_predictions")
表设计
字段名类型说明
user_idSTRING用户ID
avg_amountDECIMAL历史平均金额
total_txnsINT总交易次数
is_fraudINT欺诈标签(0/1)

总结

  • 离线分析场景:团伙检测、时间分布、网络图谱、统计聚合、机器学习。
  • 实现工具:Spark SQL、GraphFrames、MLlib。
  • 核心逻辑:通过批处理挖掘历史数据中的复杂模式,结合统计方法和算法增强欺诈检测能力。
金融风控大数据架构:实时反欺诈系统的技术实现
2502_91592937的博客
08-30 760
低延迟:交易决策需在用户等待时间内完成(如支付场景需<100ms),否则会影响用户体验;高吞吐量:应对峰值流量(如双十一、春节红包),需支持每秒百万级交易处理;高准确性:平衡“误报率”(正常交易被拦截)和“漏报率”(欺诈交易未被拦截),通常要求(取决于业务场景);数据多样性:需整合结构化数据(交易金额、时间、地点)、非结构化数据(用户设备指纹、文本聊天记录)、第三方数据(征信、黑名单)。实时反欺诈系统是金融机构应对新型欺诈风险的核心能力,其技术架构涉及大数据、机器学习、分布式系统等多个领域。
《必学干货!AI 应用架构师用 AI 技术构建反欺诈智能分析系统》
欢迎来到我的优快云空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
09-04 799
通过本文的实战,我们构建了一个完整的反欺诈智能分析系统,覆盖了数据 pipeline→特征工程→模型开发→实时决策→可视化的全流程。数据是基础:高质量的数据(实时+离线)是模型效果的保证,需要重视数据清洗和特征工程;模型是核心:组合多种模型(异常检测+分类+图模型),覆盖不同类型的欺诈;实时是关键:欺诈交易需要及时拦截,因此实时数据处理和实时决策引擎是必须的;可视化与监控是保障:让业务人员理解欺诈趋势,让技术人员及时发现问题,确保系统的可维护性。
Flink银行反欺诈系统设计方案】6.用户画像数据与反欺诈系统的关联思路
spark_dev的博客
03-07 1472
作为软件架构师,设计银行反欺诈系统与用户画像数据的关联方案时,需要结合用户画像的静态和动态特征,通过实时或离线分析增强欺诈检测的精准性和覆盖场景。以下是设计思路、案例说明及代码示例。
Flink银行反欺诈系统设计方案】5.反欺诈系统全生命周期设计
spark_dev的博客
03-05 1264
设计银行反欺诈系统需要构建一个覆盖事前、事中、事后的全生命周期闭环体系,结合实时检测、离线分析、动态策略调整与持续优化。通过以上设计,系统可实现从风险预防、实时阻断到持续优化的完整闭环,同时兼顾性能、安全与可维护性。:构建数据基础、特征工程、模型训练与策略预配置。:实时风险决策、拦截高风险操作、触发告警。:回溯事件根因、优化模型与策略。
Flink实时欺诈检测实战代码解析
weixin_36382073的博客
06-26 1097
Apache Flink 是一个开源的流处理框架,用于处理和分析实时数据流。Flink 设计之初就着重于低延迟、高吞吐量以及准确的事件时间处理。特征工程是数据科学中一个至关重要的步骤,它涉及从原始数据中提取和选择有效的特征,以提高模型的性能和效率。在欺诈检测的上下文中,特征工程的目标是创建能够有效区分正常交易和欺诈交易的指标。欺诈规则是根据业务知识和数据特征定义的一系列逻辑判断,用于识别潜在的欺诈行为。欺诈规则的定义通常涉及以下几个方面:阈值设定。
1、Flink1.12.7或1.13.5详细介绍及本地安装部署、验证
热门推荐
alanchanchn的专栏
07-04 7万+
本示例以1.12版本进行介绍,当前版本更新至1.17Flink 诞生于欧洲的一个大数据研究项目 StratoSphere。该项目是柏林工业大学的一个研究性项目。早期, Flink 是做 Batch 计算的,但是在 2014 年, StratoSphere 里面的核心成员孵化出 Flink,同年将 Flink 捐赠 Apache,并在后来成为 Apache 的顶级大数据项目,同时 Flink 计算的主流方向被定位为 Streaming, 即用流式计算来做所有大数据的计算。
反欺诈风控系统
07-25 9938
背景 互联网黑产攻击行为通常具有以下4个典型特点: 团伙化:黑产已经从单打独斗发展成了有组织的团伙,通过合理分工协同工作。 专业化:黑产上下游之间分工明确,相互协作,拥有大量的作案资源(身份证、银行卡、手机号、手机设备、IP等资源),并且部分从业者具有非常高的技术睡哦,精通各种自动化脚本编写,逆向破解等,甚至涉及和使用机器学习等技术。 强对抗性:黑产熟悉主流的风控技术手段,会根据业务实际情况不断试探、挑战和绕过现有的防护体系。 跨行业:黑产会在电商、广告、支付、旅行等多个平台流窜作案。 为了对.
某金融企业AI反欺诈的数字化创新架构:架构师的设计思路
AIGC应用创新大全的博客
08-02 1028
在金融科技迅猛发展的今天,欺诈手段的智能化、产业化与隐蔽化对传统风控体系构成严峻挑战。本文系统阐述了金融企业AI反欺诈数字化创新架构的设计方法论,从架构师视角构建了一套融合业务理解、技术实现与战略演进的完整知识体系。文章首先剖析了金融欺诈的演变规律与AI反欺诈的必然性,随后深入探讨了架构设计的理论基础与核心原则,提出了五维一体的创新架构模型(业务架构、数据架构、算法架构、应用架构、技术架构)。通过详细的组件设计、数据流分析与决策逻辑阐述,本文展示了如何构建兼具实时性、准确性与可解释性的AI反欺诈系统。
Java全栈金融风控系统实战:Spring Boot+TensorFlow+区块链构建智能风控平台——从实时反欺诈到压力测试的端到端解决方案
墨夶的博客
04-09 953
核心功能:TensorFlow实时推理、Flink流式计算、区块链审计、Spark特征工程关键技术:Java 8 Stream API、TensorFlow Serving、Hyperledger Fabric、Prometheus监控扩展性设计:支持多模型热更新、多链并行审计、弹性计算资源最佳实践建议性能优化:使用TensorFlow Lite进行模型量化,结合JVM内存调优(-XX:+UseG1GC)安全策略:实施交易签名验证、模型校验、审计日志不可篡改成本控制。
Flink CEP原理与代码实例讲解
AI天才研究院
06-08 954
Flink CEP原理与代码实例讲解 1.背景介绍 1.1 什么是复杂事件处理CEP 复杂事件处理(Complex Event Processing, CEP)是一种用于分析事件流的技术。它可以从多个事件源中实时检测复杂的事件模
Flink CDC系列之:Doris 模式工具类DorisSchemaUtils
zhengzaifeidelushang的博客
11-24 54
Flink CDC系列之:Doris 模式工具类DorisSchemaUtils
在 Kubernetes 上跑 Flink CDCSession 模式 + Operator 模式实战指南
hello.reader
11-25 429
Flink在Kubernetes上的部署与CDC实时同步实现 本文详细介绍了Flink在Kubernetes环境中的两种部署模式及CDC实时数据同步的实现方案。主要内容包括: 部署架构: 原生Kubernetes集成:JobManager/TaskManager以Pod形式运行,支持动态资源管理 Kubernetes Operator模式:通过CRD管理Flink集群生命周期 Session模式实现: 使用kubernetes-session.sh脚本创建Session集群 配置REST访问和Flin
Flink Standalone 集群上运行 Flink CDC从下载到跑起一个 MySQL→Doris 同步任务
hello.reader
11-25 931
本文介绍了如何在Flink Standalone模式下快速搭建CDC数据同步环境,实现MySQL到Doris的实时数据同步。主要内容包括:1)Flink Standalone集群的安装部署;2)Flink CDC独立包的配置方法;3)通过YAML文件定义MySQL到Doris的同步流水线;4)任务提交和监控方法。文章还提供了生产环境实践建议,如server-id管理、权限配置、时区设置等,帮助用户快速构建稳定可靠的CDC数据同步系统。
在 YARN 上跑 Flink CDC从 Session 到 Yarn Application 的完整实践
hello.reader
11-25 1179
本文介绍了Flink CDC在YARN集群上的两种运行模式:Yarn Session模式和Yarn Application模式。Session模式适合开发调试,先启动长期运行的Flink集群再提交作业;Application模式更适合生产环境,每个作业独立启动专属集群,提供更好的资源隔离。 文章详细讲解了环境准备步骤,包括YARN集群验证、Flink安装配置和Hadoop类路径设置。针对MySQL到Doris的数据同步场景,提供了配置文件示例和两种模式的作业
Flink Checkpoint 和 Spark Checkpoint 的区别
好记性不如烂笔头
11-23 928
更像一个“它主要目的是,避免因链路过长导致的性能问题或 StackOverflowError。它是一个** coarse-grained(粗粒度)** 的、的、的容错机制。:是一个“它是 Flink,用于在发生故障时,将整个分布式数据流状态恢复到一致性的检查点,实现或 At-Least-Once 语义。它是一个的、的、的容错机制。简单来说,Spark Checkpoint 是为了解决 RDD 带来的内部问题,而 Flink Checkpoint 是对外提供容错保证的核心特性。
Flink CDC 用 PolarDB-X CDC 实时同步数据到 Elasticsearch
Loving_enjoy的博客
11-23 144
在实际应用中,记得根据你的具体业务需求调整配置和优化策略。PolarDB-X 的 **CDC(Change Data Capture)** 组件,也称为**日志节点**,是 PolarDB-X 实例的一个可选子集群。而 **PolarDB-X** 作为阿里云开发的分布式数据库,其 **CDC 组件**能够输出全局 Binlog,为数据同步提供了稳定可靠的数据源。- **数据一致性**:PolarDB-X 的全局 Binlog 保证了分布式环境下数据变更的**全局一致性**,为数据同步提供了可靠基础。
轻量级 CI/CD 实战(四):本地开发钉钉告警 → 自动部署云服务器 Kafka 消费者容器
m0_74234518的博客
11-24 929
摘要:轻量级 CI/CD 实现 Kafka 消费者容器自动化部署与钉钉告警 本文介绍如何在现有轻量级 CI/CD 流程中,为 Kafka 消费者容器新增钉钉告警功能并实现自动化部署。通过改造 Git Hooks 的 post-receive 脚本,实现代码推送后自动构建 Docker 镜像、替换运行中的容器。关键点包括:1) 本地开发时通过环境变量管理钉钉 Token;2) 使用异步线程发送告警避免阻塞主流程;3) 服务器端通过安全文件存储敏感信息;4) 全自动化部署流程覆盖镜像构建、容器替换等环节。整个方
Spark SQL 简介
好记性不如烂笔头
11-23 706
Spark SQL 是 Spark 用于结构化数据处理的模块,对于开发人员来讲,Spark SQL 可以简化 RDD 的开发,提高开发效率,且执行效率非常快,所以实际工作中,基本上采用的就是 Spark SQL。Spark SQL 为了简化 RDD 的开发,提高开发效率,提供了两个编程抽象,类似 Spark Core 中的 RDD。即 DataFrame 和 DataSet。
hive-----广电大数据分析
最新发布
2401_87586917的博客
11-26 642
1.创建存储格式为TextFile的观看历史表text_see和用户信息表text_user(用于存储原始数据)。并创建存储格式为ORC的表orc_see和orc_user。12. 对orc_see表按照用户Group By聚合,然后统计组内的时长即可。3. 用户信息文件userevents.txt存储在本地系统/opt/datas目录下,将其导入表text_user中。5. 将表text_user中数据加载到表orc_user中。4. 将表text_see中数据加载到表orc_see中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值