유우석

유우석

코딩일지

FDS(Fraud Detect System) 금융거래 사기거래 및 이상탐지

Updated:

  1. FDS
    • 구성요소
    • 이상탐지?

    • 알고리즘

  2. 구성요소

정보 수집 및 가공 -> 분석/탐지 -> 대응 -> 모니터링 및 감사

  1. 이상탐지?

FDS는 은행, 카드, 보험사등 구성 방식에는 차이가 있을 수 있지만 일찍이 도입하여 사용해온 기법이다.

크게 보면 오용탐지(Misuse)와 이상탐지(Anomaly)로 구분할 수 있다. 오용탐지는 거래정보들 중 사기에 해당하는 정보들을 사용하여 시그니처(룰)를 정의하고 이를 기반으로 사기와 비사기를 판별한다.(잘 알려지지 않은 사기패턴의 경우엔 발견이 어려운 이슈가 있어 이상탐지 방법을 사용해야 한다.)

이상감지(anomaly detection)는 데이터 분석의 관점의 의미로 용어를 분류한 것인데 학술적으로 데이터마이닝에 일부로 보고 있다. 상당히 오래전 부터 연구되어 왔지만 빅데이터와 더불어 비교적 최근에 다시 조명받고 있다. 시계열 분석의 일종이긴 하지만 통계학에서 말하는 시계열, 시퀀스 분석과 완전히 동일한 것이 아니라는 것에 주의한다. 이상감지는 이상한 패턴을 찾아내는 것이고 패턴이라는 말은 반복되는 모양, 위치와 같은 것도 있지만 시간의 흐름에서 과거의 흐름과 다르게 나타나거나 다수의 데이터의 흐름과는 다르게 나타나는 것을 찾는 것이다. 이상감지는 온라인, 오프라인 데이터 모두에 해당하지만 데이터를 주어진 시간내에서 가능한 빨리 수집해서 이상한 것을 감지해야하는 하므로 온라인, 오프라인 모두 실시간 또는 그에 준하여 데이터를 수집할 수 있는 환경에서 적용하는 경우가 많다.

대량의 정보(시스템 로그와 같은 것)들을 곧바로 사용하는 것은 어렵고, 정보의 양적 감소와 질적 향상을 위해 차원 축소를 이용한다.(Feature Selection, Feature Extraction)

정리하자면 이상탐지는 1)시계열 데이터에서 과거 시점의 패턴에서 벗어나거나 벗어나려는 징후가 있는 패턴을 찾아내는 것, 2)시계열이 아닌 것 중에 이상한 것을 찾는 것 두 가지로 구분이 된다.(아웃라이어 감지)

거래정보를 사기와 비사기로 태깅하고 두 영역을 학습하여 패턴을 추출한 이후 새롭게 입력되는 거래가 사기인지 비사기인지 판별하는 지도학습 의 방법과(사기에 관한 정보가 적고 태깅하기 어려움) 수집된 거래정보를 태깅하지 않고 시스템으로 하여금 분류하도록 한 이후에 새롭게 입력되는 거래의 특성을 비교하여 사기인지 비사기인지 판별하는 비지도 학습(태깅없이 진행하여 오탐률이 높을 수 있음), 마지막으로 두 가지 방법을 하이브리드로 사용하는 방법으로 사용된다.

오용탐지와 이상탐지 자체를 믹스하여 하이브리드로 사용한다면 알려지지 않은 사기패턴은 이상탐지로 판별, 상대적으로 높은 이상탐지의 오탐률을 오용탐지로 감소시키는 방법을 사용하는 것이 좋을 것이다.

  1. 알고리즘

주요 사용되는 머신러닝 알고리즘은 규칙 유도(Rule Induction), 랜덤포레스트(Random Forest),서포트벡터머신(SVM), 자기조직화맵(SOM), 은닉마코브 모델(HMM), 유전알고리즘(GA), 딥러닝(Deep Learning) 등이 존재한다.

  1. 비즈니스 분석(https://intothedata.com/02.scholar_category/anomaly_detection/)

비즈니스 분석에 있어서 이상감지는 대부분 데이터마이닝의 문제와 비슷하다. 관련된 현실에서의 이상감지와 관련된 문제를 찾으려고 하면 무궁무진하게 많다.

매출이 이전에 비해 떨어진 판매 채널

어떤 리테일(retail) 제품을 판매하는 회사의 특정 판매채널이 전에 비해서 또는 다른 판매채널에 비해서 매출이 증가했거나 감소했는지를 찾는다. 찾고난 후에는 문제가 무엇인지 확인하고 조치하는데 사용할 수 있다. 하지만 소비자에게 판매되는 것은 계절요인(seasonal components), 외생요인(external components)의 문제가 있기 때문에 쉬운 것은 아니다.

주문량이 이전에 비해서 증가한 거래처

  • 구매량이 이전에 비해서 증가 또는 감소한 품목
  • 다른 경쟁사로 이탈할 징후가 보이는 쇼핑몰 또는 서비스의 고객
  • 그 자체로는 문제가 없지만 다른 상품의 판매에 의해 영향을 받는 제품
  • 평소와 다른 공간 이동 패턴을 보이는 차량 또는 모바일 디바이스 사용자

컴퓨터 시스템 관리

컴퓨터 시스템 관리는 이상감지가 가장 잘 적용되어 왔고 이상감지를 많이 발전시킨 분야 중의 하나이다. 특히 서버, 스토리지, 네트워크 장비의 이상발생은 장애와 직결되고 장애는 매출 및 운영비와 직결되는 경우가 많기 때문이다.

  • 자원 사용량(메모리, 디스크IO, 네트워크IO 등)이 이전에 비해서 증가한 시스템
  • 접속이 없었던 IP주소들로부터의 시스템 접근량의 증가 (DDOS의 징후)
  • 지금은 문제가 없지만 이대로 간다면 틀림없이 다운될 것 같은 시스템 또는 - 시스템 클러스터
  • 온라인 서비스 관리
  • 이전에 비해서 증가한 로그인 실패 기록
  • 이전에 발생하지 않은 에러코드의 기록 또는 더 빈발해진 기록
  • 다른 사용자와 다른 이동패턴이나 접근 패턴을 보이는 사용자
  • 공정 관리
  • 불량품이 늘어날 것 같은 조짐이 보이는 공정
  • 현재 불량률은 차이가 없지만 후에 불량품이 대량 발생되어 리콜될 것 같은 - 제품 라인
  • 큰 고장이 발생할 것 같은 설비

보안

  • 기밀문서 불출 횟수가 상대적으로 증가한 직원
  • 임계치를 넘지는 않는 범위내에서 이전보다 증가한 보안 접근 실패
  • 사람의 접근이 거의 없는 지역에 이전보다 다소 증가한 통행량

Leave a comment

You may also enjoy