Большинство систем защиты от мошенничества работают примерно так: берут одну транзакцию, смотрят на неё и решают – подозрительная она или нет. Это разумный подход, но у него есть принципиальное ограничение. Мошенничество редко проявляется в отдельной точке; оно содержится в связях.
Один и тот же номер телефона, зарегистрированный на десяток аккаунтов. Одно устройство, с которого совершаются операции от имени разных людей. Сеть карт, связанных через общие адреса доставки. Если смотреть на каждый случай изолированно – всё выглядит чисто. Но стоит увидеть картину целиком – и схема становится очевидной.
Именно здесь в игру вступают графовые нейронные сети, или GNN.
Граф – это не диаграмма с осями и столбиками. В математике и программировании граф – это набор объектов (их называют узлами) и связей между ними (рёбра). Проще говоря: точки и линии между ними.
Например, банковская транзакция – это связь между двумя узлами: отправителем и получателем. Аккаунт пользователя может быть связан с устройством, IP-адресом, электронной почтой, номером телефона. Все эти связи можно представить в виде графа – и тогда вместо разрозненных данных мы получаем сеть отношений.
Графовые нейронные сети умеют работать именно с такими структурами. В отличие от обычных моделей машинного обучения, которые анализируют строки таблицы независимо друг от друга, GNN учитывают контекст: кто с кем связан, как часто, насколько необычна эта связь по сравнению с остальными.
Почему обычные модели не справляются
Классические подходы к обнаружению мошенничества (логистическая регрессия, деревья решений, градиентный бустинг) хорошо работают, когда признаки транзакции описываются набором чисел: сумма, время, геолокация, история операций. Но они практически слепы к структурным паттернам.
Представьте: один аккаунт совершает вполне обычную транзакцию. Сумма небольшая, время нормальное, история чистая. Модель пропускает её. Но если посмотреть на граф – окажется, что этот аккаунт связан с двадцатью другими, которые все были заблокированы за мошенничество неделю назад. Без графа эта информация невидима.
GNN позволяют модели «смотреть по сторонам» – учитывать не только свойства конкретного узла, но и то, в каком окружении он находится. Это называется агрегацией соседей: модель собирает информацию от узлов поблизости и использует её для оценки текущего.
Как это работает на практике
Допустим, финансовая компания строит граф, где узлы – это пользователи, карты, устройства, IP-адреса и транзакции, а рёбра – это связи между ними (кто пользовался каким устройством, какая карта участвовала в какой транзакции и так далее).
GNN проходит по этому графу и для каждого узла формирует численное представление – своеобразный «портрет» с учётом всего его окружения. Потом эти представления используются для классификации: мошенничество или нет.
Ключевое преимущество – модель учится не на изолированных примерах, а на структуре. Если в обучающих данных мошеннические аккаунты часто объединены через общие устройства, модель запомнит этот паттерн и будет искать его в новых данных – даже если конкретные значения изменились.
Это особенно ценно, потому что мошенники адаптируются. Они меняют имена, адреса, карты. Но полностью скрыть структуру связей значительно сложнее.
Несколько типов задач, где GNN уже применяются
Графовые нейронные сети используются в антифроде сразу в нескольких сценариях.
Обнаружение аномальных узлов. Модель помечает конкретный аккаунт или карту как подозрительные – на основе их места в графе и свойств соседей.
Обнаружение аномальных связей. Иногда подозрение вызывает не сам объект, а конкретная транзакция между двумя объектами – например, нетипичная по сумме или направлению в контексте всей сети.
Обнаружение подозрительных подграфов. Это уже уровень выявления организованных схем: когда несколько узлов и рёбер вместе образуют структуру, характерную для скоординированного мошенничества – например, дропперских сетей или кольцевых переводов.
Что мешает внедрению
При всей привлекательности подхода у GNN есть реальные сложности, которые важно понимать.
Масштаб. Финансовые графы огромны. Миллионы пользователей, миллиарды транзакций. Обучать и применять GNN на таких объёмах – технически непросто и дорого. Требуются специальные методы выборки и оптимизации, чтобы модель вообще могла работать в реальном времени.
Разметка данных. Чтобы обучить модель, нужны примеры мошенничества. Но мошеннических случаев в данных – меньшинство, и их не всегда легко правильно разметить. Работа с несбалансированными данными – отдельная задача.
Объяснимость. В финансовой сфере важно не просто получить ответ «мошенничество», но и объяснить, почему модель так решила. Регуляторы, юридические требования, внутренние процессы – всё это требует прозрачности. GNN в этом плане сложнее, чем, скажем, дерево решений, где можно буквально проследить логику по шагам.
Динамика графа. Граф меняется постоянно: новые пользователи, новые транзакции, новые связи. Модель нужно либо регулярно переобучать, либо использовать подходы, которые умеют работать с изменяющейся структурой в реальном времени. Это добавляет сложности в архитектуру системы.
Это не замена старому, а расширение
Важно не воспринимать GNN как волшебную замену всему, что было раньше. На практике графовые нейронные сети чаще всего встраиваются в уже существующие антифрод-системы как дополнительный сигнал, а не как самостоятельное решение.
Классические модели по-прежнему хорошо работают с табличными признаками и быстро выдают результат. GNN добавляет к этому структурный контекст. Вместе они дают более полную картину, чем каждая по отдельности.
Некоторые компании идут дальше и строят гибридные архитектуры, где графовое представление объединяется с временными рядами транзакций или текстовыми данными. Но это уже более сложные случаи, требующие значительных ресурсов и экспертизы.
Почему это актуально именно сейчас
Мошенничество становится сложнее. Схемы более координированы, атаки более таргетированы, а злоумышленники всё лучше умеют мимикрировать под нормальных пользователей. Стандартные правила и пороговые значения справляются хуже – их слишком легко обойти, зная, как они устроены.
При этом объём данных, которые финансовые компании накапливают о своих пользователях, растёт. И в этих данных всё больше информации именно о связях: кто с кем взаимодействует, через какие каналы, в какой последовательности.
Графовые нейронные сети – это способ извлечь смысл из этих связей. Не идеальный, не универсальный, но заметно более мощный в задачах, где суть проблемы скрыта именно в структуре отношений, а не в отдельных числах.
Если коротко: мошенники давно работают сетями. Теперь модели, которые их ловят, тоже начинают думать сетями. 🔍
