大数据时代反洗钱工作的智能化发展之道(下)

发布时间:2018-12-13

    随着电信诈骗、贪污腐败、非法融资、走私贩毒甚至恐怖活动等犯罪行为的日益猖獗,洗钱已经从一种资金转移手段发展成了一种独立的犯罪行为,对金融机构和国家安全构成越来越严重的威胁。据国际货币基金组织统计,全球每年非法洗钱的数额约占世界GDP的2%至5%,介于6000亿至1.8万亿美元之间,且每年以1000亿美元的数额不断增加。在当前经济全球化、资本流动国际化的情况下,洗钱活动对国家金融体系的安全、对政治经济秩序的危害极大。2003年3月,中国人民银行发布了《金融机构反洗钱规定》《人民币大额和可疑交易报告管理办法》和《金融机构大额和可疑外汇资金交易报告管理办法》,明确提出了对银行类金融机构的反洗钱监管要求,确立了我国反洗钱报告和反洗钱信息监测制度的基本框架。为履行反洗钱职责,经国务院批准,人民银行于2003年9月成立了反洗钱局,并于2004年4月,组建了中国反洗钱监测分析中心,负责反洗钱情报的接收和分析工作。

 

    中国银联作为国内唯一的银行卡组织,处于银行卡产业的核心和枢纽地位,是实现银行卡系统互联互通的关键,在对洗钱资金进行全链条跟踪监测、完善反洗钱可疑交易协查信息共享机制,提升我国支付行业反洗钱监测工作的有效性上,发挥着重要作用。中国银联根据《银行卡组织和资金清算中心反洗钱和反恐怖融资指引》(银发〔2009〕107号)要求,利用智能风控技术和大数据平台,基于银联跨行交易清算系统(CUPS)建立了反洗钱可疑交易智能化监测分析报送体系,对洗钱和恐怖融资资金跨行转移进行事前、事中、事后全方位的监测现代金控。

 

    尽管反洗钱工作已经受到了各方政府和现代金控金融机构的高度关注,但由于洗钱手段的的复杂性和多变性,如何有效检测洗钱活动仍然是一个巨大挑战。当前,绝大多数反洗钱系统仍然是基于规则的。这些反洗钱规则虽然能够帮助发现一些异常的洗钱行为,但毕竟大多是根据历史数据总结出来的,过于依赖人工经验,难免疏漏。而且犯罪分子也多多少少掌握了一些反洗钱规则,故意地去规避,这样系统就难以识别了。更加重要的是,当前的洗钱活动往往涉及到团伙犯罪,而反洗钱规则只适用于识别单个账户的洗钱行为,对隐藏在金融交易网络中的洗钱团伙却无法识别。

 

    在这样的背景下,本文提出了一系列针对反洗钱工作的复杂网络以及人工智能创新算法,通过对这些算法进行有效整合,形成一套高效的异常资金转移活动监测方案。本文以银联现有大数据资源为基础,对海量跨行交易数据进行深入挖掘,详实论证了该方案在帮助数据分析人员更加高效监测洗钱行为上的可行性,极大的提高中国银联反洗钱监测分析工作的效率和有效性,从而更好地履行反洗钱的责任。

    一、基于异常交易团伙识别的智能反洗钱技术

    每天数千万笔的交易量,如何在不依赖已知案件的情况下有效筛选出洗钱风险较高的交易团伙一直是一个难题。对此,本课题从复杂网络的异常交易结构入手,通过对异常交易进行风险量化,从而发现高可疑度的洗钱团伙,为后续集中力量开展洗钱调查打下坚实基础。整体的技术框架如下。

图1异常交易团伙识别智能反洗钱技术框架

    1异常转账结构发现技术

    目前,基于海量转账交易,我们能够主动寻找到一些模式化的的异常资金结构,类举如下:

  •     频繁汇入/汇出
  •     链式交易结构
  •     集中转入/分散转出
  •     分散转入/集中转出
  •     环状交易结构
  •     其他复杂异常交易结构

    下图是我们发现到的对应的异常转移结构的一些示例图。

图2从交易网络中识别出来的部分可疑交易结构示意图

    我们主要采用Spark大数据平台进行处理运算。这里的交易图的节点仍然是参与转账的节点,不过由于目的是发现异常洗钱团伙,因此我们对同一对账号之间的交易边进行了融合,交易金额和频次采用累加和作为融合后属性,交易时间采用平均值度量。以上功能使用groupEdges函数即可轻松实现。交易边融合完成后,根据统计得到的频次信息,依照《金融机构大额交易和可疑交易报告管理办法》的相关规定,即可快速定位相关的频繁汇入/汇出异常结构。

    对于分散/集中转入/转出这类的异常交易结构,我们主要采用基于阈值过滤的算法。首先我们发现交易图中存在大量转账孤岛(即两账号节点之间仅发生互相转账而与其他账号没有任何转账关系),因此,我们可以事先过滤掉这些转账孤岛,过滤后的节点规模至少缩减一半以上。接着,我们可以根据前期反洗钱经验,设定相应的阈值,将洗钱风险度极小的交易边给删除,例如两账号之间的交易金额小于一定阈值的边全部过滤,这样一来,很多原本非常复杂的交易网络就被缩减甚至拆分。对于中心交易节点来说,一定是入度较小,出度较大。这时,我们只需要设定相应的阈值,比如入度<θ1&&出度>θ2,而对于分散转入/集中转出的模式则条件正好相反。根据此类条件筛选出可疑的节点,寻找出与这些可疑节点的相关交易,便有可能发现相关的异常洗钱模式。而对于环状交易结构,我们使用了基于Tarjan和Kosaraju算法来寻找环状强连通子图,再结合相应的阈值过滤即可得到相应的异常结构。

    然而,根据大量的实战分析,我们发现符合这类条件的账号不在少数,但是真正的洗钱交易往往还存在一些其他的潜在特征。这时,我们就需要再额外地添加约束条件,使得调查范围缩减到可控的范围内。一个常见的约束条件就是中心点折损率(转出金额/转入金额)。一个负责洗钱的中介节点,往往都是起过渡作用,大部分转入的钱都会经过各种手段转出。因此如果上述筛选出来的可疑节点的中心折损率接近1,那么该账号就有很大的洗钱风险。因为犯罪分子总是想在较短的时间内完成洗钱,因此时间约束也是一个常用的约束条件。如果一条线上的上下两笔交易差的时间相差太大,我们则认为该结构的洗钱风险较低,可以过滤掉,这样可以大大精简侦查范围。

    2异常转账结构发现实战分析

    以某一天内转账交易为例。在经过一系列的过滤之后,我们设置入度>10&&0<出度<4,希望这样可以发现分散转入集中转出的异常模式。结果发现符合这样条件的节点超过几千个。但是,当我们增加了0.8<中心点折损率<1.2这个约束条件,可疑节点就缩小到了几十个。下图就是这批可疑账号对应的分散转入集中转出交易。从中我们任意取了一个进行分析,如右图所示,可以明显地发现,该异常结构由17:15-21:23时间段内的17笔集中转入交易和22:34的1笔50000元整的大额转出交易组成,折损率为0.9802,呈现出典型的先分散转入后集中转出的交易特征,且累计金额50000也非常吻合大额交易限制条件,因此整个交易结构是非常具有洗钱嫌疑的。

图3基于折损率约束的分散转入集中转出异常交易结构

    此外,在连通子图计算完毕的基础之上,我们还专门开发了分布式版本的Tarjan算法进行强连通子图的计算,该算法可以用于寻找环状交易结构。

    以某周内的转账交易的分析结果为例,整个环状交易分析流程只耗时不到5分钟,参与环状交易的可疑节点共66091个。我们对这66091个节点在程序中更进一步进行了筛选。筛选条件可以根据业务经验进行调整。例如,在地下钱庄、非法集资、电信诈骗等洗钱案件中,负责资金归集的核心关键账户数量少,但交易金额非常大,而执行资金中转过渡的账户数量较大,但交易金额较小;结构化的集中转入、转出交易多与核心关键账户较近;外围大量交易金额小、频率低的账户,对发现洗钱关键团伙的作用有限。我们限定所属连通子图的复杂中心节点(节点出度或者入度大于50的节点)的个数小于10个,并限制复杂中心节点所属连通子图的总节点个数在50~2000之间。这样筛选完之后,我们的风险节点个数下降到了572个。我们对这些交易加入了时间属性分析,并进行了可视化。最下面的横线从左及右表示时间往后推移,即绿色的边表示最早发生,红色的边表示最后发生,结果如下:

图4环状转账交易结构的时序可视化

    可以明显地发现有5个子交易结构。对于看上去特别复杂,无从下手的结构来说,洗钱的概率反而小,我们需要重点关注的是那些涉案金额较大,并且交易存在一定规律的结构。因此我们对其中最可疑的那个社团进行了分析。从图中可以明显的发现不同时间段的资金流转环,分别以绿、蓝、红色的环状交易呈现出来,是非常可疑的。此外,我们还使用了Kruskal最小生成树算法对此交易结构进行了进一步的分析,得到了最右边图所示的核心资金转移路径,可以发现明显的时序特性,我们后续只需重点调查两个椭圆形圈出来的转出资金流向即可进行资金追溯。

    对于一些更加复杂的异常交易,我们没法得知其具体的交易模式,就无法用具体的规则去筛选。但可以肯定这些异常交易一定会相互交错地形成一个较复杂的图结构。于是我们采用基于连通子图和社团发现算法的解决方案,详细技术见下一节所述。