汇丰风控系统实战:从交易评分到行为图谱,一次拦截黑产的完整技术链曝光

前端付豪
237 阅读3分钟

作为跨国银行,汇丰(HSBC)每日交易量超千万笔,若不能及时识别:

  • 伪装转账、木马控制设备发起的交易
  • 洗钱/合规违规操作
  • 黑产机器人大规模撞库和钓鱼攻击

将面临监管重罚 + 客户信任损失

本篇揭开汇丰内部风控平台的三大核心能力:

交易评分机制(Risk Score Engine) + 行为图谱建模(User Behavior Graph) + 拦截策略引擎(Rule DSL)

一、整体风控流程图:实时 + 批量风控联动

image.png

二、交易评分引擎(Risk Score Engine)

每笔交易在进入账本前,都会调用实时评分系统,输出一个 0-100 风险值。

示例输入结构:

{
  "uid": "8891001",
  "ip": "183.3.9.120",
  "device": "iPhone14,5",
  "amount": 3200,
  "currency": "HKD",
  "country": "HK",
  "channel": "APP",
  "hour": 3
}

风控评分模型代码示例(简化):

function computeScore(input) {
  let score = 0

  if (input.amount > 10000) score += 20
  if (input.hour < 6) score += 15
  if (!knownDevices.has(input.device)) score += 10
  if (isNewIP(input.uid, input.ip)) score += 15

  return Math.min(score, 100)
}

✅ 最终得分大于60即被判为“风险交易”,进入后续风控链。

三、行为图谱建模(User Behavior Graph)

风控系统引入 Neo4j 图数据库,记录用户行为路径和实体关联关系。

图结构设计(核心节点):

  • UserDeviceIPTransaction
  • 关系:USED_ONFROMTOASSOCIATED_WITH

示例建图代码(Python + Neo4j):

tx = {
    "uid": "8891001",
    "device": "iPhone14,5",
    "ip": "183.3.9.120",
    "txid": "TXN001"
}

query = """
MERGE (u:User {id: $uid})
MERGE (d:Device {id: $device})
MERGE (i:IP {addr: $ip})
MERGE (t:Transaction {id: $txid})
MERGE (u)-[:USED_ON]->(d)
MERGE (u)-[:FROM]->(i)
MERGE (u)-[:MADE]->(t)
"""
session.run(query, tx)

四、拦截策略引擎(规则 DSL)

汇丰内部使用自研 DSL 编写风控规则:

规则样例:

IF amount > 10000 AND ip_country != account_country THEN risk = HIGH
IF tx_count_last_hour > 5 AND device_changed = true THEN risk = MEDIUM

支持热加载 + 策略版本控制:

const rule = `
  tx.amount > 10000 && tx.country !== acc.country
`
const result = vm.run(rule, { tx, acc })

✅ 每条规则产出 risk 标签,同时记录触发信息。

五、拦截决策:联动风控 + 用户验证

当系统判定为中/高风险交易,自动触发如下操作:

风险等级处理策略
高风险拦截交易,写入SIEM日志,黑名单同步
中风险触发MFA验证:短信、指纹、FaceID等
低风险正常放行,并计入画像系统

系统还支持“灰度观察”:

if (score >= 60 && score <= 75) {
  sendToGrayQueue(txId)
}

六、实战效果(拦截黑产案例)

2024年汇丰一次风控大演练中:

  • 某地区出现同一设备 + 多账户切换转账
  • 系统判定设备指纹频繁变化、IP跳跃
  • 实时命中策略 → 阻断交易、冻结账户

风控图谱成功识别 跨账户串联资金流,追回资金累计¥370万。

七、系统能力汇总

能力模块技术实现
实时评分JavaScript / Go 模型 + 流水风控链
图谱建模Neo4j 图数据库 + Entity-Graph 映射
拦截决策引擎自研 DSL 引擎 + 支持灰度/动态更新
数据同步Redis 实时缓存 + MQ 异步落盘 + Kafka 广播
审计与监控全链路日志(SIEM) + 审计接口

🎯 彩蛋:

“一个交易被拦下的那一刻,背后可能是上万次图谱联动的结论。”

avatar
文章
阅读
粉丝