一、异常交易到底是个啥?

做风控这些年,我经常被业务同学问一个问题:「到底什么样的交易算异常?」

说实话,这个问题没有标准答案。不同业务、不同场景,异常的定义天差地别。但有一点是共通的——异常交易就是偏离了正常用户行为模式的交易

我个人习惯把异常交易分成两类:

  • 显性异常:一看就不对劲,比如凌晨三点突然大额转账、同一IP在10秒内发起100笔支付
  • 隐性异常:表面看着正常,但结合上下文就露馅了,比如一个平时只买9.9包邮的用户突然下单了iPhone

你想想看,如果所有交易都规规矩矩的,那还要我们风控干嘛?

核心定义:异常交易 = 与用户历史行为、群体统计特征、业务规则显著不一致的交易行为。

二、四种最常见的异常交易类型

我在项目中遇到过各种各样的异常交易,但归纳起来,90%以上都逃不出这四类。

1. 洗钱

洗钱说白了就是「把黑钱洗白」。犯罪分子通过复杂的交易网络,让非法资金看起来像是合法收入。

典型特征

  • 资金快进快出,账户不留余额
  • 交易金额接近但不超过监管阈值(比如单笔5万、20万)
  • 多级账户转账,形成资金闭环
  • 交易时间集中在非工作时间

避坑指南:我曾经接手过一个案子,一个账户每天固定时间转入49900元,然后立即分散转出到10个不同账户。表面看每笔都没超5万,但累计金额一个月就过了300万。这就是典型的「化整为零」洗钱手法。

2. 盗刷

盗刷就是你的卡还在钱包里,钱已经没了。这类交易的特点是「非本人操作」

典型特征

  • 交易地点与持卡人常在地不符(比如人在北京,卡在境外消费)
  • 短时间内连续小额试探(1元、2元测试卡是否可用)
  • 设备指纹异常(新设备、模拟器、代理IP)
  • 交易频次突然暴增

注意:盗刷检测最怕的是「慢盗」——犯罪分子每天只盗刷一笔小额,持续几个月。这种模式用常规规则很难抓到,需要结合行为序列分析。

3. 欺诈

欺诈的范围很广,包括虚假交易、身份冒用、骗保等。核心是「利用信息不对称获利」

典型特征

  • 新注册账户短时间内大量交易
  • 收货地址异常(如废弃地址、虚拟地址)
  • 联系方式为一次性号码或虚拟号码
  • 交易行为与正常用户差异巨大

嗯,这里要注意:欺诈检测不能只看单笔交易,要结合用户生命周期来看。一个注册3天的账号和注册3年的账号,同样的交易行为,风险等级完全不同。

4. 套现

套现最常见于信用卡和消费金融场景。用户通过虚假交易把信用额度变成现金。

典型特征

  • 交易金额为整数或接近额度上限
  • 同一商户反复交易
  • 交易时间间隔固定(比如每周五固定刷一笔)
  • 还款后立即大额消费

关键点:套现和正常消费最大的区别在于——正常消费有真实需求,套现只有资金需求。所以套现交易往往缺乏「消费场景」的合理性。

三、异常交易的特征分析框架

做风控这么多年,我总结了一套特征分析的框架,分享给你。

我把特征分成四个维度:

维度 具体特征 举例
时间特征 交易时间、间隔、频次 凌晨3点交易、1秒内连续5笔
金额特征 单笔金额、累计金额、金额分布 单笔49999元、金额集中在整数
空间特征 IP地址、GPS位置、设备信息 IP归属地与收货地址跨省
行为特征 操作路径、点击习惯、停留时长 跳过商品详情直接下单

这四个维度不是孤立的。我建议你交叉分析——比如「凌晨3点 + 大额转账 + 新设备」这个组合,风险就比单一维度高得多。

个人经验:我曾经遇到一个案例,单看每个维度都正常——时间在白天、金额没超限、IP是常用IP。但把四个维度放一起看,发现这个用户每次交易前都会先查余额,然后立即大额转出,转完就退出。这种「查-转-退」的行为模式,就是典型的异常信号。

四、知识体系总览

下面这张图是我梳理的本章知识结构,你可以对照着理解:

异常交易识别知识体系 异常交易定义 洗钱 盗刷 欺诈 套现 时间特征 金额特征 空间特征 行为特征 交叉分析 → 识别异常交易 四个维度交叉验证,才能准确识别异常交易

五、写在最后

异常交易的定义不是一成不变的。今天看起来正常的交易,明天可能就成了新的攻击手法。所以做风控,千万别死守规则。

我个人习惯是:先理解业务,再定义异常。没有业务背景的风控,就像没有地图的导航——你永远不知道目的地在哪里。

嗯,这一章的内容就到这里。记住这四个类型和四个特征维度,后面我们会一步步深入每个场景的实战打法。


公众号:蓝海资料掘金营,微信deep3321