一、异常交易到底是个啥?
做风控这些年,我经常被业务同学问一个问题:「到底什么样的交易算异常?」
说实话,这个问题没有标准答案。不同业务、不同场景,异常的定义天差地别。但有一点是共通的——异常交易就是偏离了正常用户行为模式的交易。
我个人习惯把异常交易分成两类:
- 显性异常:一看就不对劲,比如凌晨三点突然大额转账、同一IP在10秒内发起100笔支付
- 隐性异常:表面看着正常,但结合上下文就露馅了,比如一个平时只买9.9包邮的用户突然下单了iPhone
你想想看,如果所有交易都规规矩矩的,那还要我们风控干嘛?
核心定义:异常交易 = 与用户历史行为、群体统计特征、业务规则显著不一致的交易行为。
二、四种最常见的异常交易类型
我在项目中遇到过各种各样的异常交易,但归纳起来,90%以上都逃不出这四类。
1. 洗钱
洗钱说白了就是「把黑钱洗白」。犯罪分子通过复杂的交易网络,让非法资金看起来像是合法收入。
典型特征:
- 资金快进快出,账户不留余额
- 交易金额接近但不超过监管阈值(比如单笔5万、20万)
- 多级账户转账,形成资金闭环
- 交易时间集中在非工作时间
避坑指南:我曾经接手过一个案子,一个账户每天固定时间转入49900元,然后立即分散转出到10个不同账户。表面看每笔都没超5万,但累计金额一个月就过了300万。这就是典型的「化整为零」洗钱手法。
2. 盗刷
盗刷就是你的卡还在钱包里,钱已经没了。这类交易的特点是「非本人操作」。
典型特征:
- 交易地点与持卡人常在地不符(比如人在北京,卡在境外消费)
- 短时间内连续小额试探(1元、2元测试卡是否可用)
- 设备指纹异常(新设备、模拟器、代理IP)
- 交易频次突然暴增
注意:盗刷检测最怕的是「慢盗」——犯罪分子每天只盗刷一笔小额,持续几个月。这种模式用常规规则很难抓到,需要结合行为序列分析。
3. 欺诈
欺诈的范围很广,包括虚假交易、身份冒用、骗保等。核心是「利用信息不对称获利」。
典型特征:
- 新注册账户短时间内大量交易
- 收货地址异常(如废弃地址、虚拟地址)
- 联系方式为一次性号码或虚拟号码
- 交易行为与正常用户差异巨大
嗯,这里要注意:欺诈检测不能只看单笔交易,要结合用户生命周期来看。一个注册3天的账号和注册3年的账号,同样的交易行为,风险等级完全不同。
4. 套现
套现最常见于信用卡和消费金融场景。用户通过虚假交易把信用额度变成现金。
典型特征:
- 交易金额为整数或接近额度上限
- 同一商户反复交易
- 交易时间间隔固定(比如每周五固定刷一笔)
- 还款后立即大额消费
关键点:套现和正常消费最大的区别在于——正常消费有真实需求,套现只有资金需求。所以套现交易往往缺乏「消费场景」的合理性。
三、异常交易的特征分析框架
做风控这么多年,我总结了一套特征分析的框架,分享给你。
我把特征分成四个维度:
| 维度 | 具体特征 | 举例 |
|---|---|---|
| 时间特征 | 交易时间、间隔、频次 | 凌晨3点交易、1秒内连续5笔 |
| 金额特征 | 单笔金额、累计金额、金额分布 | 单笔49999元、金额集中在整数 |
| 空间特征 | IP地址、GPS位置、设备信息 | IP归属地与收货地址跨省 |
| 行为特征 | 操作路径、点击习惯、停留时长 | 跳过商品详情直接下单 |
这四个维度不是孤立的。我建议你交叉分析——比如「凌晨3点 + 大额转账 + 新设备」这个组合,风险就比单一维度高得多。
个人经验:我曾经遇到一个案例,单看每个维度都正常——时间在白天、金额没超限、IP是常用IP。但把四个维度放一起看,发现这个用户每次交易前都会先查余额,然后立即大额转出,转完就退出。这种「查-转-退」的行为模式,就是典型的异常信号。
四、知识体系总览
下面这张图是我梳理的本章知识结构,你可以对照着理解:
五、写在最后
异常交易的定义不是一成不变的。今天看起来正常的交易,明天可能就成了新的攻击手法。所以做风控,千万别死守规则。
我个人习惯是:先理解业务,再定义异常。没有业务背景的风控,就像没有地图的导航——你永远不知道目的地在哪里。
嗯,这一章的内容就到这里。记住这四个类型和四个特征维度,后面我们会一步步深入每个场景的实战打法。
公众号:蓝海资料掘金营,微信deep3321